Délivrabilité des e-mails : éviter que vos messages arrivent en spam (SPF, DKIM, DMARC)
Pour que vos e-mails professionnels arrivent de manière fiable, les serveurs de réception doivent pouvoir vérifier que vos messages proviennent réellement de votre domaine. SPF, DKIM et DMARC aident à protéger votre domaine contre les abus et à améliorer la délivrabilité de vos e-mails.
La délivrabilité des e-mails est aujourd’hui beaucoup plus exigeante qu’auparavant. Les grands fournisseurs comme Google, Microsoft, Yahoo et d’autres contrôlent très strictement les messages entrants. Il ne suffit plus qu’un e-mail soit techniquement envoyé. Le système de réception vérifie aussi si l’expéditeur est fiable, si le domaine est correctement authentifié et si le message ressemble à du spam, du phishing ou une usurpation d’identité.
Pour les entreprises, c’est particulièrement important : si des offres, factures, réponses de support, messages de formulaires de contact ou confirmations de commande arrivent en spam, cela donne une mauvaise impression et peut avoir un impact direct sur le chiffre d’affaires. Les bases techniques les plus importantes d’une authentification e-mail propre sont SPF, DKIM et DMARC.
SPF, DKIM et DMARC améliorent la fiabilité technique de vos e-mails. Ils ne garantissent toutefois pas à eux seuls que chaque message arrivera dans la boîte de réception. Le contenu, le comportement d’envoi, les réactions des destinataires, les listes noires, la réputation et les taux de plainte jouent également un rôle.
Pourquoi les e-mails arrivent-ils en spam ?
Un e-mail peut arriver dans le dossier spam ou être complètement rejeté pour de nombreuses raisons. Les causes fréquentes sont des enregistrements DNS manquants ou incorrects, un serveur mail mal configuré, un contenu suspect, trop de plaintes de destinataires ou l’envoi via des systèmes non autorisés.
Le problème devient particulièrement critique lorsqu’un serveur de réception ne peut pas vérifier qu’un message provient réellement du domaine indiqué. Les spammeurs et fraudeurs tentent souvent d’utiliser des domaines tiers comme expéditeurs. C’est précisément là qu’interviennent SPF, DKIM et DMARC.
Les trois mécanismes de protection les plus importants
1. SPF
Sender Policy Framework définit quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine. Les serveurs de réception peuvent ainsi vérifier si le serveur d’envoi est autorisé.
2. DKIM
DomainKeys Identified Mail ajoute une signature numérique aux e-mails sortants. Cela permet de vérifier que le message n’a pas été modifié et qu’il a été envoyé de manière autorisée.
3. DMARC
Domain-based Message Authentication, Reporting and Conformance définit comment les serveurs de réception doivent traiter les messages qui échouent aux contrôles SPF ou DKIM.
SPF : qui peut envoyer pour votre domaine ?
SPF est un enregistrement DNS TXT qui définit quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine. Par exemple, si votre domaine envoie des e-mails via CURIAWEB, le serveur mail CURIAWEB doit être autorisé dans l’enregistrement SPF. Si des services externes comme des outils de newsletter, CRM ou logiciels de facturation envoient également des e-mails avec votre domaine, ils doivent aussi être pris en compte.
Du point de vue du serveur de réception, un enregistrement SPF répond à la question : « Ce serveur a-t-il le droit d’envoyer des e-mails pour ce domaine ? » Si la réponse est non ou si l’enregistrement SPF est incorrect, le message peut être considéré comme suspect.
Un domaine ne devrait généralement avoir qu’un seul enregistrement SPF. Plusieurs enregistrements TXT SPF séparés pour le même domaine peuvent provoquer des erreurs. Si plusieurs services d’envoi sont utilisés, ils doivent être combinés dans un seul enregistrement SPF commun.
DKIM : la signature numérique de votre e-mail
DKIM complète SPF avec une signature numérique. Le serveur d’envoi signe les messages sortants de manière cryptographique. La clé publique permettant de vérifier cette signature est publiée comme enregistrement DNS. Le serveur de réception peut ainsi vérifier si le message a été modifié après l’envoi et si la signature correspond au domaine.
DKIM est particulièrement utile, car il ne se limite pas au serveur d’envoi mais signe le message lui-même. Cela améliore la fiabilité technique des e-mails et constitue un élément important de l’authentification auprès des fournisseurs modernes.
DMARC : règles en cas d’échec de l’authentification
DMARC s’appuie sur SPF et DKIM. Il définit ce que les serveurs de réception doivent faire lorsqu’un e-mail échoue à l’authentification ou ne correspond pas au domaine visible de l’expéditeur. DMARC peut également permettre des rapports indiquant quels systèmes envoient des e-mails au nom de votre domaine.
DMARC peut fonctionner avec différentes politiques :
| Politique DMARC | Signification | Utilisation typique |
|---|---|---|
p=none |
Surveillance uniquement, sans rejet direct | Phase initiale et analyse |
p=quarantine |
Les messages en échec doivent plutôt aller en spam ou quarantaine | Phase de protection avancée |
p=reject |
Les messages en échec doivent être rejetés | Protection stricte après configuration propre |
Recommandation
Commencez prudemment avec DMARC, surtout si vous utilisez plusieurs services d’envoi. Une politique trop stricte peut bloquer des e-mails légitimes si SPF ou DKIM ne sont pas encore correctement configurés.
Vérifier la délivrabilité dans cPanel
cPanel propose la fonction E-mail Deliverability ou Délivrabilité des e-mails pour vérifier les principales données d’authentification de votre domaine. cPanel indique si des problèmes existent, quels enregistrements sont recommandés et si SPF, DKIM ou DMARC peuvent être installés.
Étape par étape : vérifier SPF, DKIM et DMARC dans cPanel
- Connectez-vous à votre compte cPanel.
- Dans la section E-mail, ouvrez E-mail Deliverability ou Délivrabilité des e-mails.
- Recherchez le domaine souhaité dans la liste.
- Si cPanel signale des problèmes, cliquez sur Gérer ou Manage.
- Vérifiez les enregistrements proposés pour SPF, DKIM et DMARC.
- Si cPanel gère la zone DNS, vous pouvez généralement installer directement les enregistrements proposés.
- Si la zone DNS est gérée à l’extérieur, copiez les valeurs proposées et ajoutez-les chez le fournisseur DNS externe.
- Attendez la propagation DNS, puis vérifiez à nouveau le domaine.
Si votre domaine utilise des serveurs de noms externes, cPanel peut ne pas pouvoir définir automatiquement les enregistrements DNS. Dans ce cas, SPF, DKIM et DMARC doivent être ajoutés là où la zone DNS autoritative de votre domaine est gérée.
Intégrer correctement les services d’envoi externes
De nombreuses entreprises n’envoient pas leurs e-mails uniquement via la boîte mail d’hébergement classique. Des services supplémentaires sont souvent utilisés, comme des outils de newsletter, CRM, logiciels de support, facturation, systèmes de boutique ou plateformes de réservation.
Exemples de services externes :
- outils de newsletter comme Mailchimp ou Brevo,
- systèmes CRM et ventes,
- helpdesk ou systèmes de tickets,
- logiciels de boutique et de facturation,
- Microsoft 365 ou Google Workspace,
- fournisseurs d’e-mails transactionnels pour messages automatiques.
Si ces services envoient des e-mails avec votre domaine comme expéditeur, ils doivent être correctement pris en compte dans SPF, DKIM et éventuellement DMARC. Sinon, ces messages légitimes peuvent être considérés comme non autorisés.
N’ajoutez jamais des services d’envoi externes au hasard. Utilisez toujours les instructions DNS officielles du fournisseur et vérifiez si les enregistrements SPF doivent être combinés ou si DKIM se configure via des enregistrements CNAME ou TXT séparés.
Erreurs fréquentes avec SPF, DKIM et DMARC
1. Plusieurs enregistrements SPF pour le même domaine
C’est une erreur fréquente. Au lieu de créer plusieurs enregistrements TXT avec v=spf1, toutes les sources d’envoi autorisées doivent être combinées dans un seul enregistrement SPF.
2. Services e-mail externes absents du SPF
Si un outil de newsletter ou CRM envoie des e-mails avec votre domaine mais n’est pas inclus dans l’enregistrement SPF, l’authentification peut échouer.
3. DKIM non activé
Sans DKIM, une vérification importante par signature manque. De nombreux serveurs de réception considèrent les messages signés comme plus fiables que les messages non signés.
4. DMARC configuré trop strictement
Une politique directe comme p=reject peut poser problème si toutes les sources d’envoi légitimes ne sont pas encore correctement authentifiées. Dans les configurations complexes, commencez par la surveillance puis durcissez la politique après analyse.
5. DNS modifié au mauvais endroit
Si votre domaine utilise des serveurs de noms externes, les modifications dans l’éditeur de zone cPanel peuvent ne pas avoir d’effet. Seule la zone DNS autoritative compte.
6. Domaine d’expéditeur et service d’envoi non alignés
Si l’adresse d’expéditeur visible, le chemin d’envoi technique et le domaine authentifié ne correspondent pas, DMARC peut échouer. Veillez à un alignement propre des domaines.
Comment tester votre délivrabilité ?
Après des modifications SPF, DKIM ou DMARC, vous devriez vérifier la configuration. Utilisez d’abord la fonction E-mail Deliverability dans cPanel. Des services de test externes peuvent également être utiles, car ils analysent un e-mail de test et donnent des indications sur le DNS, l’authentification, les facteurs de spam et la réputation.
Ces outils externes ne donnent toutefois qu’un instantané. Un bon score dans un outil ne signifie pas automatiquement que chaque e-mail arrivera dans chaque boîte de réception. À l’inverse, un avertissement ne signifie pas toujours que toute votre configuration e-mail est défectueuse. Les résultats doivent être interprétés correctement.
Une bonne délivrabilité technique n’est qu’une partie de la solution
En plus de SPF, DKIM et DMARC, d’autres facteurs influencent l’arrivée en boîte de réception :
- listes de destinataires propres,
- pas de listes achetées ou non vérifiées,
- volumes d’envoi réalistes,
- faibles taux de plainte,
- identité d’expéditeur claire,
- objet et contenu professionnels,
- adresse de réponse fonctionnelle,
- option de désinscription correcte pour les newsletters,
- pas de pièces jointes ou liens suspects.
L’authentification DNS est donc la base technique. Une bonne pratique d’envoi reste indispensable.
Questions fréquentes sur SPF, DKIM et DMARC
Chaque domaine doit-il avoir SPF, DKIM et DMARC ?
Pour les domaines qui envoient des e-mails, une authentification correcte est fortement recommandée. Même les domaines qui n’envoient pas activement peuvent être mieux protégés contre les abus avec DMARC.
cPanel peut-il définir SPF, DKIM et DMARC automatiquement ?
Oui, si la zone DNS est gérée par le serveur cPanel. Si le domaine utilise des serveurs de noms externes, les enregistrements doivent être ajoutés chez le fournisseur DNS externe.
Pourquoi cPanel affiche-t-il encore des problèmes ?
Les causes possibles sont la propagation DNS, des serveurs de noms externes, des enregistrements mal copiés, plusieurs enregistrements SPF ou des enregistrements DKIM/DMARC manquants.
Que se passe-t-il si j’utilise des services externes comme Mailchimp ?
Ces services doivent être correctement authentifiés. Utilisez les instructions DNS du service concerné et combinez correctement les enregistrements SPF.
CURIAWEB peut-il vérifier ma délivrabilité e-mail ?
Oui, le support CURIAWEB peut vérifier les bases techniques DNS. Pour les services externes, leurs instructions DNS exactes sont souvent nécessaires.
Enregistrer un nouveau domaine
Une bonne délivrabilité commence par un domaine géré de manière professionnelle. Avec CURIAWEB, vous pouvez vérifier et enregistrer votre domaine souhaité directement en ligne, puis l’utiliser pour votre site web et vos e-mails.