ITSkillsCenter
Développement Web

Configuration DNS Mailcow : SPF, DKIM, DMARC, MX, PTR (tutoriel 2026)

4 min de lecture

📍 Article principal du cluster : Mailcow 2026 : guide complet.

Sans configuration DNS correcte, vos emails Mailcow partent en spam Gmail et Outlook. Ce tutoriel détaille les 5 enregistrements essentiels (SPF, DKIM, DMARC, MX, PTR) avec templates copier-coller, validés en production sur 20+ domaines de PME francophones.

Prérequis

  • Mailcow installé (voir tutoriel installation).
  • Premier domaine ajouté dans Mailcow.
  • Accès complet aux DNS du domaine.
  • Niveau attendu : intermédiaire.
  • Temps estimé : 30-45 minutes + propagation 24-48h.

Étape 1 — Comprendre l’enjeu délivrabilité

Gmail, Outlook, Yahoo notent les serveurs sortants sur 4 critères :

  • Authentification : SPF + DKIM + DMARC alignés.
  • Réputation IP : pas de blacklist (Spamhaus, Barracuda).
  • PTR cohérent : reverse DNS = hostname annoncé HELO.
  • Contenu et engagement : non-spam, ouverture par destinataires.

Étape 2 — Enregistrement A et MX

mail.votre-entreprise.com.   IN  A     VOTRE_IP_VPS
votre-entreprise.com.         IN  MX 10 mail.votre-entreprise.com.

# Pour autodiscovery clients mail
autodiscover.votre-entreprise.com.   IN  CNAME mail.votre-entreprise.com.
autoconfig.votre-entreprise.com.     IN  CNAME mail.votre-entreprise.com.

Vérifier : dig MX votre-entreprise.com.

Étape 3 — Reverse DNS (PTR)

Hetzner Cloud Console → VPS → Networking → Reverse DNS → mail.votre-entreprise.com. Vérifier :

dig -x VOTRE_IP +short
# Doit retourner mail.votre-entreprise.com

Étape 4 — SPF (Sender Policy Framework)

Déclare quels serveurs ont droit d’envoyer. Enregistrement TXT à la racine :

votre-entreprise.com.   IN  TXT  "v=spf1 mx -all"

mx = autorise les serveurs MX. -all = rejet strict de tout autre. Pour ajouter Brevo/Sendgrid pour newsletters :

"v=spf1 mx include:spf.brevo.com -all"

Vérifier : dig TXT votre-entreprise.com | grep spf1.

Étape 5 — DKIM (DomainKeys Identified Mail)

Mailcow génère DKIM auto. Récupérer :

  1. Mailcow admin → Configuration → Mail Setup → Domain → cliquer sur le domaine.
  2. Section ARC/DKIM keys → générer si absent (par défaut 2048 bits).
  3. Copier le selector (par défaut dkim) et le record DNS.

Ajouter sur DNS :

dkim._domainkey.votre-entreprise.com.   IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAO..."

Test : dig TXT dkim._domainkey.votre-entreprise.com.

Étape 6 — DMARC (Domain-based Message Authentication)

Politique de validation. Démarrer en mode none (rapport seulement), passer à quarantine puis reject après 30 jours stable :

# Mode initial (recommandé 30 premiers jours)
_dmarc.votre-entreprise.com.   IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@votre-entreprise.com; ruf=mailto:dmarc@votre-entreprise.com; pct=100; aspf=r; adkim=r"

# Après 30 jours stable
"v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-entreprise.com; pct=100"

# Mode strict final
"v=DMARC1; p=reject; rua=mailto:dmarc@votre-entreprise.com"

Créer la boîte dmarc@votre-entreprise.com dans Mailcow pour recevoir les rapports.

Étape 7 — MTA-STS (optionnel mais recommandé)

Force TLS sur SMTP entrant. Créer fichier sur webmail HTTPS :

# /var/www/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.votre-entreprise.com
max_age: 86400
_mta-sts.votre-entreprise.com.   IN  TXT  "v=STSv1; id=20260427"

Étape 8 — Vérification complète mxtoolbox

Outil de référence : mxtoolbox.com.

  • SuperTool → MX Lookup : doit retourner mail.votre-entreprise.com.
  • SPF Lookup : pass.
  • DKIM Lookup : pass.
  • DMARC Lookup : pass.
  • Blacklist Check : aucune.

Étape 9 — Test délivrabilité réelle

Service mail-tester.com :

  1. Envoyer email de Mailcow vers test-XXX@mail-tester.com.
  2. Score sur 10. Objectif : 9-10/10.
  3. Détail des problèmes pondérés.

Étape 10 — IP warmup

Nouvelle IP a réputation neutre. Pour éviter spam massif au début :

  • Semaine 1 : envoyer 50 emails/jour vers contacts internes.
  • Semaine 2 : 200/jour, dont 50 externes.
  • Semaine 3 : 500/jour.
  • Semaine 4+ : usage normal.

Erreurs fréquentes

Erreur Cause Solution
SPF softfail Gmail ~all au lieu de -all Passer -all après tests
DKIM signature missing Selector différent Vérifier selector Mailcow vs DNS
DMARC report jamais reçu Boîte rua n’existe pas Créer dmarc@… dans Mailcow
PTR ne match pas Hetzner panel non sauvegardé Réappliquer + attendre 30 min
IP blacklistée d’emblée Précédent locataire VPS Demander Hetzner nouvelle IP
MTA-STS errors HTTPS pas valide Vérifier cert sur _mta-sts

Adaptation au contexte ouest-africain

Trois précisions. Domaines locaux : .ci, .sn, .ma, .tn fonctionnent identique. Vérifier que registre permet TXT records longs (1024 caractères pour DKIM 2048 bits). Délais propagation : 4-24h selon registre. .sn parfois 48h. Tests Gmail/Outlook : tester depuis comptes Gmail.com et Outlook.com créés manuellement, pas depuis comptes pros déjà whitelisted.

Tutoriels frères

FAQ

SPF -all vs ~all ? Démarrer ~all (softfail), passer -all (strict) après 30 jours stable.

DKIM 1024 vs 2048 bits ? 2048 standard 2026. 1024 obsolète.

Multiple SPF records ? NON. Concaténer dans un seul record TXT.

Subdomains hériter SPF ? Oui via redirection : "v=spf1 redirect=votre-entreprise.com".

BIMI logo dans Gmail ? Configuration optionnelle. VMC certificate à 1 500 USD/an. Skip pour PME.

Pour aller plus loin

#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires