En 2025, 3,4 milliards d’emails frauduleux sont envoyés chaque jour en usurpant des domaines légitimes, selon le rapport DMARC Intelligence Report de Valimail. Parmi les victimes fréquentes : les sites WordPress dont les propriétaires ne connaissent pas l’existence de DMARC, SPF et DKIM.
Le résultat ? Des clients reçoivent de faux emails en votre nom, votre domaine est blacklisté par les serveurs de messagerie, et vos notifications WordPress légitimes atterrissent en spam. Ce guide vous explique comment configurer les trois protocoles d’authentification email essentiels pour sécuriser votre nom de domaine WordPress.
Cette protection s’inscrit dans une stratégie de sécurité globale : nous avons déjà vu comment sécuriser la connexion WordPress protège vos accès administrateur, ou comment désactiver XML-RPC sur WordPress réduit votre surface d’attaque. L’authentification email complète ce dispositif de défense en profondeur.
Le SPF est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Quand un serveur de réception reçoit un email prétendant venir de votre domaine, il consulte votre enregistrement SPF pour vérifier si le serveur expéditeur est bien autorisé.
Exemple d’enregistrement SPF typique pour WordPress hébergé chez OVH avec un service d’envoi comme Mailgun :
v=spf1 include:mx.ovh.com include:mailgun.org ~allLe DKIM ajoute une signature cryptographique à chaque email sortant. Cette signature, vérifiable via un enregistrement DNS public, garantit que le contenu de l’email n’a pas été altéré en transit et que l’expéditeur contrôle bien le domaine.
Concrètement, votre serveur d’envoi (SMTP, Mailgun, SendGrid, etc.) signe chaque email avec une clé privée. Le serveur destinataire récupère la clé publique depuis vos DNS et vérifie la signature. Si elle est valide, l’email est authentifié.
Exemple d’enregistrement DNS DKIM (fourni par votre prestataire SMTP) :
mail._domainkey.votredomaine.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ..."DMARC est la couche de contrôle et de reporting. Il définit ce que doit faire le serveur destinataire si SPF ou DKIM échouent, et vous permet de recevoir des rapports sur qui envoie des emails en votre nom.
Trois politiques DMARC existent :
Avant de créer vos enregistrements DNS, listez tous les services qui envoient des emails avec votre domaine :
Chaque source doit être couverte dans votre enregistrement SPF, et idéalement configurer DKIM via votre prestataire.
Par défaut, WordPress utilise la fonction PHP mail() pour envoyer ses emails. Cette méthode est peu fiable et ne supporte pas DKIM nativement. La première étape est de configurer un plugin SMTP :
Une fois votre SMTP configuré, votre prestataire vous fournira les enregistrements DKIM à ajouter à vos DNS. Cette configuration s’inscrit dans une logique plus large de sécurisation de la configuration WordPress pour limiter les vecteurs d’attaque.
Dans l’interface DNS de votre registrar (OVH, Gandi, Cloudflare, etc.), créez un enregistrement TXT sur votre domaine racine (@) :
v=spf1 include:[serveur_hebergeur] include:[service_smtp] ~allImportant : vous ne pouvez avoir qu’un seul enregistrement SPF par domaine. Si vous en avez plusieurs, fusionnez-les en un seul.
Récupérez les enregistrements DKIM auprès de votre prestataire SMTP (Mailgun, SendGrid, Brevo vous fourniront la valeur exacte). Ajoutez l’enregistrement TXT indiqué, généralement sous la forme :
[sélecteur]._domainkey.votredomaine.com TXT "v=DKIM1; k=rsa; p=[clé_publique]"Commencez toujours par une politique p=none avec une adresse de rapport :
_dmarc.votredomaine.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; ruf=mailto:dmarc@votredomaine.com; fo=1"Analysez les rapports pendant 2 à 4 semaines avec un outil comme dmarcian ou MXToolbox. Une fois tous vos expéditeurs identifiés et authentifiés, passez à p=quarantine, puis à p=reject.
Plusieurs outils gratuits permettent de vérifier vos enregistrements :
Un test réussi doit afficher :
Les sites WooCommerce envoient des emails transactionnels critiques (confirmations de commande, factures, notifications d’expédition). Si votre politique DMARC est trop restrictive avant d’avoir configuré tous vos expéditeurs, vous risquez de bloquer ces emails légitimes.
Checklist WooCommerce avant de passer à p=reject :
Certains hébergeurs (Kinsta, WP Engine, Cloudways) configurent automatiquement des enregistrements SPF de base. Cependant, DKIM et DMARC restent le plus souvent à configurer manuellement, en particulier si vous utilisez un service d’emailing tiers comme Mailchimp ou Brevo.
Sans DMARC, n’importe qui peut envoyer des emails en usurpant votre domaine. Vos clients peuvent recevoir des emails de phishing supposément de votre part. De plus, depuis février 2024, Google et Yahoo exigent DMARC pour les expéditeurs en masse (plus de 5 000 emails/jour). Sans DMARC, vos emails seront bloqués ou marqués comme spam.
Non, DMARC protège votre domaine expéditeur, pas votre boîte de réception. Pour le spam entrant vers votre WordPress (formulaires, commentaires), d’autres protections sont nécessaires : reCAPTCHA, Akismet, ou filtrage IP. Consultez notre guide sur la protection contre les bots malveillants pour aller plus loin.
La propagation DNS prend généralement entre 15 minutes et 48 heures selon votre TTL (Time To Live) et les serveurs DNS de votre registrar. Utilisez un outil comme MXToolbox pour vérifier la propagation en temps réel.
Configurer SPF, DKIM et DMARC sur votre site WordPress n’est plus optionnel. Avec les exigences croissantes de Google, Yahoo et Microsoft pour l’authentification email, et la multiplication des attaques de phishing ciblant les marques, ces trois protocoles constituent le socle minimal de la sécurité email de votre domaine.
La démarche recommandée : commencez par SPF et DKIM, déployez DMARC en mode p=none pour surveiller, analysez vos rapports pendant quelques semaines, puis passez progressivement à p=quarantine et p=reject.
Ces protections email complètent les bonnes pratiques de sécurité WordPress abordées dans nos autres guides, notamment la sécurisation du fichier wp-config.php et la protection de la page de connexion WordPress.
Besoin d’un audit de sécurité complet de votre site WordPress ? Contactez notre équipe pour un diagnostic personnalisé.
En avril 2026, plus de 20 plugins du vendeur EssentialPlugin ont été compromis via une attaque supply chain. Un acquéreur malveillant avait planté une backdoor dormante 7 mois avant son activation. 200 000+ sites WordPress exposés.
Découvrez comment configurer Cloudflare pour protéger votre site WordPress : WAF, protection DDoS, règles de sécurité et intégration optimale avec vos plugins.
Découvrez comment implémenter une Content Security Policy (CSP) sur WordPress pour bloquer les attaques XSS. Guide complet 2026 avec directives, exemples de code et dépannage.
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Nos experts français assurent un support et une prestation de qualité.
