Test de délivrabilité8 min de lecture

Vérifier la configuration SPF, DKIM, DMARC de son domaine

Vous vous apprêtez à lancer une campagne email mais vous ne savez pas si vos enregistrements d'authentification sont corrects? Découvrez comment auditer en 5 minutes la configuration de votre domaine et éviter la boîte spam.

Une erreur dans la configuration SPF, DKIM ou DMARC de votre domaine suffit pour que vos emails terminent en spam — même si le contenu est irréprochable. Les fournisseurs d'accès (Orange, Free, Gmail, Outlook, etc.) utilisent ces trois protocoles pour vérifier que c'est bien vous qui envoyez le message. Ignorer cette vérification, c'est jouer à la roulette avec votre délivrabilité.

Pourquoi vérifier SPF, DKIM et DMARC?

Ces trois protocoles forment la base de l'authentification email. Sans eux, les FAI considèrent votre domaine comme risqué. Voici pourquoi chacun compte :

  • SPF (Sender Policy Framework) — dit au serveur de réception « ces IP sont autorisées à envoyer des emails de mon domaine ».
  • DKIM (DomainKeys Identified Mail) — ajoute une signature cryptographique à chaque email pour prouver qu'il vient de vous.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) — définit la politique à appliquer si SPF ou DKIM échouent.

Depuis février 2024, Google et Yahoo exigent SPF + DKIM corrects pour tout envoi de masse. Orange, Free, La Poste appliquent des règles similaires. Manquer cette étape, c'est risquer un taux de rejet massif.

SPFAutorise les adresses IP à envoyer pour votre domaineDKIMSigne numériquement le message avec une clé privéeDMARCDéfinit la politique en cas d'échec de SPF ou DKIM
Les trois piliers de l'authentification email travaillent ensemble

Comment accéder à vos enregistrements DNS

Avant de vérifier quoi que ce soit, vous devez accéder à la zone DNS de votre domaine. C'est généralement au niveau de votre registrar (OVH, GoDaddy, Google Domains, etc.) ou auprès de votre hébergeur web.

  1. Connectez-vous au panneau de gestion de votre domaine (registrar ou hébergeur).
  2. Cherchez l'onglet « DNS » ou « Zone DNS ».
  3. Vous verrez une liste d'enregistrements (A, MX, CNAME, TXT, etc.).
  4. SPF, DKIM et DMARC sont des enregistrements TXT — repérez les lignes qui commencent par v=spf1, selector._domainkey et _dmarc.
Sécurité : sauvegardez d'abord vos enregistrements
Avant de modifier quoi que ce soit en DNS, prenez une capture d'écran ou un export de votre zone. Si vous faites une erreur, vous pouvez revenir à la configuration précédente en moins d'une minute.

Vérifier SPF

SPF est un enregistrement TXT qui liste toutes les IP et les services autorisés à envoyer des emails à partir de votre domaine.

Un enregistrement SPF ressemble à ceci :

v=spf1 include:sendingservice.com ~allVersion SPF (toujours v=spf1)Autorise les serveurs de cette plateformeSoft fail : rejette en dernier recours, mais accepte quand même
Exemple SPF avec un service d'envoi tiers

Pour vérifier votre SPF, vous pouvez :

  • Utiliser un outil en ligne (MX Toolbox, Google Admin Toolbox) — entrez votre domaine et l'outil extrait l'enregistrement SPF.
  • Utiliser la commande dig mondomaine.fr txt dans le terminal pour voir tous les enregistrements TXT.
  • Chercher une ligne commençant par v=spf1 dans vos enregistrements DNS.

Trois points essentiels à vérifier :

  • L'enregistrement existe et commence par v=spf1.
  • Tous vos serveurs d'envoi (ESP, serveur mail personnel, etc.) sont listés (ou inclus via include:).
  • Le suffixe est ~all (soft fail) ou -all (hard fail) — ne laissez jamais +all, qui annule SPF.

Vérifier DKIM

DKIM ajoute une signature cryptographique à chaque email. Contrairement à SPF, DKIM nécessite une clé privée (conservée sur votre serveur d'envoi) et une clé publique (publiée en DNS).

Pour vérifier DKIM :

  1. Localisez votre ESP ou logiciel d'envoi — il doit vous proposer de générer une paire de clés DKIM.
  2. Récupérez la clé publique (elle commence par v=DKIM1 dans l'enregistrement DNS).
  3. Collez-la dans un enregistrement TXT DNS au format selector._domainkey.mondomaine.fr (le « selector » varie selon votre ESP).
  4. Attendez 10 à 30 minutes pour la propagation DNS.
  5. Vérifiez que l'enregistrement est actif : utilisez dig selector._domainkey.mondomaine.fr txt ou un outil DKIM en ligne.

Si vous voyez v=DKIM1; k=rsa; p=..., c'est bon — votre clé publique est en place. Si vous envoyez un email de test et qu'il arrive avec une signature DKIM valide, vous êtes prêt.

Vérifier DMARC

DMARC est la couche de politique. Elle dit aux FAI quoi faire si un email ne passe pas SPF ou DKIM.

Un enregistrement DMARC ressemble à :

_dmarc.mondomaine.fr TXT v=DMARC1; p=none; rua=mailto:admin@mondomaine.fr

Trois politiques existent :

  • p=none — Monitor mode : les FAI vous envoient des rapports d'erreur mais n'interagissent pas.
  • p=quarantine — Les emails qui échouent vont en spam.
  • p=reject — Les emails qui échouent sont purement rejetés (à utiliser avec prudence).

Recommandation : commencez par p=none et graduellement passez à p=quarantine ou p=reject une fois que vous êtes sûr que tous vos serveurs d'envoi passent SPF + DKIM.

Pour vérifier DMARC :

  • Cherchez un enregistrement TXT commençant par _dmarc. dans votre DNS.
  • Utilisez dig _dmarc.mondomaine.fr txt pour vérifier.
  • Assurez-vous que v=DMARC1 est présent et que p= est explicitement défini.

Utiliser un outil gratuit de test

Une fois vos enregistrements en place, testez-les avant de lancer votre campagne. Vous pouvez utiliser notre outil de test gratuit, qui envoie un email de test à des boîtes réelles chez Orange, Free, Gmail, Outlook et autres.

Voici ce que vous apprendrez en 5 minutes :

  • Votre email arrive-t-il en Inbox ou en Spam/Promotions?
  • SPF, DKIM, DMARC passent-ils les vérifications?
  • Comment votre email s'affiche dans chaque boîte (screenshot light/dark mode).
  • Y a-t-il des avertissements ou des drapeaux rouges?

Cet audit vous fera gagner des jours de diagnostique manuel. Les erreurs courantes (oubli de DKIM, SPF trop restrictif, mauvais From-domain) s'affichent immédiatement. Testez votre domaine gratuitement maintenant.

Dans quel ordre vérifier SPF, DKIM et DMARC?

Commencez par SPF, puis DKIM, puis DMARC. Raison : SPF et DKIM doivent être valides en premier lieu; DMARC contrôle ce qui se passe si l'un des deux échoue. Tester dans cet ordre vous évitera de confondre les signaux.

Les trois sont-elles obligatoires ou SPF suffit?

Techniquement, SPF seul est déjà une amélioration. Mais Google et Yahoo exigent SPF + DKIM. DMARC est vivement recommandé (surtout p=none au minimum) pour monitorer et reporter les problèmes. Pour une délivrabilité optimale, il faut les trois.

Mes enregistrements SPF/DKIM/DMARC sont en place mais mes emails vont en spam. Pourquoi?

L'authentification n'est qu'une partie du puzzle. Vérifiez aussi : la réputation de votre domaine et de votre IP, le contenu (pas de mots-clés de spam, pas de liens suspects), l'infrastructure (une IP « propre » sans historique de spam). Utilisez notre test gratuit pour voir où l'email atterrit et identifier le problème.
À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte