Vous avez envoyé une facture, une proposition ou une newsletter et aucune réponse n’est arrivée. Le message n’a pas disparu, il a souvent été classé comme spam ou rejeté avant la boîte de réception.
Depuis 2024-2025, les principaux fournisseurs ont durci les règles d’authentification et de filtrage des e-mails. La suite précise les obligations et les étapes pratiques pour restaurer la délivrabilité.
A retenir :
- SPF, DKIM et DMARC obligatoires pour la majorité des fournisseurs
- Mise en place progressive de p=none vers p=reject recommandée
- Cartographie des flux d’envoi, suppression des entrées DNS obsolètes
- Impact direct sur factures, newsletters et conversion e-commerce
Analyser les protocoles SPF, DKIM et DMARC pour la prévention du spam
Pour assurer la prévention du spam, il faut d’abord comprendre le rôle de chaque protocole. Cette section détaille le fonctionnement, les limites et les bonnes pratiques DNS associées.
Les équipes peuvent se sentir dépassées par les recommandations multiples et les outils variés. Comprendre ces protocoles permet ensuite de lancer un audit technique ciblé sur la messagerie.
Date
Acteur
Mesure
Février 2024
Google / Yahoo
SPF, DKIM et DMARC obligatoires pour envois massifs
Juin 2024
Google
SPF et DKIM exigés pour tous les expéditeurs
Mai 2025
Microsoft
Obligation d’authentification pour Outlook et rejet code 550
Novembre 2025
Google
Rejets permanents des e-mails non conformes
2026
Tendance générale
Généralisation progressive aux fournisseurs et volumes divers
SPF : fonctionnement, limites et bonnes pratiques DNS
Ce point se rattache à l’analyse des protocoles et explique le rôle du SPF dans la délivrabilité. Le SPF publie en DNS la liste des serveurs autorisés à envoyer des e-mails pour un domaine.
Le SPF utilise le champ Return-Path pour la vérification, ce qui le rend vulnérable aux réexpéditions. Selon Google, l’alignement SPF reste critique pour la délivrabilité et doit être maintenu.
Flux autorisés :
- IP des serveurs internes
- Services d’e-mailing externes utilisés
- Plateformes transactionnelles et CRM
« J’ai vu un client perdre des factures parce que son SPF contenait des include obsolètes »
Pierre N.
DKIM : signature cryptographique et survie au transfert
Ce point complète l’explication du SPF en montrant pourquoi DKIM est indispensable pour les transferts. DKIM ajoute une signature liée au contenu, qui subsiste lors des redirections et alias.
La clé publique DKIM se publie en enregistrement TXT avec un sélecteur, et la clé recommandée est 2048 bits. Selon Yahoo, privilégier l’alignement DKIM améliore nettement la confiance des principaux fournisseurs.
Étapes DKIM :
- Générer paire de clés 2048 bits
- Déployer la clé privée sur l’émetteur
- Publier la clé publique en DNS
Cartographier les flux d’envoi et auditer la zone DNS pour la sécurité informatique
Après l’étude des protocoles, il faut cartographier tous les flux qui utilisent votre domaine pour envoyer des messages. Cette phase d’inventaire permet d’identifier les services oubliés et les clés DKIM orphelines.
Je comprends que l’inventaire prend du temps, mais il est indispensable pour éviter les pertes de messages. L’audit ouvre la voie à une politique DMARC adaptée et à des actions correctives ciblées.
Inventaire des sources d’envoi et nettoyage DNS
Ce élément s’inscrit dans la cartographie et décrit l’inventaire des expéditeurs légitimes. Répertoriez CRM, plateformes marketing, passerelles transactionnelles et services tiers afin de comparer avec les enregistrements SPF et DKIM.
Selon Microsoft, un enregistrement SPF mal dimensionné ou des includes cassés entraînent des échecs d’authentification. Nettoyer la zone DNS réduit les risques d’anti-spoofing et améliore la réputation.
Sources oubliées :
- Plateformes marketing non mises à jour
- Boîtes automatiques non documentées
- Services externes résiliés mais référencés
« Nous avons trouvé trois services hérités qui envoyaient au nom du domaine sans autorisation »
Claire N.
Outils pratiques pour vérifier la délivrabilité et le filtrage
Ce passage relie l’audit aux outils que vous utiliserez pour tester la configuration et surveiller la délivrabilité. Des services comme MxToolbox, Google Postmaster et Mail-Tester offrent des contrôles ciblés et des diagnostics exploitables.
Selon Google, maintenir un faible taux de signalement de spam reste primordial pour la réputation d’envoi. Surveillez régulièrement les métriques d’authentification et les rapports DMARC pour anticiper les blocages.
Outils recommandés :
- MxToolbox pour vérifications DNS et syntaxe
- Google Postmaster pour métriques et réputation
- Mail-Tester pour scoring d’indésirabilité
« Nos taux de livraison ont augmenté après la mise en conformité DMARC progressive »
Lucas N.
Déployer une politique DMARC progressive et surveiller les rapports pour l’anti-spoofing
Suite au nettoyage DNS et aux vérifications, la mise en œuvre DMARC doit se faire progressivement pour éviter des pertes d’e-mails. Le passage de p=none à p=quarantine puis p=reject constitue une montée en sensibilité contrôlée.
Une politique bien conduite protège votre marque contre l’anti-spoofing et limite les risques juridiques et commerciaux. La dernière phase consiste à automatiser les alertes et maintenir la surveillance des rapports RUA.
Étapes pratiques pour passer de p=none à p=reject
Ce segment suit l’approche progressive et décrit les étapes concrètes pour durcir la politique DMARC. L’inventaire des flux, la correction des échecs et l’analyse RUA sur plusieurs semaines sont indispensables.
Étape
Action
Objectif
1
Inventaire des flux
Identifier toutes les sources d’envoi
2
Configurer SPF et DKIM
Authentification de chaque source
3
Publier DMARC p=none
Collecter rapports sans blocage
4
Analyser RUA 2-4 semaines
Corriger les échecs d’alignement
5
Passer p=quarantine
Observer impact sans couper les flux
6
Passer p=reject
Bloquer usurpations et protéger domaine
Consignes de garde :
- Tester avant chaque changement de politique
- Surveiller les rapports DMARC quotidiennement
- Documenter tous les services d’envoi
« En appliquant la méthode progressive, nous avons évité des coupures de notification client »
Alexandre N.
Pour les équipes techniques, la configuration représente un travail continu et coordonné avec les services métier. L’enjeu suivant est d’intégrer la surveillance DMARC dans les routines opérationnelles de sécurité informatique.
