Tutoriel · 30 min · révisé le 25 janvier 2026

Configurer SPF, DKIM, DMARC sur OVH pour un domaine d'envoi

À la fin de ce tutoriel, vos emails envoyés depuis votredomaine.fr seront correctement authentifiés auprès de Gmail, Outlook et des autres grands fournisseurs. Durée : 30 minutes de configuration, plus 2 à 24 heures de propagation DNS. Adapté à OVH, reproductible sur Gandi, OVHcloud, Cloudflare DNS, Infomaniak avec de légères variantes d'interface.

Niveau : intermédiaire Résultat : domaine authentifié

Pourquoi SPF, DKIM et DMARC sont non-négociables en 2026

Depuis février 2024, Gmail et Yahoo rejettent activement les emails d'expéditeurs qui envoient plus de 5 000 emails/jour sans SPF + DKIM + DMARC configurés. Pour un créateur qui envoie moins, les emails arrivent souvent — mais sans authentification, le taux de placement en spam monte silencieusement.

Les trois enregistrements jouent des rôles complémentaires. SPF déclare quels serveurs ont le droit d'envoyer des emails pour votre domaine. DKIM ajoute une signature cryptographique à chaque email qui prouve qu'il n'a pas été modifié en chemin. DMARC dit aux serveurs destinataires comment réagir si SPF ou DKIM échoue (rejet, quarantaine, ou simple notification).

Prérequis

  • Un domaine géré sur OVH (panneau www.ovh.com/manager).
  • Les paramètres DKIM fournis par votre outil d'envoi (Kit, ActiveCampaign, MailerLite, Brevo, Sendgrid, etc.).
  • Un accès en lecture à votre boîte mail de destination pour vérifier les en-têtes.
  • dig installé en local (inclus sur macOS/Linux ; sur Windows, utilisez WSL ou nslookup).

Étape 1 — Identifier votre fournisseur d'envoi (3 min)

Avant tout, sachez quel outil envoie vos emails. Les paramètres SPF et DKIM varient.

Outil d'envoi Inclusion SPF Section DKIM à suivre
Kit (ex-ConvertKit)include:_spf.convertkit.comClé kit._domainkey fournie dans Kit → Settings
MailerLiteinclude:_spf.mlsend.comClé ml._domainkey fournie dans Domains
ActiveCampaigninclude:spf.activecampaign.comDeux clés dk._domainkey et dkim._domainkey
Brevo (ex-Sendinblue)include:spf.sendinblue.comClé mail._domainkey.brevo
Sendgridinclude:sendgrid.netDeux clés CNAME fournies par le domain authentication wizard
Systeme.io (envoi via plateforme)include:_spf.systeme.ioClé DKIM générée dans Mail Settings

Étape 2 — Accéder à la zone DNS OVH (2 min)

  1. Connectez-vous sur www.ovh.com/manager/.
  2. Menu « Web Cloud » → « Noms de domaine » → cliquez sur votre domaine.
  3. Onglet « Zone DNS ».
  4. Notez votre IP de connexion pour plus tard (bas de page), utile si OVH refuse un enregistrement suspect.

Étape 3 — Ajouter l'enregistrement SPF (5 min)

Un seul SPF par domaine. Si vous en avez déjà un, ne le dupliquez pas : fusionnez les inclusions dans un enregistrement unique.

  1. Bouton « Ajouter une entrée » → sélectionnez le type TXT.
  2. Sous-domaine : laissez vide (signifie « @ », domaine racine).
  3. TTL : 3600 (1 heure) — valeur par défaut convenable.
  4. Valeur : adaptez selon votre outil. Exemple pour Kit + Stripe :
v=spf1 include:_spf.convertkit.com include:_spf.stripe.com -all

Si vous avez plusieurs outils qui envoient du courrier, chaînez les include: en gardant le v=spf1 en tête et le -all (ou ~all si vous préférez le mode souple pendant la phase de test) en fin. Le total doit rester en dessous de 10 include: (limite RFC), sinon SPF échoue silencieusement.

Erreur classique

Avoir deux enregistrements SPF distincts dans la zone (par exemple l'ancien pour OVH Mail et le nouveau pour votre outil) fait échouer les deux. Si vous ajoutez un SPF, supprimez l'ancien ou fusionnez les inclusions dans un seul enregistrement.

Étape 4 — Ajouter la clé DKIM (6 min)

DKIM se configure par une entrée TXT sur un sous-domaine spécifique (le selector). Votre outil d'envoi fournit le selector et la valeur exacte.

  1. Dans votre outil d'envoi (exemple Kit), allez dans Settings → Email → Authentication.
  2. Copiez le nom du sous-domaine fourni, par exemple kit._domainkey.
  3. Copiez la valeur complète, qui commence par v=DKIM1; k=rsa; p= suivi d'une longue chaîne base64.
  4. Dans OVH → Zone DNS → « Ajouter une entrée » → TXT.
  5. Sous-domaine : kit._domainkey (ou celui fourni par votre outil, sans le domaine principal à la fin).
  6. Valeur : collez la chaîne complète.
  7. Confirmez.
Attention à la longueur de la clé

Certaines clés DKIM dépassent 255 caractères, qui est la limite d'un enregistrement TXT unique selon la RFC. OVH gère automatiquement le découpage en plusieurs segments entre guillemets — ne le faites pas manuellement, collez la valeur brute. Si vous voyez un message d'erreur sur la longueur, contactez le support OVH ou utilisez un autre DNS (Cloudflare accepte les longues clés sans découpage).

Étape 5 — Ajouter la politique DMARC (4 min)

DMARC se pose sur le sous-domaine _dmarc. Commencez avec une politique « none » (mode observation, pas de rejet), puis durcissez après 2 à 4 semaines de rapports sans problème.

  1. Ajouter une entrée TXT.
  2. Sous-domaine : _dmarc.
  3. TTL : 3600.
  4. Valeur (phase d'observation) :
v=DMARC1; p=none; rua=mailto:[email protected]; pct=100; adkim=s; aspf=s

Explication : p=none = ne rejette pas les emails non authentifiés, mais demande un rapport. rua = adresse qui reçoit les rapports agrégés. pct=100 = applique la politique à 100 % des emails. adkim=s et aspf=s = alignement strict entre le domaine de signature et le domaine de l'expéditeur visible.

Après 2 à 4 semaines d'observation, si les rapports n'affichent aucun problème, passez à p=quarantine (envoie les non-authentifiés en spam), puis à p=reject (rejette purement). Cette progression progressive évite les mauvaises surprises.

Étape 6 — Attendre la propagation (2 min d'action, 2 à 24 h d'attente)

OVH applique les changements DNS sous 2 heures en moyenne, mais la propagation complète vers tous les resolvers mondiaux peut prendre jusqu'à 24 heures. Pendant cette période, ne paniquez pas si les tests échouent encore.

Étape 7 — Vérifier avec dig et MXToolbox (5 min)

Vérification avec dig (ligne de commande)

Ouvrez un terminal et lancez ces commandes, une à une :

dig TXT votredomaine.fr +short
dig TXT kit._domainkey.votredomaine.fr +short
dig TXT _dmarc.votredomaine.fr +short

Attendu : chaque commande renvoie la valeur que vous avez entrée. Si la sortie est vide, la propagation n'est pas encore terminée : attendez et réessayez dans 30 minutes.

Vérification avec MXToolbox (interface web)

Plus confortable si vous n'êtes pas à l'aise avec le terminal :

  • Ouvrez mxtoolbox.com/SuperTool.aspx.
  • Dans la barre, entrez votre domaine et choisissez « SPF Record Lookup », puis « DMARC Lookup », puis « DKIM Lookup » (ce dernier demande le selector, ex. kit).
  • Un résultat vert « Pass » signifie que l'enregistrement est lisible et valide. Un résultat rouge affiche l'erreur.

Étape 8 — Envoyer un email test et lire les headers (3 min)

  1. Envoyez-vous un email depuis votre outil (ex. Kit → Broadcasts → envoi test).
  2. Recevez-le sur une adresse Gmail (service qui affiche clairement l'authentification).
  3. Ouvrez le mail → cliquez sur les trois points en haut à droite → « Afficher l'original ».
  4. Cherchez dans les headers les lignes spf=pass, dkim=pass, dmarc=pass.

Exemple de bloc attendu :

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates ...)
       dkim=pass [email protected] header.s=kit
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=votredomaine.fr

Les trois « pass » confirment que la configuration est opérationnelle.

Ce qui peut aller de travers — erreurs fréquentes

  • dkim=neutral ou dkim=fail : la clé DKIM n'est pas propagée ou mal collée (espace parasite, retour à la ligne inséré). Recopiez la valeur brute depuis votre outil d'envoi, sans mise en forme.
  • spf=softfail : vous utilisez ~all au lieu de -all, ou un de vos outils d'envoi n'est pas inclus. Passez en -all une fois que vous êtes sûr de vos inclusions.
  • dmarc=fail avec policy=none : votre domaine de signature DKIM ne correspond pas au domaine de l'expéditeur (header From). Vérifiez dans l'outil que le champ « From email » utilise bien votre domaine, pas celui de l'outil (ex. pas @mail.kit.com).
  • Les emails partent en spam malgré les trois pass : la délivrabilité dépend aussi de la réputation IP de l'outil d'envoi, de votre taux d'engagement, et du contenu. SPF/DKIM/DMARC sont nécessaires mais pas suffisants. Voir notre guide Plateformes et outils techniques pour la suite de la déliverabilité.

Pour aller plus loin

Une fois SPF/DKIM/DMARC en place, quatre actions complémentaires améliorent significativement la délivrabilité :

  • Warm-up du domaine : monter en charge progressivement pendant 6 semaines. Détail dans notre guide Plateformes et outils techniques.
  • Nettoyage régulier de la liste : purger les désengagés après 90 jours d'inactivité.
  • BIMI (optionnel) : affiche votre logo dans Gmail à côté du nom de l'expéditeur. Demande une politique DMARC p=quarantine ou p=reject au préalable.
  • MTA-STS (optionnel) : impose TLS pour les emails entrants sur votre domaine, utile quand vous recevez des données sensibles.
Une commande qui n'aboutit pas ?

Écrivez à [email protected] en copiant la sortie exacte de dig et le message d'erreur de MXToolbox. Nous corrigeons ce tutoriel quand un cas fréquent remonte.

Pages associées