Dernière mise à jour : juillet 2026
En bref : les trois normes fondamentales SPF, DKIM et DMARC constituent le socle de l’authentification e-mail moderne. Notre comparatif technique des 25 fournisseurs de la matrice montre : si les hébergeurs mutualisés préactivent souvent SPF ou proposent des assistants simples et une activation DKIM en 1 clic, les spécialistes DNS purs exigent une saisie manuelle de chaque enregistrement. Retrouve ci-dessous le tableau complet avec les méthodes exactes d’activation et les liens vers les guides pour les 25 hébergeurs.
Avant que tes e-mails ne traversent la couche transport (MTA-STS et DANE), les serveurs récepteurs vérifient l’authenticité de l’expéditeur. Cette authentification repose sur trois mécanismes centraux expliqués dans SPF, DKIM et DMARC expliqués :
- SPF (Sender Policy Framework) : Définit via un enregistrement TXT dans le DNS quelles adresses IP et quels serveurs sont autorisés à envoyer des e-mails au nom de ton domaine.
- DKIM (DomainKeys Identified Mail) : Signe de manière cryptographique (
1024 ou 2048 bits) les messages sortants pour que les destinataires puissent vérifier que le contenu n’a pas été altéré en transit. - DMARC (Domain-based Message Authentication) : Unifie SPF et DKIM et indique aux serveurs récepteurs via une politique DNS quoi faire des messages non authentifiés (
none,quarantineoureject).
La simplicité de déploiement de ces normes — par préactivation automatique, assistants guidés ou configuration manuelle — varie considérablement selon l’hébergeur choisi.
Tableau complet : configuration SPF, DKIM et DMARC chez les 25 fournisseurs
Le tableau ci-dessous indique comment les 25 fournisseurs de notre matrice technique gèrent la configuration de SPF, DKIM et DMARC, avec des liens directs vers leurs guides détaillés étape par étape.
| Fournisseur | Configuration SPF | Méthode d’activation DKIM | Configuration DMARC | Guides et accès |
|---|---|---|---|---|
| All-Inkl | Assistant TXT / Manuel dans le KAS | Activation en 1 clic dans le KAS (générer la clé) | Enregistrement TXT dans le DNS KAS | SPF · DKIM · DMARC |
| checkdomain | Assistant TXT dans l’espace client | Générer la clé dans l’espace messagerie | Enregistrement TXT dans l’éditeur DNS | SPF · DKIM · DMARC |
| domainfactory | Modèle / Manuel dans l’éditeur DNS | Activation en 1 clic dans le menu e-mail | Enregistrement TXT dans l’éditeur DNS | SPF · DKIM · DMARC |
| Google Workspace | Manuel (include:_spf.google.com) | Générer la clé TXT dans la console d’administration | Enregistrement TXT dans le DNS après alignement | SPF · DKIM · DMARC |
| Hetzner DNS | Manuel TXT (accès DNS total) | Manuel (publier le CNAME/TXT de l’hébergeur mail) | Enregistrement TXT manuel dans la console CCP | SPF · DKIM · DMARC |
| IONOS | Préactivé (ou TXT manuel) | Interrupteur en 1 clic dans les paramètres e-mail | Enregistrement TXT dans la gestion du domaine | SPF · DKIM · DMARC |
| Mailcow | Généré automatiquement dans l’interface | Généré automatiquement (RSA/Ed25519) | Suggestion automatique dans l’interface | SPF · DKIM · DMARC |
| Microsoft 365 | Manuel (include:spf.protection.outlook.com) | Générer 2 entrées CNAME dans Microsoft Defender | Enregistrement TXT après publication CNAME | SPF · DKIM · DMARC |
| Netcup | Assistant / Manuel dans le CCP | Générer la clé dans les paramètres mail du CCP | Enregistrement TXT dans l’éditeur DNS du CCP | SPF · DKIM · DMARC |
| Strato | Interrupteur dans le menu DNS / modèle | Activation automatique ou en 1 clic | Enregistrement TXT sous la gestion du domaine | SPF · DKIM · DMARC |
| united-domains | Assistant TXT / entrée DNS | Créer la clé dans l’espace e-mail | Enregistrement TXT dans le portefeuille de domaines | SPF · DKIM · DMARC |
| Cloudflare | Manuel TXT (sans mode proxy) | Publication manuelle CNAME/TXT | Enregistrement TXT dans le tableau de bord DNS | SPF · DKIM · DMARC |
| Amazon Route 53 | Manuel TXT dans la zone hébergée | Saisie manuelle CNAME/TXT | Enregistrement TXT dans la zone Route 53 | SPF · DKIM · DMARC |
| Gandi | Modèle SPF standard / LiveDNS | Générer la clé DKIM dans l’onglet E-mail | Ajouter l’enregistrement TXT dans LiveDNS | SPF · DKIM · DMARC |
| OVHcloud | Assistant (MX Plan / Email Pro) | Automatique ou 1 clic dans l’espace client | Ajouter l’enregistrement TXT dans la zone DNS | SPF · DKIM · DMARC |
| GoDaddy | Assistant / Manuel dans le gestionnaire DNS | CNAME/TXT (selon offre Microsoft 365 ou cPanel) | Enregistrement TXT dans la gestion DNS | SPF · DKIM · DMARC |
| o2switch | Modèle / cPanel Zone Editor | Activation en 1 clic via cPanel (Email Deliverability) | Ajouter l’enregistrement TXT via cPanel | SPF · DKIM · DMARC |
| LWS | Modèle dans le panneau LWS | Activation en 1 clic dans la section e-mail LWS | Enregistrement TXT dans le gestionnaire DNS LWS | SPF · DKIM · DMARC |
| Infomaniak | Préactivé / Infomaniak Manager | Activation en 1 clic sous la sécurité e-mail | Ajouter l’enregistrement TXT dans la zone DNS | Aperçu des fournisseurs |
| DonDominio | Assistant TXT / Panneau de contrôle | Génération sous la gestion e-mail | Ajouter l’enregistrement TXT dans la zone DNS | Aperçu des fournisseurs |
| Dinahosting | Assistant dans le panneau de gestion | Activation en 1 clic sous la sécurité mail | Enregistrement TXT dans l’éditeur DNS | Aperçu des fournisseurs |
| cdmon | Assistant dans le panneau de gestion | Génération dans la section messagerie | Enregistrement TXT dans le DNS cdmon | Aperçu des fournisseurs |
| Raiola Networks | cPanel Zone Editor / modèle | Activation en 1 clic via cPanel Email Deliverability | Ajouter l’enregistrement TXT via cPanel | Aperçu des fournisseurs |
| Hostinger | Modèle / zone DNS hPanel | Activation en 1 clic dans hPanel (Comptes e-mail) | Ajouter l’enregistrement TXT dans hPanel | Aperçu des fournisseurs |
| webgo | Modèle TXT / Portail client | Activation en 1 clic sous les paramètres e-mail | Enregistrement TXT dans l’éditeur DNS | Aperçu des fournisseurs |
Analyse technique par catégorie de fournisseurs
1. Hébergeurs mutualisés
Pour les hébergeurs proposant conjointement la gestion DNS et les boîtes aux lettres (IONOS, Strato, Netcup, All-Inkl, domainfactory, united-domains, checkdomain, Hostinger, webgo, o2switch, LWS, Infomaniak, DonDominio, Dinahosting, cdmon, Raiola Networks), l’accent est mis sur l’accessibilité :
- Automatisation SPF : Chez IONOS, SPF est activé par défaut sur tous les domaines avec boîte e-mail. Strato et All-Inkl fournissent des assistants intuitifs ou des interrupteurs dans leur panneau afin d’insérer automatiquement les plages d’adresses IP requises (
include:...). - Méthodes d’activation DKIM : Sur les hébergements basés sur cPanel (comme o2switch ou Raiola Networks), il suffit de se rendre dans « Email Deliverability » pour générer une clé
2048 bitset la publier directement dans la zone DNS en 1 clic. Chez Netcup, All-Inkl ou Infomaniak, la clé s’active depuis les options de l’espace messagerie. - Ajout de DMARC : Comme DMARC exige un alignement strict entre SPF et DKIM (
Alignment), cet enregistrement s’ajoute toujours manuellement ou par modèle en tant que record TXT (_dmarc.tondomaine.fr) une fois SPF et DKIM fonctionnels.
2. Spécialistes DNS purs
Lorsque ton domaine est géré sur une plateforme purement DNS (Hetzner DNS, Cloudflare, Amazon Route 53) alors que tes boîtes mail sont hébergées ailleurs, tu disposes d’un contrôle total mais dois effectuer chaque action à la main :
- Pas d’assistants automatiques : L’hébergeur DNS ignorant quel service e-mail externe tu utilises, tu dois créer manuellement l’enregistrement TXT SPF fourni par ton prestataire de messagerie.
- Publication des clés DKIM : Tu génères les clés DKIM ou les sélecteurs CNAME sur le panneau de ton hébergeur e-mail et tu les copies précisément dans l’interface DNS de Hetzner, Cloudflare (en veillant à désactiver le mode proxy pour laisser sur « DNS only ») ou Route 53.
3. Suites cloud d’entreprise : Microsoft 365 et Google Workspace
Les deux leaders de la messagerie cloud professionnelle nécessitent une configuration coordonnée sur deux interfaces séparées :
- Microsoft 365 : Tu insères le mécanisme SPF standard (
include:spf.protection.outlook.com) dans ta zone DNS. Pour DKIM, tu créés exactement deux enregistrements CNAME (selector1etselector2) dans le centre d’administration Microsoft 365 Defender, tu les publies dans ton DNS puis tu actives la signature en 1 clic dans l’interface Microsoft. - Google Workspace : Tu publies
include:_spf.google.compour SPF. Pour DKIM, tu génères une clé TXT (google._domainkey) dans la console d’administration Google. Une fois l’enregistrement propagé sur ton DNS, tu actives la signature directement depuis la console.
4. Serveurs auto-hébergés : Mailcow
Si tu administres ta propre infrastructure avec Mailcow, tu profites de l’automatisation maximale pour un administrateur : Mailcow calcule et affiche dans son panneau d’administration la syntaxe exacte des enregistrements SPF, DKIM, DMARC, mais aussi DANE et MTA-STS pour ton domaine. Tu n’as plus qu’à copier ces valeurs dans ta zone DNS externe.
Vérifier ta configuration avec MXAudit
Après toute modification de tes enregistrements DNS ou dans le panneau de ton hébergeur, contrôle toujours ton authentification à l’aide du scanner gratuit MXAudit. Le scanner effectue une inspection en temps réel de ta zone DNS, vérifie la validité syntaxique de ton SPF, s’assure de l’accessibilité de ta clé publique DKIM et confirme que ta politique DMARC est correctement déployée sans erreur ni défaut d’alignement.
Pour aller plus loin
- RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 (consulté le 17 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (consulté le 17 juillet 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (consulté le 17 juillet 2026)
- SPF, DKIM et DMARC expliqués — Guide complet sur l’interaction des trois mécanismes d’authentification
- Guides de sécurité e-mail par hébergeur — Vue d’ensemble des 25 fournisseurs et guides étape par étape