Configurer SPF, DKIM & DMARC sur Gandi

Guide pas à pas pour admin.gandi.net - environ 15 minutes

Avant de commencer : diagnostiquez votre domaine

Vérifiez quels enregistrements sont manquants.

Entrez un nom de domaine valide (ex : monentreprise.fr)

Étape 1 - Accéder aux enregistrements DNS

Connectez-vous à admin.gandi.net. Dans le menu latéral gauche, cliquez sur Nom de domaine. Cliquez sur le domaine que vous souhaitez configurer.

Dans la fiche du domaine, cliquez sur l'onglet Enregistrements DNS (ou « DNS Records » si votre interface est en anglais). Vous voyez la liste de tous les enregistrements actuels.

Interface Gandi - Navigation : Nom de domaine → exemple.fr → Enregistrements DNS

Étape 2 - Ajouter l'enregistrement SPF

Cliquez sur le bouton Ajouter un enregistrement. Sélectionnez le type TXT.

Remplissez le formulaire :

Nom : @ (représente la racine du domaine)
TTL : 10800 (valeur par défaut Gandi, 3 heures)
Valeur : v=spf1 include:_mailcust.gandi.net ~all

Le include:_mailcust.gandi.net autorise les serveurs mail de Gandi. Si vous utilisez d'autres services d'envoi, ajoutez leurs directives include:. Par exemple, avec Mailjet : v=spf1 include:_mailcust.gandi.net include:spf.mailjet.com ~all

Cliquez sur Créer.

Formulaire « Ajouter un enregistrement » - Type TXT avec la valeur SPF

Important : vérifiez qu'il n'existe pas déjà un enregistrement SPF (type TXT commençant par v=spf1). Si c'est le cas, modifiez-le plutôt que d'en créer un deuxième.

Étape 3 - Configurer DKIM

Si vous utilisez la messagerie Gandi (Gandi Mail), DKIM est normalement activé automatiquement. Vous pouvez le vérifier dans la section E-mail de votre domaine.

Pour un service e-mail externe (Google Workspace, Microsoft 365, Zoho…), le fournisseur vous donnera un enregistrement DKIM à ajouter. Retournez dans Enregistrements DNS > Ajouter un enregistrement.

Exemple avec Google Workspace :

Type : TXT
Nom : google._domainkey
Valeur : la clé publique DKIM fournie par la console d'admin Google

Certains fournisseurs demandent un enregistrement CNAME au lieu d'un TXT - suivez les instructions spécifiques de votre fournisseur.

Section E-mail - Onglet « Authentification » avec le statut DKIM et le bouton d'activation

Étape 4 - Ajouter l'enregistrement DMARC

Cliquez sur Ajouter un enregistrement, choisissez le type TXT.

Renseignez :

Nom : _dmarc
TTL : 10800
Valeur : v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; pct=100

Remplacez votre-domaine.fr par votre domaine réel. L'adresse après rua=mailto: recevra les rapports agrégés - c'est indispensable pour surveiller votre authentification.

Bonne pratique : démarrez avec p=none pour observer sans impact, puis montez progressivement vers p=quarantine puis p=reject après 2 à 4 semaines.

Cliquez sur Créer.

Formulaire « Ajouter un enregistrement » - Nom _dmarc avec la politique DMARC

Étape 5 - Vérifier vos enregistrements

Chez Gandi, la propagation DNS est généralement rapide : comptez 5 à 30 minutes. Dans certains cas, cela peut prendre jusqu'à 24 heures.

Utilisez le formulaire de diagnostic en haut de cette page pour vérifier que vos trois enregistrements (SPF, DKIM, DMARC) sont correctement détectés.

Si le diagnostic montre une erreur, retournez dans vos enregistrements DNS sur Gandi et vérifiez :

Pas de doublon SPF (un seul enregistrement v=spf1 autorisé)
Le nom de l'enregistrement DMARC est bien _dmarc (avec le tiret bas)
Les guillemets sont bien présents autour des valeurs TXT si Gandi les requiert

Diagnostic SpamZero - Les trois enregistrements SPF, DKIM et DMARC validés en vert

Trop compliqué ?

On configure SPF, DKIM et DMARC sur votre domaine. Vous n'avez rien à faire.

49€ HT

Par domaine · SPF + DKIM + DMARC · Résultat garanti · Sous 48h

On s'en occupe →