outsend alpha
features · article · · 8 min

Vérifier la délivrabilité d'un domaine (SPF, DKIM, DMARC) avant prospection

par outsend.xyz

Tu lances ta première campagne d'emails à froid demain. 500 destinataires bien ciblés, un message personnalisé, une offre claire. Tu cliques sur "envoyer" et… 60 % atterrissent en spam. Pas parce que ton message est mauvais. Parce que ton domaine n'a pas les enregistrements DNS que Gmail, Outlook et Yahoo attendent pour distinguer un expéditeur légitime d'un usurpateur.

Trois enregistrements gouvernent la délivrabilité technique d'un domaine d'envoi : SPF, DKIM et DMARC. Sans eux, tes mails sont traités comme suspects par défaut. Avec eux correctement configurés, tu rentres dans la "zone de confiance" des fournisseurs de messagerie — condition nécessaire (pas suffisante, mais nécessaire) pour que tes emails atterrissent en boîte de réception.

Le test en 30 secondes

Avant même de lire la suite : envoie un email depuis ton domaine vers check-auth@verifier.gappssmtp.com ou vers ton propre compte Gmail. Ouvre le message reçu → "Afficher l'original" → cherche les lignes SPF: PASS, DKIM: PASS, DMARC: PASS. Trois PASS = tu peux envoyer. Un FAIL = lis cet article avant de lancer ta campagne.

Pourquoi ces trois enregistrements existent

Le protocole SMTP de 1982 a un défaut originel : n'importe qui peut mettre n'importe quelle adresse dans le champ "expéditeur". Un spammeur peut écrire un mail "de la part de" leon@outsend.xyz sans jamais avoir touché le domaine outsend.xyz. Pour limiter l'usurpation, l'IETF a publié trois standards complémentaires : RFC 7208 (SPF) en 2014, RFC 6376 (DKIM) en 2011, RFC 7489 (DMARC) en 2015.

Chacun répond à une question précise du serveur de réception :

  • SPF — "ce serveur a-t-il l'autorisation d'envoyer pour ce domaine ?"
  • DKIM — "le message a-t-il été altéré entre l'expéditeur et moi ?"
  • DMARC — "que fait le domaine si SPF ou DKIM échoue ?"

Depuis février 2024, Gmail et Yahoo exigent les trois pour tout expéditeur qui dépasse 5 000 messages par jour. Sous ce seuil, ils tolèrent l'absence de DMARC mais commencent à mettre en spam les domaines qui n'ont ni SPF ni DKIM. En prospection à froid, même 50 destinataires par jour suffisent à déclencher le filtre si ton domaine n'est pas signé.

SPF — l'enregistrement DNS qui autorise tes serveurs d'envoi

SPF (Sender Policy Framework) est un enregistrement TXT dans la zone DNS de ton domaine. Il liste les serveurs habilités à envoyer du courrier en ton nom. Si Gmail reçoit un mail prétendument envoyé par toi mais depuis un serveur absent de cette liste, il sait que c'est suspect.

Exemple d'enregistrement SPF pour un domaine qui envoie via Gmail Workspace et Brevo :

outsend.xyz.   IN   TXT   "v=spf1 include:_spf.google.com include:spf.sendinblue.com -all"

Décryptage :

  • v=spf1 — version du protocole
  • include:_spf.google.com — autorise les serveurs Google Workspace
  • include:spf.sendinblue.com — autorise les serveurs Brevo (ex-Sendinblue)
  • -all — rejette strictement tout serveur non listé (le tiret est essentiel : ~all serait "soft fail", moins protecteur)

La limite officielle SPF est de 10 lookups DNS par enregistrement. Au-delà, Gmail considère l'enregistrement comme cassé et le traite comme inexistant. Si tu cumules Mailgun + Brevo + Mailchimp + Salesforce + Office 365, tu exploses cette limite. Une seule solution : "aplatir" le SPF avec un service comme EasyDMARC ou Dmarcian.

DKIM — la signature cryptographique de chaque message

DKIM (DomainKeys Identified Mail) signe cryptographiquement chaque email sortant avec une clé privée stockée sur ton serveur d'envoi. La clé publique correspondante est publiée dans ta zone DNS. Le serveur de réception lit l'en-tête DKIM-Signature du message, va chercher la clé publique correspondante sur ton DNS, et vérifie que la signature est valide.

Concrètement, l'en-tête DKIM ressemble à :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=outsend.xyz; s=brevo1;
  h=from:to:subject:date;
  bh=base64hash; b=signature...

Le champ s=brevo1 est le sélecteur. Le serveur de réception va chercher la clé publique à brevo1._domainkey.outsend.xyz. Si la clé est absente ou si la signature ne valide pas, DKIM échoue.

Chaque outil d'envoi a son propre sélecteur et sa propre clé. Si tu utilises Brevo + Gmail Workspace, tu auras deux enregistrements DKIM distincts à publier — un par fournisseur.

DMARC — la politique qui dit quoi faire en cas d'échec

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la couche stratégique. Une fois SPF et DKIM publiés, DMARC indique au serveur de réception comment réagir si l'un ou l'autre échoue.

Trois politiques possibles :

  • p=none — observe, ne rejette rien. Idéal en phase d'apprentissage pour collecter des rapports.
  • p=quarantine — met en spam les messages qui échouent l'alignement.
  • p=reject — rejette purement et simplement, ils n'arrivent jamais.

Pour commencer en prospection à froid, on publie p=none pendant 2-4 semaines, on lit les rapports XML quotidiens envoyés par les fournisseurs, on corrige les fuites éventuelles, puis on passe à p=quarantine et finalement p=reject.

Exemple d'enregistrement DMARC pour outsend.xyz :

_dmarc.outsend.xyz.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc@outsend.xyz; pct=100; adkim=s; aspf=s"

Le rua=mailto: est l'adresse qui reçoit les rapports agrégés quotidiens. Sans rapports, tu navigues à l'aveugle.

Les 3 cas de figure en prospection

Configuration domaine Conséquence en cold email
0 enregistrement (domaine neuf, jamais configuré) 50-70 % en spam dès le 50e message. Gmail rejette en masse.
SPF seul, DKIM absent 10-30 % en spam. Yahoo refuse les volumes > 100/jour.
SPF + DKIM, DMARC absent Délivrabilité acceptable mais tu reçois zéro feedback. Une mauvaise configuration silencieuse peut couler ton domaine sans alerte.
SPF + DKIM + DMARC (p=none puis quarantine) Configuration de référence. Tu rentres dans la zone Gmail/Yahoo/Outlook.

Ce que regarde Gmail avant d'accepter ton message

Gmail applique en 2026 une grille de scoring qui combine plus de 100 signaux. Les trois enregistrements DNS ne sont qu'une partie de l'équation, mais ce sont les seuls qu'un envoyeur peut entièrement contrôler en amont. Les autres signaux dépendent du comportement des destinataires (taux d'ouverture, signalements spam, désabonnements) et de l'historique d'envoi du domaine.

L'ordre opérationnel de vérification côté Gmail :

  1. Le domaine de l'expéditeur a-t-il un SPF valide ? Le serveur d'envoi est-il listé ?
  2. Le message porte-t-il une signature DKIM ? La clé publique valide-t-elle ?
  3. SPF et DKIM s'alignent-ils avec le domaine visible dans le champ "From" ? (c'est l'alignement DMARC)
  4. Le domaine d'envoi a-t-il un historique de réputation positive ?
  5. Le contenu du message déclenche-t-il des règles anti-spam classiques ?

Échouer aux trois premiers points, c'est se condamner avant même que le contenu soit analysé. La CNIL rappelle dans son guide de la prospection commerciale par courrier électronique les obligations légales (consentement préalable B2C, opt-out simple, identification claire de l'annonceur). La conformité technique de délivrabilité s'ajoute à ces obligations légales, sans s'y substituer.

Comment outsend vérifie un domaine avant envoi

Le module delivery_check d'outsend interroge la zone DNS publique d'un domaine et restitue en quelques secondes l'état des trois enregistrements, sans installation. Tu colles un domaine, tu reçois un rapport structuré :

  • SPF : présent / absent, contenu textuel, nombre de lookups consommés, qualifier final (-all / ~all / ?all)
  • DKIM : sélecteurs détectés sur les noms standards (default, google, brevo, mailgun, k1, etc.), algorithme, longueur de clé
  • DMARC : présent / absent, politique (none / quarantine / reject), pourcentage appliqué, adresse de rapport agrégé
  • Verdict global : prêt pour envoi volume / configuration partielle / à corriger avant toute campagne

Le check est passé en batch sur une liste de prospects pour qualifier les destinataires : un domaine cible qui n'a pas SPF/DKIM/DMARC accepte ton message plus facilement (pas de filtrage strict côté entrée), mais il signale aussi un destinataire moins professionnellement équipé — utile pour segmenter une campagne.

Aucun outil ne remplace la configuration manuelle dans ta zone DNS (chez OVH, Gandi, Cloudflare, Route 53). Le check d'outsend te dit où tu en es et ce qui manque, pas où cliquer chez ton registrar.

FAQ

Combien de temps prend la propagation DNS ?

Entre 5 minutes et 48h selon le TTL configuré chez ton registrar. La plupart des fournisseurs DNS modernes (Cloudflare, Gandi) propagent en moins de 15 minutes. Vérifie avec dig TXT outsend.xyz ou via un outil web type MXToolbox.

Faut-il un domaine dédié à la prospection ou je peux utiliser mon domaine principal ?

Domaine dédié recommandé pour les volumes > 500/jour. Un domaine de prospection grillé n'entraîne pas la réputation de ton domaine corporate. Pattern courant : outsend.xyz pour la marque, outsendmail.com ou get-outsend.com pour les campagnes à froid.

SPF avec ~all ou -all, lequel choisir ?

-all (hard fail) si tu maîtrises tous tes envois et que tu veux protéger ton domaine contre l'usurpation. ~all (soft fail) en phase d'apprentissage, le temps d'identifier toutes les sources légitimes. Évite ?all qui ne sert à rien.

Que faire des rapports DMARC reçus en XML ?

Les parser avec un outil dédié — Dmarcian, EasyDMARC, MXToolbox proposent un parsing gratuit jusqu'à un certain volume. Ces rapports révèlent les serveurs qui envoient en ton nom sans autorisation (souvent : un outil oublié, un legacy CRM, parfois une vraie tentative d'usurpation).

Mon domaine est ancien mais sans authentification, que faire ?

Publier SPF + DKIM d'abord, attendre 7 jours, publier DMARC en p=none. Lire 4 semaines de rapports. Corriger les fuites détectées. Passer à p=quarantine avec pct=25 (quarantaine progressive de 25 % du trafic d'échec), puis monter à 100 %, puis passer à p=reject. Compter 6-8 semaines pour la séquence complète.

Outsend signe automatiquement mes emails de campagne ?

Les campagnes outsend (sur demande, pas en self-service alpha) sont envoyées via une infrastructure Brevo authentifiée. La signature DKIM appliquée est celle de l'infrastructure d'envoi, pas de ton domaine perso. Pour qu'un destinataire voie "envoyé depuis outsend.xyz" avec une bonne délivrabilité, tu publies dans ta zone DNS les enregistrements pointant vers Brevo (CNAME DKIM + include SPF), procédure documentée lors de la candidature alpha.

Tester outsend gratuitement

Tout-en-un, FR-natif. Accès alpha gratuit sur candidature.

Demander un accès alpha gratuit

outsend.xyz — Plateforme française de scraping et prospection en alpha. Candidature gratuite sur /demander-acces.

Tester outsend gratuitement

Tout-en-un. Beaucoup moins cher que tous les concurrents. Accès alpha sur candidature.

Demander un accès alpha gratuit