Dernière mise à jour : juillet 2026

En bref : les trois normes fondamentales SPF, DKIM et DMARC constituent le socle de l’authentification e-mail moderne. Notre comparatif technique des 25 fournisseurs de la matrice montre : si les hébergeurs mutualisés préactivent souvent SPF ou proposent des assistants simples et une activation DKIM en 1 clic, les spécialistes DNS purs exigent une saisie manuelle de chaque enregistrement. Retrouve ci-dessous le tableau complet avec les méthodes exactes d’activation et les liens vers les guides pour les 25 hébergeurs.

Avant que tes e-mails ne traversent la couche transport (MTA-STS et DANE), les serveurs récepteurs vérifient l’authenticité de l’expéditeur. Cette authentification repose sur trois mécanismes centraux expliqués dans SPF, DKIM et DMARC expliqués :

  1. SPF (Sender Policy Framework) : Définit via un enregistrement TXT dans le DNS quelles adresses IP et quels serveurs sont autorisés à envoyer des e-mails au nom de ton domaine.
  2. DKIM (DomainKeys Identified Mail) : Signe de manière cryptographique (1024 ou 2048 bits) les messages sortants pour que les destinataires puissent vérifier que le contenu n’a pas été altéré en transit.
  3. DMARC (Domain-based Message Authentication) : Unifie SPF et DKIM et indique aux serveurs récepteurs via une politique DNS quoi faire des messages non authentifiés (none, quarantine ou reject).

La simplicité de déploiement de ces normes — par préactivation automatique, assistants guidés ou configuration manuelle — varie considérablement selon l’hébergeur choisi.

Tableau complet : configuration SPF, DKIM et DMARC chez les 25 fournisseurs

Le tableau ci-dessous indique comment les 25 fournisseurs de notre matrice technique gèrent la configuration de SPF, DKIM et DMARC, avec des liens directs vers leurs guides détaillés étape par étape.

FournisseurConfiguration SPFMéthode d’activation DKIMConfiguration DMARCGuides et accès
All-InklAssistant TXT / Manuel dans le KASActivation en 1 clic dans le KAS (générer la clé)Enregistrement TXT dans le DNS KASSPF · DKIM · DMARC
checkdomainAssistant TXT dans l’espace clientGénérer la clé dans l’espace messagerieEnregistrement TXT dans l’éditeur DNSSPF · DKIM · DMARC
domainfactoryModèle / Manuel dans l’éditeur DNSActivation en 1 clic dans le menu e-mailEnregistrement TXT dans l’éditeur DNSSPF · DKIM · DMARC
Google WorkspaceManuel (include:_spf.google.com)Générer la clé TXT dans la console d’administrationEnregistrement TXT dans le DNS après alignementSPF · DKIM · DMARC
Hetzner DNSManuel TXT (accès DNS total)Manuel (publier le CNAME/TXT de l’hébergeur mail)Enregistrement TXT manuel dans la console CCPSPF · DKIM · DMARC
IONOSPréactivé (ou TXT manuel)Interrupteur en 1 clic dans les paramètres e-mailEnregistrement TXT dans la gestion du domaineSPF · DKIM · DMARC
MailcowGénéré automatiquement dans l’interfaceGénéré automatiquement (RSA/Ed25519)Suggestion automatique dans l’interfaceSPF · DKIM · DMARC
Microsoft 365Manuel (include:spf.protection.outlook.com)Générer 2 entrées CNAME dans Microsoft DefenderEnregistrement TXT après publication CNAMESPF · DKIM · DMARC
NetcupAssistant / Manuel dans le CCPGénérer la clé dans les paramètres mail du CCPEnregistrement TXT dans l’éditeur DNS du CCPSPF · DKIM · DMARC
StratoInterrupteur dans le menu DNS / modèleActivation automatique ou en 1 clicEnregistrement TXT sous la gestion du domaineSPF · DKIM · DMARC
united-domainsAssistant TXT / entrée DNSCréer la clé dans l’espace e-mailEnregistrement TXT dans le portefeuille de domainesSPF · DKIM · DMARC
CloudflareManuel TXT (sans mode proxy)Publication manuelle CNAME/TXTEnregistrement TXT dans le tableau de bord DNSSPF · DKIM · DMARC
Amazon Route 53Manuel TXT dans la zone hébergéeSaisie manuelle CNAME/TXTEnregistrement TXT dans la zone Route 53SPF · DKIM · DMARC
GandiModèle SPF standard / LiveDNSGénérer la clé DKIM dans l’onglet E-mailAjouter l’enregistrement TXT dans LiveDNSSPF · DKIM · DMARC
OVHcloudAssistant (MX Plan / Email Pro)Automatique ou 1 clic dans l’espace clientAjouter l’enregistrement TXT dans la zone DNSSPF · DKIM · DMARC
GoDaddyAssistant / Manuel dans le gestionnaire DNSCNAME/TXT (selon offre Microsoft 365 ou cPanel)Enregistrement TXT dans la gestion DNSSPF · DKIM · DMARC
o2switchModèle / cPanel Zone EditorActivation en 1 clic via cPanel (Email Deliverability)Ajouter l’enregistrement TXT via cPanelSPF · DKIM · DMARC
LWSModèle dans le panneau LWSActivation en 1 clic dans la section e-mail LWSEnregistrement TXT dans le gestionnaire DNS LWSSPF · DKIM · DMARC
InfomaniakPréactivé / Infomaniak ManagerActivation en 1 clic sous la sécurité e-mailAjouter l’enregistrement TXT dans la zone DNSAperçu des fournisseurs
DonDominioAssistant TXT / Panneau de contrôleGénération sous la gestion e-mailAjouter l’enregistrement TXT dans la zone DNSAperçu des fournisseurs
DinahostingAssistant dans le panneau de gestionActivation en 1 clic sous la sécurité mailEnregistrement TXT dans l’éditeur DNSAperçu des fournisseurs
cdmonAssistant dans le panneau de gestionGénération dans la section messagerieEnregistrement TXT dans le DNS cdmonAperçu des fournisseurs
Raiola NetworkscPanel Zone Editor / modèleActivation en 1 clic via cPanel Email DeliverabilityAjouter l’enregistrement TXT via cPanelAperçu des fournisseurs
HostingerModèle / zone DNS hPanelActivation en 1 clic dans hPanel (Comptes e-mail)Ajouter l’enregistrement TXT dans hPanelAperçu des fournisseurs
webgoModèle TXT / Portail clientActivation en 1 clic sous les paramètres e-mailEnregistrement TXT dans l’éditeur DNSAperçu des fournisseurs

Analyse technique par catégorie de fournisseurs

1. Hébergeurs mutualisés

Pour les hébergeurs proposant conjointement la gestion DNS et les boîtes aux lettres (IONOS, Strato, Netcup, All-Inkl, domainfactory, united-domains, checkdomain, Hostinger, webgo, o2switch, LWS, Infomaniak, DonDominio, Dinahosting, cdmon, Raiola Networks), l’accent est mis sur l’accessibilité :

  • Automatisation SPF : Chez IONOS, SPF est activé par défaut sur tous les domaines avec boîte e-mail. Strato et All-Inkl fournissent des assistants intuitifs ou des interrupteurs dans leur panneau afin d’insérer automatiquement les plages d’adresses IP requises (include:...).
  • Méthodes d’activation DKIM : Sur les hébergements basés sur cPanel (comme o2switch ou Raiola Networks), il suffit de se rendre dans « Email Deliverability » pour générer une clé 2048 bits et la publier directement dans la zone DNS en 1 clic. Chez Netcup, All-Inkl ou Infomaniak, la clé s’active depuis les options de l’espace messagerie.
  • Ajout de DMARC : Comme DMARC exige un alignement strict entre SPF et DKIM (Alignment), cet enregistrement s’ajoute toujours manuellement ou par modèle en tant que record TXT (_dmarc.tondomaine.fr) une fois SPF et DKIM fonctionnels.

2. Spécialistes DNS purs

Lorsque ton domaine est géré sur une plateforme purement DNS (Hetzner DNS, Cloudflare, Amazon Route 53) alors que tes boîtes mail sont hébergées ailleurs, tu disposes d’un contrôle total mais dois effectuer chaque action à la main :

  • Pas d’assistants automatiques : L’hébergeur DNS ignorant quel service e-mail externe tu utilises, tu dois créer manuellement l’enregistrement TXT SPF fourni par ton prestataire de messagerie.
  • Publication des clés DKIM : Tu génères les clés DKIM ou les sélecteurs CNAME sur le panneau de ton hébergeur e-mail et tu les copies précisément dans l’interface DNS de Hetzner, Cloudflare (en veillant à désactiver le mode proxy pour laisser sur « DNS only ») ou Route 53.

3. Suites cloud d’entreprise : Microsoft 365 et Google Workspace

Les deux leaders de la messagerie cloud professionnelle nécessitent une configuration coordonnée sur deux interfaces séparées :

  • Microsoft 365 : Tu insères le mécanisme SPF standard (include:spf.protection.outlook.com) dans ta zone DNS. Pour DKIM, tu créés exactement deux enregistrements CNAME (selector1 et selector2) dans le centre d’administration Microsoft 365 Defender, tu les publies dans ton DNS puis tu actives la signature en 1 clic dans l’interface Microsoft.
  • Google Workspace : Tu publies include:_spf.google.com pour SPF. Pour DKIM, tu génères une clé TXT (google._domainkey) dans la console d’administration Google. Une fois l’enregistrement propagé sur ton DNS, tu actives la signature directement depuis la console.

4. Serveurs auto-hébergés : Mailcow

Si tu administres ta propre infrastructure avec Mailcow, tu profites de l’automatisation maximale pour un administrateur : Mailcow calcule et affiche dans son panneau d’administration la syntaxe exacte des enregistrements SPF, DKIM, DMARC, mais aussi DANE et MTA-STS pour ton domaine. Tu n’as plus qu’à copier ces valeurs dans ta zone DNS externe.

Vérifier ta configuration avec MXAudit

Après toute modification de tes enregistrements DNS ou dans le panneau de ton hébergeur, contrôle toujours ton authentification à l’aide du scanner gratuit MXAudit. Le scanner effectue une inspection en temps réel de ta zone DNS, vérifie la validité syntaxique de ton SPF, s’assure de l’accessibilité de ta clé publique DKIM et confirme que ta politique DMARC est correctement déployée sans erreur ni défaut d’alignement.

Pour aller plus loin