Données emailing8 min de lecture

SPF et DKIM : taux d'adoption chez les domaines français

Les standards d'authentification email (SPF, DKIM) passent du « recommandé » à l'« obligatoire ». Où en est la France ?

Depuis février 2024, les exigences de Google et Yahoo en matière d'authentification email ont entraîné une vague de conformité mondiale. SPF et DKIM, autrefois des outils « optionnels » pour les perfectionnistes, sont devenus des pré-requis pour quiconque souhaite livrer ses messages à ces géants de l'email. En France, où Orange, Free et SFR dominent le marché des boîtes aux lettres, cette transition pose une question simple mais cruciale : combien de domaines français sont-ils réellement prêts ?

Cet article explore l'état actuel de l'adoption de SPF et DKIM chez les domaines français, l'impact sur la délivrabilité et comment vérifier votre propre situation avant que vos campagnes ne se retrouvent en dossier spam.

Qu'est-ce que SPF et DKIM en un coup d'œil ?

Avant de parler chiffres, un rappel technique rapide : SPF et DKIM sont deux mécanismes d'authentification email qui répondent à une question fondamentale : « Ce mail vient-il réellement de qui il prétend venir ? »

SPF (Sender Policy Framework) est une simple liste de serveurs autorisés à envoyer du mail au nom de votre domaine. Vous la publiez dans les enregistrements DNS sous forme de texte. Par exemple : v=spf1 include:sendgrid.net ~all signifie « seuls les serveurs SendGrid et mon serveur de mail sont autorisés ; tous les autres sont suspects ».

DKIM (DomainKeys Identified Mail) va plus loin : il signe numériquement le contenu du mail avec une clé privée stockée sur votre serveur d'envoi. Les serveurs de réception vérifient cette signature avec la clé publique publiée dans DNS. C'est plus robuste que SPF car il couvre aussi le corps du message.

SPFVérifie l'adresse IP du serveur d'envoiDKIMValide la signature numérique du messageDMARCDéfinit la politique en cas d'échec de SPF/DKIM
L'authentification email : SPF, DKIM et DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) complète le duo en définissant une politique : « Si SPF et DKIM échouent, rejette le mail ou le met en spam ? » DMARC envoie aussi des rapports quotidiens à votre adresse d'administration, ce qui vous permet de surveiller les tentatives d'usurpation d'identité.

L'exigence des géants : Google, Yahoo et la vague de 2024

En février 2024, Google et Yahoo ont annoncé des règles strictes pour tous les expéditeurs de masse (considérés comme tels à partir de 5 000 messages par jour vers Gmail/Yahoo) :

  • SPF et DKIM doivent être configurés et validés pour chaque domaine d'envoi
  • DMARC doit être au minimum en mode p=none (rapport seul) ou plus strict
  • La permission de désabonnement doit respecter la norme RFC 8058 (lien unique de désinscription)
  • Le taux de spam doit rester inférieur à 0,3 % (mesuré via Postmaster Tools)

Pour la France, cela signifie que tout responsable email ayant une base de destinataires français sur Gmail ou Yahoo doit respecter ces standards. C'est vrai que la part de Gmail et Yahoo en France est moins dominante que dans les marchés anglo-saxons, mais Orange, le leader local, adopte aussi progressivement les mêmes bonnes pratiques, de même que Free et SFR.

L'importance de la légalité française
La CNIL (Commission nationale de l'informatique et des libertés) recommande depuis longtemps que tout email commercial en France respecte l'identification de l'expéditeur et offre une option de désabonnement évidente. SPF/DKIM/DMARC sont la mise en place technique de cette exigence légale. Négliger l'authentification expose votre domaine aux risques de spoofing (usurpation) et aux sanctions.

L'état de l'adoption SPF/DKIM en France : les données

Pour connaître l'état réel de l'adoption en France, le meilleur indicateur est le scan continu des domaines. check.live-direct-marketing.online agrège des statistiques via /email-stats/, qui scanne régulièrement les configurations MX et DNS des plus grands domaines francophones.

Les données montrent un trend encourageant : la majorité des domaines de classe grand public (Gmail, Outlook, Yahoo, iCloud) disposent de SPF et DKIM depuis longtemps. La vraie courbe d'adoption concerne :

  • Les PME et micro-entreprises françaises : SPF/DKIM adoption inégale, souvent parce que l'hébergeur web ou le prestataire email n'offre pas de documentation claire
  • Les sites WordPress/PrestaShop/WooCommerce français : beaucoup utilisent encore wp_mail() ou mail() PHP sans SMTP externe, ce qui signifie pas d'authentification
  • Les ESP français : Brevo, Mailjet, Sarbacane exigent la configuration SPF/DKIM pour une bonne délivrabilité, et la plupart des clients le font, mais ce n'est pas automatique
  • Les petits e-commerce sur Shopify/PrestaShop hébergés : adoption croissante, mais encore des brèches

Consultez /email-stats/ pour les dernières statistiques à jour. Les chiffres y sont mis à jour chaque semaine et couvrent les domaines Tranco top-1M.

Impact direct sur votre délivrabilité en France

Pourquoi c'est important pour vous, en tant que professionnel de l'emailing en France ?

Sans SPF/DKIM configuré : vos emails risquent fortement d'être rejetés ou mis en dossier spam. Orange, Free et SFR appliquent des filtres antispam robustes. Un domaine sans SPF/DKIM est un drapeau rouge pour leurs systèmes.

Avec SPF et DKIM configurés : vous franchissez le test technique de base. Mais attention : un SPF/DKIM « correct » n'est pas une garantie de boîte de réception. Le contenu du mail, la fréquence d'envoi, l'historique d'engagement et le taux de plainte jouent aussi un rôle crucial.

Avec DMARC en mode p=reject ou p=quarantine : vous ajoutez une couche de sécurité qui empêche les attaquants d'usurper votre domaine. C'est aussi un signal de professionnalisme que les fournisseurs d'accès français commencent à considérer positivement.

v=spf1 include:brevo.net include:sendgrid.net mx ~allVersion de la spécification SPFAutorise les serveurs Brevo (ESP français)Autorise aussi SendGrid si utiliséAutorise les serveurs MX du domaineTous les autres serveurs sont suspects (-all = rejet strict)
Exemple d'enregistrement SPF pour un domaine français

Comment vérifier votre adoption SPF/DKIM en 5 minutes

Vous vous demandez si votre domaine est correctement configuré ? Trois approches :

  1. Test en ligne simple : utilisez check.live-direct-marketing.online. Envoyez un email de test et voyez où il arrive (boîte de réception ou spam) chez les principaux domaines français. Vous verrez aussi les détails SPF/DKIM/DMARC en un coup d'œil — c'est gratuit, sans inscription.
  2. Via votre console DNS : allez dans votre registrar (OVH, Gandi, etc.) et cherchez les enregistrements SPF et DKIM pour votre domaine. SPF commence par v=spf1, DKIM apparaît sous des enregistrements de type TXT nommés default._domainkey.votredomaine.fr.
  3. Via Postmaster Tools de Google : si vous envoyez beaucoup vers Gmail, Google vous offre une page d'authentification qui vous dit si SPF, DKIM et DMARC sont validés.

Si vous découvrez que SPF/DKIM sont manquants, ne paniquez pas : c'est facile à corriger. Votre ESP français (Brevo, Mailjet) ou votre hébergeur peut vous guider. Les records SPF et DKIM prennent effet en quelques minutes à quelques heures après la propagation DNS.

La tendance à retenir : vers une authentification obligatoire

Le mouvement est clair : SPF et DKIM passent du statut de « bonne pratique » à celui de « prérequis incontournable ». En France, cette transition sera probablement plus progressive que aux États-Unis, mais le signal est univoque. Dans 12 à 24 mois, il est raisonnable de s'attendre à ce que même les petits domaines se voient imposer des exigences d'authentification. Mieux vaut anticiper.

Quelle est la différence entre SPF et DKIM ? Faut-il configurer les deux ?

SPF vérifie l'origine du serveur d'envoi (adresse IP), tandis que DKIM signe numériquement le contenu du mail. Idéalement, configurez les deux : SPF est plus rapide et courant, mais DKIM est plus robuste car il survit aux redirections de mail. Ensemble, ils offrent une couche de protection complète. Google, Yahoo et les fournisseurs français considèrent les deux comme importants.

Est-ce que DMARC est obligatoire en France ?

Pas formellement « obligatoire » pour fonctionner, mais fortement recommandé. Google et Yahoo exigent au minimum p=none (mode rapportage seul). Pour la sécurité et la conformité avec les recommandations de la CNIL, une politique p=quarantine ou p=reject est préférable. Elle empêche l'usurpation d'identité et signale votre professionnalisme aux filtres français.

Pourquoi mon domaine sans SPF/DKIM arrive-t-il quand même en boîte de réception ?

Probabilité et règles de triage. Beaucoup de petits domaines sans authentification « passent » parfois par chance : contenu légitime, faible volume, domaine peu ciblé par les spammeurs. Mais c'est une roulette russe. À grande échelle, l'absence d'authentification frappera vos taux de délivrabilité. Le jeu n'en vaut pas la peine. Configurez SPF/DKIM d'abord, puis testez avec check.live-direct-marketing.online pour vérifier que c'est en place.
À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte