Pourquoi SPF, DKIM et DMARC sont indispensables avant tout envoi de cold email
Savoir comment configurer SPF, DKIM et DMARC, c'est la première compétence technique à maîtriser avant de lancer la moindre séquence de prospection. Sans ces trois enregistrements DNS en place, Gmail, Outlook et les autres filtres anti-spam traitent vos emails comme des envois suspects, et ils ont raison de le faire : n'importe qui peut prétendre envoyer depuis votre domaine si vous ne l'en empêchez pas.
Sur les campagnes que nous gérons chez FirstLeads, nous observons systématiquement la même corrélation : un domaine correctement authentifié atteint des taux d'ouverture de 45 à 60 % sur des séquences froides bien ciblées. Un domaine sans authentification complète tourne rarement au-dessus de 20 %, et une part significative des envois ne parvient jamais en boîte principale. La délivrabilité n'est pas un sujet annexe : c'est le socle sur lequel repose tout le reste.
Les règles imposées par Google et Yahoo depuis 2024 ont rendu DMARC obligatoire pour tout expéditeur dépassant 5 000 emails par jour. En 2026, ces exigences sont désormais la norme de facto pour l'ensemble des fournisseurs de messagerie professionnelle. Autrement dit, même si vous n'envoyez que quelques centaines d'emails par semaine, l'absence de ces protocoles vous pénalise dans les filtres.
C'est quoi SPF, DKIM et DMARC ? (définitions simples)
Avant d'entrer dans la configuration, voici ce que chaque protocole fait concrètement.
SPF : autoriser les serveurs légitimes à envoyer en votre nom
SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails depuis votre domaine. Quand un serveur de réception reçoit un message prétendant venir de votreentreprise.com, il consulte l'enregistrement SPF de ce domaine et vérifie si l'adresse IP de l'expéditeur y figure. Si oui, le contrôle SPF passe. Sinon, c'est un échec.
Un enregistrement SPF pour Google Workspace ressemble à ceci :
v=spf1 include:_spf.google.com ~all
Le mécanisme ~all (softfail) indique que les emails d'autres sources doivent être traités avec suspicion mais pas forcément rejetés. Le mécanisme -all (hardfail) rejette strictement tout le reste. Pour la prospection, nous recommandons de partir sur ~all et de basculer sur -all une fois DMARC en mode reject.
DKIM : signer cryptographiquement chaque email
DKIM (DomainKeys Identified Mail) ajoute une signature numérique dans l'en-tête de chaque email. Cette signature est générée avec une clé privée stockée sur votre serveur d'envoi. Le serveur destinataire récupère la clé publique correspondante via un enregistrement DNS, puis vérifie que la signature est valide. Si le contenu du message a été altéré en transit, la signature ne correspond plus et le contrôle échoue.
Concrètement, DKIM prouve que l'email n'a pas été modifié entre l'envoi et la réception, et qu'il provient bien d'un serveur que vous contrôlez. C'est la couche d'intégrité que SPF ne fournit pas : SPF vérifie l'origine, DKIM vérifie l'intégrité.
DMARC : dicter quoi faire en cas d'échec SPF ou DKIM
DMARC (Domain-based Message Authentication, Reporting and Conformance) s'appuie sur SPF et DKIM pour définir une politique : que faire si un email échoue les deux contrôles ? Trois options existent :
- none : ne rien faire, juste collecter les rapports (mode audit)
- quarantine : envoyer en spam les emails suspects
- reject : bloquer purement les emails suspects
DMARC envoie aussi des rapports agrégés (RUA) et forensiques (RUF) à l'adresse email que vous spécifiez, ce qui vous permet de voir quels serveurs envoient en votre nom, légitimement ou non.
Un enregistrement DMARC minimal ressemble à :
v=DMARC1; p=none; rua=mailto:dmarc@votreentreprise.com
FAQ, Quelle est la différence entre SPF et DMARC ?
SPF vérifie si le serveur qui envoie l'email est autorisé pour votre domaine. DMARC décide de ce qu'il faut faire si SPF (et DKIM) échouent, et demande des rapports en retour. SPF agit en amont, DMARC orchestre la réponse et ferme la boucle avec de la visibilité. Les deux sont complémentaires et ne se substituent pas l'un à l'autre.
Comment configurer SPF, DKIM et DMARC sur Google Workspace (Gmail)
La configuration sur Google Workspace se déroule en trois étapes distinctes, toutes accessibles depuis la console d'administration Google et votre gestionnaire de DNS (OVH, Cloudflare, Gandi, etc.).
Étape 1 : SPF. Dans la zone DNS de votre domaine, créez un enregistrement TXT à la racine (@) avec la valeur v=spf1 include:_spf.google.com ~all. Si vous utilisez d'autres services d'envoi en parallèle (un CRM, un outil de marketing automation), ajoutez leurs mécanismes include: dans le même enregistrement SPF. Attention : un seul enregistrement SPF par domaine, jamais deux lignes séparées.
Étape 2 : DKIM. Dans la console Google Admin, allez dans Apps, puis Google Workspace, puis Gmail, puis Authentification de l'email. Cliquez sur « Générer un nouvel enregistrement ». Google vous fournit un enregistrement TXT à coller dans votre DNS, avec un sélecteur (par défaut google._domainkey). Une fois l'enregistrement propagé (compter 15 minutes à 48 heures), cliquez sur « Démarrer l'authentification » dans la console.
Étape 3 : DMARC. Créez un enregistrement TXT avec le nom _dmarc et la valeur v=DMARC1; p=none; rua=mailto:votre@email.com. Commencez toujours en mode none, analysez les rapports pendant deux à quatre semaines, puis passez progressivement à quarantine puis reject.
Comment configurer SPF, DKIM et DMARC sur Microsoft 365 / Exchange Online
Sur Microsoft 365, la procédure est similaire mais passe par le centre d'administration Microsoft 365 et le portail Defender.
SPF. L'enregistrement SPF pour Microsoft 365 est : v=spf1 include:spf.protection.outlook.com ~all. À créer dans votre DNS comme enregistrement TXT à la racine. Si vous avez Exchange Online en hybride avec un Exchange on-premises, il faut ajouter l'IP de votre serveur local : v=spf1 include:spf.protection.outlook.com ip4:X.X.X.X ~all.
DKIM. Rendez-vous dans le portail Microsoft Defender (security.microsoft.com), puis Email et collaboration, puis Politiques et règles, puis Politiques de menaces, puis DKIM. Sélectionnez votre domaine et activez la signature DKIM. Microsoft vous donne deux enregistrements CNAME à créer dans votre DNS (selector1 et selector2). Une fois propagés, activez la signature. La rotation des clés est automatique via le mécanisme à deux sélecteurs.
DMARC. Même logique que sur Google Workspace : enregistrement TXT _dmarc dans votre DNS. Microsoft 365 est compatible DMARC nativement et applique les politiques des domaines entrants. Pour vos propres envois sortants, c'est votre enregistrement DMARC qui s'applique.
Pour les environnements Exchange Online en configuration hybride ou Exchange on-premises pur, les étapes DKIM sont différentes : la clé doit être générée et installée directement sur le serveur Exchange, puis publiée en DNS. Si vous gérez ce type d'infrastructure, la documentation Microsoft Exchange sur les connecteurs d'envoi sortant est le point de départ le plus fiable.
Comment vérifier que vos enregistrements sont corrects (outils gratuits : MXToolbox, DKIM Checker, Mail Tester)
Publier un enregistrement DNS ne suffit pas : il faut vérifier qu'il est bien propagé et syntaxiquement valide. Trois outils gratuits couvrent l'essentiel.
- MXToolbox (mxtoolbox.com) : propose des vérificateurs SPF, DKIM et DMARC séparés. Entrez votre domaine, l'outil interroge les DNS publics et signale les erreurs (enregistrement manquant, syntaxe incorrecte, trop de lookups DNS pour SPF).
- DKIM Checker (dkimvalidator.com ou mail-tester.com) : envoie un email à une adresse de test fournie par l'outil, puis analyse les en-têtes reçus pour confirmer que DKIM signe correctement.
- Mail-tester.com : l'outil le plus complet pour un diagnostic global. Il évalue SPF, DKIM, DMARC, le score de spam du contenu et la réputation de l'IP. Un score de 9 ou 10 sur 10 indique une configuration solide.
Nous utilisons systématiquement Mail-tester avant de lancer une nouvelle boîte de prospection, quelle que soit la plateforme d'envoi. C'est un réflexe de 30 secondes qui évite des semaines de performance dégradée.
FAQ, Comment savoir si un mail a bien été délivré ?
La délivrance (delivery) se confirme via les rapports DMARC agrégés envoyés quotidiennement par les fournisseurs de messagerie. Ces rapports XML indiquent, domaine par domaine et IP par IP, combien d'emails ont passé ou échoué les contrôles SPF et DKIM. Des outils comme Postmaster Tools de Google (gratuit) fournissent aussi des données de réputation en temps réel pour les domaines qui envoient vers Gmail. Côté Microsoft, le rapport SMTP dans Exchange Online Admin Center trace chaque email avec son statut de livraison.
FAQ, Comment calculer le taux de délivrabilité d'un email ?
Le taux de délivrabilité se calcule comme le rapport entre les emails effectivement reçus en boîte (principale ou spam) et les emails envoyés, après déduction des bounces. Un bounce dur (adresse invalide) et un bounce mou (boîte pleine) n'ont pas le même impact sur la réputation. Sur les campagnes que nous gérons, nous ciblons moins de 3 % de bounces durs sur une liste propre. Au-delà de 5 %, la réputation du domaine commence à se dégrader mesurably. Le taux d'atterrissage en boîte principale (inbox placement rate) se mesure avec des outils comme GlockApps ou Litmus, qui envoient des seeds chez plusieurs fournisseurs et rapportent où les messages ont atterri.
Les erreurs fréquentes à éviter (plusieurs enregistrements SPF, politique DMARC trop permissive…)
Voici les erreurs que nous corrigeons le plus souvent lors d'audits de configuration chez nos clients.
- Deux enregistrements SPF distincts sur le même domaine. Le protocole SPF ne tolère qu'un seul enregistrement TXT par domaine. Si vous en avez deux, les serveurs récepteurs n'en prennent souvent qu'un au hasard, ce qui rend le contrôle aléatoire. La solution : fusionner tous les include: en une seule ligne.
- Dépasser 10 lookups DNS dans SPF. Chaque mécanisme include: consomme un lookup. Au-delà de 10, le contrôle SPF échoue automatiquement (erreur permerror). Si vous multipliez les outils d'envoi, utilisez des services de compression SPF (comme dmarcian ou AutoSPF) pour rester sous la limite.
- DMARC en mode none indéfiniment. Le mode none est un mode d'observation, pas une protection. Des domaines en p=none depuis des années sont régulièrement exploités pour du spoofing. Passez à quarantine puis reject dès que les rapports confirment que vos envois légitimes passent correctement.
- Oublier les sous-domaines. Si vous utilisez envoi.votreentreprise.com pour la prospection, ce sous-domaine a besoin de son propre enregistrement SPF et DKIM. DMARC peut être configuré pour couvrir les sous-domaines via le tag sp=, mais SPF et DKIM restent spécifiques à chaque domaine ou sous-domaine d'envoi.
- Ne jamais consulter les rapports DMARC. Les rapports agrégés sont envoyés quotidiennement et contiennent des informations précieuses : qui envoie en votre nom, depuis quelles IPs, avec quels résultats. Les ignorer revient à avoir une alarme mais ne jamais regarder le tableau de bord.
SPF, DKIM, DMARC : une base nécessaire mais non suffisante, ce qu'il faut faire ensuite
Une authentification complète règle le problème de légitimité technique, mais la réputation d'un domaine se construit aussi par le comportement d'envoi. Un domaine tout neuf avec SPF, DKIM et DMARC parfaits mais qui envoie 500 emails le premier jour sera quand même bloqué : les filtres considèrent le volume soudain comme suspect.
Le warm-up (montée en charge progressive) consiste à démarrer à 10 à 20 emails par jour sur un nouveau domaine, puis à doubler le volume toutes les deux semaines environ, en maintenant des taux d'ouverture et de réponse positifs. Cette progression envoie aux fournisseurs de messagerie un signal de fiabilité. Chez FirstLeads, nous warm-upons systématiquement les domaines plusieurs semaines avant le lancement d'une campagne.
La réputation du domaine dépend aussi de la qualité des listes. Des adresses invalides génèrent des bounces durs. Des destinataires qui marquent vos emails comme spam dégradent votre réputation de façon durable. Une liste vérifiée avant envoi (via des outils de vérification d'emails) réduit ces risques de façon significative.
La séparation des domaines est une autre bonne pratique : ne jamais utiliser le domaine principal de l'entreprise pour la prospection froide. Un domaine secondaire dédié (par exemple firstleads-outreach.com ou getfirstleads.com) protège la réputation du domaine principal en cas de problème.
Si vous souhaitez aller plus loin sur la mise en place d'une infrastructure outbound complète, notre guide sur la configuration d'un setup outbound interne couvre la structuration des domaines, la sélection des boîtes d'envoi et l'organisation des séquences. Et si vous préférez déléguer l'ensemble de la délivrabilité et de la prospection à une équipe spécialisée, découvrez comment fonctionne notre agence de cold email B2B.
FAQ
Dois-je configurer SPF, DKIM et DMARC sur chaque domaine que j'utilise pour prospecter ?
Oui, sans exception. Chaque domaine d'envoi, qu'il soit principal ou secondaire, doit avoir ses propres enregistrements SPF, DKIM et DMARC. Un domaine sans ces protocoles sera pénalisé indépendamment des autres domaines que vous utilisez. Si vous gérez plusieurs domaines de prospection en parallèle, la configuration doit être répétée pour chacun d'eux.
Combien de temps faut-il pour que les enregistrements DNS soient actifs ?
La propagation DNS prend en général entre 15 minutes et 48 heures selon votre registrar et le TTL configuré. En pratique, la plupart des modifications sont visibles en moins d'une heure chez les grands registrars comme Cloudflare ou OVH. Utilisez MXToolbox ou un DNS checker en ligne pour confirmer que l'enregistrement est bien visible depuis les DNS publics avant de lancer vos envois.
SPF, DKIM et DMARC protègent-ils contre toutes les formes de spam ?
Non. Ces protocoles prouvent que vous êtes bien l'expéditeur légitime de vos emails et empêchent le spoofing de votre domaine. Ils ne garantissent pas qu'un email au contenu problématique (mots-clés spam, trop de liens, pièces jointes suspectes) arrivera en boîte principale. La délivrabilité repose sur l'authentification, la réputation du domaine, la qualité du contenu et la propreté des listes : ces quatre dimensions fonctionnent ensemble.
Si vous voulez que nous auditoons votre configuration de délivrabilité et identifions les points de blocage qui pénalisent vos campagnes, contactez-nous pour un audit gratuit.
