🔐 SwissForts
Sécurité des e-mails : qu'est-ce que SPF, DKIM et DMARC — et pourquoi votre PME ne peut plus s'en passer
CT
Trois acronymes qui protègent votre domaine de l'usurpation. Et que la grande majorité des PME suisses n'ont pas encore configurés.
10/03/2026
10:10
Pourquoi votre domaine peut être usurpé
Le protocole email (SMTP) date de 1982. Il n'a pas été conçu pour authentifier l'expéditeur. N'importe qui peut envoyer un email en indiquant votre adresse comme expéditeur — contact@votreentreprise.ch — sans avoir accès à votre messagerie. C'est ce qu'on appelle le spoofing. Il est utilisé dans les attaques de phishing ciblées (spear phishing), les fraudes au virement et les campagnes d'usurpation de marque. Sans protection, votre domaine est une identité que n'importe qui peut emprunter.
SPF, DKIM, DMARC expliqués simplement
SPF (Sender Policy Framework) définit quels serveurs sont autorisés à envoyer des emails pour votre domaine. Si un serveur non autorisé tente d'envoyer un email depuis votre domaine, le serveur destinataire peut le rejeter. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email. Le serveur destinataire vérifie cette signature — si elle ne correspond pas, l'email peut être marqué comme suspect. DMARC (Domain-based Message Authentication) coordonne SPF et DKIM et définit ce que le serveur destinataire doit faire en cas d'échec : ignorer, mettre en quarantaine, ou rejeter. C'est lui qui ferme la boucle.
Ce qu'on observe sur le terrain
Lors de nos audits, nous constatons que la majorité des PME romandes ont configuré SPF — souvent via leur hébergeur email. Mais DKIM est absent dans 60% des cas, et DMARC dans plus de 75%. Sans DMARC, SPF et DKIM n'empêchent pas le spoofing — ils ne font que le signaler. Le domaine reste usurpable. C'est comme poser une alarme mais ne pas la connecter à un centre de surveillance. Dans plusieurs cas, nous avons trouvé des domaines de PME actifs dans des campagnes de phishing — leurs propriétaires n'en savaient rien.
Votre exposition IoT — où sont vos risques ?
Les 4 situations les plus fréquentes dans les PME et communes romandes — et notre réponse.
L'approche Computis
Nous configurons SPF, DKIM et DMARC pour les PME et communes romandes en suivant un plan de déploiement progressif : DMARC en mode surveillance d'abord (p=none), puis quarantaine (p=quarantine), puis rejet (p=reject) une fois la configuration stabilisée. Nous surveillons les rapports DMARC pour identifier les sources d'envoi légitimes non encore déclarées avant de passer en mode rejet. Cette approche évite de bloquer des emails légitimes pendant la transition.
SPF, DKIM, DMARC : les trois protocoles qui protègent votre domaine email. Expliqués simplement pour les PME romandes.
FAQ
Mon hébergeur a déjà configuré SPF — suis-je protégé ?
Partiellement. SPF seul ne suffit pas. Sans DKIM et DMARC, votre domaine reste usurpable. La protection complète nécessite les trois protocoles configurés correctement.
Est-ce que DMARC peut bloquer des emails légitimes ?
Oui, si configuré trop agressivement dès le départ. C'est pourquoi nous déployons DMARC progressivement — en mode surveillance d'abord, puis quarantaine, puis rejet.
Combien de temps prend la configuration complète ?
La nLPD exige des mesures techniques appropriées pour protéger les données personnelles. Un domaine email non protégé contre le spoofing constitue une mesure inadéquate au sens de la loi.
La nLPD nous oblige-t-elle à configurer ces protocoles ?
La nLPD exige des mesures techniques appropriées pour protéger les données personnelles. Un domaine email non protégé contre le spoofing constitue une mesure inadéquate au sens de la loi.
Comment savoir si notre domaine a déjà été usurpé ?
Les rapports DMARC révèlent toutes les tentatives d'envoi depuis votre domaine. Lors de notre audit, nous analysons ces données pour identifier si votre domaine a déjà été utilisé dans des campagnes malveillantes.
Sujets abordés
Cybersécurité
SPF
DKIM
DMARC
SwissForts
Votre domaine email est-il protégé contre le spoofing ?
"Chez Computis, nous réalisons un audit préliminaire de votre configuration email pour les PME et communes romandes sans équipe IT dédiée. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis."
