La délivrabilité email est l'une de ces disciplines qu'on néglige jusqu'au jour où on découvre que 30 % des emails envoyés depuis des mois n'ont jamais atteint la boîte de réception. À ce stade, la réputation du domaine est abîmée et il faut des semaines pour la reconstruire. Notre service emailing commence toujours par un audit technique de délivrabilité — parce que le reste ne sert à rien sans ça.

Comprendre la délivrabilité : ce que voit le serveur de réception

Quand vous envoyez un email, il ne va pas directement dans la boîte de réception. Il passe par une série de vérifications côté serveur de réception : est-ce que l'expéditeur est autorisé ? L'email est-il signé ? La politique du domaine émetteur est-elle respectée ? Le score de réputation de l'IP et du domaine est-il suffisant ?

La délivrabilité, c'est le taux d'emails qui passent ces vérifications et aboutissent en boîte principale (inbox), et non en spam ou, pire, rejetés directement. On distingue trois niveaux :

  • Délivré en boîte principale : l'email est visible, l'engagement est possible
  • Délivré en spam / promotions : techniquement délivré, mais invisible en pratique
  • Rejeté (bounce hard) : l'adresse n'existe pas ou le serveur refuse définitivement

Les trois protocoles d'authentification — SPF, DKIM et DMARC — constituent la fondation. Sans eux, même une liste parfaite et un contenu irréprochable ne suffisent pas. Depuis 2024, Gmail et Outlook les imposent comme prérequis pour les expéditeurs de masse.

ℹ️
Depuis 2024

Google et Microsoft imposent SPF, DKIM et DMARC à tous les expéditeurs de plus de 5 000 emails par jour. En pratique, même les PME ont intérêt à les configurer : ces protocoles améliorent la délivrabilité pour tout le monde, quelle que soit la taille de la liste.

SPF : déclarer qui peut envoyer en votre nom

C'est quoi le SPF ?

SPF signifie Sender Policy Framework. C'est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails depuis votre domaine. Quand un serveur de réception reçoit un email de votre part, il consulte votre zone DNS pour vérifier si le serveur expéditeur est bien dans votre liste blanche.

Sans SPF, n'importe qui peut techniquement envoyer un email en se faisant passer pour votre domaine. C'est la porte d'entrée du phishing.

Comment configurer SPF

L'enregistrement SPF s'ajoute dans la zone DNS de votre domaine. Il ressemble à ceci :

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Chaque include: correspond à un service autorisé à envoyer à votre place (ici Google Workspace et Mailchimp). Le ~all final signifie "soft fail" : les emails qui ne correspondent pas sont marqués comme suspects, pas rejetés. Pour une politique plus stricte, on utilise -all (hard fail). Il ne peut y avoir qu'un seul enregistrement SPF par domaine.

Vérifier sa configuration SPF

L'outil MXToolbox (mxtoolbox.com/spf) permet de vérifier votre enregistrement SPF en quelques secondes. Il indique si la syntaxe est correcte, si les includes sont valides et s'il n'y a pas de conflit. Google Admin Toolbox propose également un diagnostic pour les domaines Google Workspace.

DKIM : la signature cryptographique de vos emails

Le principe DKIM

DKIM (DomainKeys Identified Mail) fonctionne comme un cachet de cire numérique. À l'envoi, votre serveur ajoute à chaque email une signature cryptographique générée avec une clé privée. Le serveur de réception vérifie cette signature en consultant votre DNS, qui contient la clé publique correspondante. Si la signature est valide, l'email n'a pas été altéré en transit.

Sans DKIM, un intermédiaire malveillant peut modifier le contenu d'un email en cours de route sans que personne ne le sache. Avec DKIM, toute altération invalide la signature et l'email est traité avec méfiance.

Configuration DKIM via DNS

Votre outil d'emailing (Mailchimp, Brevo, ActiveCampaign…) génère une paire de clés DKIM. Vous récupérez la clé publique sous forme d'un enregistrement TXT à ajouter dans votre zone DNS, avec un sélecteur unique (ex : mailchimp._domainkey.votredomaine.fr). La clé privée reste côté plateforme.

Une fois configuré, tous les emails envoyés via la plateforme sont automatiquement signés. L'opération prend 10 minutes — la propagation DNS peut prendre jusqu'à 48 h.

Pourquoi c'est essentiel

DKIM est requis pour que DMARC puisse fonctionner correctement. Il améliore aussi significativement le score de réputation auprès des filtres anti-spam. Les emails signés ont systématiquement un meilleur taux de délivrabilité que les emails non signés, même quand SPF passe.

DMARC : la politique qui chapeaute SPF et DKIM

p=none vs p=quarantine vs p=reject

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la politique qui définit ce que le serveur de réception doit faire si SPF ou DKIM échoue. Elle s'ajoute comme un enregistrement DNS TXT et dispose de trois niveaux :

  • p=none : surveillance uniquement. Les emails continuent d'être délivrés normalement, mais vous recevez des rapports. C'est le point de départ obligatoire.
  • p=quarantine : les emails qui échouent à l'authentification sont envoyés en spam. Niveau intermédiaire.
  • p=reject : les emails non authentifiés sont rejetés. Protection maximale contre le spoofing, mais risque de bloquer des emails légitimes si la configuration n'est pas parfaite.
💡
Bonne pratique

Commencez toujours avec p=none et une adresse de rapport (rua=mailto:dmarc@votredomaine.fr). Analysez les rapports pendant 2 à 4 semaines pour identifier tous les flux d'envoi légitimes. Seulement ensuite, passez à p=quarantine, puis à p=reject. Brûler les étapes, c'est risquer de bloquer ses propres emails.

⚠️
Attention

Envoyer sans DMARC configuré, c'est laisser la porte ouverte au spoofing de votre domaine. N'importe qui peut envoyer des emails en usurpant votre identité, et vos destinataires n'ont aucune protection. La réputation de votre domaine peut être détruite par une campagne de phishing dont vous n'êtes pas responsable.

Les rapports DMARC

DMARC envoie deux types de rapports : les rapports agrégés (RUA), quotidiens, qui listent toutes les sources d'envoi et leur statut d'authentification, et les rapports forensiques (RUF), qui détaillent les emails ayant échoué. Des outils comme DMARC Analyzer, Postmark ou dmarcian permettent de les lire facilement — les rapports bruts sont en XML et peu lisibles directement.

Protocole Rôle Où configurer Temps de déploiement
SPF Autorise les serveurs expéditeurs légitimes Zone DNS — enregistrement TXT 5 min (+ 24-48 h propagation)
DKIM Signe cryptographiquement chaque email Zone DNS + plateforme d'envoi 10-15 min (+ 24-48 h propagation)
DMARC Politique globale si SPF/DKIM échoue Zone DNS — enregistrement TXT 5 min (+ analyse 2-4 semaines avant p=reject)

La réputation de domaine et d'IP

Le score de réputation

Les FAI (Gmail, Outlook, Yahoo…) attribuent en permanence un score de réputation à chaque couple domaine/IP expéditeur. Ce score est influencé par : le taux d'engagement (ouvertures, clics), le taux de spam signalé, le taux de bounces, l'ancienneté du domaine et la cohérence des volumes d'envoi. Un domaine tout neuf a une réputation neutre — pas mauvaise, mais pas bonne non plus.

"La réputation de domaine se construit lentement et se perd rapidement. Un seul envoi mal ciblé sur une liste froide peut faire plus de dégâts qu'une année de bonnes pratiques ne peuvent réparer."

— Chad White, Senior Research Director, Litmus Email Analytics Report 2025

Le warm-up d'IP

Si vous changez d'outil d'emailing ou utilisez une IP dédiée pour la première fois, le warm-up est indispensable. Le principe : commencer par des petits volumes (500-1 000 emails/jour) vers vos contacts les plus engagés, augmenter progressivement sur 4 à 6 semaines, et ne passer aux gros volumes qu'une fois la réputation établie. Envoyer 50 000 emails dès le premier jour sur une IP froide, c'est la garantie de finir en spam.

Les blacklists

Les blacklists (Spamhaus, Barracuda, SURBL…) recensent les IPs et domaines identifiés comme sources de spam. Être blacklisté peut bloquer une grande partie de vos envois. MXToolbox permet de vérifier si votre IP ou domaine est sur une blacklist. En cas d'inscription, il faut d'abord corriger la cause (liste non consentante, volume anormal), puis faire une demande de retrait auprès de chaque liste.

21% des emails légitimes atterrissent en spam faute de configuration correcte
−90% de phishing sur les domaines avec DMARC p=reject actif
4-6 semaines nécessaires pour un warm-up d'IP correctement conduit

La qualité de la liste d'envoi

Le double opt-in comme standard

Le double opt-in est le seul moyen de s'assurer que chaque adresse de votre liste est réelle, appartient à quelqu'un qui a effectivement consenti, et est accessible. L'abonné remplit le formulaire, reçoit un email de confirmation, clique sur le lien — et seulement à ce moment son adresse est ajoutée à la liste. C'est plus de friction à l'inscription, mais beaucoup moins de bounces et de spam reports.

Le nettoyage des bounces

Les hard bounces (adresses inexistantes) doivent être supprimés immédiatement après le premier bounce. Les soft bounces (boîte pleine, serveur temporairement indisponible) peuvent être conservés quelques envois supplémentaires, mais si l'adresse bounce systématiquement, elle rejoint la liste de suppression. Un taux de bounce supérieur à 2 % est un signal d'alerte. La plupart des outils d'emailing gèrent ça automatiquement si on ne les court-circuite pas.

La gestion des désabonnements

Un désabonnement traité rapidement est infiniment moins grave qu'un spam report. Facilitez le désabonnement : lien visible, traitement immédiat, sans confirmation supplémentaire. Depuis 2024, Gmail exige un lien de désabonnement en un clic (list-unsubscribe avec post) dans les headers des emails des expéditeurs de masse. Brevo, Mailchimp et ActiveCampaign le gèrent nativement.

Le contenu de l'email et les filtres anti-spam

Le ratio texte/image

Un email constitué à 90 % d'images et à 10 % de texte déclenche immédiatement la méfiance des filtres anti-spam. Les spammeurs utilisent historiquement des images pour masquer le contenu textuel aux filtres. Visez un ratio d'au moins 60 % de texte pour 40 % d'images. Ajoutez toujours des attributs alt à vos images.

Les liens suspects et les mots à éviter

Les filtres analysent aussi les liens inclus dans l'email. Un lien qui redirige vers un domaine blacklisté peut faire tomber tout l'email en spam, même si votre domaine est impeccable. Évitez les raccourcisseurs d'URLs génériques (bit.ly, tinyurl) dans vos campagnes — préférez des liens directs vers votre domaine ou des redirections trackées via votre propre domaine.

Certains mots sont sur-utilisés par les spammeurs et augmentent le score de spam : "gratuit", "gagnez", "urgent", "offre exceptionnelle", "cliquez maintenant", les majuscules excessives, les points d'exclamation en série. Ça ne signifie pas qu'ils sont absolument interdits, mais leur accumulation est problématique.

Tester sa délivrabilité avant d'envoyer

Avant une campagne importante, tester sa délivrabilité est une bonne pratique qui peut éviter des dégâts. Deux outils de référence :

  • Mail-Tester (mail-tester.com) : envoyez un email à une adresse temporaire générée par l'outil. Vous obtenez un score sur 10 avec un diagnostic détaillé de chaque point — SPF, DKIM, DMARC, score de spam du contenu, blacklists. Gratuit pour 3 tests par jour.
  • GlockApps : plus complet, il teste la délivrabilité réelle sur un panel de FAI (Gmail, Outlook, Yahoo, Orange…) et indique pour chacun si l'email atterrit en inbox, en spam ou est rejeté. Payant, mais incontournable pour un audit sérieux.

Pour aller plus loin sur l'impact de la délivrabilité sur vos résultats, notre article sur le taux d'ouverture emailing détaille les leviers d'engagement. Et si vous mettez en place des séquences automatisées, l'article sur le marketing automation pour PME couvre les bonnes pratiques de fond.

Questions fréquentes

Quelle est la différence entre SPF, DKIM et DMARC ?
SPF autorise les serveurs qui peuvent envoyer en votre nom. DKIM ajoute une signature cryptographique à chaque email pour prouver qu'il n'a pas été altéré. DMARC est la politique qui chapeaute les deux : elle indique aux serveurs de réception quoi faire si SPF ou DKIM échoue.
Mon site est hébergé chez OVH, comment configurer SPF ?
Rendez-vous dans la zone DNS de votre domaine chez OVH. Ajoutez un enregistrement TXT avec la valeur : v=spf1 include:mx.ovh.com ~all. Si vous utilisez également Mailchimp ou Brevo, ajoutez leurs includes avant le ~all. Ne créez qu'un seul enregistrement SPF par domaine.
Est-ce qu'une liste mal nettoyée peut vraiment bloquer mes emails ?
Oui, absolument. Un taux de hard bounces supérieur à 2 % est un signal d'alarme pour les FAI. Au-delà de 5 % d'adresses invalides, votre réputation de domaine se dégrade significativement et vos emails légitimes commencent à atterrir en spam, même chez vos contacts actifs.
Combien de temps faut-il pour récupérer une réputation de domaine abîmée ?
Entre 3 et 6 mois en moyenne. La récupération nécessite : corriger les causes (nettoyage de liste, configuration des protocoles), recommencer à envoyer avec de faibles volumes, puis augmenter progressivement. C'est pourquoi il vaut mieux ne jamais laisser se dégrader la réputation.
DMARC p=reject peut-il bloquer mes emails légitimes ?
Oui, si SPF ou DKIM ne sont pas parfaitement configurés. C'est pourquoi il faut commencer par p=none (mode surveillance), analyser les rapports DMARC pendant 2 à 4 semaines, corriger les problèmes détectés, passer à p=quarantine, puis seulement à p=reject quand tout est aligné.

Votre délivrabilité email est-elle au niveau ?

On audite votre configuration SPF/DKIM/DMARC, votre réputation de domaine et votre liste d'envoi. Résultat : un plan d'action concret pour que vos emails arrivent là où ils doivent aller.

Notre service emailing Prendre rendez-vous