Noqta
écrits/blog/2026/05
Blog16 mai 2026·6 min

SPF DKIM DMARC pour PME en Tunisie — Guide 2026

Guide pratique 2026 pour configurer SPF, DKIM et DMARC sur Google Workspace, Microsoft 365, OVH ou cPanel et arrêter que vos emails partent en spam.

Noqta Team
·EN · FR · AR

Depuis février 2024, Gmail, Yahoo et Outlook exigent SPF, DKIM et DMARC pour accepter les emails marketing à grand volume. En 2026, l'application s'étend silencieusement aux PME : un domaine sans authentification perd en moyenne 30 à 60 points d'inbox placement chez les FAI grand public. Cet article vous donne la configuration exacte à appliquer cette semaine, copiable-collable, pour le stack typique d'une PME tunisienne.

Pourquoi vos emails partent en spam en 2026

En février 2024, Google et Yahoo ont publié leurs nouvelles règles pour les expéditeurs « bulk » (plus de 5 000 messages par jour vers Gmail) : SPF + DKIM obligatoires, DMARC au minimum en p=none avec alignement, taux de plainte spam sous 0,3 % et lien de désabonnement en un clic (RFC 8058) pour les emails commerciaux. Microsoft a annoncé en avril 2025 des règles similaires pour Outlook.com / Hotmail, déployées progressivement courant 2025-2026.

Officiellement, ces règles ne ciblent que les gros volumes. Dans la pratique, les filtres anti-spam pénalisent tous les domaines mal authentifiés. Une PME tunisienne qui envoie 200 devis par mois depuis contact@masociete.tn voit aujourd'hui :

  • Ses factures arriver dans le spam de ses clients Gmail / Outlook.
  • Ses mails de mot de passe oublié jamais reçus par les utilisateurs Yahoo / iCloud.
  • Son nom de domaine usurpé par des arnaqueurs qui envoient des faux ordres de virement à ses partenaires, sans qu'aucun mécanisme ne les bloque.

Le coût d'une mauvaise configuration n'est plus seulement « quelques mails en spam » : c'est de la trésorerie qui se perd, de la confiance client qui s'érode et un risque légal qui monte (Loi tunisienne 2004-63 sur la protection des données, fraude par phishing au nom de votre marque).

La bonne nouvelle : la correction prend rarement plus d'une journée de travail, et coûte zéro dinar en outils si vous restez sur les offres gratuites.

Le trio SPF / DKIM / DMARC en clair

Avant les commandes, le concept. Trois protocoles complémentaires, chacun pose une question différente à votre serveur d'envoi :

ProtocoleQuestion poséeType d'enregistrement DNSNorme
SPFCette adresse IP a-t-elle le droit d'envoyer pour ce domaine ?TXT à la racine du domaineRFC 7208
DKIMLe message a-t-il été signé par une clé privée que ce domaine reconnaît ?TXT sur <sélecteur>._domainkeyRFC 6376
DMARCQue faire si SPF ou DKIM échoue, et où envoyer les rapports ?TXT sur _dmarcRFC 7489

Image mentale : SPF vérifie l'enveloppe (qui a posté la lettre), DKIM vérifie la cire (le contenu n'a pas été altéré), DMARC dit au facteur quoi faire si l'un des deux est faux et vous renvoie un compte-rendu quotidien.

Les trois doivent fonctionner ensemble. SPF seul est trivialement contournable (un mail forwardé casse SPF). DKIM seul ne dit rien sur l'expéditeur enveloppe. DMARC sans SPF ni DKIM n'a rien à valider. Le standard de 2026, c'est les trois, alignés, avec une politique p=quarantine ou p=reject.

Diagnostic — vérifiez votre domaine en 3 minutes

Avant de toucher à quoi que ce soit, faites un état des lieux. Deux approches : interface web ou ligne de commande.

Outils en ligne

  • mxtoolbox.com : tapez votre domaine dans « SuperTool » → « domain:masociete.tn dmarc »
  • dmarcian.com/dmarc-inspector/ : visualisation complète SPF + DKIM + DMARC en un écran
  • easydmarc.com/tools/spf-record-check : analyse SPF avec arbre include:

Ligne de commande (rapide et fiable)

Sur macOS / Linux, ces trois commandes suffisent. Remplacez masociete.tn par votre domaine :

# Vérifier SPF (un seul enregistrement attendu, commençant par v=spf1)
dig +short TXT masociete.tn | grep -i "v=spf1"
 
# Vérifier DMARC
dig +short TXT _dmarc.masociete.tn
 
# Vérifier DKIM (le sélecteur dépend du fournisseur — voir tableau plus bas)
dig +short TXT google._domainkey.masociete.tn
dig +short TXT selector1._domainkey.masociete.tn
 
# Tester un envoi réel et lire les en-têtes d'authentification
# (envoyez un email à l'adresse ci-dessous, vous recevez en réponse un rapport SPF/DKIM/DMARC)
echo "Envoyer un email depuis contact@masociete.tn vers check-auth@verifier.port25.com"

Si dig n'est pas disponible, nslookup -type=TXT _dmarc.masociete.tn fait la même chose sous Windows.

Lecture du résultat :

  • SPF présent mais qui finit par ~all (soft fail) — acceptable temporairement, à durcir en -all à terme.
  • SPF absent ou avec +allcatastrophe, votre domaine est en open relay du point de vue de Gmail.
  • DKIM absent — Gmail mettra le mail en spam ou refusera l'envoi si > 5 000 / jour.
  • DMARC absent ou en p=none depuis plus de 6 mois sans suivi — vous n'apprenez rien et vous ne protégez pas votre marque.

Configurer SPF — le détail par fournisseur

SPF est un seul enregistrement TXT à la racine. Règle d'or : un seul enregistrement SPF par domaine. Si vous en avez deux, le standard impose un échec PermError ; ni Gmail ni Outlook ne raboteront la difficulté pour vous.

Google Workspace (Gmail pro)

masociete.tn.    IN    TXT    "v=spf1 include:_spf.google.com ~all"

Microsoft 365 (ex-Office 365)

masociete.tn.    IN    TXT    "v=spf1 include:spf.protection.outlook.com -all"

OVH (mutualisé MX Plan / Email Pro)

masociete.tn.    IN    TXT    "v=spf1 include:mx.ovh.com ~all"

cPanel / serveur partagé Hostinger, Tunet, Hexabyte

Le serveur d'envoi est généralement la machine cPanel elle-même. Récupérez son IP publique (dig +short masociete.tn ou panneau cPanel → « Server Information ») puis :

masociete.tn.    IN    TXT    "v=spf1 ip4:185.10.20.30 a mx ~all"

a autorise l'enregistrement A du domaine, mx autorise les serveurs listés en MX. Adaptez l'IP à la vôtre.

Scénario mixte (très courant en PME)

Site WordPress sur cPanel pour les emails transactionnels, Google Workspace pour les boîtes pro, Brevo (ex-Sendinblue) ou Mailchimp pour le marketing. Vous avez besoin d'un seul enregistrement SPF qui chaîne les include: :

masociete.tn.    IN    TXT    "v=spf1 include:_spf.google.com include:spf.brevo.com ip4:185.10.20.30 ~all"

Attention au lookup limit RFC 7208 : SPF tolère au maximum 10 résolutions DNS récursives (include, a, mx, redirect). Chaque include peut elle-même contenir des include, donc vérifiez avec dmarcian.com/spf-survey/ ou la commande :

# Comptage rapide des include
dig +short TXT masociete.tn | grep -o "include:" | wc -l

Si vous dépassez, retirez les fournisseurs inutilisés ou demandez à votre ESP marketing s'il propose un include consolidé (Brevo, Mailjet, Postmark le font).

Configurer DKIM — selon votre fournisseur

DKIM signe chaque mail avec une clé privée et publie la clé publique en DNS. Le sélecteur est un identifiant que vous choisissez (ou que le fournisseur impose) pour permettre la rotation de clé.

Google Workspace

  1. Console admin → Apps → Google Workspace → Gmail → Authentifier l'email.
  2. Sélectionnez votre domaine, cliquez « Générer le nouvel enregistrement » (clé 2048 bits, sélecteur google).
  3. Copiez la chaîne v=DKIM1; k=rsa; p=MIGfMA0G... fournie.
  4. Dans votre zone DNS, créez un TXT sur google._domainkey.masociete.tn avec ce contenu.
  5. Retournez sur la console, attendez 1 à 24 h, puis cliquez « Démarrer l'authentification ».

Microsoft 365

  1. Centre d'administration Exchange → Protection → DKIM.
  2. Cliquez sur votre domaine, puis « Activer » — M365 vous donnera deux CNAME à créer (sélecteurs selector1 et selector2 pour permettre la rotation automatique).
selector1._domainkey.masociete.tn.    IN    CNAME    selector1-masociete-tn._domainkey.<TENANT>.onmicrosoft.com.
selector2._domainkey.masociete.tn.    IN    CNAME    selector2-masociete-tn._domainkey.<TENANT>.onmicrosoft.com.
  1. Une fois la propagation DNS faite, revenez et passez le bouton sur « Activé ».

cPanel (Exim local)

  1. cPanel → Email → Email Deliverability.
  2. Cliquez « Manage » à côté du domaine puis « Install the Suggested Record » sur la ligne DKIM.
  3. cPanel génère une clé 1024 bits avec sélecteur default. Pour une clé 2048 bits (recommandé en 2026), il faut éditer /etc/exim.conf.local ou demander à votre hébergeur.
  4. Vérifiez avec :
dig +short TXT default._domainkey.masociete.tn

Stratégie de sélecteur et rotation

  • Utilisez deux sélecteurs en alternance (s1 / s2, jan2026 / jul2026) pour permettre une rotation sans interruption.
  • Tournez la clé tous les 6 mois minimum, ou immédiatement si vous suspectez une fuite.
  • Préférez 2048 bits à 1024 (Gmail accepte les deux, mais 1024 est progressivement déprécié).

DMARC — déploiement par paliers

DMARC est l'arbitre. Vous devez d'abord l'écouter avant de lui donner du pouvoir. Voici le déploiement standard en 4 phases, sur 6 à 8 semaines.

Semaine 1-2 : p=none + collecte de rapports

Créez une adresse dédiée pour les rapports (dmarc@masociete.tn) — ou mieux, utilisez un service gratuit comme Postmark DMARC Monitoring ou la version free de dmarcian.

_dmarc.masociete.tn.    IN    TXT    "v=DMARC1; p=none; rua=mailto:dmarc-reports@masociete.tn; ruf=mailto:dmarc-reports@masociete.tn; fo=1; adkim=r; aspf=r; pct=100"

Signification :

  • p=none : observation seulement, aucun mail rejeté.
  • rua : rapports agrégés quotidiens (un par FAI).
  • ruf : rapports forensiques (échecs individuels) — utile pour le debug.
  • fo=1 : générer un rapport forensique si SPF ou DKIM échoue.
  • adkim=r / aspf=r : alignement relax (sous-domaines acceptés).

Pendant 7 à 14 jours, vous recevez chaque matin des XML de Google, Microsoft, Yahoo, etc. — illisibles à l'œil nu. C'est exactement le rôle des dashboards (section suivante) que de les transformer en graphiques exploitables.

Semaine 3-4 : analyse des rapports

Les questions à se poser en lisant les rapports :

  • Quels services légitimes (Brevo, Hubspot, Zoho, MailChimp, votre CRM) envoient pour mon domaine ?
  • Pour chacun, SPF est-il aligné ? DKIM est-il aligné ?
  • Y a-t-il du trafic d'IP inconnues (= usurpation ou phishing) ?

Pour chaque service qui apparaît, configurez SPF + DKIM correctement avant de durcir.

Semaine 4-6 : p=quarantine graduel

Une fois que 95 %+ de votre trafic légitime passe SPF ou DKIM aligné, durcissez par pourcentage :

_dmarc.masociete.tn.    IN    TXT    "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@masociete.tn; adkim=r; aspf=r"

10 % des mails non-conformes partent en spam. Surveillez 1 semaine. Si tout va bien, montez à 50 %, puis 100 %.

Semaine 6+ : p=reject

Phase finale : les mails non-authentifiés sont rejetés au niveau SMTP. Plus aucune usurpation possible.

_dmarc.masociete.tn.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc-reports@masociete.tn; adkim=s; aspf=s"

Notez adkim=s et aspf=s (alignement strict) pour les domaines à forte exposition (banques, paiement, données médicales).

BIMI — le logo dans Gmail (étape suivante)

Une fois p=quarantine ou p=reject atteint, vous débloquez BIMI (Brand Indicators for Message Identification) : votre logo apparaît à côté de chaque email dans Gmail, Yahoo et Apple Mail.

default._bimi.masociete.tn.    IN    TXT    "v=BIMI1; l=https://masociete.tn/bimi/logo.svg; a=https://masociete.tn/bimi/vmc.pem"

Le logo doit être au format SVG Tiny PS (profil strict). Pour les FAI majeurs (Gmail, Apple Mail), un VMC (Verified Mark Certificate) est requis, émis par DigiCert ou Entrust — comptez 1 200 à 1 500 USD/an . Pour une PME tunisienne, démarrer BIMI sans VMC fonctionne déjà chez Yahoo et Fastmail, et prépare le terrain.

Outils de monitoring DMARC — gratuit vs payant

Les rapports XML sont illisibles bruts. Un dashboard est indispensable. Voici les options 2026 :

OutilTier gratuitTier payantPour qui
Postmark DMARC MonitoringIllimité, 1 domaine, rapports hebdo par emailTPE / 1 domaine
dmarcian1 domaine, rapports limitésÀ partir de ~25 USD/mois PME multi-domaines
EasyDMARC1 domaine, 10 000 messages/moisÀ partir de ~40 USD/mois PME avec marketing actif
Valimail MonitorGratuit (lead gen)Sur devisMid-market / enterprise
MXToolbox Delivery Center14 jours essaiÀ partir de ~129 USD/mois Audit ponctuel
dmarcanalyzer.com (Mimecast)Sur devisMultinationales

Recommandation Noqta pour une PME tunisienne : commencez par Postmark DMARC Monitoring gratuit (vous renseignez votre domaine, ils gèrent l'agrégation, vous recevez un PDF chaque semaine). Si vous montez en charge ou avez plusieurs domaines, passez à dmarcian ou EasyDMARC.

Les 7 erreurs récurrentes des PME tunisiennes

Sur les audits que nous menons régulièrement chez des e-commerçants, prestataires de services et offices de tourisme tunisiens, voici les pièges qui reviennent presque toujours :

  1. Deux enregistrements SPF coexistant. L'agence WordPress en a ajouté un, l'admin Google Workspace en a ajouté un autre, et personne n'a fusionné. Résultat : PermError, SPF cassé pour tout le monde.
  2. ~all éternel. Le fournisseur a configuré SPF en soft fail il y a 5 ans et personne ne l'a jamais durci en -all. Les mails usurpés ne sont pas rejetés.
  3. DKIM jamais activé sur cPanel. L'option « Email Deliverability » existe dans cPanel depuis 2019 mais reste désactivée par défaut sur Tunet, Hexabyte, Topnet. Un clic suffit.
  4. DMARC en p=none depuis 18 mois sans suivre les rapports. L'effet protecteur est nul. Vous n'avez fait que poser un panneau « Attention » sans regarder personne le franchir.
  5. rua qui pointe vers une boîte qui n'existe plus. L'ex-admin IT est parti, l'adresse rebondit, les rapports se perdent. Vérifiez rua une fois par trimestre.
  6. Plusieurs services SaaS (Mailchimp, Brevo, Hubspot, Calendly) jamais ajoutés au SPF. Chacun envoie depuis ses propres IPs, échoue SPF, finit en spam. Faites le tour de toutes les intégrations qui envoient des emails au nom de votre domaine.
  7. Un seul domaine pour transactionnel + marketing + cold outbound. La réputation s'effondre sur le cold, le transactionnel s'effondre avec. Solution : séparez en mail.masociete.tn (transactionnel) et mkt.masociete.tn (marketing), chacun avec son propre DKIM et son propre DMARC.

Vérification finale — la checklist en 60 secondes

Avant de fermer le ticket, validez :

# 1. SPF unique et valide
dig +short TXT masociete.tn | grep -c "v=spf1"   # doit retourner 1
 
# 2. DMARC présent et au moins p=quarantine
dig +short TXT _dmarc.masociete.tn | grep -E "p=(quarantine|reject)"
 
# 3. DKIM actif et bien signé
dig +short TXT google._domainkey.masociete.tn | head -c 100
 
# 4. Envoyer un test à mail-tester.com (score sur 10) ou check-auth@verifier.port25.com

Visez 9/10 ou plus sur mail-tester.com. En dessous, le rapport vous dit exactement quoi corriger.

Quand faire appel à Noqta

Si vous êtes dirigeant ou responsable IT d'une PME tunisienne (ou marocaine, algérienne, sénégalaise — le stack est le même) et que :

  • Vos clients vous disent régulièrement « je n'ai pas reçu ton mail, vérifie ton spam ».
  • Vous avez plus de trois services SaaS qui envoient des emails au nom de votre domaine.
  • Vous avez deux domaines ou plus à protéger.
  • Vous avez subi une tentative d'usurpation (CEO fraud, faux ordre de virement).
  • Vous voulez passer à p=reject sans casser les emails légitimes.

…l'audit délivrabilité + mise en place DMARC monitoring par Noqta vous fait gagner 2 à 3 semaines de tâtonnement et garantit que vous n'oubliez aucun service légitime au passage. Audit complet, configuration DNS, monitoring 90 jours et formation de votre équipe pour reprendre la main ensuite.

Demandez un audit de délivrabilité email — réponse sous 48 heures, première analyse offerte.

Cet article fait partie de notre série sur la sécurité et la gouvernance technique des PME en Tunisie. Voir aussi : Contrats de maintenance de site web, Checklist d'audit contrat & prestataire et Comment un cahier des charges mal défini a coûté cher à une PME tunisienne.