Sommaire
Résumer ou partager cet article :
Vous avez envoyé une facture à un client, une proposition commerciale à un prospect, une newsletter à votre base… et rien. Pas de réponse. Pas de retour. Comme si votre message avait disparu dans le vide.
Il n’a pas disparu : il est probablement dans les spams. Ou pire, il a été purement et simplement rejeté avant même d’atteindre la boîte de réception.
En 2026, ce scénario n’a plus rien d’anecdotique. Depuis février 2024, Google et Yahoo ont durci leurs exigences en matière d’authentification des e-mails. Depuis mai 2025, Microsoft leur a emboîté le pas en imposant les mêmes règles pour les envois vers Outlook, Hotmail et Live.com. Le message est clair : sans SPF, DKIM et DMARC correctement configurés, vos e-mails n’arrivent plus à destination. Et si vous gérez des campagnes d’e-mailing, le problème est encore plus critique nous vous invitons à (re)consulter nos bonnes pratiques à adopter dans la création d’un e-mailing pour maîtriser le sujet de bout en bout.
Le trio incontournable : SPF, DKIM et DMARC
Longtemps considérés comme de simples recommandations techniques, les protocoles SPF, DKIM et DMARC sont aujourd’hui obligatoires pour garantir la bonne délivrabilité de vos e-mails. Ces trois mécanismes fonctionnent ensemble pour authentifier vos envois et protéger votre nom de domaine.
SPF (Sender Policy Framework) : la liste des expéditeurs autorisés
SPF permet de déclarer, dans vos enregistrements DNS, quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine. Quand un serveur de réception reçoit un message de votre part, il vérifie que le serveur émetteur figure bien dans cette liste. Si ce n’est pas le cas, le message peut être rejeté ou classé comme spam.
DKIM (DomainKeys Identified Mail) : le sceau d’authenticité
DKIM ajoute une signature cryptographique à chaque e-mail envoyé. Cette signature garantit au destinataire que le contenu du message n’a pas été altéré en transit et qu’il provient bien du domaine affiché. C’est un sceau numérique d’authenticité.
Pourquoi DKIM est vital en cas de transfert d’e-mails. C’est un point souvent méconnu : lorsqu’un e-mail est transféré automatiquement (redirection de boîte, alias…), le SPF « saute » car le serveur qui réexpédie le message n’est pas celui déclaré dans l’enregistrement SPF d’origine. En revanche, la signature DKIM, elle, survit au transfert car elle est liée au contenu du message, pas au serveur. C’est pour cette raison que DKIM est considéré comme la méthode d’authentification la plus fiable, et que Google, Yahoo et Microsoft recommandent de privilégier l’alignement DKIM pour DMARC.
DMARC (Domain-based Message Authentication, Reporting and Conformance) : le chef d’orchestre
DMARC est la couche de supervision qui lie le tout. Il indique aux serveurs de réception ce qu’ils doivent faire lorsqu’un e-mail échoue aux vérifications SPF ou DKIM : ne rien faire (p=none), le placer en quarantaine (p=quarantine) ou le rejeter purement et simplement (p=reject). DMARC génère également des rapports agrégés qui permettent de surveiller les tentatives d’usurpation de votre domaine et de cartographier l’ensemble des flux d’e-mails sortants.
Les risques : des e-mails rejetés, un domaine vulnérable et du chiffre d’affaires perdu
Sans ces trois protocoles correctement déployés, les conséquences sont multiples et touchent directement votre activité.
Vos e-mails n’arrivent plus
Google a progressivement renforcé ses exigences depuis février 2024, avec des rejets temporaires puis permanents pour les envois non conformes. En novembre 2025, Gmail a encore durci le ton : les e-mails non authentifiés font désormais l’objet de rejets permanents.
Microsoft a suivi la même trajectoire. Depuis le 5 mai 2025, les e-mails envoyés vers les adresses Outlook.com, Hotmail.com et Live.com sans authentification SPF, DKIM et DMARC valide sont directement rejetés avec un code d’erreur 550. Plus de dossier « courrier indésirable » en guise de filet de sécurité : le message ne passe tout simplement pas.
Pour les entreprises, cela signifie des factures qui ne sont jamais reçues, des propositions commerciales qui restent lettre morte, des newsletters qui n’atteignent jamais leurs destinataires.
Votre domaine est exposé au spoofing
Sans DMARC, n’importe qui peut techniquement envoyer un e-mail en se faisant passer pour votre domaine. C’est le principe du spoofing : un attaquant utilise votre adresse (par exemple contact@votreentreprise.fr) pour envoyer des e-mails de phishing à vos clients, partenaires ou fournisseurs.
Les conséquences sont graves : perte de confiance, atteinte à la crédibilité de votre marque, et dans certains cas, des responsabilités juridiques. L’usurpation de domaine fait partie des risques d’une mauvaise e-réputation les plus dévastateurs pour une entreprise. Comme nous l’avions évoqué dans notre article sur la cyber-assurance pour les PME, la sécurité de la messagerie est un pilier fondamental de l’hygiène numérique.
E-commerce : un DMARC défaillant, c’est du chiffre d’affaires perdu
En tant qu’experts e-commerce chez Zetruc, nous travaillons quotidiennement sur des boutiques PrestaShop et Shopify. Et nous constatons un problème récurrent : les e-mails transactionnels confirmations de commande, notifications d’expédition, relances de paniers abandonnés, factures automatiques finissent régulièrement dans les spams de vos clients parce que SPF, DKIM et DMARC sont mal configurés ou tout simplement absents.
L’impact est direct et mesurable. Un client qui ne reçoit pas sa confirmation de commande s’inquiète, contacte le support, voire demande un remboursement. Une relance de panier abandonné qui n’arrive jamais, c’est une vente définitivement perdue. Des e-mails de suivi de livraison dans les spams, c’est une expérience client dégradée qui se traduit par de mauvais avis et une baisse de fidélisation.
Pour les e-commerçants, la délivrabilité des e-mails n’est pas un sujet technique secondaire : c’est un levier de conversion à part entière. Si vous souhaitez aller plus loin, retrouvez nos conseils pour mieux vendre sur internet la délivrabilité y joue un rôle central.
Le calendrier des exigences : où en sommes-nous en 2026 ?
| Date | Acteur | Mesure |
| Février 2024 | Google / Yahoo | SPF, DKIM et DMARC (p=none minimum) obligatoires pour les expéditeurs envoyant plus de 5 000 e-mails/jour |
| Juin 2024 | SPF et DKIM obligatoires pour tous les expéditeurs, quel que soit le volume | |
| Novembre 2025 | Renforcement : rejets permanents des e-mails non conformes | |
| Mai 2025 | Microsoft | SPF, DKIM et DMARC obligatoires pour les envois en masse vers Outlook/Hotmail/Live rejet des e-mails non conformes (code 550) |
| 2026 | Tendance générale | Généralisation progressive à tous les fournisseurs et à tous les volumes d’envoi |
À retenir : même si ces exigences ciblent initialement les expéditeurs « en masse » (plus de 5 000 e-mails/jour), Google, Yahoo et Microsoft recommandent à tous les domaines de se mettre en conformité. La tendance est claire : ces règles finiront par s’appliquer à tout le monde.
Audit et mise en place : la méthode Zetruc
Ze Audit : notre outil de diagnostic intégré
C’est précisément pour répondre au besoin de visibilité sur ces sujets que nous avons développé Ze Audit Web, notre outil innovant d’analyse des points faibles de votre site internet. Parmi les points vérifiés, Ze Audit détecte notamment le déploiement et la configuration des protocoles SPF, DKIM et DMARC associés à votre nom de domaine.
L’objectif est simple : vous fournir en quelques minutes une photographie complète de la santé de votre présence digitale, sécurité e-mail incluse. Plus besoin de jongler entre plusieurs outils ou de décrypter des en-têtes DNS complexes.
👉 Testez gratuitement Ze Audit Web et vérifiez dès maintenant si vos e-mails sont correctement authentifiés.
La réalité du terrain : ce que nous constatons lors de nos audits
Chez Zetruc, lors de nos audits d’infrastructure, nous rencontrons régulièrement le même scénario : des zones DNS devenues chaotiques au fil des années. Les entreprises empilent les outils marketing, changent de CRM, testent une nouvelle plateforme de newsletters, ajoutent un outil RH qui envoie des e-mails… sans jamais mettre à jour les enregistrements DNS en conséquence.
Le résultat : des include: SPF qui pointent vers des services résiliés depuis des mois, des clés DKIM orphelines pour des plateformes qui ne sont plus utilisées, et un enregistrement DMARC en p=none qui n’a jamais évolué. Notre rôle d’agence est de cartographier l’ensemble de ces flux pour nettoyer la zone DNS, supprimer les entrées obsolètes, déclarer les services actifs et construire une configuration saine et maintenable.
De p=none à p=reject : les 6 étapes sans tout casser
La mise en conformité DMARC n’est pas un interrupteur qu’on bascule du jour au lendemain. C’est une montée en puissance progressive :
Étape 1 Inventaire des flux. Cartographier tous les services et serveurs qui envoient des e-mails au nom de votre domaine : messagerie principale, CRM, outil de newsletter, plateforme e-commerce, ERP, outil de signature électronique, etc.
Étape 2 Configuration SPF et DKIM. Déclarer chaque source légitime dans l’enregistrement SPF. Activer et configurer DKIM (en 2048-bit) pour chaque service. Vérifier que la limite des 10 lookups n’est pas dépassée.
Étape 3 Déploiement DMARC en p=none. Publier l’enregistrement DMARC en mode surveillance. À ce stade, aucun e-mail n’est bloqué, mais vous commencez à recevoir les rapports.
Étape 4 Analyse des rapports. Pendant 2 à 4 semaines, analyser les rapports RUA pour identifier les sources non déclarées, les échecs d’alignement et les éventuelles tentatives d’usurpation. C’est souvent à cette étape qu’on découvre des outils oubliés ou des configurations incomplètes.
Étape 5 Passage en p=quarantine. Une fois tous les flux légitimes correctement authentifiés, passer la politique DMARC en quarantaine. Les e-mails non conformes sont désormais dirigés vers les spams du destinataire, ce qui permet d’observer l’impact sans couper définitivement les flux.
Étape 6 Passage en p=reject. C’est l’objectif final. Tout e-mail qui échoue à l’authentification DMARC est purement et simplement rejeté par le serveur de réception. Votre domaine est protégé contre l’usurpation.
En résumé
L’authentification des e-mails n’est plus une option technique réservée aux administrateurs système. C’est une condition fondamentale pour que vos communications atteignent leur destinataire, pour protéger votre nom de domaine contre l’usurpation, et pour maintenir la confiance de vos clients et partenaires.
Les trois géants de la messagerie Google, Yahoo et Microsoft ont tracé une ligne claire : SPF, DKIM et DMARC sont désormais le minimum requis. Les entreprises qui tardent à se mettre en conformité s’exposent à des perturbations croissantes de leur communication par e-mail un risque qui s’inscrit pleinement dans les enjeux de la cybersécurité pour les entreprises que nous ne cessons d’accompagner.
Zetruc vous accompagne
L’agence Zetruc, présente à Troyes, Reims, Ajaccio et Genève, accompagne les entreprises dans la sécurisation de leur infrastructure digitale. De l’audit initial à la mise en conformité, en passant par la formation de vos équipes, nous mettons notre expertise cybersécurité au service de votre sérénité numérique.
Auditez votre domaine gratuitement avec Ze Audit Web Contactez-nous pour un accompagnement personnalisé sur la configuration SPF/DKIM/DMARC Formez vos équipes découvrez comment se former à la cybersécurité en entreprise pour ancrer les bonnes pratiques dans la durée
