Vos emails atterrissent en spam. Ou vos contacts vous signalent qu’ils ne reçoivent pas vos messages. Ou votre outil de campagne affiche un taux de délivrabilité en chute. Dans tous les cas, le problème est réel et coûteux : devis non lus, relances client ignorées, newsletters qui n’atteignent pas leurs destinataires.

Ce guide est écrit pour la personne qui gère concrètement le problème — responsable marketing ou IT — et qui veut diagnostiquer et corriger la situation, pas juste comprendre la théorie.

Avant d’aller plus loin, testez la configuration email de votre domaine. Notre outil vérifie SPF, DKIM, DMARC et BIMI en quelques secondes et identifie les problèmes les plus courants.

Pourquoi vos emails arrivent en spam

Les fournisseurs de messagerie (Gmail, Outlook, Yahoo) évaluent chaque email entrant selon quatre critères. Il suffit qu’un seul soit dégradé pour que l’email soit filtré.

L’authentification

C’est le premier filtre. Avant même d’analyser le contenu, le serveur destinataire vérifie si vous êtes bien qui vous prétendez être :

SPF vérifie que le serveur qui envoie l’email est autorisé par votre domaine
DKIM vérifie que le message n’a pas été altéré en transit grâce à une signature cryptographique
DMARC vérifie l’alignement entre le domaine visible (From) et les vérifications SPF/DKIM, et indique quoi faire en cas d’échec

Un email sans DKIM ou avec un SPF en échec part immédiatement avec un handicap. Gmail et Yahoo rejettent ou filtrent systématiquement les emails sans authentification correcte depuis leurs mises à jour de février 2024.

La réputation

Chaque domaine et chaque adresse IP expéditrice ont un score de réputation tenu à jour par les fournisseurs de messagerie. Ce score tient compte de l’historique d’envoi : volume, taux de rebond, taux de plaintes, présence dans les blacklists. Un domaine récent n’a pas de réputation — et les fournisseurs traitent l’inconnu avec méfiance.

L’engagement

Gmail et Outlook observent comment vos destinataires réagissent à vos emails. Si personne n’ouvre, si des destinataires déplacent vos messages vers les indésirables, si le taux de désabonnement est élevé — l’algorithme en tire des conclusions et pénalise les envois suivants. À l’inverse, des destinataires qui ouvrent, répondent et déplacent vos emails vers la boîte principale améliorent votre score.

Le contenu

Les filtres anti-spam analysent le corps de l’email, les liens, les images, le ratio texte/image, les mots associés aux spams connus. C’est le critère le moins déterminant des quatre, et le plus souvent sur-diagnostiqué : ce n’est presque jamais le contenu seul qui cause un problème de délivrabilité.

Le lien avec la sécurité email. Ce que beaucoup ignorent : la délivrabilité et la sécurité sont les deux faces d’une même pièce. SPF, DKIM et DMARC ont été conçus pour l’authentification et la lutte contre l’usurpation de domaine — mais leur absence pénalise directement la délivrabilité. Google et Yahoo le disent explicitement dans leurs lignes directrices pour les expéditeurs.

Diagnostiquer votre problème

Ne commencez pas à modifier votre configuration DNS avant d’avoir compris où est le problème. Un diagnostic raté mène souvent à de nouvelles erreurs de configuration.

Tester l’authentification

Commencez par notre outil de test sécurité email. Entrez votre domaine, obtenez un état des lieux SPF, DKIM et DMARC en quelques secondes. Si vous n’avez pas de record DKIM détecté ou si DMARC est absent, c’est votre premier chantier.

Vous pouvez aussi envoyer un email de test depuis votre domaine vers une adresse Gmail personnelle. Ouvrez l’email reçu → menu ⋮ → « Afficher l’original ». Cherchez les lignes :

spf=pass
dkim=pass
dmarc=pass

Si l’un des trois affiche fail ou est absent, vous avez trouvé une partie du problème.

Vérifier les blacklists

Votre IP ou votre domaine est peut-être référencé dans une ou plusieurs bases de données d’expéditeurs abusifs. Ces listes sont consultées en temps réel par les serveurs de messagerie.

MXToolbox Blacklist Check (mxtoolbox.com/blacklists.aspx) teste simultanément une centaine de blacklists. Entrez votre domaine ou votre IP expéditrice. Si des lignes apparaissent en rouge, vous êtes listé.

MultiRBL (multirbl.valli.org) couvre d’autres listes, notamment DNSBL. À croiser avec MXToolbox.

Une seule entrée dans une blacklist mineure n’est pas forcément problématique. Une entrée dans Spamhaus SBL, Spamhaus ZEN, ou Barracuda Reputation l’est beaucoup plus.

Évaluer la réputation du domaine

Google Postmaster Tools (postmaster.google.com) est l’outil de référence pour mesurer comment Gmail perçoit votre domaine. Après vérification de propriété, vous accédez à :

Le score de réputation du domaine (Low / Medium / High / Very High)
Le score de réputation de l’IP
Le taux d’emails marqués comme spam par les utilisateurs Gmail
Les erreurs d’authentification

Microsoft SNDS (postmaster.live.com) est l’équivalent pour les destinataires Outlook.com, Hotmail et Live. Il indique la réputation de votre IP et le taux de plaintes.

Si votre réputation est « Low » dans Google Postmaster Tools, vos emails atterrissent en spam chez la majorité des utilisateurs Gmail. C’est le diagnostic le plus fiable que vous puissiez obtenir.

L’authentification email : la base

Si votre SPF est incomplet, si DKIM n’est pas configuré, ou si DMARC est absent — commencez ici. Aucune autre action ne compensera ce manque.

Notre guide complet pour configurer SPF, DKIM et DMARC couvre la configuration étape par étape pour Google Workspace, Microsoft 365 et les principaux outils marketing. Voici l’essentiel pour comprendre l’impact sur la délivrabilité.

Pourquoi SPF, DKIM et DMARC affectent directement la délivrabilité

SPF dit aux serveurs destinataires quels serveurs sont autorisés à envoyer pour votre domaine. Un SPF manquant ou en échec (spf=fail) signale au serveur destinataire une anomalie. La plupart des filtres anti-spam pénalisent automatiquement.

DKIM apporte une signature cryptographique qui prouve l’intégrité du message. C’est un signal de confiance fort pour les algorithmes de filtrage. Depuis les nouvelles exigences Google/Yahoo (février 2024), DKIM est pratiquement obligatoire pour les expéditeurs en volume.

DMARC lie les deux. Sans DMARC, même un SPF et un DKIM corrects ne garantissent pas que le domaine visible dans le From est authentifié. DMARC exige cet alignement — et c’est cet alignement que Google et Yahoo vérifient explicitement.

Depuis février 2024, Google et Yahoo imposent à tout expéditeur dépassant 5 000 emails/jour vers leurs utilisateurs :

SPF et DKIM configurés
Un enregistrement DMARC (même en p=none)
Un taux de spam inférieur à 0,10 % (Google Postmaster Tools)
Un lien de désabonnement en un clic (RFC 8058)

Sans ces prérequis, les emails sont rejetés ou systématiquement placés en spam.

Pour la terminologie complète : SPF, DKIM, DMARC.

Réputation de domaine et d’adresse IP

Comment fonctionne la réputation

Chaque serveur de messagerie maintient une base de données de réputation pour les domaines et les IPs expéditeurs. Cette réputation est calculée en permanence à partir de signaux observés :

Taux d’emails signalés comme spam par les utilisateurs
Taux de rebond (emails envoyés à des adresses inexistantes)
Présence dans les blacklists
Volume d’envoi et régularité
Âge du domaine
Historique d’envoi

Un domaine neuf part avec une réputation neutre, voire légèrement négative. Un domaine qui a servi à envoyer du spam dans le passé — même si vous en avez récemment pris le contrôle — peut porter un casier.

Le warm-up des nouveaux domaines et IPs

Si votre domaine ou votre IP d’envoi est nouveau, un démarrage progressif est nécessaire. Commencer par un envoi massif depuis un domaine inconnu est la meilleure façon d’atterrir en spam.

Progression recommandée pour un nouveau domaine :

Semaine	Volume quotidien maximum
1-2	50 emails
3-4	200 emails
5-6	1 000 emails
7-8	5 000 emails
9+	Augmentation progressive

Commencez par vos contacts les plus engagés — ceux qui ont l’habitude d’ouvrir vos messages. Chaque ouverture, chaque réponse, chaque email déplacé vers la boîte principale renforce la réputation.

Ce qui abîme la réputation

Taux de rebond élevé. Si plus de 2 % de vos emails rebondissent (adresses invalides), les fournisseurs de messagerie interprètent cela comme un signe de mauvaises pratiques d’envoi. Nettoyez vos listes régulièrement.

Taux de plaintes élevé. Si vos destinataires cliquent sur « Signaler comme spam », ce signal est transmis aux fournisseurs de messagerie. Google Postmaster Tools affiche ce taux. Au-delà de 0,10 %, vous entrez en zone rouge. Au-delà de 0,30 %, les conséquences sur la délivrabilité sont immédiates.

Présence dans une blacklist. Même une seule entrée dans une blacklist majeure peut suffire à bloquer vos envois.

Envois irréguliers. Envoyer 100 emails par mois pendant six mois, puis 50 000 emails d’un coup, déclenche les alarmes. Les algorithmes privilégient la régularité.

IP partagée vs IP dédiée

La plupart des PME envoient depuis des IPs partagées — celles de Google Workspace, Microsoft 365, ou d’une plateforme comme Brevo. Ces IPs bénéficient de la réputation collective maintenue par le prestataire.

Une IP dédiée vous donne un contrôle total sur votre réputation, mais elle repart de zéro. Vous êtes seul responsable du warm-up et du maintien de la réputation. Si vous faites une erreur, vous en subissez seul les conséquences.

À retenir : une IP dédiée n’est pertinente qu’à partir de volumes importants (50 000 emails/mois minimum) et uniquement si vous avez la capacité de la gérer correctement.

Sortir d’une blacklist

Identifier les blacklists concernées

Rendez-vous sur MXToolbox Blacklist Check (mxtoolbox.com/blacklists.aspx). Entrez votre adresse IP expéditrice (pas votre domaine — les blacklists listent majoritairement des IPs). Si vous utilisez une IP partagée chez un opérateur de messagerie, c’est son IP qui est concernée, pas la vôtre.

Les principales blacklists à surveiller :

Blacklist	Impact	Délisting
Spamhaus SBL	Très élevé — Gmail, Outlook, Yahoo consultent Spamhaus	Manuel via spamhaus.org, généralement sous 24 h si les critères sont remplis
Spamhaus CBL / XBL	Très élevé — signale des IPs compromises	Automatique via spamhaus.org après correction du problème
Barracuda Reputation	Élevé — utilisé par beaucoup de passerelles email d’entreprise	Manuel via barracudacentral.org, généralement sous 24 h
SORBS	Modéré	Manuel, peut prendre plusieurs jours
SpamCop	Modéré	Expiration automatique après 48 h sans nouvel abus signalé

Avant de demander le retrait

Ne demandez jamais un retrait sans avoir corrigé la cause. Vous serez re-listé rapidement, et certaines blacklists suspendent les demandes de retrait répétées.

Causes fréquentes d’un listing :

Un serveur compromis sur votre réseau envoie du spam
Un compte email piraté a servi à envoyer des campagnes non sollicitées
Vous avez envoyé des emails à des listes achetées ou anciennes avec beaucoup d’adresses invalides
Votre SPF ou DMARC est absent, ce qui laisse des attaquants usurper votre domaine et générer des plaintes associées à votre IP

Identifiez la cause, corrigez-la, puis effectuez la demande.

Procédure de retrait

Chaque blacklist a son formulaire de demande :

Spamhaus : spamhaus.org → Blocklist Removal → blocklist.spamhaus.org
Barracuda : barracudacentral.org/rbl/removal-request
SORBS : sorbs.net → lookup → request removal
SpamCop : pas de demande manuelle, expiration automatique

Dans votre demande, décrivez ce qui s’est passé et ce que vous avez corrigé. Les blacklists répondent plus favorablement à une explication honnête qu’à une demande générique.

Après le retrait

Le retrait d’une blacklist est immédiat dans les DNS, mais les serveurs de messagerie qui ont mis en cache votre statut peuvent continuer à bloquer vos emails pendant 24 à 48 heures (durée de vie du cache TTL).

Les bonnes pratiques d’envoi

Hygiène des listes

Une liste propre est la première protection contre les problèmes de délivrabilité.

Double opt-in. Lors de chaque inscription, envoyez un email de confirmation. Seuls les contacts qui ont confirmé leur adresse sont ajoutés à la liste. Le double opt-in garantit la validité des adresses et le consentement explicite — deux facteurs qui réduisent les rebonds et les plaintes.

Supprimer les hard bounces immédiatement. Un hard bounce signifie que l’adresse n’existe pas ou est définitivement inaccessible. Garder ces adresses dans votre liste dégrade votre réputation à chaque envoi. Les plateformes d’envoi sérieuses suppriment automatiquement les hard bounces.

Traiter les soft bounces. Les soft bounces (boîte pleine, serveur temporairement indisponible) peuvent devenir des hard bounces. Après 3 à 5 soft bounces consécutifs sur la même adresse, retirez-la.

Réengager ou supprimer les inactifs. Un contact qui n’a pas ouvert vos emails depuis 12 mois est un problème potentiel. Envoyez une campagne de réengagement ciblée. Ceux qui ne répondent pas doivent être sortis de vos listes actives.

Gestion des désabonnements

Le désabonnement doit être immédiat et sans friction. La RFC 8058 (List-Unsubscribe en un clic) est désormais exigée par Google et Yahoo pour les expéditeurs en volume. Elle permet aux fournisseurs de messagerie d’afficher un bouton de désabonnement directement dans leur interface, sans que l’utilisateur soit renvoyé vers votre site.

Un contact qui se désabonne et ne parvient pas à le faire facilement clique sur « Signaler comme spam ». C’est bien pire.

Volume et régularité d’envoi

Évitez les pics soudains. Si vous envoyez habituellement 2 000 emails par semaine et que vous décidez d’envoyer 50 000 emails en une journée, les filtres seront déclenchés. Si vous devez augmenter votre volume, faites-le progressivement sur plusieurs semaines.

Les fournisseurs de messagerie aiment la régularité. Un envoi hebdomadaire stable est moins suspect qu’un envoi mensuel massif.

Contenu et format

Quelques points qui déclenchent les filtres :

Un ratio images/texte trop élevé (email entièrement en image sans texte)
Les URL raccourcies ou les redirections multiples
Des mots et expressions associés au spam dans l’objet et le corps (promotions trop agressives, promesses irréalistes)
L’absence de texte alternatif sur les images
Des liens brisés

Testez vos emails avec un outil comme Mail-Tester (mail-tester.com) avant chaque campagne importante.

BIMI : afficher votre logo

BIMI (Brand Indicators for Message Identification) est un standard qui permet d’afficher le logo de votre entreprise à côté de vos emails dans les boîtes de réception compatibles. Gmail, Yahoo Mail et Apple Mail depuis iOS 16 supportent BIMI.

L’intérêt est double : vos destinataires reconnaissent immédiatement vos emails et leur font davantage confiance, ce qui améliore le taux d’ouverture. Et les tentatives de spoofing de votre domaine sont visuellement détectables — un email frauduleux usurpant votre nom ne pourra pas afficher votre logo vérifié.

Prérequis

BIMI exige :

DMARC en p=quarantine ou p=reject — obligatoire, pas négociable
Un logo en format SVG Tiny PS — un profil SVG spécifique, plus restrictif que le SVG standard
Un certificat VMC (Verified Mark Certificate) pour Gmail — délivré par DigiCert ou Entrust, il coûte environ 1 500 euros par an et certifie que le logo appartient bien à votre organisation

Pour Yahoo Mail, un VMC n’est pas nécessaire : DMARC en quarantine ou reject + le SVG suffisent.

Record BIMI

default._bimi.votredomaine.fr  TXT  "v=BIMI1; l=https://votredomaine.fr/logo.svg; a=https://votredomaine.fr/vmc.pem"

BIMI ne résout pas un problème de délivrabilité existant. C’est une étape de confiance et de visibilité à mettre en place une fois que votre authentification est solide et votre réputation stable.

Le lien entre sécurité et délivrabilité

Il y a une idée reçue tenace : la sécurité email (SPF, DKIM, DMARC) et la délivrabilité seraient deux préoccupations distinctes, l’une pour le responsable sécurité, l’autre pour le marketing. C’est faux.

DMARC améliore la délivrabilité ET protège contre l’usurpation

Un enregistrement DMARC en p=reject fait deux choses simultanément :

Il bloque les emails frauduleux usurpant votre domaine — les attaquants ne peuvent plus envoyer de phishing en se faisant passer pour vous
Il signale aux fournisseurs de messagerie que vous prenez l’authentification au sérieux — ce qui améliore directement votre score de réputation

Google et Yahoo ont rendu DMARC obligatoire précisément parce que son adoption généralisée bénéficie à tout le monde : moins de phishing dans les boîtes de réception, meilleure confiance dans les domaines bien authentifiés, et une délivrabilité plus fiable pour les expéditeurs légitimes.

Notre guide de migration vers DMARC reject détaille comment passer progressivement de p=none à p=reject sans perturber vos emails légitimes.

Le phishing usurpant votre domaine abîme votre réputation

Quand des attaquants envoient du spam en usurpant votre domaine, une partie des destinataires signale ces emails comme spam. Ces signalements remontent dans les systèmes de réputation — parfois associés à votre domaine. Vous subissez les conséquences des actes d’autres.

Sans DMARC actif, vous n’avez aucun moyen de savoir que cela se passe. Avec DMARC en p=none et une adresse rua=, vous recevez des rapports quotidiens de tous les serveurs qui traitent des emails prétendant venir de votre domaine. Vous voyez les tentatives d’usurpation en temps réel.

Sécurité et délivrabilité : même investissement

Quand vous configurez correctement SPF, DKIM et DMARC, vous faites un seul investissement technique qui produit deux retours :

Sécurité : protection contre l’usurpation de domaine, spoofing bloqué, simulation de phishing plus réaliste car votre propre domaine est sécurisé
Délivrabilité : meilleure réputation auprès des fournisseurs de messagerie, conformité aux exigences Google/Yahoo, réduction du risque d’atterrir en spam

Un responsable sécurité qui configure DMARC rend service au marketing. Un responsable marketing qui demande à améliorer la délivrabilité obtient automatiquement une meilleure sécurité email. Ce n’est pas un hasard de conception — c’est la logique du protocole.

Améliorer la délivrabilité email de votre entreprise : guide complet