Skip to content
Retour aux guides
Guide

Sécuriser votre email chez Gandi et Ionos : SPF, DKIM, DMARC

Guide pas à pas pour configurer SPF, DKIM et DMARC sur un domaine hébergé chez Gandi ou Ionos (IONOS 1&1). Protégez votre domaine contre l'usurpation d'identité et améliorez votre délivrabilité.

Thomas Ferreira 14 min de lecture

Votre domaine est enregistré chez Gandi ou chez Ionos (IONOS 1&1). Votre zone DNS est dans leur interface. Et si vous n’avez pas configuré SPF, DKIM et DMARC, n’importe qui peut aujourd’hui envoyer un email depuis @votredomaine.fr — sans toucher à votre boîte mail, sans connaître votre mot de passe.

Le protocole SMTP date de 1982. Il n’a jamais été conçu pour authentifier l’expéditeur. Un attaquant peut placer votre adresse dans le champ « De : » aussi facilement qu’on inscrit une fausse adresse sur une enveloppe. Vos clients, partenaires et collaborateurs reçoivent l’email, voient votre nom et votre adresse, et font confiance.

Gandi et Ionos configurent les enregistrements MX pour que vos emails arrivent. Mais les enregistrements qui protègent l’expéditeur — SPF, DKIM, DMARC — ne sont pas toujours actifs, en particulier si vous utilisez un service email tiers ou si votre compte a quelques années.

Ce guide vous accompagne étape par étape, avec les chemins exacts dans les interfaces de Gandi et Ionos.

Avant de commencer, testez gratuitement la sécurité email de votre domaine. Notre outil vérifie vos enregistrements SPF, DKIM et DMARC en quelques secondes et vous indique précisément ce qui manque.

Pourquoi les clients Gandi et Ionos ont besoin de l’authentification email

Gandi héberge environ 2,5 millions de domaines, avec une forte concentration de PME et d’indépendants français qui lui font confiance pour sa philosophie « No Bullshit ». Ionos (anciennement 1&1) est l’un des plus grands hébergeurs européens avec plus de 12 millions de domaines. Ce volume en fait des cibles de choix : un attaquant qui usurpe des domaines en .fr bénéficie d’une reconnaissance immédiate auprès de victimes françaises.

La configuration email par défaut varie selon l’ancienneté du compte et la combinaison de services. Les domaines récents avec la messagerie native de Gandi ou Ionos ont parfois SPF pré-configuré. Les comptes plus anciens, les configurations mixtes (domaine chez Gandi, emails chez Microsoft 365 ou Google Workspace), et les domaines avec hébergement web sans email actif : dans ces cas, la configuration est fréquemment incomplète ou absente.

Les conséquences d’une absence de SPF, DKIM et DMARC sont de deux ordres.

Délivrabilité dégradée. Depuis février 2024, Google et Yahoo exigent SPF et DKIM pour tout expéditeur envoyant plus de 5 000 emails par jour. En dessous de ce seuil, l’absence de ces protocoles augmente le risque que vos emails atterrissent en spam, en particulier depuis que les grands fournisseurs ont resserré leurs filtres.

Usurpation d’identité. Sans politique DMARC active (p=quarantine ou p=reject), votre domaine peut être utilisé pour envoyer des emails de phishing à vos clients, fournisseurs ou employés. Ces emails portent votre adresse dans le champ visible — et vous n’en saurez rien jusqu’à ce qu’un client vous signale avoir reçu une demande de virement frauduleuse en votre nom.

Ce que fait chacun des trois protocoles, en résumé :

  • SPF (Sender Policy Framework) : liste dans votre DNS les serveurs autorisés à envoyer des emails pour votre domaine.
  • DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique à chaque email sortant. Si le message est altéré en transit, la signature ne correspond plus.
  • DMARC : s’appuie sur SPF et DKIM pour décider ce qu’il faut faire des emails qui échouent aux vérifications, et vous envoie des rapports quotidiens sur ce qui se passe.

Pour une explication approfondie du fonctionnement technique, consultez le guide complet SPF, DKIM et DMARC.

Configurer SPF chez Gandi

Accéder à la zone DNS Gandi

  1. Connectez-vous à votre compte sur admin.gandi.net
  2. Dans le menu de gauche, cliquez sur Noms de domaine
  3. Sélectionnez le domaine à configurer
  4. Cliquez sur l’onglet Zone DNS (ou DNS selon la version de l’interface)

Vous voyez la liste de tous vos enregistrements DNS. Vérifiez si un enregistrement TXT à la racine (champ « Nom » vide ou avec @) commence par v=spf1. Si c’est le cas, modifiez-le plutôt que d’en créer un nouveau.

Ajouter ou modifier l’enregistrement SPF

Si vous n’avez pas encore de SPF :

  1. Cliquez sur Ajouter un enregistrement
  2. Type : sélectionnez TXT
  3. Nom : laissez vide (correspond à la racine @ du domaine)
  4. TTL : laissez la valeur par défaut (10 800)
  5. Valeur : entrez votre enregistrement SPF (voir les valeurs ci-dessous)
  6. Cliquez sur Créer

Si vous avez déjà un SPF :

  1. Cliquez sur le crayon à côté de l’enregistrement TXT existant commençant par v=spf1
  2. Modifiez la valeur en intégrant les mécanismes manquants dans le record existant
  3. Enregistrez

Valeurs SPF selon votre configuration Gandi

Vous utilisez uniquement Gandi Mail :

v=spf1 include:_mailcust.gandi.net ~all

Vous utilisez Gandi Mail + Microsoft 365 :

v=spf1 include:_mailcust.gandi.net include:spf.protection.outlook.com ~all

Vous utilisez Gandi Mail + Google Workspace :

v=spf1 include:_mailcust.gandi.net include:_spf.google.com ~all

Votre domaine est chez Gandi mais vos emails sont uniquement chez Microsoft 365 :

v=spf1 include:spf.protection.outlook.com ~all

Votre domaine est chez Gandi mais vos emails sont uniquement chez Google Workspace :

v=spf1 include:_spf.google.com ~all

Sur ~all vs -all : le softfail ~all signale que les serveurs non listés sont probablement frauduleux. Le hardfail -all demande leur rejet explicite. Commencez par ~all le temps de valider que toutes vos sources d’envoi légitimes sont bien déclarées. Une fois que vos rapports DMARC confirment l’exhaustivité de la liste, passez à -all.

Configurer DKIM chez Gandi

La procédure DKIM dépend du service email que vous utilisez avec votre domaine Gandi.

Cas 1 : vous utilisez Gandi Mail (la messagerie native)

Gandi génère et gère les clés DKIM automatiquement pour son service de messagerie. Vérifiez que DKIM est bien activé.

  1. Dans votre espace Gandi, allez dans Emails → sélectionnez votre service email
  2. Cherchez la section Sécurité ou DKIM
  3. Si DKIM est désactivé, activez-le — Gandi génère la paire de clés et publie l’enregistrement DNS automatiquement

Vous pouvez vérifier que l’enregistrement est publié dans Zone DNS : cherchez un enregistrement TXT dont le nom ressemble à gandi._domainkey.votredomaine.fr.

Cas 2 : vous utilisez Microsoft 365 avec votre domaine Gandi

Microsoft 365 génère les clés DKIM. Vous les publiez dans la zone DNS Gandi.

  1. Dans le portail Microsoft Defender (security.microsoft.com) : Stratégies & règles → Stratégies de menace → Email authentication settings → DKIM
  2. Sélectionnez votre domaine et cliquez sur Créer des clés DKIM
  3. Microsoft vous fournit deux enregistrements CNAME :
    • selector1._domainkey.votredomaine.fr
    • selector2._domainkey.votredomaine.fr
  4. Dans la zone DNS Gandi, ajoutez ces deux enregistrements (type CNAME)
  5. Attendez la propagation DNS (jusqu’à 3 heures chez Gandi), puis revenez dans Defender et cliquez Activer

Cas 3 : vous utilisez Google Workspace avec votre domaine Gandi

  1. Dans la console Admin Google (admin.google.com) : Applications → Google Workspace → Gmail → Authentifier les emails
  2. Sélectionnez votre domaine, cliquez sur Générer un nouvel enregistrement
  3. Longueur de clé : 2048 bits (recommandé)
  4. Google vous fournit un enregistrement TXT avec le nom google._domainkey
  5. Ajoutez cet enregistrement TXT dans la zone DNS Gandi
  6. Attendez 15 à 60 minutes, puis revenez dans la console Admin et cliquez Démarrer l’authentification

Vérifier que DKIM fonctionne

Envoyez un email depuis votre domaine vers une adresse Gmail personnelle. Ouvrez l’email reçu → menu (trois points) → Afficher l’original. Dans les résultats d’authentification, vous devez voir dkim=pass. Si vous voyez dkim=none ou dkim=fail, la clé n’a pas encore propagé ou l’activation n’a pas été finalisée côté service email.

Configurer SPF chez Ionos

Accéder à la zone DNS Ionos

  1. Connectez-vous à votre compte sur menu.ionos.fr
  2. Dans le menu principal, cliquez sur Domaines & SSL
  3. Cliquez sur Domaines
  4. Sélectionnez le domaine à configurer
  5. Cliquez sur DNS dans le menu du domaine

Ionos affiche vos enregistrements DNS sous forme de tableau avec les colonnes Type, Hôte, Pointe vers et TTL. Cherchez un enregistrement TXT dont le champ Hôte est @ ou vide et dont la valeur commence par v=spf1.

Ajouter ou modifier l’enregistrement SPF chez Ionos

Si vous n’avez pas encore de SPF :

  1. Cliquez sur Ajouter un enregistrement
  2. Type : TXT
  3. Hôte : @ (racine du domaine)
  4. Valeur : entrez votre enregistrement SPF (voir ci-dessous)
  5. TTL : laissez la valeur par défaut
  6. Cliquez sur Enregistrer

Si Ionos a déjà créé un SPF automatique :

Ionos génère parfois automatiquement un enregistrement SPF pour les clients utilisant Ionos Mail. Cliquez sur le crayon à droite de cet enregistrement pour le modifier plutôt que d’en créer un second.

Valeurs SPF selon votre configuration Ionos

Vous utilisez uniquement Ionos Mail (anciennement 1&1 Mail) :

v=spf1 include:mx00.ionos.com include:mx01.ionos.com ~all

Vous utilisez Ionos Mail + Microsoft 365 :

v=spf1 include:mx00.ionos.com include:mx01.ionos.com include:spf.protection.outlook.com ~all

Vous utilisez Ionos Mail + Google Workspace :

v=spf1 include:mx00.ionos.com include:mx01.ionos.com include:_spf.google.com ~all

Votre domaine est chez Ionos mais vos emails sont uniquement chez Microsoft 365 :

v=spf1 include:spf.protection.outlook.com ~all

Votre domaine est chez Ionos mais vos emails sont uniquement chez Google Workspace :

v=spf1 include:_spf.google.com ~all

Attention au double record SPF. Si Ionos a déjà créé un enregistrement SPF automatique et que vous en ajoutez un second, vous obtiendrez un PermError qui rend SPF inopérant. Modifiez toujours l’enregistrement existant.

Configurer DKIM chez Ionos

La procédure varie également selon le service email utilisé avec votre domaine Ionos.

Cas 1 : vous utilisez Ionos Mail (HiDrive Mail ou email Ionos natif)

Ionos propose une activation DKIM pour ses services email natifs depuis l’espace client.

  1. Dans menu.ionos.fr, allez dans Email → Gérer les boîtes email (ou Email Business selon votre offre)
  2. Sélectionnez votre domaine email
  3. Cherchez la section Sécurité ou Authentification
  4. Activez DKIM — Ionos génère la clé et publie l’enregistrement dans votre zone DNS automatiquement

Si Ionos ne propose pas l’activation DKIM dans l’interface pour votre offre, vérifiez votre zone DNS : cherchez un enregistrement TXT dont le nom contient _domainkey. Si rien n’est présent et que l’interface ne permet pas l’activation, contactez le support Ionos pour confirmer la prise en charge DKIM sur votre offre.

Cas 2 : vous utilisez Microsoft 365 avec votre domaine Ionos

  1. Dans le portail Microsoft Defender : Stratégies & règles → Stratégies de menace → Email authentication settings → DKIM
  2. Sélectionnez votre domaine et cliquez sur Créer des clés DKIM
  3. Microsoft vous fournit deux enregistrements CNAME
  4. Dans la zone DNS Ionos, ajoutez les deux enregistrements (type CNAME, champ Hôte = selector1._domainkey, champ Pointe vers = la valeur Microsoft)
  5. Attendez la propagation, puis activez dans le portail Defender

Cas 3 : vous utilisez Google Workspace avec votre domaine Ionos

  1. Console Admin Google : Applications → Google Workspace → Gmail → Authentifier les emails
  2. Sélectionnez votre domaine → Générer un nouvel enregistrement → 2048 bits
  3. Dans la zone DNS Ionos, ajoutez l’enregistrement TXT fourni par Google (type TXT, champ Hôte = google._domainkey)
  4. Attendez 15 à 60 minutes, puis activez dans la console Admin

Configurer DMARC (commun à Gandi et Ionos)

DMARC se configure de la même façon chez les deux hébergeurs : un enregistrement TXT sous _dmarc.votredomaine.fr. La logique est identique quelle que soit l’interface.

Ajouter l’enregistrement DMARC chez Gandi

  1. Zone DNSAjouter un enregistrement
  2. Type : TXT
  3. Nom : _dmarc
  4. TTL : 10 800 (ou la valeur par défaut)
  5. Valeur : votre enregistrement DMARC (voir ci-dessous)

Ajouter l’enregistrement DMARC chez Ionos

  1. DNSAjouter un enregistrement
  2. Type : TXT
  3. Hôte : _dmarc
  4. Valeur : votre enregistrement DMARC (voir ci-dessous)

Progresser par étapes

Étape 1 — Surveillance (déployez immédiatement) :

v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; fo=1
  • p=none : aucun blocage, vous observez sans intervenir
  • rua= : adresse qui recevra les rapports XML quotidiens des grands serveurs de messagerie
  • fo=1 : générer un rapport pour chaque email en échec, utile en phase de diagnostic

Gardez cette configuration 2 à 4 semaines. Analysez les rapports reçus pour vous assurer que toutes vos sources d’envoi légitimes passent SPF ou DKIM. Des outils gratuits comme Postmark DMARC ou dmarcian transforment les fichiers XML bruts en tableaux de bord lisibles.

Étape 2 — Mise en quarantaine progressive :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@votredomaine.fr; fo=1

pct=25 signifie que 25 % des emails en échec sont dirigés vers les spams. Montez progressivement : 25 % → 50 % → 75 % → 100 %. Vérifiez après chaque palier qu’aucun email légitime n’est touché.

Étape 3 — Rejet total (objectif final) :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.fr; fo=1

À ce stade, tout email prétendant venir de votre domaine mais échouant aux vérifications SPF et DKIM est rejeté par les serveurs destinataires avant d’atteindre les boîtes de réception. C’est la protection maximale contre l’usurpation de votre identité.

Pour une stratégie de migration détaillée, consultez le guide migration DMARC vers reject.

Cas mixtes : Gandi ou Ionos + Microsoft 365 ou Google Workspace

La configuration la plus répandue dans les PME françaises : le domaine est enregistré chez Gandi ou Ionos (c’est là que se trouve la zone DNS), mais les emails partent depuis Microsoft 365 ou Google Workspace. Voici les points de vigilance spécifiques à cette architecture.

Domaine Gandi ou Ionos + Microsoft 365

SPF : n’incluez que le mécanisme Microsoft si Gandi Mail ou Ionos Mail n’envoie plus rien.

v=spf1 include:spf.protection.outlook.com ~all

DKIM : Microsoft génère les clés. Publiez les deux enregistrements CNAME fournis dans votre zone DNS. Le chemin dans Microsoft Defender est identique quelle que soit la combinaison hébergeur/DNS.

DMARC : identique dans tous les cas. L’enregistrement _dmarc pointe vers votre adresse de reporting.

Point de friction Ionos + Microsoft 365 : Ionos configure parfois des enregistrements MX pointant vers ses propres serveurs par défaut. Si vous avez migré vers Microsoft 365, vérifiez que vos MX pointent bien vers votredomaine-fr.mail.protection.outlook.com et non vers les serveurs Ionos. Des enregistrements MX résiduels causent des pertes de messagerie entrante.

Domaine Gandi ou Ionos + Google Workspace

SPF : mécanisme Google uniquement si Gandi Mail ou Ionos Mail n’est pas utilisé.

v=spf1 include:_spf.google.com ~all

DKIM : Google génère la clé (2048 bits). Publiez l’enregistrement TXT google._domainkey dans votre zone DNS.

Délai de propagation : chez Gandi et Ionos, le TTL par défaut est de 10 800 secondes. Attendez au moins 3 heures après la publication avant de cliquer sur « Démarrer l’authentification » dans la console Admin Google.

Gandi ou Ionos + outil d’emailing (Brevo, Mailjet, Mailchimp)

Si vous utilisez un outil de marketing email en plus de votre messagerie principale, chaque service doit figurer dans votre SPF et disposer de son propre DKIM.

Ajoutez le mécanisme SPF correspondant :

ServiceMécanisme SPF à ajouter
Brevo (ex-Sendinblue)include:spf.brevo.com
Mailjetinclude:spf.mailjet.com
Mailchimpinclude:servers.mcsv.net
HubSpotinclude:hubspotemail.net
Sendinblue (ancien domaine)include:spf.sendinblue.com

Pour DKIM : chaque service fournit son propre enregistrement DKIM (TXT ou CNAME) à publier sous un sélecteur spécifique dans votre zone DNS. La procédure se trouve dans les paramètres d’authentification de domaine de chaque outil.

Pour éviter de dépasser la limite de 10 résolutions DNS récursives imposée par SPF, comptez vos include: avant d’en ajouter. Google Workspace seul en consomme 4. Au-delà de 10, SPF renvoie PermError et est ignoré comme s’il n’existait pas.

Pour vérifier votre score global et détecter d’autres points d’amélioration, utilisez notre outil de test sécurité email. Pour la configuration détaillée de ces deux services, consultez aussi le guide dédié à l’authentification email chez OVH qui couvre les mêmes mécanismes avec les spécificités de l’interface OVH Manager.

FAQ

Voir les réponses détaillées aux questions fréquentes en tête de ce guide.

SPF, DKIM et DMARC bloquent l’usurpation exacte de votre domaine. Un attaquant qui tente d’envoyer un email en se faisant passer pour contact@votredomaine.fr sera bloqué dès que vous avez p=reject en place. Mais le phishing ne se résume pas à cette seule technique.

Les domaines sosies (votre-entreprise-factures.fr, votreentreprise-info.com), les comptes compromis de collaborateurs ou de partenaires, les services légitimes détournés (formulaires Google, SharePoint, DocuSign) : autant d’approches que la configuration DNS ne peut pas contrer. Pour ces attaques, c’est la vigilance de vos équipes qui fait la différence.

La configuration technique et la formation humaine se complètent : l’une bloque les usurpations automatisées, l’autre développe la capacité à reconnaître les attaques plus sophistiquées.

Votre configuration SPF, DKIM et DMARC est en place. Pour mesurer et renforcer la vigilance de vos équipes face aux attaques que les filtres techniques laissent passer, découvrez comment nophi.sh simule des campagnes de phishing réalistes — sans infrastructure à gérer, avec des rapports exploitables immédiatement.