Pourquoi mes emails arrivent-ils en spam malgré un contenu légitime ?

Dans la majorité des cas, le problème vient d'une authentification email incomplète. Si vos enregistrements SPF, DKIM ou DMARC sont absents ou mal configurés, les serveurs de réception (Gmail, Outlook, Yahoo…) considèrent vos messages comme potentiellement frauduleux et les redirigent vers le dossier spam. Depuis février 2024, Google et Yahoo exigent explicitement ces trois protocoles pour les expéditeurs envoyant plus de 5 000 emails par jour.

Peut-on configurer SPF, DKIM et DMARC soi-même sans compétences techniques ?

La configuration de SPF est relativement accessible si vous savez accéder à votre zone DNS. DKIM nécessite la génération d'une paire de clés cryptographiques, ce qui est plus technique. DMARC demande de comprendre les politiques d'alignement. Si vous n'êtes pas à l'aise, il est fortement recommandé de faire appel à un professionnel pour éviter de bloquer involontairement vos propres emails. Une erreur dans un enregistrement SPF trop restrictif peut empêcher toute livraison.

Combien de temps faut-il pour que SPF, DKIM et DMARC soient actifs ?

Une fois les enregistrements DNS ajoutés, la propagation prend généralement entre 15 minutes et 48 heures, selon votre hébergeur DNS et le TTL configuré. Il est conseillé de vérifier la propagation avec des outils comme MXToolbox ou Google Admin Toolbox avant de passer DMARC en politique stricte (quarantine ou reject).

Délivrabilité email : configurer SPF, DKIM et DMARC pas à pas

Pourquoi la délivrabilité email est un enjeu critique en 2025

Vous envoyez des newsletters, des confirmations de commande ou des emails de prospection… mais combien arrivent réellement dans la boîte de réception de vos destinataires ?

Selon une étude de Validity (2024), environ 1 email sur 6 n’atteint jamais la boîte de réception dans le monde. En France, le taux de délivrabilité moyen tourne autour de 83 %. Cela signifie que si vous envoyez 10 000 emails, potentiellement 1 700 d’entre eux finissent en spam — ou pire, sont purement rejetés.

La cause principale ? Une authentification email absente ou mal configurée.

Depuis février 2024, Google et Yahoo ont durci leurs exigences : tout expéditeur envoyant plus de 5 000 messages par jour doit avoir SPF, DKIM et DMARC correctement configurés. Microsoft (Outlook/Hotmail) a emboîté le pas en mai 2025 avec des règles similaires.

Ces trois protocoles — SPF, DKIM et DMARC — forment le trio fondamental de l’authentification email. Voyons ensemble comment les configurer pas à pas.

Comprendre le rôle de chaque protocole

Avant de plonger dans la configuration technique, prenons un moment pour comprendre ce que fait chacun de ces protocoles. Pensez-y comme un système de sécurité à trois niveaux.

SPF : qui a le droit d’envoyer en votre nom ?

SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine.

Concrètement, quand Gmail reçoit un email venant de contact@votredomaine.fr, il vérifie l’enregistrement SPF de votredomaine.fr pour s’assurer que l’adresse IP du serveur expéditeur est bien autorisée.

Analogie simple : c’est comme une liste d’invités à l’entrée d’un événement. Si votre nom n’est pas sur la liste, vous ne rentrez pas.

DKIM : l’email a-t-il été falsifié en route ?

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique dans l’en-tête de chaque email envoyé. Le serveur de réception vérifie cette signature à l’aide d’une clé publique publiée dans votre DNS.

Si le contenu du message a été modifié pendant le transit, la signature ne correspond plus et l’email est considéré comme suspect.

Analogie simple : c’est un sceau de cire sur une lettre. S’il est brisé, on sait que quelqu’un a ouvert l’enveloppe.

DMARC : que faire quand la vérification échoue ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est la couche décisionnelle. Il indique aux serveurs de réception quelle politique appliquer quand un email échoue aux vérifications SPF et/ou DKIM :

none : ne rien faire (mode observation)
quarantine : placer en spam
reject : rejeter purement et simplement

DMARC fournit aussi des rapports précieux sur les tentatives d’usurpation de votre domaine.

Tableau récapitulatif des trois protocoles

Protocole	Type DNS	Rôle principal	Question à laquelle il répond
SPF	TXT	Autorise les serveurs expéditeurs	”Ce serveur a-t-il le droit d’envoyer pour ce domaine ?”
DKIM	TXT (clé publique)	Garantit l’intégrité du message	”Le message a-t-il été altéré en transit ?”
DMARC	TXT	Définit la politique en cas d’échec	”Que faire si SPF ou DKIM échoue ?”

Étape 1 : configurer SPF correctement

Identifier tous vos expéditeurs

Avant d’écrire votre enregistrement SPF, listez exhaustivement tous les services qui envoient des emails en utilisant votre domaine :

Votre serveur d’hébergement web (OVH, AWS, o2switch…)
Votre solution emailing (Mailchimp, Brevo, SendGrid…)
Votre CRM (HubSpot, Salesforce…)
Google Workspace ou Microsoft 365
Votre plateforme e-commerce (Prestashop, WooCommerce…)
Tout service transactionnel (Mailjet, Amazon SES…)

Oublier un seul service signifie que ses emails échoueront à la vérification SPF.

Créer l’enregistrement SPF

L’enregistrement SPF est un enregistrement DNS de type TXT placé à la racine de votre domaine. Voici un exemple concret pour une entreprise utilisant Google Workspace, Brevo et un serveur dédié :

v=spf1 include:_spf.google.com include:sendinblue.com ip4:91.121.XX.XX -all

Décryptage :

v=spf1 : version du protocole SPF
include:_spf.google.com : autorise les serveurs Google Workspace
include:sendinblue.com : autorise les serveurs Brevo (ex-Sendinblue)
ip4:91.121.XX.XX : autorise une adresse IP spécifique (votre serveur dédié)
-all : rejette tout ce qui ne correspond pas (politique stricte)

Les pièges à éviter avec SPF

Ne dépassez pas 10 lookups DNS. Chaque include génère une ou plusieurs résolutions DNS. Au-delà de 10, votre SPF est invalide. C’est l’erreur la plus fréquente.
Un seul enregistrement SPF par domaine. Si vous en avez deux, les deux sont ignorés.
Attention au ~all vs -all. Le tilde (~) est un “soft fail” (tolérant), le tiret (-) est un “hard fail” (strict). Commencez par ~all pendant vos tests, puis passez à -all.

Étape 2 : configurer DKIM

Générer les clés DKIM

La plupart des services d’envoi (Google Workspace, Brevo, Mailchimp, Amazon SES) vous fournissent directement les clés DKIM à publier. La procédure générale :

Connectez-vous à l’interface d’administration de votre service d’envoi
Accédez à la section Authentification ou Paramètres du domaine
Générez la paire de clés DKIM (le service conserve la clé privée)
Copiez l’enregistrement DNS fourni (clé publique)

Publier la clé publique dans votre DNS

Ajoutez un enregistrement TXT dans votre zone DNS. Voici un exemple pour Google Workspace :

google._domainkey.votredomaine.fr  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...longue_clé_publique..."

Structure de l’enregistrement :

google._domainkey : le sélecteur DKIM (chaque service a le sien)
v=DKIM1 : version du protocole
k=rsa : algorithme de chiffrement
p=... : la clé publique elle-même

Vérification

Après propagation DNS (jusqu’à 48 heures), envoyez un email de test et vérifiez les en-têtes du message reçu. Vous devez voir :

Authentication-Results: dkim=pass header.d=votredomaine.fr

Des outils gratuits comme mail-tester.com ou MXToolbox DKIM Lookup permettent de valider instantanément votre configuration.

Étape 3 : configurer DMARC

Commencer en mode observation

Ne passez jamais directement en politique reject. L’approche recommandée par tous les experts — et c’est celle que nous appliquons systématiquement chez Lueur Externe pour nos clients — est de procéder progressivement :

Phase 1 — Observation (2 à 4 semaines) :

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; ruf=mailto:dmarc-forensic@votredomaine.fr; fo=1"

Décryptage :

p=none : aucune action, on observe seulement
rua= : adresse pour recevoir les rapports agrégés (fichiers XML quotidiens)
ruf= : adresse pour les rapports forensiques (détail par message)
fo=1 : génère un rapport pour chaque échec

Phase 2 — Quarantaine (2 à 4 semaines) :

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@votredomaine.fr"

Ici, pct=25 signifie que la politique de quarantaine ne s’applique qu’à 25 % des emails échouant la vérification. Augmentez progressivement à 50 %, puis 100 %.

Phase 3 — Rejet :

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.fr"

Cette politique finale bloque totalement les emails non authentifiés. C’est la protection maximale contre le phishing et l’usurpation d’identité.

Analyser les rapports DMARC

Les rapports XML bruts sont difficilement lisibles. Utilisez des outils spécialisés pour les interpréter :

DMARC Analyzer (Mimecast)
Postmark DMARC (gratuit pour les rapports agrégés)
dmarcian
EasyDMARC

Ces outils transforment les données XML en tableaux de bord visuels qui montrent clairement :

Quels serveurs envoient des emails en votre nom
Le taux de réussite/échec SPF et DKIM
Les tentatives d’usurpation potentielles

Vérifier que tout fonctionne : la checklist complète

Une fois les trois protocoles configurés, voici comment valider l’ensemble :

Envoyez un email de test à une adresse Gmail et examinez les en-têtes (via “Afficher l’original”)
Vérifiez les résultats attendus :
- spf=pass
- dkim=pass
- dmarc=pass
Utilisez mail-tester.com : visez un score de 9/10 ou 10/10
Contrôlez via MXToolbox :
Attendez 48 à 72 heures après la mise en place de DMARC pour recevoir vos premiers rapports

Exemple d’en-tête d’un email correctement authentifié

Authentication-Results: mx.google.com;
       dkim=pass header.i=@votredomaine.fr header.s=google header.b=XXXXXXXX;
       spf=pass (google.com: domain of contact@votredomaine.fr designates 209.85.220.41 as permitted sender) smtp.mailfrom=contact@votredomaine.fr;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=votredomaine.fr

Quand vous voyez ces trois pass, votre configuration est opérationnelle.

Les erreurs les plus fréquentes (et comment les éviter)

Après avoir accompagné des centaines de clients dans la configuration de leur infrastructure email depuis 2003, l’équipe de Lueur Externe constate que les mêmes erreurs reviennent systématiquement :

Oublier un service d’envoi dans le SPF. Votre site Prestashop envoie des emails transactionnels via un serveur différent de votre newsletter ? Il faut les deux dans le SPF.
Dépasser la limite de 10 lookups DNS en SPF. Solution : utilisez des mécanismes ip4 ou ip6 au lieu de multiples include, ou passez à un service de “flattening” SPF.
Publier deux enregistrements SPF. Un seul est autorisé. Fusionnez tout dans un seul enregistrement TXT.
Ne pas configurer DKIM pour chaque service. Chaque outil d’envoi (Google, Brevo, Mailchimp) a son propre sélecteur DKIM. Ils doivent tous être publiés.
Passer directement DMARC en reject. Vous risquez de bloquer vos propres emails légitimes si un service n’est pas correctement authentifié.
Ignorer les rapports DMARC. Ces rapports sont une mine d’or pour identifier les problèmes et les tentatives de fraude.

L’impact concret sur votre délivrabilité

Les chiffres parlent d’eux-mêmes. Voici ce que l’on observe généralement après une configuration complète SPF + DKIM + DMARC :

Métrique	Avant configuration	Après configuration
Taux de délivrabilité	78 - 85 %	95 - 99 %
Taux de placement en spam	10 - 20 %	1 - 3 %
Score mail-tester.com	4 - 6/10	9 - 10/10
Tentatives de phishing détectées	Invisible	Visible via rapports DMARC

Pour un site e-commerce envoyant 50 000 emails transactionnels par mois (confirmations de commande, relances de panier, suivi de livraison), passer de 82 % à 97 % de délivrabilité représente 7 500 emails supplémentaires qui atteignent réellement vos clients chaque mois. L’impact sur le chiffre d’affaires est direct et mesurable.

Au-delà du trio : les bonnes pratiques complémentaires

SPF, DKIM et DMARC constituent le socle indispensable, mais la délivrabilité email repose aussi sur d’autres facteurs :

BIMI (Brand Indicators for Message Identification) : affiche votre logo dans la boîte de réception Gmail, Yahoo et Apple Mail. Nécessite DMARC en politique quarantine ou reject.
Réputation IP et domaine : surveillez votre réputation via Google Postmaster Tools et Sender Score.
Hygiène de liste : nettoyez régulièrement vos listes de contacts. Un taux de bounce supérieur à 2 % dégrade votre réputation.
Contenu et engagement : un bon taux d’ouverture et de clics renforce votre réputation expéditeur dans le temps.
Enregistrement MTA-STS et TLS-RPT : ces protocoles complémentaires imposent le chiffrement TLS pour le transit des emails et fournissent des rapports sur les échecs de connexion sécurisée.

Conclusion : sécurisez vos emails, protégez votre marque

Configurer SPF, DKIM et DMARC n’est plus optionnel en 2025. C’est une obligation technique imposée par les principaux fournisseurs de messagerie et un investissement direct dans la performance de votre communication email.

Le processus est méthodique : identifier tous vos flux d’envoi, publier les enregistrements DNS corrects, déployer DMARC progressivement et analyser les rapports. Chaque étape demande de la rigueur, car une erreur peut avoir des conséquences immédiates sur votre capacité à communiquer avec vos clients.

Si vous ne vous sentez pas à l’aise avec la configuration DNS ou si vous gérez une infrastructure email complexe (multi-domaines, multi-services, e-commerce à fort volume), ne prenez pas de risque.

L’équipe de Lueur Externe accompagne les entreprises dans la configuration complète de leur authentification email depuis plus de 20 ans. De l’audit initial à la mise en place de DMARC en politique stricte, en passant par le monitoring continu des rapports, nous assurons que chacun de vos emails atteint sa destination.

Contactez Lueur Externe pour un audit gratuit de votre délivrabilité email et la mise en conformité de vos enregistrements SPF, DKIM et DMARC.