High-Tech /

Délivrabilité email : les facteurs techniques qui font la différence

SPF, DKIM, DMARC, réputation IP, MTA-STS : les leviers techniques qui font passer vos emails de la boîte spam à l'inbox principale.

Délivrabilité email : les facteurs techniques qui font la différence

Vous pouvez avoir le meilleur copywriter de France, le segment le plus fin du marché et un objet qui claque, si vos emails atterrissent en spam, vous perdez. Et la frontière entre l’inbox et la corbeille junk se joue à 80 % sur des paramètres techniques que personne n’aime regarder. Depuis février 2024, Google et Yahoo ont durci leurs exigences pour les expéditeurs qui envoient plus de 5 000 messages par jour vers leurs boîtes : SPF, DKIM, DMARC alignés, taux de plainte sous 0,3 %, lien de désabonnement en un clic. Deux ans plus tard, la moitié des bases B2B françaises n’est toujours pas en règle.

Voici les leviers qui font vraiment varier le taux d’atterrissage en boîte de réception.

SPF, DKIM, DMARC : le trio non négociable

Ces trois protocoles permettent aux serveurs récepteurs de vérifier que vous êtes vraiment l’expéditeur affiché. Sans eux, vos messages partent avec une étiquette “suspect” collée dessus dès la première seconde.

  • SPF (Sender Policy Framework) : un enregistrement TXT dans votre DNS qui liste les serveurs autorisés à envoyer des emails au nom de votre domaine. Indispensable, mais largement insuffisant à lui seul.
  • DKIM (DomainKeys Identified Mail) : chaque email part avec une signature cryptographique, que le destinataire vérifie ensuite grâce à une clé publique publiée dans votre DNS. Sans cette signature valide, impossible de garantir que le contenu n’a pas été bidouillé en cours de route.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) : c’est la consigne donnée aux serveurs récepteurs pour le cas où SPF ou DKIM tombent à côté. Trois niveaux : p=none (on observe sans rien bloquer), p=quarantine (on met en spam) et p=reject (on rejette purement).

Le piège classique : configurer SPF et DKIM mais laisser DMARC en p=none indéfiniment. Tant que vous n’êtes pas en p=quarantine au minimum, Gmail considère votre alignement comme incomplet pour les envois massifs. Comptez deux à quatre semaines d’observation des rapports DMARC avant de durcir la politique, sinon vous risquez de bloquer du trafic légitime (factures, notifications applicatives, signatures commerciales).

Pour valider l’ensemble en cinq minutes, l’outil MXToolbox{:target="_blank"} reste la référence gratuite. Tapez votre domaine, lancez SPF, DKIM et DMARC : si l’un des trois échoue, votre délivrabilité plafonnera quoi que vous fassiez ensuite.

La réputation : ce que les filtres regardent vraiment

Une fois l’authentification en place, les serveurs récepteurs notent votre domaine et votre IP d’envoi sur une centaine de critères. Cette réputation détermine si vos prochains messages passent en inbox, en promotions, en spam ou sont rejetés directement.

Les principaux facteurs qui la dégradent :

  • Taux de plainte : au-delà de 0,3 % de “marquer comme spam” sur Gmail, vos envois suivants sont systématiquement filtrés. Sur Outlook, le seuil est encore plus bas.
  • Taux de hard bounce : au-dessus de 2 % d’adresses invalides par campagne, votre IP entre en zone rouge. Une base achetée monte facilement à 15 ou 20 %.
  • Engagement : un destinataire qui n’ouvre jamais vos emails depuis six mois est un mauvais signal. Les fournisseurs en concluent que vos messages n’intéressent personne, et baissent votre score.
  • Présence sur les blacklists : Spamhaus, SORBS, Barracuda. Une apparition sur Spamhaus suffit à couper la quasi-totalité de vos envois pendant la durée du listing.

IP dédiée ou IP partagée ? Tant que vous envoyez moins de 50 000 emails par mois, restez sur l’IP partagée de votre routeur. Vous bénéficiez de la réputation collective. Au-delà, la dédiée devient pertinente, mais elle exige une phase de chauffe (warm-up) sur quatre à six semaines avant de tenir un volume normal.

MTA-STS, TLS-RPT et BIMI : la couche au-dessus

Ces standards plus récents séparent les expéditeurs sérieux du tout-venant.

MTA-STS force le chiffrement TLS entre serveurs, empêchant un attaquant d’intercepter ou de dégrader la connexion. TLS-RPT vous remonte des rapports quand un envoi échoue à se chiffrer correctement. Les deux se configurent par enregistrements DNS et un fichier statique servi en HTTPS sur un sous-domaine mta-sts.votredomaine.fr. Comptez deux heures de mise en place pour un admin réseau.

BIMI (Brand Indicators for Message Identification) affiche votre logo à côté de l’expéditeur dans Gmail, Yahoo et Apple Mail. Il exige DMARC en p=quarantine ou p=reject, plus un certificat VMC payant (autour de 1 500 € par an chez Entrust ou DigiCert). Coût justifiable pour les marques B2C, plus discutable pour une PME B2B.

Volume, fréquence et constance

Les filtres anti-spam adorent les comportements prévisibles. Un envoi hebdomadaire de 10 000 messages, semaine après semaine, rassure les algorithmes. Un blast de 80 000 emails un mardi matin après deux mois de silence déclenche immédiatement des alertes.

Quelques règles qui marchent :

  • Lancer une nouvelle IP avec 500 envois le premier jour, doubler tous les deux jours pendant trois semaines. Plus rapide, vous brûlez la réputation avant même de l’avoir construite.
  • Garder un rythme régulier. Mieux vaut un envoi par semaine que quatre en une journée puis rien pendant un mois.
  • Étaler les envois massifs sur plusieurs heures. La plupart des routeurs sérieux le font automatiquement (option “throttling”).

Hygiène de liste : le levier le plus sous-estimé

On y revient parce que c’est le facteur qui change le plus la donne. Une base nettoyée tous les trimestres se comporte deux à trois fois mieux qu’une base laissée en l’état.

Les opérations à mener :

  • Suppression des hard bounces après le premier échec. Pas le deuxième, pas le troisième.
  • Désengagement progressif des inactifs depuis 6 mois : envoi d’un email de réactivation, puis suppression si pas d’ouverture après deux relances.
  • Validation à l’inscription via double opt-in. Vous perdez 15 à 20 % d’inscrits à l’inscription, mais vous gagnez en délivrabilité long terme.
  • Détection des adresses pièges (spamtraps) avec un outil comme NeverBounce, ZeroBounce ou Bouncer. Comptez 5 à 10 € pour 1 000 vérifications.

Sur ce dernier point, si votre base contient des contacts importés depuis longtemps ou collectés via des formulaires non protégés, faites passer un nettoyage complet avant le prochain envoi. Une seule spamtrap touchée, et c’est Spamhaus quasi assuré.

Surveiller en continu

La délivrabilité n’est pas un projet à boucler une fois pour toutes, c’est un suivi permanent. Trois outils gratuits suffisent pour démarrer :

  • Google Postmaster Tools{:target="_blank"} : votre tableau de bord côté Gmail. Réputation IP, réputation domaine, taux de plainte, alignement DMARC. Indispensable.
  • Microsoft SNDS : l’équivalent côté Outlook/Hotmail. Moins ergonomique, mais utile pour repérer un problème spécifique aux boîtes Microsoft.
  • Rapports DMARC agrégés via un service comme Postmark DMARC Monitoring (gratuit jusqu’à un certain volume) ou Dmarcian.

Si vous gérez vous-même votre infrastructure d’envoi, votre hébergement web joue aussi un rôle direct sur la qualité des connexions sortantes. Et n’oubliez pas que tout cela s’intègre dans une hygiène de sécurité globale : un domaine usurpé pour du phishing perd sa réputation en quelques heures.

Le réflexe à adopter

Faites un audit complet une fois par trimestre : SPF, DKIM, DMARC, blacklists, taux de plainte sur Postmaster Tools, présence éventuelle de spamtraps. Trente minutes tous les trois mois, et vous évitez 90 % des accidents qui font chuter une délivrabilité du jour au lendemain. Les concurrents qui négligent ce travail finissent en spam pendant que vos messages atterrissent en haut de la boîte.

Publié par La rédaction