En bref : SPF, DKIM et DMARC sont trois protocoles d’authentification email complémentaires. SPF déclare quels serveurs ont le droit d’envoyer pour votre domaine. DKIM ajoute une signature cryptographique à chaque message. DMARC définit la politique à appliquer quand l’un ou l’autre échoue. Configurer les trois correctement, c’est la condition minimale pour atteindre la boîte de réception en B2B.

Configuration SPF, DKIM, DMARC : guide complet pour sécuriser vos envois

Vos emails arrivent en spam alors que votre contenu est propre, votre base qualifiée, vos objets travaillés. Le problème ne vient probablement pas de votre message. Il vient de votre domaine. En clair, vos enregistrements DNS ne disent rien de convaincant au serveur en face. Il ne vous reconnaît pas comme expéditeur légitime.

Depuis février 2024, Google et Yahoo ont durci le jeu : tout expéditeur de masse doit avoir configuré SPF, DKIM et DMARC correctement. Microsoft a suivi en avril 2025 avec des exigences similaires pour Outlook.com. Ce n’est plus une recommandation. C’est un prérequis technique, et les serveurs de messagerie qui reçoivent vos campagnes B2B vérifient ces enregistrements à chaque message reçu.

Dans ce guide, on passe en revue chaque protocole, la configuration pas à pas, et surtout les erreurs qu’on voit régulièrement plomber la délivrabilité chez les expéditeurs B2B. Si vous cherchez une vision d’ensemble sur le sujet, consultez notre guide complet de la délivrabilité.

Pourquoi l’authentification email est devenue incontournable

A l’origine, dans les années 70, personne n’a pensé à intégrer un mécanisme d’authentification dans le protocole email. Résultat : n’importe qui pouvait envoyer un message en se faisant passer pour quelqu’un d’autre. Et c’est toujours techniquement possible aujourd’hui. Le phishing et le spoofing reposent exactement là-dessus.

Les fraudes par email ont explosé, et les fournisseurs de messagerie ont fini par réagir. SPF est arrivé en 2006, DKIM a suivi, DMARC est apparu en 2012. Pendant longtemps, ces protocoles restaient optionnels. Un « nice to have » que les équipes techniques configuraient quand elles avaient le temps.

La donne a changé. Gmail, Outlook, Yahoo rejettent maintenant les emails non authentifiés. Ou ils les classent en spam, ce qui revient au même. Si vous faites de l’emailing B2B sans SPF, DKIM et DMARC en place, vos messages n’arriveront tout simplement pas. Le facteur a beau être de bonne volonté, sans adresse de retour il finit par jeter le courrier.

Et puis il y a la question de la réputation de domaine. Tous les emails qui partent depuis votre domaine comptent dans votre réputation : ceux de la plateforme emailing, du CRM, du helpdesk, des postes de vos collaborateurs. Tout. Et sans authentification, impossible de savoir qui utilise votre domaine. Un type mal intentionné pourrait très bien envoyer du spam sous votre nom et détruire votre réputation. Vous ne le sauriez même pas.

SPF : déclarer les serveurs autorisés à envoyer pour votre domaine

SPF, pour Sender Policy Framework, est le plus ancien des trois et aussi le plus facile à appréhender. Vous déclarez dans votre DNS quels serveurs ont le droit d’envoyer pour votre domaine. Quand un message arrive, le serveur en face va consulter cette liste et vérifier que le serveur d’envoi y figure bien.

La syntaxe d’un enregistrement SPF

Un enregistrement SPF est un enregistrement DNS de type TXT placé sur votre domaine. Voici un exemple concret :

v=spf1 include:spf.ediware.net include:_spf.google.com ip4:203.0.113.42 -all

Décomposons :

• v=spf1 : indique qu’il s’agit d’un enregistrement SPF (obligatoire, toujours en premier)
• include:spf.ediware.net : autorise les serveurs déclarés dans le SPF d’Ediware, votre plateforme emailing
• include:_spf.google.com : autorise les serveurs Google Workspace si vous utilisez Gmail professionnel
• ip4:203.0.113.42 : autorise une adresse IP spécifique, par exemple votre serveur applicatif
• -all : refuse tout serveur non listé (politique stricte)

La différence entre ~all et -all

Le suffixe fait toute la différence :

• -all (hard fail) : tout serveur non autorisé est rejeté. C’est la politique recommandée une fois votre configuration stabilisée.
• ~all (soft fail) : le serveur non autorisé n’est pas rejeté mais marqué comme suspect. Utile en phase de test pour ne pas bloquer des envois légitimes que vous auriez oubliés.
• ?all (neutre) : aucune indication. Autant ne pas avoir de SPF.

Les limites techniques de SPF

SPF a une contrainte technique importante : la limite de 10 lookups DNS. Chaque directive « include » ou « redirect » génère un lookup. Si votre enregistrement dépasse cette limite, il est invalide. Et un SPF invalide, c’est pire que pas de SPF du tout, car certains filtres le traitent comme un échec.

En pratique, cette limite pose problème aux entreprises qui utilisent beaucoup de services tiers : plateforme emailing, CRM avec envoi d’emails, outil de signature email, helpdesk, outil de facturation. Chacun demande son « include » et on atteint vite les 10 lookups.

La parade : regrouper les IP dans un seul sous-domaine dédié ou utiliser un service de « SPF flattening » qui remplace les includes par les IP résolues. Attention cependant, le flattening nécessite une mise à jour régulière car les IP des services tiers changent.

DKIM : la signature numérique qui certifie l’intégrité du message

SPF vérifie le serveur d’envoi. DKIM, lui, va un cran plus loin : il authentifie le message lui-même. DomainKeys Identified Mail, c’est son nom complet, ajoute une signature cryptographique dans l’en-tête de chaque email. Le serveur qui reçoit le message récupère votre clé publique dans le DNS, et s’en sert pour confirmer deux choses : le contenu n’a pas bougé en transit, et l’expéditeur est bien autorisé.

Comment fonctionne DKIM

Concrètement, ça fonctionne avec une paire de clés asymétriques :

1. Votre plateforme emailing génère deux clés : une clé privée qui reste secrète sur le serveur d’envoi, et une clé publique que vous publiez dans votre DNS.
2. A chaque envoi, le serveur prend certains éléments du message, le corps, des en-têtes comme le From ou le Subject, et les signe avec la clé privée.
3. La signature obtenue est insérée dans l’en-tête DKIM-Signature.
4. En réception, le serveur va chercher votre clé publique dans le DNS pour vérifier que la signature correspond.

Si la signature correspond, le message est authentifié. Si quelqu’un a modifié le contenu en route, la vérification échoue.

Configuration DNS pour DKIM

L’enregistrement DKIM est un enregistrement TXT placé sur un sous-domaine spécifique :

selecteur._domainkey.votredomaine.fr

Le « sélecteur » est un identifiant choisi par votre service d’envoi. Ediware utilise par exemple un sélecteur spécifique à chaque compte. En pratique, la valeur de l’enregistrement a cette tête :

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...

Où la partie après « p= » est votre clé publique encodée en base64. La plupart des plateformes emailing vous fournissent directement l’enregistrement à copier-coller dans votre gestionnaire DNS.

Rotation des clés et bonnes pratiques

En théorie, il faudrait changer vos clés DKIM tous les 6 à 12 mois. La procédure : générer une nouvelle paire, publier la clé publique fraîche dans le DNS, basculer le serveur d’envoi sur la nouvelle clé privée, et après propagation, supprimer l’ancien enregistrement.

Dans les faits, presque personne ne le fait. Mais si votre clé privée fuite un jour, un attaquant pourra signer des messages frauduleux à votre place. La rotation réduit cette fenêtre de risque. Et tant qu’on parle de clés, optez pour du RSA 2048 bits. Le 1024 bits est considéré comme trop faible depuis un bon moment déjà.

DMARC : le chef d’orchestre qui définit la politique d’authentification

DMARC, pour Domain-based Message Authentication, Reporting & Conformance, c’est la couche qui vient chapeauter les deux autres. Il ne remplace ni SPF ni DKIM. Son rôle : dire au serveur destinataire quoi faire quand un message rate les vérifications SPF et DKIM.

Sans DMARC, chaque fournisseur fait ce qu’il veut. Gmail rejette, Yahoo classe en spam, un autre laisse passer. C’est la loterie. Avec DMARC, c’est vous qui fixez les règles.

L’alignement : le concept clé de DMARC

DMARC introduit la notion d’« alignement ». Pour qu’un message soit validé par DMARC, le domaine qui apparaît dans le champ « From » doit correspondre au domaine vérifié par SPF ou DKIM. C’est là que DMARC change la donne par rapport à SPF seul : SPF vérifie le domaine de l’enveloppe SMTP, pas celui que le destinataire voit dans sa boîte de réception.

Exemple : votre email affiche « contact@votreentreprise.fr » dans le From. DMARC va vérifier que le domaine SPF ou DKIM colle bien avec « votreentreprise.fr ». En mode « relaxed », les sous-domaines passent, mail.votreentreprise.fr sera accepté. En mode « strict », il faut que ce soit exactement le même domaine, sans variante.

Syntaxe d’un enregistrement DMARC

L’enregistrement DMARC est un enregistrement TXT placé sur le sous-domaine _dmarc :

_dmarc.votredomaine.fr

Exemple de valeur :

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.fr; pct=100; adkim=r; aspf=r

Les paramètres :

• v=DMARC1 : identifiant du protocole
• p= : la politique à appliquer. Trois valeurs possibles :
  • none : ne rien faire, juste collecter les rapports. C’est le point de départ recommandé.
  • quarantine : placer en spam les messages non conformes.
  • reject : rejeter purement et simplement les messages non conformes.
• rua= : adresse email où envoyer les rapports agrégés (quotidiens). Ces rapports XML vous indiquent qui envoie des emails depuis votre domaine et quels messages échouent.
• pct= : pourcentage de messages soumis à la politique. Vous pouvez commencer à 10% et augmenter progressivement.
• adkim= et aspf= : mode d’alignement pour DKIM et SPF (r=relaxed, s=strict).

La montée progressive en politique DMARC

Ne passez jamais directement à « reject ». La bonne approche en trois étapes :

1. p=none pendant 2 à 4 semaines : vous collectez les rapports sans bloquer quoi que ce soit. Vous identifiez tous les services qui envoient pour votre domaine, y compris ceux que vous aviez oubliés.
2. p=quarantine avec pct=25 puis 50 puis 100 : vous montez progressivement. Les messages non conformes sont placés en spam. Vous surveillez les rapports pour vous assurer qu’aucun envoi légitime n’est affecté.
3. p=reject : une fois que tous vos flux sont authentifiés et alignés, vous passez en rejet. À ce stade, tout email non conforme est bloqué.

Comptez entre 1 et 3 mois pour cette montée progressive. Ca demande de la patience, mais le jeu en vaut la chandelle. Un DMARC en reject protège votre domaine contre le spoofing et, on l’a constaté chez nos clients, améliore nettement la délivrabilité des campagnes.

Les erreurs courantes qui sabotent votre authentification

En plus de vingt ans de support technique chez Ediware, on a vu passer les mêmes erreurs des dizaines de fois. Voici celles qui reviennent le plus souvent.

Plusieurs enregistrements SPF sur le même domaine. La norme RFC 7208 est formelle : un domaine ne doit avoir qu’un seul enregistrement SPF. Si vous en avez deux, le résultat est imprévisible. Les serveurs destinataires peuvent choisir l’un ou l’autre, ou considérer le SPF comme invalide. Quand vous ajoutez un nouveau service, il faut ajouter son « include » dans votre enregistrement existant, pas créer un second enregistrement.

Dépasser la limite des 10 lookups DNS en SPF. Chaque include génère un lookup et la norme autorise 10 lookups au maximum. Dépassez ce seuil et votre SPF est considéré comme en erreur permanente (PermError). Le pire, c’est que tout semble normal quand vous testez avec un outil basique qui ne compte pas les lookups imbriqués.

Oublier d’aligner le domaine d’envoi. Vous avez configuré SPF et DKIM sur votredomaine.fr mais votre plateforme emailing envoie depuis mail.votredomaine.fr. Si DMARC est en mode strict, l’alignement échoue. Vérifiez toujours que le domaine du champ From correspond au domaine authentifié, ou utilisez un alignement relaxed.

Ne pas surveiller les rapports DMARC. Publier un enregistrement DMARC en mode « none » sans jamais lire les rapports, c’est comme installer une caméra de surveillance sans regarder les images. Ces rapports vous révèlent les tentatives de spoofing, les services oubliés qui envoient pour votre domaine, les erreurs de configuration. Il existe des outils gratuits et payants pour les analyser : dmarcian, Postmark DMARC, URIports.

Utiliser une clé DKIM trop courte. Les clés RSA 1024 bits sont encore acceptées mais de plus en plus de filtres les pénalisent. Passez en 2048 bits. Ça ne coûte rien et ça renforce la sécurité de vos signatures.

Les outils pour vérifier votre configuration

Vous pensez que tout est bon ? Vérifiez avant de passer à autre chose. Voici les outils qu’on recommande.

MXToolbox (mxtoolbox.com) : c’est un peu le couteau suisse du diagnostic DNS. Vous entrez votre domaine, il vous sort les résultats SPF, DKIM, DMARC et pointe du doigt les erreurs de syntaxe, les lookups en trop, les incohérences. On l’utilise quotidiennement chez Ediware.

Mail-Tester (mail-tester.com) : vous envoyez un email à une adresse temporaire et vous obtenez une note sur 10. SPF, DKIM, DMARC mais aussi le contenu, les blacklists, bref un diagnostic complet en une seule manip. Pratique pour avoir une vue d’ensemble rapide.

Google Postmaster Tools : gratuit, et franchement sous-utilisé. Si vous envoyez vers Gmail, vous y verrez votre taux d’authentification SPF/DKIM/DMARC, la réputation de votre domaine et de vos IP, plus les erreurs de livraison. Pour le suivi au long cours, il n’y a pas mieux.

DMARC Analyzer ou dmarcian : parce que personne ne va lire des rapports XML à la main, ces services les transforment en tableaux de bord lisibles. Qui envoie depuis votre domaine, quels messages échouent, pourquoi. La version gratuite de dmarcian fait le travail pour commencer.

L’en-tête du message : la méthode la plus directe, et souvent oubliée. Dans Gmail, « Afficher l’original » vous donne les résultats SPF, DKIM, DMARC tels que le serveur les a vus. Pass, fail, neutral. Pas d’interprétation, juste la réalité brute de ce qui s’est passé à la réception.

Ce qu’il faut retenir pour votre configuration

Les trois protocoles fonctionnent ensemble, il ne sert pas à grand-chose d’en configurer un en laissant les deux autres de côté. SPF déclare vos serveurs autorisés. DKIM certifie que le contenu n’a pas bougé. DMARC tranche quand quelque chose cloche.

La marche à suivre pour un domaine qui part de zéro :

1. Listez tous les services qui envoient des emails pour votre domaine : plateforme emailing, CRM, helpdesk, facturation, signatures email.
2. Créez un enregistrement SPF unique qui inclut tous ces services, en restant sous la limite de 10 lookups.
3. Configurez DKIM pour chaque service d’envoi avec des clés RSA 2048 bits.
4. Publiez un enregistrement DMARC en mode « none » avec une adresse de rapport.
5. Analysez les rapports pendant 2 à 4 semaines.
6. Montez progressivement vers « quarantine » puis « reject ».
7. Vérifiez régulièrement avec MXToolbox ou Mail-Tester.

Si la sécurité des emails vous préoccupe, et franchement elle devrait préoccuper toute entreprise qui communique par email, ces trois protocoles sont le minimum syndical. Mieux vaut passer quelques heures sur la configuration maintenant que des semaines à comprendre pourquoi vos campagnes atterrissent en spam.

Chez Ediware, on accompagne nos clients sur ces sujets depuis des années. La plateforme génère automatiquement les enregistrements DKIM et SPF qu’il faut publier dans votre DNS. Vous les copiez-collez, vous configurez DMARC en suivant la méthode progressive qu’on vient de décrire, et c’est réglé.

En bref : SPF, DKIM et DMARC sont les trois protocoles qui prouvent aux serveurs de réception que vos emails sont légitimes. Depuis 2024, Google, Yahoo et Microsoft les exigent. Sans eux, vos campagnes emailing risquent tout simplement de ne pas arriver. Ce guide vous accompagne dans leur configuration, étape par étape.

L’authentification email n’est plus optionnelle

Pendant longtemps, configurer SPF, DKIM et DMARC relevait de la bonne pratique. Un « plus » que les entreprises les plus rigoureuses mettaient en place, sans urgence particulière. Ce n’est plus le cas.

Depuis février 2024, Google et Yahoo exigent que tout expéditeur envoyant plus de 5 000 emails par jour ait configuré ces trois protocoles. Microsoft a suivi en mai 2025 avec des exigences similaires. En clair : si votre domaine n’est pas correctement authentifié, vos messages n’arrivent plus en boîte de réception. Ils sont filtrés, mis en spam, ou purement rejetés.

Le contexte explique cette accélération. D’après le rapport 2024 de Cybermalveillance.gouv.fr, 60% des cyberattaques en France commencent par un email frauduleux. Le phishing reste la menace numéro un, et les chiffres continuent de grimper : selon Factoria Groupe, 43% des TPE-PME françaises ont été victimes d’hameçonnage en 2025, contre 24% un an plus tôt. Presque le double.

Face à cette réalité, les fournisseurs de messagerie ont musclé leurs règles. Gmail a réduit de 65% le volume de messages non authentifiés depuis l’entrée en vigueur de ces exigences, d’après PowerDMARC. Le signal est sans ambiguïté : l’authentification n’est plus un sujet technique qu’on remet à plus tard. C’est la condition de base pour que vos campagnes emailing atteignent leurs destinataires.

SPF : déclarer qui a le droit d’envoyer vos emails

SPF, pour Sender Policy Framework, est le premier des trois protocoles à configurer. Son principe est simple : vous publiez dans les DNS de votre domaine la liste des serveurs autorisés à envoyer des emails en votre nom.

Quand un serveur de réception reçoit un email de votre domaine, il consulte votre enregistrement SPF pour vérifier que le serveur expéditeur figure bien sur la liste. Si c’est le cas, le message passe le contrôle. Sinon, il est signalé comme suspect.

En pratique, l’enregistrement SPF est une ligne de texte ajoutée dans la zone DNS de votre domaine, sous forme d’enregistrement TXT :

v=spf1 include:spf.ediware.net include:_spf.google.com ip4:192.168.1.1 ~all

Chaque élément a un rôle précis :

• v=spf1 indique qu’il s’agit d’un enregistrement SPF
• include: autorise les serveurs d’un service tiers, votre plateforme emailing ou votre messagerie d’entreprise
• ip4: autorise une adresse IP spécifique
• ~all indique que tout serveur non listé doit être traité avec méfiance (soft fail)

Deux points méritent une attention particulière. D’abord, la limite des 10 lookups DNS. Chaque include génère une requête DNS, et certains include en appellent d’autres en cascade. Un enregistrement qui semble contenir quatre entrées peut en réalité générer douze lookups. Au-delà de dix, l’enregistrement SPF entier est invalidé. Pas partiellement. Totalement.

Ensuite, la différence entre ~all (soft fail) et -all (hard fail). Le soft fail est recommandé pendant la phase de déploiement, car il laisse passer les messages tout en les signalant. Le hard fail est plus strict mais risque de bloquer des emails légitimes si la configuration n’est pas parfaitement complète.

D’après l’Afnic, 74,4% des domaines de la zone .fr publient une politique SPF en 2025, contre 57,8% en 2023. La progression est nette. Mais cela signifie aussi qu’un quart des domaines français n’ont toujours pas fait cette configuration de base.

DKIM : prouver que vos messages n’ont pas été altérés

Si SPF vérifie qui envoie le message, DKIM vérifie que le message lui-même n’a pas été modifié en chemin. DKIM, pour DomainKeys Identified Mail, repose sur un principe de signature cryptographique.

Votre serveur d’envoi appose une signature numérique sur chaque email sortant. Cette signature est générée à partir d’une clé privée que seul votre serveur connaît. La clé publique correspondante est publiée dans vos DNS. Quand le serveur du destinataire reçoit le message, il récupère la clé publique, vérifie la signature, et s’assure que rien n’a été modifié entre l’envoi et la réception.

L’enregistrement DKIM dans vos DNS prend cette forme :

selecteur._domainkey.votredomaine.com → enregistrement TXT contenant la clé publique

Le « sélecteur » est un identifiant qui permet d’avoir plusieurs clés DKIM pour un même domaine. Chaque service d’envoi utilise généralement son propre sélecteur : votre plateforme emailing en a un, votre messagerie Google Workspace en a un autre.

Sur la taille des clés, Google recommande 2048 bits. Les clés de 1024 bits fonctionnent encore, mais elles sont considérées comme insuffisantes. Si votre configuration DKIM date de quelques années, il y a de bonnes chances que les clés soient trop courtes. Vérifiez et mettez à jour si nécessaire.

Un point souvent négligé : la rotation des clés DKIM. Comme pour un mot de passe, renouveler ses clés périodiquement est une bonne pratique. Tous les six mois à un an, c’est une fréquence raisonnable. Votre plateforme emailing gère généralement cette rotation de manière transparente, mais mieux vaut s’en assurer.

DMARC : décider du sort des emails non conformes

DMARC, pour Domain-based Message Authentication, Reporting and Conformance, est le troisième maillon de la chaîne. Son rôle : indiquer aux serveurs de réception ce qu’ils doivent faire quand un email échoue aux vérifications SPF et DKIM.

Sans DMARC, chaque fournisseur de messagerie applique ses propres règles, de manière opaque. Avec DMARC, c’est vous qui définissez la politique à suivre. Trois options :

• p=none : ne rien faire de particulier, mais recevoir les rapports. C’est le mode d’observation.
• p=quarantine : envoyer les messages suspects en spam.
• p=reject : rejeter purement et simplement les messages non conformes.

L’enregistrement DMARC se publie dans vos DNS, comme SPF :

_dmarc.votredomaine.com → v=DMARC1; p=none; rua=mailto:dmarc-rapports@votredomaine.com

Le paramètre rua indique l’adresse où recevoir les rapports agrégés. Ces rapports, envoyés au format XML par les fournisseurs de messagerie, vous montrent qui envoie des emails avec votre domaine, combien passent l’authentification, combien échouent. Une mine d’informations pour repérer les problèmes de configuration ou les tentatives d’usurpation.

Un point technique souvent mal compris : l’alignement. DMARC vérifie que le domaine visible dans le champ « From » de l’email correspond au domaine authentifié par SPF ou DKIM. Si votre email affiche « contact@votreentreprise.com » mais que le SPF authentifie un domaine différent, DMARC considère l’email comme non conforme, même si SPF passe techniquement.

Il existe aussi un second type de rapport, les rapports forensiques (paramètre ruf), qui fournissent des détails sur chaque email individuel ayant échoué. Ces rapports sont plus précis mais aussi plus sensibles en termes de données personnelles, raison pour laquelle tous les fournisseurs ne les envoient pas.

Malgré l’efficacité prouvée du protocole, l’adoption reste faible à l’échelle mondiale. Selon le rapport EasyDMARC 2025, seuls 5,2% des domaines utilisent la politique p=reject. La grande majorité en reste à p=none, ce qui revient à observer sans vraiment agir. Dans le secteur du retail français, dmarcian constate que seulement 32% des 100 principaux domaines ont une politique DMARC au niveau de l’application. Les 68% restants sont exposés.

Mettre en place SPF, DKIM et DMARC pas à pas

La configuration suit un ordre logique. Brûler les étapes expose à des blocages qu’on aurait pu éviter.

Étape 1 : inventorier tous vos flux d’envoi. Avant de toucher aux DNS, listez l’ensemble des services qui envoient des emails pour votre domaine. Votre plateforme emailing, votre messagerie d’entreprise (Google Workspace, Microsoft 365), votre CRM, votre outil de facturation, votre site web avec ses formulaires de contact et ses notifications. Chaque service oublié sera potentiellement bloqué une fois l’authentification active.

Étape 2 : configurer SPF. Créez un enregistrement TXT dans votre zone DNS qui autorise tous les services identifiés. Vérifiez que vous ne dépassez pas les 10 lookups DNS. Si c’est le cas, regroupez certaines entrées ou utilisez une technique appelée « SPF flattening » qui remplace les include par les adresses IP correspondantes.

Étape 3 : activer DKIM. Pour chaque service d’envoi, générez une paire de clés DKIM depuis son interface d’administration. Publiez la clé publique dans vos DNS. Activez la signature dans les paramètres du service. Vérifiez que la clé fait bien 2048 bits.

Étape 4 : publier DMARC en mode observation. Commencez avec p=none. C’est la recommandation de Google et de la M3AAWG, l’organisation de référence en matière de lutte contre les abus par email. À ce stade, aucun message n’est bloqué. Vous collectez simplement les données.

Étape 5 : analyser les rapports. Patientez deux à quatre semaines pour accumuler suffisamment de données. Les rapports DMARC en XML sont illisibles à l’oeil nu. Des outils gratuits comme MXToolbox ou dmarcian les transforment en tableaux compréhensibles. Identifiez les services qui échouent et corrigez leur configuration.

Étape 6 : durcir progressivement la politique. Une fois que tous vos flux légitimes passent correctement, passez à p=quarantine. Surveillez encore quelques semaines. Si tout est stable, basculez vers p=reject. Cette montée en puissance est indispensable pour ne pas couper vos propres envois.

Google recommande d’attendre 48 heures entre la mise en place de SPF/DKIM et la publication du DMARC, le temps que les enregistrements DNS se propagent correctement.

Les erreurs de configuration qui passent inaperçues

Certaines erreurs sont fréquentes et peuvent rester invisibles pendant des mois. Le temps qu’un problème de délivrabilité remonte, des campagnes entières auront été dégradées sans que personne ne s’en aperçoive.

Dépasser les 10 lookups SPF. L’erreur la plus répandue. Chaque include déclenche une requête DNS, et certains en appellent d’autres en cascade. Un enregistrement qui semble contenir quatre include peut en réalité générer douze lookups. Au-delà de dix, l’enregistrement SPF entier devient invalide. Pas partiellement, totalement. Vérifiez avec un outil comme MXToolbox SPF Checker.

Oublier un service d’envoi. Votre comptabilité envoie des factures par email, votre support technique envoie des notifications, votre site WordPress envoie des confirmations de formulaire. Si ces services ne figurent pas dans votre SPF et ne signent pas en DKIM, leurs emails échoueront systématiquement. D’où l’importance de l’inventaire initial.

Utiliser des clés DKIM obsolètes. Les clés de 512 ou 1024 bits ne sont plus considérées comme sûres. Si votre DKIM a été mis en place il y a plusieurs années, les clés sont probablement trop courtes. La mise à jour prend quelques minutes mais elle change tout.

Passer trop vite à p=reject. La tentation est forte de vouloir verrouiller rapidement. Mais si un service d’envoi légitime n’est pas correctement authentifié, ses emails seront rejetés sans préavis. Et vous ne le saurez peut-être pas tout de suite. La progression none → quarantine → reject doit se faire sur plusieurs semaines, rapports à l’appui.

Ne pas activer les rapports DMARC. Publier un enregistrement DMARC sans le paramètre rua revient à naviguer sans instruments. Sans rapports, impossible de savoir ce qui passe, ce qui échoue, ou qui tente d’usurper votre domaine.

Ignorer le forwarding. Quand un email est transféré par un intermédiaire, le SPF casse. Le serveur qui transfère n’est pas dans votre liste d’expéditeurs autorisés. DKIM résiste mieux au forwarding car la signature reste intacte. C’est une raison supplémentaire de configurer les deux protocoles et de ne pas se reposer uniquement sur SPF.

Vérifier et surveiller votre authentification

Configurer SPF, DKIM et DMARC ne suffit pas. La vérification initiale et la surveillance continue font partie du processus.

Les outils de vérification immédiate. Plusieurs services en ligne testent votre configuration en quelques secondes. MXToolbox vérifie vos enregistrements SPF, DKIM et DMARC et signale les erreurs. Mail-Tester donne un score de délivrabilité après l’envoi d’un email test. Google Admin Toolbox permet de vérifier spécifiquement les enregistrements DNS. Pour aller plus loin, consultez notre guide complet sur l’authentification email SPF, DKIM et DMARC.

Google Postmaster Tools. Si vous envoyez des volumes significatifs vers des adresses Gmail, cet outil gratuit est indispensable. Il affiche votre taux de spam, votre réputation de domaine, le taux d’authentification SPF/DKIM/DMARC, et les erreurs de livraison. C’est le tableau de bord que Google met à la disposition des expéditeurs pour surveiller leur santé d’envoi.

La lecture des rapports DMARC. Les rapports agrégés arrivent au format XML dans la boîte email configurée. Ils contiennent le volume de messages envoyés depuis votre domaine, les résultats d’authentification pour chaque source d’envoi, et les actions prises par les serveurs destinataires. Des outils comme dmarcian ou MXToolbox DMARC Report Analyzer convertissent ces fichiers en tableaux compréhensibles.

Ce qu’il faut surveiller régulièrement :

• Le taux de spam signalé, que Google recommande de maintenir sous 0,10% avec un seuil critique à 0,3%
• Les sources d’envoi non identifiées dans vos rapports DMARC, qui peuvent signaler une tentative d’usurpation
• La validité de vos enregistrements DNS après toute modification de votre infrastructure

L’authentification email n’est pas un projet ponctuel qu’on coche et qu’on oublie. C’est un processus continu. À chaque ajout de service d’envoi, changement de prestataire ou modification DNS, une vérification s’impose.

L’authentification au service de votre délivrabilité B2B

SPF, DKIM et DMARC ne sont pas que des protocoles de sécurité. Ce sont les fondations de votre réputation d’expéditeur. Et en emailing B2B, la réputation conditionne directement la délivrabilité de vos emailing B2B.

Les fournisseurs de messagerie évaluent chaque domaine expéditeur selon plusieurs critères : taux de plaintes, taux de hard bounces et soft bounces, engagement des destinataires, et authentification. Un domaine correctement authentifié part avec un avantage. Un domaine sans authentification part avec un handicap, quelle que soit la qualité de son contenu.

Pour les entreprises qui font de la prospection par email ou qui gèrent des campagnes de nurturing, l’enjeu est concret. Un email qui n’arrive pas en boîte de réception ne sera jamais lu, jamais cliqué, et ne générera jamais de lead. L’authentification est la condition préalable à tout le reste : objet travaillé, contenu pertinent, segmentation fine. Tout cela n’a de valeur que si le message arrive.

Et il ne s’agit pas seulement des grands volumes. Même une entreprise qui envoie quelques centaines d’emails par semaine bénéficie d’une authentification correcte. Les filtres anti-spam ne font pas de distinction : un domaine sans SPF ni DKIM est un domaine suspect, point. Par ailleurs, si un tiers usurpe votre domaine pour envoyer du spam, c’est votre réputation d’expéditeur qui en pâtit directement, avec des conséquences sur la délivrabilité de vos propres campagnes.

Le paysage réglementaire continue d’évoluer vers plus de rigueur. Après Google et Yahoo en 2024, Microsoft en 2025, la norme PCI DSS v4.0 rendra DMARC obligatoire en 2026 pour les organisations traitant des données de cartes bancaires. La tendance est claire et ne s’inversera pas.

Si vous n’avez pas encore configuré SPF, DKIM et DMARC sur votre domaine, c’est le moment de le faire. La mise en place prend quelques heures au plus, et les bénéfices sur votre délivrabilité sont immédiats. Et si la configuration est déjà en place, vérifiez qu’elle est à jour : clés DKIM en 2048 bits, politique DMARC qui progresse vers p=quarantine ou p=reject, tous vos flux d’envoi correctement déclarés.

Vos emails arrivent-ils vraiment à destination ? La question peut sembler naïve, et pourtant. En B-to-B, la délivrabilité reste l’un des sujets les moins bien compris par les équipes marketing. On se concentre sur l’objet, sur le design, sur le ciblage, mais on oublie parfois l’essentiel : si le message n’atteint pas la boîte de réception, tout le reste ne sert à rien.

Un bon taux de délivrabilité se situe entre 95% et 98%. En dessous de 90%, il y a un problème sérieux à résoudre. Et entre ces deux seuils, chaque point de pourcentage représente des opportunités commerciales perdues.

La délivrabilité, un enjeu sous-estimé en B2B

Il faut d’abord clarifier un malentendu fréquent. Le taux de délivrabilité mesure le pourcentage d’emails qui ne génèrent pas d’erreur technique, autrement dit les messages qui arrivent quelque part sur le serveur du destinataire. Ce n’est pas la même chose que le taux d’aboutissement en boîte de réception.

Un email peut être « délivré » au sens technique et finir directement dans le dossier spam. Il peut être accepté par le serveur et ne jamais apparaître dans la boîte principale du destinataire. La formule est simple : nombre d’emails délivrés divisé par le nombre d’emails envoyés, multiplié par 100. Mais cette formule ne raconte qu’une partie de l’histoire.

En B-to-B, les enjeux sont particuliers. Les filtres antispam des entreprises sont souvent plus stricts que ceux des messageries grand public. Les administrateurs système configurent des règles spécifiques. Les politiques de sécurité internes peuvent bloquer certains expéditeurs sans même générer de message d’erreur.

Le taux d’ouverture moyen des emails en 2024 atteint 26,6% selon les études du secteur, en hausse par rapport à l’année précédente. Ce chiffre suggère que les bonnes pratiques paient. Mais il masque aussi une réalité : une part significative des emails n’arrivent tout simplement jamais à destination.

Les nouvelles règles du jeu depuis 2024

Février 2024 marque un tournant majeur. Google et Yahoo ont commencé à appliquer de nouvelles exigences pour les expéditeurs d’emails. D’abord des erreurs temporaires sur un petit pourcentage de messages non conformes, puis des rejets de plus en plus systématiques à partir d’avril.

En juin 2024, l’obligation du désabonnement en un clic est devenue effective. En avril 2025, Microsoft a rejoint le mouvement avec des exigences similaires pour Outlook.com, Hotmail et Live.com. Le 5 mai 2025, Microsoft a commencé à rejeter directement les emails non conformes, pas seulement à les envoyer en spam.

Concrètement, qu’est-ce qui a changé ? Pour les expéditeurs qui envoient plus de 5 000 emails par jour, trois protocoles d’authentification sont désormais obligatoires : SPF, DKIM et DMARC. Pour les volumes plus faibles, SPF ou DKIM suffit, mais mieux vaut avoir les trois.

Le seuil de plainte pour spam est fixé à 0,3% maximum. Idéalement, il faut viser moins de 0,1%. Au-delà, vos messages risquent d’être bloqués ou systématiquement envoyés en spam. Les messages doivent également inclure un mécanisme de désabonnement en un clic, avec un traitement effectif sous deux jours.

Ces règles concernent d’abord les messageries grand public. Mais elles ont un effet indirect sur le B-to-B. Les bonnes pratiques deviennent la norme, et les expéditeurs qui ne s’y conforment pas voient leur réputation globale se dégrader.

L’authentification technique : SPF, DKIM et DMARC expliqués simplement

Ces trois acronymes font peur à beaucoup de marketeurs. Pourtant, leur principe est assez simple à comprendre.

SPF, pour Sender Policy Framework, répond à une question basique : qui a le droit d’envoyer des emails au nom de votre domaine ? C’est une liste d’adresses IP autorisées, publiée dans les enregistrements DNS de votre domaine. Quand un serveur reçoit un email prétendant venir de votre domaine, il vérifie si l’IP de l’expéditeur figure dans cette liste.

DKIM, pour DomainKeys Identified Mail, ajoute une signature numérique à chaque email. Cette signature prouve que le message n’a pas été modifié en transit et qu’il provient bien du domaine annoncé. C’est un peu comme un sceau sur une enveloppe : si le sceau est intact, le contenu est authentique.

DMARC, pour Domain-based Message Authentication, Reporting and Conformance, combine les deux précédents et définit une politique d’action. Que faire si un email échoue aux vérifications SPF et DKIM ? Le rejeter, le mettre en quarantaine, ou le laisser passer ? DMARC permet aussi de recevoir des rapports sur les tentatives d’usurpation de votre domaine.

Pour vérifier que tout est bien configuré, plusieurs outils en ligne existent. MXToolbox permet de tester vos enregistrements DNS. La plupart des plateformes emailing proposent également des diagnostics intégrés. L’erreur la plus courante reste l’oubli de mettre à jour les enregistrements SPF quand on change de prestataire d’envoi.

La réputation d’expéditeur : IP et domaine

La réputation d’expéditeur fonctionne comme un score de crédit. Elle s’accumule au fil du temps, peut être endommagée rapidement, et met longtemps à se reconstruire.

Historiquement, cette réputation était attachée à l’adresse IP utilisée pour l’envoi. C’est encore le cas, mais une évolution majeure s’est produite ces dernières années : la réputation de domaine prend désormais le dessus. Les fournisseurs de messagerie évaluent l’ensemble de votre activité d’envoi, quelle que soit l’IP utilisée.

Cette évolution a des implications pratiques. Changer d’adresse IP ne suffit plus à repartir de zéro. À l’inverse, utiliser une IP partagée avec d’autres expéditeurs vertueux peut bénéficier aux petits volumes.

Les blacklists, ou listes noires, constituent l’autre face de la médaille. Spamhaus est la référence en matière de lutte antispam. Si votre IP ou votre domaine y figure, c’est qu’il y a un problème majeur. D’autres listes comme SpamCop ou Barracuda ont également un impact, quoique moins sévère.

Pour vérifier votre statut, le site check.spamhaus.org permet une consultation gratuite. MXToolbox teste votre adresse contre plus de 100 blacklists simultanément. Un contrôle régulier est recommandé, même en l’absence de problème apparent.

Sortir d’une blacklist demande du temps et des explications. Il faut d’abord identifier la cause du problème, la corriger, puis soumettre une demande de retrait accompagnée d’une explication crédible. La plupart des blacklists demandent des garanties sur les mesures prises pour éviter la récidive.

La qualité de la base de contacts, fondement de la délivrabilité

Aucune configuration technique ne compensera une base de contacts de mauvaise qualité. C’est la règle fondamentale de la délivrabilité. Une base mal qualifiée, incomplète ou obsolète entraîne des rebonds, une baisse de réputation, et à terme une chute de délivrabilité.

Les hard bounces, ou rebonds définitifs, signalent des adresses qui n’existent plus ou qui n’ont jamais existé. Un taux de hard bounce supérieur à 2% est un signal d’alarme. Ces adresses doivent être supprimées immédiatement et définitivement de vos listes.

Les soft bounces, ou rebonds temporaires, indiquent un problème ponctuel : boîte pleine, serveur indisponible, message trop volumineux. Ils méritent une ou deux tentatives supplémentaires, mais une adresse qui génère des soft bounces répétés doit être traitée comme un hard bounce.

Les spamtraps représentent un danger particulier. Ce sont des adresses créées spécifiquement pour piéger les spammeurs. Certaines sont des adresses recyclées, autrefois actives puis abandonnées et réactivées comme pièges. D’autres n’ont jamais été utilisées par de vrais humains. Envoyer un email à un spamtrap démontre que vous utilisez des listes non sollicitées ou mal entretenues.

Le double opt-in reste la meilleure protection. En B-to-B, on peut être tenté de le considérer comme superflu, mais il garantit que l’adresse est valide et que son propriétaire souhaite vraiment recevoir vos communications. Pour envoyer des emails en masse sans passer pour un spammeur, c’est un prérequis incontournable.

Un nettoyage régulier de la base s’impose. Supprimez les adresses inactives depuis plus de six mois ou un an selon votre fréquence d’envoi. Utilisez des solutions de validation d’emails pour vérifier les nouvelles inscriptions. Ces investissements se remboursent largement par l’amélioration de la délivrabilité.

Le contenu de l’email et son impact sur le filtrage

Les filtres antispam analysent le contenu des messages à la recherche de signaux suspects. Comprendre le fonctionnement des filtres antispam permet d’éviter les pièges les plus courants.

Certains mots et expressions déclenchent des alertes : « urgent », « gagnez de l’argent », « offre exclusive », « cliquez ici immédiatement ». Utilisés ponctuellement et dans un contexte légitime, ils ne posent pas de problème. Accumulés dans un même message, ils augmentent le score de spam.

Le ratio texte/image a également son importance. Un email constitué uniquement d’une grande image avec peu de texte sera suspect. Les filtres ne peuvent pas lire le contenu des images, ce qui les rend méfiants. Un équilibre raisonnable, avec du texte visible et des images complémentaires, fonctionne mieux.

Les liens contenus dans le message sont analysés. Leur réputation est vérifiée. Un lien vers un domaine blacklisté ou suspect peut suffire à faire passer tout votre email en spam. Évitez les raccourcisseurs d’URL publics, préférez les liens directs vers vos propres domaines.

Le lien de désinscription doit être clairement visible. Au-delà de l’obligation légale liée au RGPD, c’est un signal de confiance pour les filtres. Un expéditeur qui facilite le désabonnement est considéré comme plus fiable qu’un autre qui le cache en bas de page en petits caractères.

L’en-tête List-Unsubscribe permet un désabonnement en un clic directement depuis l’interface de messagerie, sans même ouvrir l’email. C’est désormais une exigence pour les gros expéditeurs, mais tous les marketeurs B-to-B ont intérêt à l’implémenter.

Surveiller et maintenir sa délivrabilité dans la durée

La délivrabilité n’est pas un sujet qu’on règle une fois pour toutes. Elle demande une surveillance continue et des ajustements réguliers.

Les indicateurs à suivre en priorité sont le taux de rebond, le taux de plainte spam, le taux d’ouverture et le taux de clic. Une dégradation soudaine de l’un de ces indicateurs signale un problème à investiguer rapidement. Une dégradation progressive peut passer inaperçue si on ne compare pas les performances dans le temps.

La régularité des envois contribue à maintenir une bonne réputation. Un expéditeur qui envoie des volumes stables chaque semaine ou chaque mois est considéré comme plus fiable qu’un autre qui alterne entre des périodes de silence et des pics de volume.

Après une période d’inactivité, il est recommandé de reprendre progressivement. Commencez par vos contacts les plus engagés, ceux qui ouvrent et cliquent régulièrement. Augmentez ensuite les volumes graduellement sur plusieurs jours ou semaines. Cette approche, parfois appelée « warming », permet de reconstruire la confiance sans déclencher d’alertes.

En cas de problème avéré, un audit complet s’impose. Vérifiez la configuration technique, analysez la qualité de votre base, examinez le contenu de vos dernières campagnes. Cherchez ce qui a changé récemment : nouveau domaine d’envoi, modification des templates, import de contacts d’une nouvelle source.

Les outils de monitoring comme Google Postmaster Tools fournissent des informations précieuses sur la façon dont Gmail perçoit vos envois. D’autres services comme Sender Score ou Talos Intelligence permettent d’évaluer votre réputation globale.

Questions fréquentes sur la délivrabilité email B2B

QUEL EST UN BON TAUX DE DÉLIVRABILITÉ EN B2B ?

Un taux entre 95% et 98% est considéré comme bon. En dessous de 90%, il faut impérativement auditer vos pratiques et corriger les problèmes identifiés. Attention à ne pas confondre délivrabilité technique et aboutissement en boîte de réception.

SPF, DKIM ET DMARC SONT-ILS VRAIMENT OBLIGATOIRES ?

Pour les expéditeurs de plus de 5 000 emails par jour vers Gmail, Yahoo ou Outlook, oui. Pour les autres, c’est fortement recommandé. Ces protocoles sont devenus le standard et leur absence nuit à votre réputation globale.

COMMENT SAVOIR SI JE SUIS SUR UNE BLACKLIST ?

Utilisez des outils comme MXToolbox ou check.spamhaus.org pour vérifier votre statut. Un contrôle régulier, même en l’absence de problème apparent, permet de détecter les inscriptions avant qu’elles n’impactent significativement vos envois.

À QUELLE FRÉQUENCE NETTOYER SA BASE DE CONTACTS ?

Un nettoyage mensuel des adresses en rebond est le minimum. Une analyse trimestrielle des contacts inactifs est recommandée. Les adresses sans aucune interaction depuis six mois à un an devraient être supprimées ou placées dans un segment de réactivation spécifique.

LE CONTENU DE L’EMAIL INFLUENCE-T-IL VRAIMENT LA DÉLIVRABILITÉ ?

Oui, mais moins qu’on ne le pense parfois. Les filtres modernes se basent davantage sur la réputation de l’expéditeur et l’engagement des destinataires que sur des mots-clés isolés. Cela dit, un contenu truffé de signaux suspects cumulés peut faire basculer un email vers le spam.

PEUT-ON RÉCUPÉRER UNE MAUVAISE RÉPUTATION D’EXPÉDITEUR ?

C’est possible mais cela prend du temps. Il faut d’abord identifier et corriger la source du problème, puis reconstruire progressivement la confiance en envoyant des messages de qualité à des destinataires engagés. Comptez plusieurs semaines à plusieurs mois selon la gravité de la situation.

FAUT-IL UNE IP DÉDIÉE OU UNE IP PARTAGÉE ?

Pour des volumes importants et réguliers, une IP dédiée offre un meilleur contrôle sur votre réputation. Pour des volumes plus modestes, une IP partagée avec d’autres expéditeurs vertueux peut être avantageuse. La réputation de domaine étant désormais prédominante, ce choix est moins déterminant qu’auparavant.