Depuis février 2024, les exigences de Google et Yahoo en matière d'authentification email ont entraîné une vague de conformité mondiale. SPF et DKIM, autrefois des outils « optionnels » pour les perfectionnistes, sont devenus des pré-requis pour quiconque souhaite livrer ses messages à ces géants de l'email. En France, où Orange, Free et SFR dominent le marché des boîtes aux lettres, cette transition pose une question simple mais cruciale : combien de domaines français sont-ils réellement prêts ?
Cet article explore l'état actuel de l'adoption de SPF et DKIM chez les domaines français, l'impact sur la délivrabilité et comment vérifier votre propre situation avant que vos campagnes ne se retrouvent en dossier spam.
Qu'est-ce que SPF et DKIM en un coup d'œil ?
Avant de parler chiffres, un rappel technique rapide : SPF et DKIM sont deux mécanismes d'authentification email qui répondent à une question fondamentale : « Ce mail vient-il réellement de qui il prétend venir ? »
SPF (Sender Policy Framework) est une simple liste de serveurs autorisés à envoyer du mail au nom de votre domaine. Vous la publiez dans les enregistrements DNS sous forme de texte. Par exemple : v=spf1 include:sendgrid.net ~all signifie « seuls les serveurs SendGrid et mon serveur de mail sont autorisés ; tous les autres sont suspects ».
DKIM (DomainKeys Identified Mail) va plus loin : il signe numériquement le contenu du mail avec une clé privée stockée sur votre serveur d'envoi. Les serveurs de réception vérifient cette signature avec la clé publique publiée dans DNS. C'est plus robuste que SPF car il couvre aussi le corps du message.
DMARC (Domain-based Message Authentication, Reporting and Conformance) complète le duo en définissant une politique : « Si SPF et DKIM échouent, rejette le mail ou le met en spam ? » DMARC envoie aussi des rapports quotidiens à votre adresse d'administration, ce qui vous permet de surveiller les tentatives d'usurpation d'identité.
L'exigence des géants : Google, Yahoo et la vague de 2024
En février 2024, Google et Yahoo ont annoncé des règles strictes pour tous les expéditeurs de masse (considérés comme tels à partir de 5 000 messages par jour vers Gmail/Yahoo) :
- SPF et DKIM doivent être configurés et validés pour chaque domaine d'envoi
- DMARC doit être au minimum en mode
p=none(rapport seul) ou plus strict - La permission de désabonnement doit respecter la norme RFC 8058 (lien unique de désinscription)
- Le taux de spam doit rester inférieur à 0,3 % (mesuré via Postmaster Tools)
Pour la France, cela signifie que tout responsable email ayant une base de destinataires français sur Gmail ou Yahoo doit respecter ces standards. C'est vrai que la part de Gmail et Yahoo en France est moins dominante que dans les marchés anglo-saxons, mais Orange, le leader local, adopte aussi progressivement les mêmes bonnes pratiques, de même que Free et SFR.
L'état de l'adoption SPF/DKIM en France : les données
Pour connaître l'état réel de l'adoption en France, le meilleur indicateur est le scan continu des domaines. check.live-direct-marketing.online agrège des statistiques via /email-stats/, qui scanne régulièrement les configurations MX et DNS des plus grands domaines francophones.
Les données montrent un trend encourageant : la majorité des domaines de classe grand public (Gmail, Outlook, Yahoo, iCloud) disposent de SPF et DKIM depuis longtemps. La vraie courbe d'adoption concerne :
- Les PME et micro-entreprises françaises : SPF/DKIM adoption inégale, souvent parce que l'hébergeur web ou le prestataire email n'offre pas de documentation claire
- Les sites WordPress/PrestaShop/WooCommerce français : beaucoup utilisent encore
wp_mail()oumail()PHP sans SMTP externe, ce qui signifie pas d'authentification - Les ESP français : Brevo, Mailjet, Sarbacane exigent la configuration SPF/DKIM pour une bonne délivrabilité, et la plupart des clients le font, mais ce n'est pas automatique
- Les petits e-commerce sur Shopify/PrestaShop hébergés : adoption croissante, mais encore des brèches
Consultez /email-stats/ pour les dernières statistiques à jour. Les chiffres y sont mis à jour chaque semaine et couvrent les domaines Tranco top-1M.
Impact direct sur votre délivrabilité en France
Pourquoi c'est important pour vous, en tant que professionnel de l'emailing en France ?
Sans SPF/DKIM configuré : vos emails risquent fortement d'être rejetés ou mis en dossier spam. Orange, Free et SFR appliquent des filtres antispam robustes. Un domaine sans SPF/DKIM est un drapeau rouge pour leurs systèmes.
Avec SPF et DKIM configurés : vous franchissez le test technique de base. Mais attention : un SPF/DKIM « correct » n'est pas une garantie de boîte de réception. Le contenu du mail, la fréquence d'envoi, l'historique d'engagement et le taux de plainte jouent aussi un rôle crucial.
Avec DMARC en mode p=reject ou p=quarantine : vous ajoutez une couche de sécurité qui empêche les attaquants d'usurper votre domaine. C'est aussi un signal de professionnalisme que les fournisseurs d'accès français commencent à considérer positivement.
Comment vérifier votre adoption SPF/DKIM en 5 minutes
Vous vous demandez si votre domaine est correctement configuré ? Trois approches :
- Test en ligne simple : utilisez check.live-direct-marketing.online. Envoyez un email de test et voyez où il arrive (boîte de réception ou spam) chez les principaux domaines français. Vous verrez aussi les détails SPF/DKIM/DMARC en un coup d'œil — c'est gratuit, sans inscription.
- Via votre console DNS : allez dans votre registrar (OVH, Gandi, etc.) et cherchez les enregistrements SPF et DKIM pour votre domaine. SPF commence par
v=spf1, DKIM apparaît sous des enregistrements de type TXT nommésdefault._domainkey.votredomaine.fr. - Via Postmaster Tools de Google : si vous envoyez beaucoup vers Gmail, Google vous offre une page d'authentification qui vous dit si SPF, DKIM et DMARC sont validés.
Si vous découvrez que SPF/DKIM sont manquants, ne paniquez pas : c'est facile à corriger. Votre ESP français (Brevo, Mailjet) ou votre hébergeur peut vous guider. Les records SPF et DKIM prennent effet en quelques minutes à quelques heures après la propagation DNS.
La tendance à retenir : vers une authentification obligatoire
Le mouvement est clair : SPF et DKIM passent du statut de « bonne pratique » à celui de « prérequis incontournable ». En France, cette transition sera probablement plus progressive que aux États-Unis, mais le signal est univoque. Dans 12 à 24 mois, il est raisonnable de s'attendre à ce que même les petits domaines se voient imposer des exigences d'authentification. Mieux vaut anticiper.
Quelle est la différence entre SPF et DKIM ? Faut-il configurer les deux ?
Est-ce que DMARC est obligatoire en France ?
p=none (mode rapportage seul). Pour la sécurité et la conformité avec les recommandations de la CNIL, une politique p=quarantine ou p=reject est préférable. Elle empêche l'usurpation d'identité et signale votre professionnalisme aux filtres français.