L’époque où l’on pouvait envoyer un emailing depuis un domaine mal configuré et espérer atterrir en boîte de réception est terminée. Les annonces conjointes de Google et Yahoo en octobre 2023 ont marqué un tournant. Microsoft a embrayé un an plus tard. Et la phase de tolérance qui a suivi février 2024 s’est refermée à l’automne 2025.
Pour les responsables emailing B2B français, l’enjeu est concret. Vos campagnes vers des contacts Gmail, Yahoo, Outlook, Hotmail et Live ne passent plus si vos enregistrements DNS ne sont pas en ordre. Et la réalité du marché B2B, c’est que la quasi-totalité de vos cibles utilise une de ces messageries, soit en direct, soit via Google Workspace ou Microsoft 365. Voici ce qu’il faut comprendre, étape par étape, pour rester dans la course.
D’où viennent ces nouvelles exigences Gmail et Yahoo
L’annonce a été faite le 3 octobre 2023 par Neil Kumaran chez Google et Marcel Becker chez Yahoo, à quelques heures d’intervalle. Les deux fournisseurs annonçaient les mêmes règles, applicables à partir du 1er février 2024 pour tout expéditeur dépassant les 5 000 emails par jour vers leurs comptes respectifs. La coordination n’était pas un hasard. Le M3AAWG, l’organisme international de référence sur la lutte contre l’abus email, avait validé l’approche en publiant un texte resté célèbre dans le secteur : « In 2024, « No Auth, No Entry » will be the rule for bulk senders. » Pas d’authentification, pas d’entrée. La formule a fait le tour des conférences délivrabilité pendant des mois.
La motivation est avant tout sécuritaire. Les fraudes par email, le phishing ciblé, les attaques BEC qui usurpent l’identité d’un dirigeant pour détourner un virement, tout cela explosait depuis plusieurs années. Sans authentification systématique, n’importe qui pouvait écrire un message en se faisant passer pour vous. Vos clients étaient exposés. Vos prospects aussi. Et la réputation de votre domaine pouvait s’effondrer du jour au lendemain à cause d’un envoi frauduleux que vous n’aviez jamais émis.
Côté volumes, la pression sur les filtres était devenue intenable. Gmail traite environ 300 milliards de messages chaque mois selon Google. Avec 75 % à 90 % de ce trafic potentiellement non sollicité, la seule réponse viable consistait à exiger une authentification cryptographique de toute source d’envoi sérieuse. Les bulk senders, ceux qui envoient en masse, sont la première cible.
Les trois exigences imposées au-delà de 5 000 emails par jour
Les nouvelles règles tiennent en trois piliers. Aucune surprise pour qui pratique la délivrabilité depuis longtemps, mais l’application devient cette fois sans appel.
Authentification SPF, DKIM et DMARC
Tout expéditeur dépassant 5 000 emails par jour vers Gmail, Yahoo et désormais Outlook doit avoir publié dans son DNS les trois enregistrements d’authentification : SPF pour déclarer les serveurs autorisés, DKIM pour signer cryptographiquement chaque message, et DMARC pour définir la politique appliquée en cas d’échec d’une des deux vérifications. Les détails de mise en place sont décrits dans notre guide complet pour configurer SPF, DKIM, DMARC, qui détaille la syntaxe DNS, les pièges classiques comme la limite de 10 lookups SPF, et la montée progressive de la politique DMARC.
L’exigence minimale Google et Yahoo, c’est une politique DMARC à p=none. Vous n’êtes pas obligé d’aller jusqu’au rejet, mais vous devez au moins publier l’enregistrement et accepter de recevoir les rapports agrégés.
La désinscription en un clic
Deuxième exigence : un lien de désinscription doit pouvoir être activé en un seul clic, sans que le destinataire passe par une page web qui demande de saisir son adresse ou de confirmer son choix. Techniquement, cela signifie l’ajout dans les en-têtes du message du couple List-Unsubscribe et List-Unsubscribe-Post: List-Unsubscribe=One-Click, conforme à la RFC 8058. Et la désinscription doit être traitée dans les deux jours.
Le taux de plaintes spam sous le seuil
Troisième pilier, et probablement le plus délicat à maîtriser : le taux de plaintes spam dans Postmaster Tools de Google ne doit jamais dépasser 0,3 %. Au-delà, vos messages sont rejetés ou systématiquement classés en spam. Et la recommandation officielle est de rester sous 0,1 %, ce qui correspond à 1 plainte pour 1 000 messages remis. C’est strict.
Le seuil 0,3 % de plaintes spam : ce que ça change concrètement
Beaucoup d’expéditeurs B2B découvrent ce seuil au pire moment, quand leur taux de placement en boîte de réception s’effondre sans explication apparente. Le contenu n’a pas changé, la base est qualifiée, les objets sont sobres. Et pourtant, les ouvertures plongent. La cause est presque toujours la même : un dépassement chronique du seuil 0,1 % qui finit par déclencher un filtrage agressif.
Pour mesurer ce taux, un seul outil compte : Google Postmaster Tools. Vous y verrez votre taux de plaintes ventilé par jour, comparé au volume envoyé, sur 7, 30 ou 90 jours. Pour Yahoo, le suivi passe par leur Sender Hub. Et pour Outlook, le SNDS de Microsoft fournit l’équivalent, avec une granularité par IP plutôt que par domaine.
Ce qui fait grimper un taux de plaintes en B2B, c’est rarement le contenu lui-même. Ce sont les listes mal entretenues. Une base achetée en gros, importée sans nettoyage, va générer des centaines de plaintes dès le premier envoi. Un fichier de prospection qui n’a pas été segmenté par activité, par poste ou par moment dans le cycle de vente, va lasser ses destinataires en quelques campagnes. Et un opt-in flou, du genre case pré-cochée dans un formulaire de téléchargement, expose à des plaintes immédiates parce que la personne n’a aucune mémoire de vous avoir donné son consentement.
Quand les chiffres remontent, la réaction la plus efficace consiste à supprimer les inactifs profonds, ralentir la cadence d’envoi, et reprendre le warm-up depuis un volume plus modeste. Une plateforme bien dimensionnée, comme Ediware avec ses IP dédiées et son moteur Power-MTA, permet d’isoler vos envois et de mesurer précisément l’impact de chaque ajustement, ce qui est presque impossible sur un service mutualisé où vos statistiques sont diluées dans celles de centaines d’autres expéditeurs.
Calendrier d’application : du soft enforcement au durcissement de novembre 2025
L’entrée en vigueur s’est faite par paliers. Comprendre le calendrier permet d’anticiper ce qui vient, et notamment ce qui a déjà changé depuis l’automne dernier.
| Période | Comportement Google/Yahoo | Conséquence pour l’expéditeur |
|---|---|---|
| Avant février 2024 | Recommandation, pas d’application | Aucun blocage automatique |
| Février 2024 | Soft enforcement | Emails non conformes redirigés vers le spam |
| Avril à octobre 2025 | Renforcement progressif | Filtrage plus strict, scoring dégradé |
| Novembre 2025 | Hard enforcement | Rejets SMTP 4xx (temporaires) et 5xx (permanents) |
Le tournant de novembre 2025 mérite qu’on s’y arrête. Jusque-là, un envoi non conforme finissait au mieux dans le dossier spam. Le destinataire pouvait le récupérer s’il pensait à aller voir. Depuis novembre, le serveur SMTP de Google rejette purement et simplement le message. Vous recevez un code 550 ou 421 dans vos logs, et le destinataire ne voit jamais rien. La frontière entre filtré et rejeté a disparu, et les expéditeurs qui n’avaient pas encore migré leur configuration se sont retrouvés avec des taux de bounce explosifs du jour au lendemain.
Proofpoint a documenté le phénomène dans plusieurs alertes envoyées à ses clients fin 2025. Le message est toujours le même : la période de tolérance est terminée, et les sanctions ne sont plus progressives.
Microsoft entre dans la danse en mai 2025
Le 5 mai 2025, Microsoft a aligné Outlook, Hotmail et Live sur les exigences Google et Yahoo. Le seuil de déclenchement est identique, 5 000 emails par jour, et les trois piliers sont repris à l’identique : SPF + DKIM + DMARC, désinscription en un clic, taux de plaintes contrôlé. Le secteur a salué l’événement avec un néologisme qui résume bien la situation : Yahooglesoft. Trois acteurs, une seule grille de lecture.
Pour la prospection B2B française, Microsoft est loin d’être anecdotique. Une part significative des PME et ETI utilise Microsoft 365 et donc des boîtes Outlook professionnelles. Si votre configuration tournait correctement vers Gmail mais pas vers Outlook, jusqu’au printemps 2025 vous pouviez encore passer. Depuis l’application progressive des règles Microsoft, le manque de conformité bloque aussi cette part majeure du marché.
Ce que ça change pour les expéditeurs B2B en France
L’AFNIC publie chaque année un état des lieux de l’authentification email sur la zone .fr. Les chiffres 2025 sont parlants : SPF est présent sur 69 % des domaines actifs, DKIM sur 40,7 %, et DMARC sur seulement 19,5 %. Autrement dit, à peine un domaine sur cinq dispose d’une politique DMARC publiée. La progression est nette par rapport à 2024, mais la majorité du tissu économique français reste exposée. Et parmi les 19,5 % de domaines avec DMARC, l’écrasante majorité reste en p=none, c’est-à-dire en mode observation sans réelle protection.
Pour un expéditeur B2B sérieux, cela signifie deux choses. D’abord, vos prospects qui ont publié un DMARC en p=reject rejetteront tout email frauduleux émis sous votre identité. C’est une bonne nouvelle pour la sécurité globale du marché. Ensuite, les fournisseurs de messagerie utilisent désormais la conformité DMARC comme un signal de qualité fort dans leur scoring de réputation. Un domaine sans DMARC, même légitime, démarre avec un handicap.
L’erreur classique consiste à penser que le sujet ne concerne que les très gros envois. C’est faux pour deux raisons. D’une part, le seuil 5 000 par jour est calculé par fournisseur de messagerie, pas par votre volume total. Si vos campagnes ciblent 30 000 contacts dont 6 000 sur Gmail, vous êtes concerné. D’autre part, même sous le seuil, Gmail applique depuis 2025 un scoring renforcé sur tous les expéditeurs. Pas de SPF/DKIM/DMARC en règle, pas de placement en inbox prioritaire.
L’angle mort des plateformes mutualisées : la réputation partagée d’IP
Voici le point que les comparatifs sponsorisés et les guides des grandes plateformes mutualisées passent généralement sous silence. Quand vos campagnes sont envoyées depuis une IP partagée avec des centaines d’autres clients, la réputation que les serveurs Gmail, Yahoo et Outlook attribuent à cette IP dépend du comportement de l’ensemble du pool. Pas seulement du vôtre.
Concrètement, si l’un de vos voisins de pool envoie un emailing mal ciblé qui déclenche un pic de plaintes, votre placement en boîte de réception en pâtit le jour même. Vous n’avez rien fait de mal, vous n’êtes pas prévenu, et vos campagnes en cours subissent les conséquences d’une décision qui n’est pas la vôtre. Dans le contexte du durcissement de novembre 2025, où les filtres réagissent plus vite et plus durement, ce risque a pris une autre dimension.
C’est précisément ce que résolvent les IP dédiées. Votre réputation devient strictement la vôtre, mesurable, isolée, contrôlable. Chez Ediware, les IP dédiées sont incluses dès le plan PRO, sans surcoût et sans option à activer. Le moteur Power-MTA gère le warm-up, la régulation des cadences par destinataire et la rotation entre plusieurs IP du pool quand votre volume le justifie. Le tracking domain dédié évite par ailleurs que tous vos liens cliqués pointent vers un sous-domaine partagé avec d’autres expéditeurs, ce qui renforce la cohérence de votre signal d’authentification.
Pour bien comprendre comment ces choix d’infrastructure se traduisent en sécurité concrète pour vos données et votre image de marque, la page dédiée à la sécurité des données et conformité RGPD chez Ediware détaille l’ensemble des dispositifs en place : hébergement France, monitoring IP continu, SPF/DKIM/DMARC déjà configurés sur le tracking domain.
Checklist de mise en conformité pour un expéditeur B2B
Si vous découvrez le sujet ou si votre dernière vérification date d’avant 2024, voici la marche à suivre dans l’ordre. Comptez deux à quatre semaines pour boucler proprement, le temps de laisser propager les enregistrements et d’analyser les rapports.
- Lister toutes les sources d’envoi pour votre domaine : plateforme emailing, CRM, helpdesk, signatures email, outil de facturation, plateforme de prospection. On en oublie toujours au moins une.
- Publier un enregistrement SPF unique qui inclut chacune de ces sources, en restant impérativement sous la limite des 10 lookups DNS.
- Activer DKIM chez chaque service d’envoi, avec des clés RSA 2048 bits. La plupart des plateformes fournissent les enregistrements à copier-coller dans le DNS.
- Publier un enregistrement DMARC en
p=noneavec une adresseruaqui collecte les rapports agrégés. Lire ces rapports pendant deux à quatre semaines pour identifier les sources oubliées. - Faire monter la politique DMARC : passer à
p=quarantineavecpct=25, puis 50, puis 100, puis basculer enp=rejectune fois que tous les flux sont alignés. - Vérifier que vos campagnes intègrent
List-Unsubscribe-Postau format RFC 8058. Toute plateforme emailing professionnelle le fait par défaut. Si la vôtre ne le fait pas, c’est un signal clair sur son retard technique. - Surveiller votre taux de plaintes dans Postmaster Tools, Yahoo Sender Hub et Microsoft SNDS. Fixez-vous un seuil d’alerte interne à 0,1 %, pas 0,3 %.
- Documenter votre configuration dans un document partagé entre l’IT, le marketing et le support. Quand un nouveau service email arrive dans l’entreprise, le réflexe doit être de mettre à jour SPF immédiatement.
Cette discipline n’est pas négociable si vous voulez maintenir un placement en boîte de réception correct sur la durée. Et chez Ediware, chiffres à l’appui, les comptes qui suivent cette progression vers p=reject voient en général leurs taux d’ouverture remonter dans les semaines qui suivent la stabilisation.
FAQ — Nouvelles règles Gmail, Yahoo et Outlook
Les règles Gmail s’appliquent-elles aux emails B2B ?
Oui, sans exception. Les exigences Google ne distinguent pas B2B et B2C. Tout ce qui compte, c’est le volume envoyé vers des comptes Gmail, qu’ils soient personnels (@gmail.com) ou professionnels hébergés sur Google Workspace. Or la majorité des entreprises françaises utilisent Workspace pour leur messagerie professionnelle. Vos prospects @entreprise.fr passent donc presque tous par les filtres Gmail, et vos envois sont soumis aux mêmes règles d’authentification.
Comment configurer DMARC pour un domaine professionnel ?
DMARC se configure via un enregistrement DNS de type TXT placé sur _dmarc.votredomaine.fr. La syntaxe minimale recommandée est v=DMARC1; p=none; rua=mailto:rapports-dmarc@votredomaine.fr;. Cette politique en mode observation permet de collecter les rapports XML quotidiens envoyés par Gmail, Yahoo et Outlook, sans bloquer aucun envoi. Une fois les rapports analysés et toutes vos sources d’envoi identifiées, vous montez progressivement vers p=quarantine puis p=reject. Le détail technique complet est traité dans notre guide SPF, DKIM, DMARC.
Que faire si on envoie moins de 5 000 emails par jour ?
Le seuil 5 000 messages par jour vers Gmail déclenche les exigences les plus strictes, mais la réalité est nuancée. Depuis 2025, Google applique un scoring renforcé à tous les expéditeurs, y compris ceux sous le seuil. Un domaine sans SPF, sans DKIM ou sans DMARC démarre avec un handicap de réputation, indépendamment du volume. Pour un expéditeur B2B sérieux, considérer ces trois protocoles comme obligatoires dès le premier envoi est la seule approche viable.
Comment mesurer son taux de plaintes spam ?
Trois outils gratuits suffisent. Pour Gmail, Google Postmaster Tools donne le taux de plaintes par domaine, par jour, sur 7, 30 ou 90 jours. Pour Yahoo, le Yahoo Sender Hub fournit l’équivalent avec un peu moins de granularité. Pour Outlook, Microsoft propose le SNDS qui mesure par IP plutôt que par domaine, particulièrement utile si vous opérez en IP dédiée. Inscrivez-vous aux trois et vérifiez vos chiffres une fois par semaine. Au-delà de 0,1 % de plaintes, agissez sans attendre le seuil de 0,3 %.
IP mutualisée ou IP dédiée : quelle différence face aux nouvelles règles ?
Sur une IP mutualisée, votre réputation auprès de Gmail dépend du comportement de tous les expéditeurs partageant la même infrastructure. Un voisin de pool qui envoie une mauvaise campagne dégrade vos placements le jour même, sans que vous puissiez intervenir. Sur une IP dédiée, votre réputation est strictement la vôtre, ce qui devient déterminant depuis le durcissement de novembre 2025. Toutes les plateformes ne proposent pas l’IP dédiée par défaut. Chez Ediware, elle est incluse dès le plan d’entrée, ce qui constitue une vraie différence en termes de contrôle de la délivrabilité.
Microsoft Outlook applique-t-il les mêmes règles ?
Depuis le 5 mai 2025, oui. Microsoft a annoncé l’alignement de ses serveurs Outlook.com, Hotmail.com et Live.com sur les mêmes exigences que Google et Yahoo : SPF, DKIM, DMARC, désinscription en un clic, contrôle des plaintes, déclenchement à 5 000 messages par jour. La phase d’application stricte est progressive, avec d’abord un classement en spam, puis des rejets purs et simples. Si vos prospects utilisent massivement Outlook ou Microsoft 365, votre conformité doit couvrir ce trois axes simultanément.
Que change la phase de durcissement de novembre 2025 ?
Avant novembre 2025, un email non conforme finissait au mieux en spam. Le destinataire pouvait toujours le récupérer manuellement. Depuis novembre, les serveurs Gmail rejettent les messages non conformes au niveau SMTP, avec des codes de retour 4xx (rejet temporaire, retry possible) ou 5xx (rejet définitif). Le destinataire ne voit jamais le message, et votre plateforme enregistre un bounce. Pour un expéditeur dont la configuration n’était pas à jour, la transition s’est traduite par une explosion brutale du taux de bounce et un effondrement des taux de placement en boîte de réception.
