Brevo, la plateforme email française pionnière en Europe, offre un tableau de bord intuitif pour configurer SPF et DKIM sur votre domaine. Pourtant, ces deux authentifications sont souvent mal configurées, ce qui crée des taux de spam anormalement élevés, des rebonds d'authentification et, à terme, la non-délivrance de vos emails. Dans cet article, nous détaillons chaque étape pour bien faire.
Pourquoi SPF et DKIM sont maintenant incontournables
Depuis février 2024, les grandes boîtes mail — Gmail, Yahoo et leurs variantes francophones orange.fr, free.fr, sfr.fr — exigent que tout message provenant d'un domaine dispose au minimum d'une signature SPF valide et, idéalement, d'une signature DKIM. Cette exigence s'étend aussi à DMARC, au moins en mode passif (p=none). La raison : lutter contre l'usurpation d'identité et le phishing.
Pour la France particulièrement, la CNIL (Commission nationale de l'informatique et des libertés) recommande d'ailleurs que les emails commerciaux disposent d'une authentification forte : SPF+DKIM couplés à DMARC forment la base d'une réputation respectueuse du cadre légal.
Si vous utilisez Brevo pour envoyer vos newsletters, offres commerciales ou emails transactionnels depuis votre domaine, ignorer cette configuration vous expose à voir une part croissante de vos envois finir en spam, voire être bloqués.
Accéder aux paramètres d'authentification dans Brevo
Connectez-vous à votre compte Brevo et rendez-vous dans Paramètres (icône engrenage en haut à droite). Cherchez la section Domaines ou Domaines d'envoi. Vous verrez la liste des domaines que vous avez déjà ajoutés à Brevo, et un bouton Ajouter un domaine ou Ajouter un nouveau domaine.
Brevo vous propose alors une interface en trois étapes :
- Vérification de propriété du domaine (accès DNS)
- Configuration SPF
- Configuration DKIM
N'ajouter qu'un seul domaine principal par adresse de renvoi (From address). Si vous envoyez depuis plusieurs domaines (ex : newsletter@example.com ET contact@example.fr), ajoutez les deux à Brevo en tant que domaines d'envoi séparés.
Configurer le SPF (Sender Policy Framework)
SPF est un simple enregistrement textuel à ajouter dans la zone DNS de votre domaine. Son rôle : indiquer aux serveurs récepteurs « les envois valides pour exemple.com viennent de ces serveurs ». Brevo aura une adresse serveur d'envoi unique qui doit figurer dans votre SPF.
Voici comment procéder :
- Brevo affiche un enregistrement SPF à copier, typiquement
v=spf1 include:sendingserver.brevo.com ~all - Rendez-vous chez votre registraire de domaine (GoDaddy, OVH, Ionos, etc.) ou votre hébergeur.
- Accédez aux enregistrements DNS (souvent appelé Zone DNS, DNS management).
- Erreur courante à éviter absolument : Si un enregistrement SPF existant est présent (ex : pour WordPress, Shopify ou un autre service), ne le remplacez PAS. Vous devez AJOUTER la valeur Brevo à l'enregistrement existant. Tous les enregistrements SPF d'un domaine se fusionnent en un seul avec des espaces.
Un SPF correct ressemble à ceci :
v=spf1 include:sendingserver.brevo.com include:sendingserver.shopify.com ~allAttendez 5 minutes à 4 heures après la modification DNS (propagation mondiale). Brevo affichera un bouton Vérifier le SPF dans l'interface pour confirmer que l'enregistrement est bien en place.
v=spf1 include:sendingserver.brevo.com ~all. Cela cassera tous les autres services. Bon exemple : v=spf1 include:sendingserver.brevo.com include:sendingserver.shopify.com ~all.Configurer DKIM (DomainKeys Identified Mail)
DKIM est une authentification par clé cryptographique. Brevo génère pour vous une paire clé publique/clé privée ; Brevo garde la clé privée, et vous ajoutez la clé publique en DNS. Chaque email signé avec votre clé privée peut être vérifié par le destinataire.
Processus :
- Dans Brevo, à l'étape DKIM, sélectionnez le sélecteur DKIM proposé (ex :
defaultoubrevo). Ce sélecteur doit être unique et lisible ; conservez celui proposé par Brevo. - Brevo génère une clé publique long format texte (ressemble à une suite de caractères illisibles). Copiez-la intégralement, sans espacer ni couper.
- Chez votre registraire, créez un nouvel enregistrement DNS de type CNAME ou TXT, selon ce que Brevo indique.
- Nom du champ :
default._domainkey.example.com(remplacezdefaultpar votre sélecteur etexample.compar votre domaine) - Valeur : la clé publique Brevo
- Nom du champ :
- Attendez propagation DNS (5 min à 4h).
- Retour à Brevo : cliquez Vérifier le DKIM. Brevo confirmera que l'enregistrement est actif.
Une fois DKIM actif, Brevo signera automatiquement chaque email envoyé depuis votre domaine. Les boîtes réceptrices vérifieront la signature et constateront que c'est légitime.
DMARC : la couche de policy au-dessus
SPF et DKIM sont des authentifications. DMARC (Domain-based Message Authentication, Reporting and Conformance) est une policy qui dit « si SPF ou DKIM échoue, que dois-tu faire ? ».
Vous avez trois niveaux de DMARC :
- p=none (aucune action) : on collecte des rapports, mais on accepte les emails qui échouent.
- p=quarantine : les emails qui échouent vont en spam.
- p=reject : les emails qui échouent sont refusés purement.
Pour commencer, configurez p=none dans votre enregistrement DMARC (dans la zone DNS, enregistrement TXT _dmarc.example.com). Cela vous permet de surveiller sans risque de blocage. Brevo peut automatiser ce step, ou vous pouvez le faire manuellement ; consultez les conseils Brevo pour votre cas exact.
Tester votre configuration avant la production
Ne lancez pas une grande campagne tant que vous n'avez pas testé. Utilisez un outil de test gratuit comme check.live-direct-marketing.online, qui envoie votre email sur des adresses réelles et montre où il arrive (Inbox vs Spam) ainsi que l'état de vos enregistrements SPF, DKIM, DMARC.
Étapes de test :
- Créez une campagne test dans Brevo avec un sujet et corps simples.
- Utilisez l'outil de test gratuit pour envoyer un email.
- Vérifiez que SPF, DKIM et DMARC sont validés dans les résultats.
- Vérifiez que votre email arrive en Inbox et non en Spam chez les principaux prestataires (Orange, Free, SFR, Gmail, Outlook).
- Si un enregistrement manque ou est invalide, retournez en DNS et corrigez.
- Réessayez après propagation DNS.
Une fois validé, vous pouvez lancer vos vraies campagnes en confiance. La plupart des problèmes de délivrabilité se règlent avec une bonne configuration SPF+DKIM+DMARC et un contenu non-spammy.
Erreurs courantes et solutions
Voici les pièges les plus fréquents que nous voyons :
- SPF refuse de valider : Vérifiez que vous avez bien accès à la zone DNS de votre domaine (droits d'administration chez l'hébergeur). Patientez 4 heures pour la propagation mondiale.
- DKIM expire rapidement : Vous avez peut-être utilisé un mauvais sélecteur ou saisi la clé avec des espaces. Régénérez la clé depuis Brevo avec le bon sélecteur, en copiant-collant sans modification.
- Email toujours en spam malgré SPF+DKIM valides : Cela peut être dû au contenu (trop de liens, images suspectes, mots-clés spam) ou à la réputation IP de Brevo. Attendez quelques jours, vérifiez votre taux de rebond, ou contactez le support Brevo.
- Divers problèmes après ajout : Brevo offre un support technique ; le temps de réponse est généralement court pour les problèmes d'authentification DNS.
Si j'ajoute SPF Brevo à mon enregistrement existant, mes autres emails (WordPress, Shopify) vont-ils encore partir ?
Oui, absolument. SPF fonctionne avec des includes. En ajoutant la valeur Brevo à votre SPF existant, vous dites aux serveurs : « acceptez les emails de Brevo ET de mes autres services ». Assurez-vous simplement qu'il n'y a qu'un seul enregistrement SPF par domaine (une seule ligne v=spf1 ... ~all).
Pourquoi Brevo ne valide pas mon DKIM après 24h ?
Les registraires mettent du temps à propager l'enregistrement DNS en mondial (généralement 5 min à 4h, mais parfois plus). Relancez la vérification dans Brevo. Si ça persiste, vérifiez le format exact de la clé publique : pas d'espace supplémentaire ni de caractères manquants. Contactez le support registraire si le problème persiste.
Faut-il absolument DMARC, ou SPF+DKIM suffisent ?
SPF+DKIM suffisent techniquement pour que vos emails passent les filtres. Cependant, Gmail et Yahoo demandent un enregistrement DMARC (au moins p=none) pour être considéré comme un bon expéditeur. Créez-le, même en mode passif, pour éviter des blocages futurs et respecter les attentes des grands prestataires.