{"id":12648,"date":"2025-09-20T14:59:57","date_gmt":"2025-09-20T12:59:57","guid":{"rendered":"https:\/\/webhosting.de\/spf-dkim-dmarc-plesk-guide-sicherheit-tuning-professional\/"},"modified":"2025-09-20T14:59:57","modified_gmt":"2025-09-20T12:59:57","slug":"spf-dkim-dmarc-plesk-guide-securite-tuning-professional","status":"publish","type":"post","link":"https:\/\/webhosting.de\/fr\/spf-dkim-dmarc-plesk-guide-sicherheit-tuning-professional\/","title":{"rendered":"Comment configurer correctement SPF, DKIM et DMARC dans Plesk ?"},"content":{"rendered":"<p>Dans ce guide, je te montre \u00e9tape par \u00e9tape comment <strong>SPF DKIM<\/strong> et DMARC dans Plesk afin que tes e-mails soient authentifi\u00e9s de mani\u00e8re fiable. Tu obtiendras des proc\u00e9dures claires pour les enregistrements DNS, les commutateurs Plesk et les m\u00e9thodes de test qui te permettront d'am\u00e9liorer la d\u00e9livrabilit\u00e9 et de bloquer les exp\u00e9diteurs abusifs.<\/p>\n\n<h2>Points centraux<\/h2>\n\n<ul>\n  <li><strong>SPF<\/strong> d\u00e9termine quels syst\u00e8mes sont autoris\u00e9s \u00e0 envoyer du courrier pour ton domaine.<\/li>\n  <li><strong>DKIM<\/strong> signe les messages sortants et les prot\u00e8ge contre les manipulations.<\/li>\n  <li><strong>DMARC<\/strong> relie SPF\/DKIM aux directives et aux rapports.<\/li>\n  <li><strong>Plesk<\/strong> fournit des assistants et des mod\u00e8les DNS pour un d\u00e9marrage rapide.<\/li>\n  <li><strong>Suivi<\/strong> des rapports DMARC aiguise ta politique dans l'entreprise.<\/li>\n<\/ul>\n\n<h2>V\u00e9rifier les conditions pr\u00e9alables dans Plesk<\/h2>\n\n<p>Avant de d\u00e9finir les param\u00e8tres, je v\u00e9rifie le serveur de messagerie utilis\u00e9 en <strong>Plesk<\/strong> et la gestion du DNS. Sous Linux, je travaille g\u00e9n\u00e9ralement avec Postfix, sous Windows avec SmarterMail, car ces services fournissent des fonctions SPF, DKIM et DMARC. Je contr\u00f4le en outre si le domaine g\u00e8re ses zones DNS dans le DNS de Plesk ou s'il se trouve chez un fournisseur externe, car je peux alors enregistrer les entr\u00e9es en dehors de <strong>Plesk<\/strong> doit \u00eatre compl\u00e9t\u00e9. Pour un fonctionnement sans probl\u00e8me, je garde le nom d'h\u00f4te, le Reverse DNS et les certificats TLS valides propres, car les serveurs de distribution v\u00e9rifient ces points. Une base de d\u00e9part propre permet d'\u00e9conomiser beaucoup de temps par la suite et renforce le <strong>R\u00e9putation<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk-mailkonfiguration-8192.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>Configurer SPF dans Plesk - \u00e9tape par \u00e9tape<\/h2>\n\n<p>Pour le d\u00e9marrage, j'ouvre \"Outils et param\u00e8tres\" \u2192 \"Param\u00e8tres DNS\" et je recherche un enregistrement TXT commen\u00e7ant par <strong>v=spf1<\/strong> commence \u00e0 \u00eatre utilis\u00e9. S'il manque, je le mets, par exemple : <code>v=spf1 a mx include:yourmailprovider.de -all<\/code>pour que les syst\u00e8mes autoris\u00e9s puissent envoyer des messages et que tous les autres soient bloqu\u00e9s. Si le domaine utilise des exp\u00e9diteurs suppl\u00e9mentaires tels que Microsoft 365, Google Workspace ou des services de newsletter, j'ajoute les adresses appropri\u00e9es. <strong>include<\/strong>-de leur documentation. Apr\u00e8s l'enregistrement, je compte jusqu'\u00e0 48 heures pour que la modification ait un effet global et je teste l'enregistrement avec un v\u00e9rificateur SPF via un e-mail de test envoy\u00e9 \u00e0 une bo\u00eete aux lettres s\u00e9lectionn\u00e9e. Tu trouveras une pr\u00e9sentation compacte de l'interaction des m\u00e9canismes dans le <a href=\"https:\/\/webhosting.de\/fr\/authentification-email-spf-dkim-dmarc-guide\/\">guide compact<\/a>Le site web de la Commission europ\u00e9enne pr\u00e9sente les principaux sc\u00e9narios.<\/p>\n\n<h2>Activer DKIM dans Plesk - voici comment proc\u00e9der<\/h2>\n\n<p>Pour <strong>DKIM<\/strong> je vais dans \"Outils &amp; param\u00e8tres\" \u2192 \"Param\u00e8tres du serveur de messagerie\" et j'active l'option permettant de signer les e-mails sortants. Ensuite, au niveau du domaine, j'ouvre \"Sites &amp; Domaines\" \u2192 Domaine \u2192 \"Mail\" \u2192 \"Param\u00e8tres\" et je v\u00e9rifie si la signature est activ\u00e9e par domaine. Si je g\u00e8re le DNS en externe, j'exporte les informations fournies par <strong>Plesk<\/strong> et je les inscris comme enregistrements TXT aupr\u00e8s du fournisseur DNS (attention aux noms des s\u00e9lecteurs). Apr\u00e8s 24-48 heures au maximum, les destinataires devraient valider les signatures DKIM, ce que je confirme en envoyant un e-mail test \u00e0 une bo\u00eete de v\u00e9rification DKIM ou en effectuant une v\u00e9rification des en-t\u00eates. Une signature valide renforce <strong>D\u00e9livrabilit\u00e9<\/strong> perceptible.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk_spf_dkim_dmarc_9321.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>D\u00e9finir la politique DMARC et utiliser les rapports<\/h2>\n\n<p>Maintenant, je mets <strong>DMARC<\/strong> sous forme d'enregistrement TXT sur <code>_dmarc.tondomaine.tld<\/code> avec la valeur <code>v=DMARC1 ; p=quarantine ; rua=mailto:reports@deinedomain.tld ; ruf=mailto:forensics@deinedomain.tld ; adkim=s ; aspf=s<\/code>. Les tags <strong>p<\/strong>, <strong>rua<\/strong> et <strong>appel<\/strong> g\u00e8rent la politique et le reporting, tandis que <code>adkim<\/code>\/<code>aspf<\/code> d\u00e9finir l'orientation stricte (strict). Dans la pratique, je commence souvent par <code>p=none<\/code>J'\u00e9value les rapports pendant deux \u00e0 quatre semaines, puis je passe \u00e0 l'\u00e9tape suivante. <code>quarantaine<\/code> ou <code>rejeter<\/code> s'affiche. Les rapports montrent quels syst\u00e8mes envoient des mails en ton nom et o\u00f9 SPF ou DKIM \u00e9chouent, ce qui permet des corrections directes. Une s\u00e9quence d'\u00e9tapes plus approfondie d\u00e9crit <a href=\"https:\/\/webhosting.de\/fr\/mise-en-oeuvre-de-dmarc-securite-des-e-mails\/\">Mise en \u0153uvre de DMARC<\/a> avec des exemples concrets.<\/p>\n\n<h2>Propagation du DNS, tests et meilleures pratiques<\/h2>\n\n<p>Toute modification de l'ADN prend du temps, c'est pourquoi je pr\u00e9vois jusqu'\u00e0 48 heures pour les changements mondiaux. <strong>Propagation<\/strong> est lanc\u00e9e. Durant cette phase, j'envoie des e-mails de test \u00e0 des bo\u00eetes aux lettres externes et je v\u00e9rifie les r\u00e9sultats d'authentification dans l'en-t\u00eate pour <strong>spf=pass<\/strong>, <strong>dkim=pass<\/strong> et <strong>dmarc=pass<\/strong>. Si un mail re\u00e7oit un <em>softfail<\/em> ou <em>neutre<\/em>je contr\u00f4le les m\u00e9canismes SPF, les s\u00e9lecteurs DKIM et l'alignement de l'Envelope-From (Return-Path) sur From :. Lors de l'utilisation de redirections, j'observe les r\u00e9sultats de DMARC, car SPF s'y brise souvent ; DKIM compense en g\u00e9n\u00e9ral. J'\u00e9vite <code>~all<\/code> et, pour les configurations productives, mise syst\u00e9matiquement sur des <strong>-tout<\/strong>.<\/p>\n\n<h2>Balises et valeurs DMARC - tableau compact<\/h2>\n\n<p>J'utilise l'aper\u00e7u suivant pour <strong>DMARC<\/strong> param\u00e9trer rapidement et de mani\u00e8re r\u00e9siliente et \u00e9viter les erreurs d'interpr\u00e9tation. Je garde les valeurs coh\u00e9rentes sur les domaines et sous-domaines principaux et je documente les modifications de mani\u00e8re compr\u00e9hensible. Pour les domaines productifs, j'applique un alignement strict et j'active toujours les rapports d'agr\u00e9gation. Rapports m\u00e9dico-l\u00e9gaux (<code>appel<\/code>), je les planifie conform\u00e9ment \u00e0 la protection des donn\u00e9es. En fixant des directives claires, on stabilise <strong>R\u00e9putation<\/strong> du domaine de mani\u00e8re durable.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Jour<\/th>\n      <th>Signification<\/th>\n      <th>Valeurs possibles<\/th>\n      <th>Recommandation<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>p<\/strong><\/td>\n      <td>Politique du domaine principal<\/td>\n      <td>none, quarantine, reject<\/td>\n      <td>D\u00e9marrer avec none, puis augmenter \u00e0 reject<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>sp<\/strong><\/td>\n      <td>Politique des sous-domaines<\/td>\n      <td>none, quarantine, reject<\/td>\n      <td>sp=reject pour les configurations de production<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>rua<\/strong><\/td>\n      <td>Rapports d'agr\u00e9gation<\/td>\n      <td>mailto:adresse<\/td>\n      <td>Utiliser sa propre adresse de reporting<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>appel<\/strong><\/td>\n      <td>Rapports m\u00e9dico-l\u00e9gaux<\/td>\n      <td>mailto:adresse<\/td>\n      <td>Activer uniquement si n\u00e9cessaire<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>adkim<\/strong><\/td>\n      <td>Alignement DKIM<\/td>\n      <td>r (relax\u00e9), s (strict)<\/td>\n      <td>adkim=s pour une attribution claire<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>aspf<\/strong><\/td>\n      <td>Alignement SPF<\/td>\n      <td>r (relax\u00e9), s (strict)<\/td>\n      <td>aspf=s pour r\u00e9duire les fausses alertes<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>pct<\/strong><\/td>\n      <td>Pourcentage d'application<\/td>\n      <td>0-100<\/td>\n      <td>Serrage progressif avec pct<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk-email-sicherheit-einrichten-6283.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>Int\u00e9grer des exp\u00e9diteurs externes : Microsoft 365, Google, services de newsletter<\/h2>\n\n<p>Si un domaine utilise des chemins d'exp\u00e9dition suppl\u00e9mentaires, je compl\u00e8te les includes SPF pour <strong>Microsoft<\/strong> 365, Google Workspace, Mailgun, SendGrid ou les outils de newsletter exactement comme document\u00e9. Pour chaque service, je v\u00e9rifie si une cl\u00e9 DKIM propre est active et si le domaine From est vraiment sign\u00e9. J'\u00e9vite les doublons ou les trop nombreux <strong>include<\/strong>-cascades, car SPF est limit\u00e9 \u00e0 dix lookups DNS. Si le budget des lookups n'est pas suffisant, je consolide les \u00e9metteurs ou je d\u00e9place certains flux vers des sous-domaines avec leur propre politique DMARC. De cette mani\u00e8re, je garde SPF all\u00e9g\u00e9 et je s\u00e9curise les <strong>Signatures<\/strong> \u00e0 partir de<\/p>\n\n<h2>Contr\u00f4les approfondis et choix du serveur<\/h2>\n\n<p>Pour les e-mails entrants, j'active dans <strong>Plesk<\/strong> la v\u00e9rification de SPF, DKIM et DMARC, afin que le serveur filtre rapidement les spams. Sur Linux, ces contr\u00f4les sont disponibles par d\u00e9faut, tandis que sur Windows, la mise en \u0153uvre se fait avec SmarterMail. Je veille \u00e0 ce que les mises \u00e0 jour du serveur de messagerie soient propres, afin que les routines de signature et l'analyseur syntaxique restent \u00e0 jour. En cas de probl\u00e8mes de faux positifs, j'adapte les seuils de scoring, mais jamais les <strong>Politique<\/strong> de son propre domaine. C'est ainsi que je maintiens un niveau de protection \u00e9lev\u00e9 et que je garantis la livraison d'exp\u00e9diteurs l\u00e9gitimes.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk-konfiguration-office-9284.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>Erreurs fr\u00e9quentes et solutions rapides<\/h2>\n\n<p>Si un \"<strong>SPF<\/strong> permerror\", il y a g\u00e9n\u00e9ralement une erreur de syntaxe ou la limite de recherche a \u00e9t\u00e9 d\u00e9pass\u00e9e. Si DKIM \u00e9choue, je contr\u00f4le le s\u00e9lecteur, l'enregistrement de la cl\u00e9 publique et la fin de la valeur TXT avec des guillemets corrects. Si DMARC \u00e9choue <code>fail<\/code>je v\u00e9rifie d'abord l'alignement : From-Domain, Return-Path et DKIM-d= doivent correspondre. Si SPF s'interrompt lors de redirections, je me fie \u00e0 <strong>DKIM<\/strong> et maintenir le statut de la signature stable. Avec cet ordre, je r\u00e9sous la plupart des probl\u00e8mes de distribution sans avoir \u00e0 chercher longtemps.<\/p>\n\n<h2>Mod\u00e8les DNS et automatisation dans Plesk<\/h2>\n\n<p>Si je g\u00e8re un grand nombre de domaines, j'utilise l'attribut <strong>Mod\u00e8le DNS<\/strong> dans Plesk et j'y d\u00e9pose des enregistrements standard pour SPF, DKIM et DMARC. Les nouveaux domaines re\u00e7oivent ainsi imm\u00e9diatement des valeurs par d\u00e9faut solides qu'il me suffit d'affiner. J'applique \u00e9galement les modifications pr\u00e9vues, comme un DMARC plus strict, \u00e0 l'ensemble du domaine via des mod\u00e8les et des scripts. Pour les rotations des cl\u00e9s DKIM, je travaille avec deux s\u00e9lecteurs afin de pouvoir changer progressivement. Ainsi, le fonctionnement reste coh\u00e9rent sur des dizaines de domaines et <strong>maintenable<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk_spf_dkim_dmarc_setup_8947.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>Evaluer les rapports DMARC et renforcer la politique<\/h2>\n\n<p>Apr\u00e8s la mise en service, j'\u00e9value quotidiennement les rapports d'agr\u00e9gation et j'identifie <strong>Sources<\/strong>qui envoient des messages sans autorisation au nom du domaine. Je bloque les IP inattendues et nettoie les outils obsol\u00e8tes avant d'aff\u00fbter la politique. Le changement de <code>p=none<\/code> \u00e0 l'adresse suivante : <code>quarantaine<\/code> et plus tard sur <code>rejeter<\/code> j'ex\u00e9cute avec <code>pct<\/code> par \u00e9tapes, afin de mesurer les effets de mani\u00e8re contr\u00f4l\u00e9e. Si des exp\u00e9diteurs l\u00e9gitimes apparaissent dans le rapport \"\u00c9chec\", je corrige les inclusions SPF ou j'active ma propre cl\u00e9 DKIM. Cette routine renforce la <strong>R\u00e9putation<\/strong> visible et r\u00e9duit le spoofing.<\/p>\n\n<h2>Comprendre correctement l'alignement (alignment)<\/h2>\n\n<p>Avec cela, <strong>DMARC<\/strong> je veille \u00e0 ce que l'alignement soit correct. Sur <strong>SPF<\/strong> compte le domaine dans l'Envelope-From (Return-Path) ou l'identit\u00e9 HELO\/EHLO, qui doit correspondre au domaine From visible (strict : identique, relaxed : m\u00eame domaine d'organisation). Pour <strong>DKIM<\/strong> je v\u00e9rifie le <code>d=<\/code>-Attribut de la signature : il doit pointer vers le m\u00eame domaine (strict) ou vers le m\u00eame domaine d'organisation (relaxed). Dans la pratique, je m'assure que :<\/p>\n<ul>\n  <li>le chemin de rebond utilis\u00e9 (chemin de retour) utilise un domaine qui correspond au domaine From ou est d\u00e9lib\u00e9r\u00e9ment transf\u00e9r\u00e9 sur un sous-domaine avec sa propre politique DMARC,<\/li>\n  <li>tous les fournisseurs tiers le domaine From <em>signer<\/em> (DKIM), et pas seulement leur propre domaine d'exp\u00e9dition,<\/li>\n  <li>lors des retransmissions, la signature DKIM reste intacte pour compenser les ruptures de SPF<\/li>\n<\/ul>\n<p>En cas d'absence d'alignement, les r\u00e9cepteurs DMARC signalent une erreur malgr\u00e9 un SPF\/DKIM valide. <code>dmarc=fail<\/code>. C'est pourquoi je v\u00e9rifie dans les en-t\u00eates des e-mails les champs <code>R\u00e9sultats de l'authentification<\/code>, <code>Chemin de retour<\/code> et les param\u00e8tres DKIM. Je vois ainsi rapidement si c'est SPF ou DKIM qui fournit l'alignement et o\u00f9 je dois faire des am\u00e9liorations.<\/p>\n\n<h2>Gestion des cl\u00e9s et param\u00e8tres DNS<\/h2>\n\n<p>Pour les <strong>DKIM<\/strong>-j'ai opt\u00e9 pour des cl\u00e9s de 2048 bits. Dans <strong>Plesk<\/strong> je peux d\u00e9finir la longueur de la cl\u00e9 par domaine ; j'augmente rapidement les anciennes cl\u00e9s de 1024 bits. Si n\u00e9cessaire, je divise les longs enregistrements DKIM-TXT en plusieurs segments entre guillemets pour que le serveur DNS les d\u00e9livre correctement. En outre, je d\u00e9finis des <strong>TTL<\/strong>-valeurs de temps : Dans les phases de d\u00e9ploiement, je passe \u00e0 300-900 secondes, en production j'utilise 1-4 heures. Ainsi, je r\u00e9agis de mani\u00e8re flexible aux changements sans trop charger les caches.<\/p>\n<p>Le <strong>Rotation<\/strong> je le fais sans d\u00e9faillance avec deux s\u00e9lecteurs :<\/p>\n<ol>\n  <li>Cr\u00e9er un nouveau s\u00e9lecteur dans Plesk et publier la cl\u00e9 publique sous forme de TXT dans le DNS.<\/li>\n  <li>Changer l'exp\u00e9diteur pour le nouveau s\u00e9lecteur et observer le monitoring (montrer l'en-t\u00eate) <code>s=nouveau s\u00e9lecteur<\/code>).<\/li>\n  <li>Lorsque tous les flux ont \u00e9t\u00e9 modifi\u00e9s, supprimer l'ancien s\u00e9lecteur dans le DNS et le d\u00e9sactiver dans Plesk.<\/li>\n<\/ol>\n<p>Pour les fournisseurs tiers, je les utilise lorsque c'est possible, <em>d\u00e9l\u00e9gu\u00e9<\/em> les enregistrements DKIM (par exemple, CNAME sur le s\u00e9lecteur du fournisseur). Ainsi, je garde le contr\u00f4le dans ma zone et je fais tourner les cl\u00e9s sans risquer des ruptures op\u00e9rationnelles.<\/p>\n\n<h2>les cas sp\u00e9ciaux : Redirections, listes de diffusion et passerelles<\/h2>\n\n<p>Dans des environnements r\u00e9els, je vois r\u00e9guli\u00e8rement des redirections, des listes de diffusion ou des passerelles de s\u00e9curit\u00e9 qui r\u00e9\u00e9crivent les courriers. Dans ce cas, je suis particuli\u00e8rement attentif aux cons\u00e9quences :<\/p>\n<ul>\n  <li><strong>Redirections<\/strong>SPF se casse souvent parce que l'IP de redirection ne figure pas dans le SPF du domaine exp\u00e9diteur. Je me fie ici \u00e0 <strong>DKIM<\/strong>qui fournit la protection du contenu. Si la signature reste inchang\u00e9e, DMARC existe via l'alignement DKIM.<\/li>\n  <li><strong>Listes de diffusion<\/strong>De nombreuses listes modifient le sujet ou le pied de page et rompent ainsi la signature DKIM. Dans de tels cas, je planifie l'alignement relatif et je v\u00e9rifie si la liste utilise SRS\/ARC ou ses propres signatures. Si possible, j'utilise un sous-domaine avec sa propre politique DMARC pour les listes.<\/li>\n  <li><strong>Passerelles de s\u00e9curit\u00e9<\/strong>Les passerelles qui re-signent les messages ou r\u00e9\u00e9crivent l'Envelope-From doivent \u00eatre correctement align\u00e9es sur le domaine de l'exp\u00e9diteur. Je documente leur r\u00f4le et les ancre dans le SPF (ip4\/ip6) ou via include pour que l'alignement soit maintenu.<\/li>\n<\/ul>\n<p>Rencontrer des mails avec <code>spf=fail<\/code> par un transfert, ce n'est pas automatiquement critique, tant que <code>dkim=pass<\/code> et que l'alignement DKIM est correct. J'\u00e9value l'ensemble des Authentication-Results au lieu d'isoler chaque signal.<\/p>\n\n<h2>IP partag\u00e9es, HELO\/EHLO et rDNS<\/h2>\n\n<p>Si plusieurs domaines partagent la m\u00eame IP sortante, je mise sur une connexion propre. <strong>rDNS<\/strong> et des noms HELO\/EHLO coh\u00e9rents. Le pointeur inverse pointe vers un FQDN (par exemple <em>mail.hosting-example.tld<\/em>), dont l'enregistrement A renvoie \u00e0 la m\u00eame IP. Le MTA r\u00e9pond avec exactement le m\u00eame nom. Je veille \u00e0 ce que le <strong>Certificat SMTP-TLS<\/strong> correspond au nom HELO (SNI, si plusieurs noms sont servis). Pour chaque domaine exp\u00e9diteur, je m'assure en outre que SPF\/DKIM\/DMARC sont enti\u00e8rement et correctement align\u00e9s - l'IP commune seule n'affecte pas DMARC tant que l'authentification est efficace.<\/p>\n<p>Pour les exp\u00e9diteurs d\u00e9di\u00e9s (p. ex. e-mail transactionnel vs marketing), j'aime bien s\u00e9parer les deux via des sous-domaines et des IP propres en option. Cela aide \u00e0 <strong>Gestion de la r\u00e9putation<\/strong>L'utilisation de l'outil DMARC, qui simplifie l'analyse des rapports DMARC et minimise les interf\u00e9rences, permet d'am\u00e9liorer la qualit\u00e9 des rapports.<\/p>\n\n<h2>Monitoring et d\u00e9ploiement dans la pratique<\/h2>\n\n<p>Pour assurer un fonctionnement sans faille, je combine des activit\u00e9s <strong>Analyse DMARC<\/strong> avec des \u00e9tapes de d\u00e9ploiement claires :<\/p>\n<ul>\n  <li><strong>Ligne de base<\/strong>2-4 semaines <code>p=none<\/code>, collecter tous les rapports d'agr\u00e9gation (rua), identifier les sources d'erreur.<\/li>\n  <li><strong>Nettoyage<\/strong>: supprimer les exp\u00e9diteurs non autoris\u00e9s, nettoyer les inclusions SPF, activer DKIM sur tous les syst\u00e8mes l\u00e9gitimes.<\/li>\n  <li><strong>Mettre<\/strong>: Avec <code>pct<\/code> progressivement \u00e0 <code>quarantaine<\/code>, plus tard sur <code>rejeter<\/code> augmenter, mesurer les effets en pourcentage.<\/li>\n  <li><strong>Alerte<\/strong>: d\u00e9finir des seuils (nouvelles IP, taux d'\u00e9chec par fournisseur, nouveaux domaines From) et mettre en place des notifications.<\/li>\n  <li><strong>Documentation<\/strong>: garder les s\u00e9lecteurs, le TTL, les dur\u00e9es d'ex\u00e9cution des cl\u00e9s, le budget SPF et les responsabilit\u00e9s sous contr\u00f4le de version.<\/li>\n<\/ul>\n<p>Je v\u00e9rifie chaque semaine le <strong>Budget de recherche SPF<\/strong> (max. 10 m\u00e9canismes avec requ\u00eates DNS) et consolide les inclusions. Les m\u00e9canismes critiques comme <code>ptr<\/code> ou <code>+tout<\/code> je n'utilise pas de produits chimiques ; <code>ip4<\/code>\/<code>ip6<\/code>, <code>a<\/code>, <code>mx<\/code> et cibl\u00e9es <code>include<\/code> restent les moyens de choix. C'est ainsi que je garde la configuration stable et auditable.<\/p>\n\n<h2>V\u00e9rification rapide pour chaque domaine<\/h2>\n\n<p>A la fin de chaque \u00e9tablissement, je fais une course fixe <strong>V\u00e9rifier<\/strong> par : Enregistrement SPF pr\u00e9sent, budget de recherche inf\u00e9rieur \u00e0 dix, m\u00e9canismes correctement tri\u00e9s, <code>-tout<\/code> active. Signature DKIM valide, s\u00e9lecteur document\u00e9, longueur de cl\u00e9 suffisante, rotation pr\u00e9vue. DMARC avec enregistrement TXT valable, alignement strict, bo\u00eetes aux lettres de reporting accessibles et archiv\u00e9es. Afficher les e-mails de test <code>spf=pass<\/code>, <code>dkim=pass<\/code> et <code>dmarc=pass<\/code> dans l'en-t\u00eate. Cet ordre me permet de conserver des configurations reproductibles et <strong>avec peu d'erreurs<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2025\/09\/plesk-spf-dkim-dmarc-3197.png\" alt=\"\" width=\"1536\" height=\"1024\" \/>\n<\/figure>\n\n\n<h2>R\u00e9sum\u00e9 de la pratique pour un succ\u00e8s rapide<\/h2>\n\n<p>Je d\u00e9marre chaque projet avec des objectifs clairs <strong>Normes<\/strong>SPF : maintenir le SPF au plus bas, activer DKIM pour chaque exp\u00e9diteur et d\u00e9ployer DMARC avec reporting. Ensuite, deux \u00e0 quatre semaines de monitoring permettent d'\u00e9liminer les points aveugles et de mettre en place des directives. J'int\u00e8gre des services externes de mani\u00e8re contr\u00f4l\u00e9e, je documente les inclusions et je contr\u00f4le le budget de recherche. J'utilise des mod\u00e8les DNS pour plusieurs domaines et je planifie des rotations de cl\u00e9s DKIM pour que les signatures restent fra\u00eeches. Je r\u00e9sume des id\u00e9es pratiques utiles et des conseils de d\u00e9pannage dans mes \"conseils de d\u00e9pannage\". <a href=\"https:\/\/webhosting.de\/fr\/email-securite-plesk-conseils-2025-protection\/\">Conseils Plesk 2025<\/a> pour que tu puisses avoir une forte <strong>D\u00e9livrabilit\u00e9<\/strong> tu atteindras.<\/p>","protected":false},"excerpt":{"rendered":"<p>Apprends \u00e0 configurer correctement SPF, DKIM et DMARC dans Plesk. Prot\u00e8ge ta communication par e-mail de mani\u00e8re cibl\u00e9e gr\u00e2ce \u00e0 notre guide pas \u00e0 pas ! Focus : spf dkim dmarc plesk.<\/p>","protected":false},"author":1,"featured_media":12641,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[791],"tags":[],"class_list":["post-12648","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-emailserver-administration-anleitungen"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"2522","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":null,"_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"SPF DKIM","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"12641","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/12648","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/comments?post=12648"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/12648\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media\/12641"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media?parent=12648"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/categories?post=12648"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/tags?post=12648"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}