Vos courriels finissent dans les indésirables ? SPF, DKIM, DMARC et la règle des 3 flux

Vous envoyez une facture, une confirmation de commande ou une simple réponse à un client, et le message n'arrive jamais. Ou pire : il atterrit dans les indésirables, là où personne ne le lit. Avant de blâmer le contenu de vos courriels, il faut comprendre une chose : Gmail, Outlook et les autres ne jugent pas d'abord ce que vous écrivez. Ils jugent qui vous êtes et comment vous envoyez.

Deux leviers déterminent si vos courriels arrivent à destination : prouver votre identité d'expéditeur (l'authentification SPF, DKIM, DMARC) et préserver votre réputation d'envoi (la séparation de vos flux). Les deux sont liés, et négliger l'un sabote l'autre.

Le vrai problème : ce n'est pas votre message, c'est votre réputation

Chaque domaine qui envoie des courriels se bâtit une réputation auprès des fournisseurs de messagerie. Cette réputation dépend de signaux : vos courriels sont-ils authentifiés ? Les destinataires les ouvrent-ils, ou les marquent-ils comme pourriel ? Envoyez-vous un volume régulier ou des pics suspects ?

Une mauvaise réputation, et même un courriel parfaitement légitime se retrouve filtré. La bonne nouvelle : la réputation se contrôle. Cela commence par l'authentification.

SPF : qui a le droit d'envoyer en votre nom

Le SPF (Sender Policy Framework) est une liste blanche publiée dans votre zone DNS. Elle déclare quels serveurs sont autorisés à envoyer des courriels au nom de votre domaine. Quand un message arrive, le serveur du destinataire vérifie : l'expéditeur figure-t-il dans cette liste ? Sinon, le message devient suspect.

L'erreur classique : oublier d'y inscrire un service d'envoi (votre infolettre, votre CRM, votre plateforme transactionnelle), ou dépasser la limite de 10 requêtes DNS imposée par le protocole, ce qui invalide silencieusement tout l'enregistrement.

DKIM : la signature qui prouve que rien n'a été altéré

Le DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque courriel sortant. C'est l'équivalent numérique d'un sceau de cire : le destinataire vérifie la signature avec une clé publique inscrite dans votre DNS et confirme deux choses : le message vient bien de votre domaine, et personne ne l'a modifié en route.

DMARC : la politique qui décide quoi faire des imposteurs

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) est le chef d'orchestre. Il s'appuie sur SPF et DKIM pour dire aux serveurs récepteurs quoi faire quand un courriel échoue à l'authentification :

• none : on observe, on ne bloque rien (étape de surveillance).
• quarantine : les messages suspects vont dans les indésirables.
• reject : les messages frauduleux sont carrément refusés.

Le DMARC produit aussi des rapports qui révèlent qui envoie en votre nom, légitimement ou non. C'est l'outil qui bloque l'usurpation de votre domaine (le spoofing) et qui protège votre marque contre l'hameçonnage. Nous détaillons sa mise en place dans notre service de surveillance DMARC et CSP.

L'authentification ne suffit pas : la règle des 3 flux

Voici ce que beaucoup ignorent : même avec un SPF, un DKIM et un DMARC impeccables, vous pouvez ruiner votre délivrabilité en mélangeant vos types d'envois. Pourquoi ? Parce qu'un courriel transactionnel, un courriel professionnel et une infolettre marketing n'ont ni le même objectif, ni le même volume, ni le même risque de plainte. Les faire transiter par le même chemin, c'est laisser le maillon le plus risqué contaminer les deux autres.

La règle est simple : trois types de courriels, trois chemins distincts, trois raisons différentes.

Flux 1 : le courriel transactionnel

Confirmations de commande, factures, réinitialisations de mot de passe, accusés de réception. Ces courriels sont déclenchés par une action de l'utilisateur et doivent toujours arriver, immédiatement. On n'y met jamais de publicité. Leur taux d'ouverture est très élevé et leur taux de plainte quasi nul, ce qui en fait le flux à la réputation la plus précieuse. C'est exactement pourquoi on l'isole. Voir notre service de courriel transactionnel.

Flux 2 : le courriel professionnel

Votre boîte nom@votreentreprise.com, vos échanges quotidiens un à un avec clients et fournisseurs. La réputation de ce flux est directement liée à votre domaine principal, celui qui porte votre identité. On le garde propre et on évite d'y faire passer des envois de masse. Voir notre service de courriel professionnel.

Flux 3 : le courriel marketing et infolettre

Envois de masse, promotions, infolettres. C'est le flux au plus haut risque : volumes importants, désabonnements, plaintes pour pourriel inévitables même avec une liste propre. Pour éviter qu'il ne contamine vos deux autres flux, on l'isole sur un sous-domaine d'envoi dédié (par exemple nouvelles.votreentreprise.com). Ainsi, si la réputation marketing souffre, vos factures et vos courriels professionnels continuent d'arriver. Voir notre service de courriels et campagnes.

Pourquoi 3 chemins pour 3 raisons

Comment Horizon-Cumulus configure tout ça pour vous

Bien faire les choses demande de toucher au DNS, de générer des clés, de séparer des flux et de surveiller des rapports dans le temps. C'est précisément ce que nous prenons en charge :

• Configuration complète SPF, DKIM et DMARC, avec passage progressif de la surveillance vers le rejet des imposteurs.
• Séparation de vos trois flux sur les bons domaines et sous-domaines.
• Routage de courriel adapté à votre infrastructure, sans interruption de service.
• Surveillance continue des rapports de délivrabilité et de réputation.

Le résultat : vos factures arrivent, vos clients vous lisent, et votre domaine ne sert jamais de cheval de Troie à des fraudeurs.

Vous soupçonnez un problème de délivrabilité ? Contactez notre équipe pour une vérification de votre configuration courriel.