Vos campagnes finissent en spam et votre plateforme d’emailing dit que tout est OK ? C’est l’une des situations les plus frustrantes pour un email marketer : le taux de délivrance affiche 98 %, le taux d’ouverture s’effondre et personne ne comprend pourquoi. La cause est souvent un enregistrement SPF absent ou mal configuré dans la zone DNS du domaine expéditeur.
Un domaine sans SPF expose ses emails à deux comportements automatiques des serveurs de réception : classement en spam ou rejet silencieux au niveau SMTP. Aucune des deux erreurs ne génère de bounce visible dans votre tableau de bord. Les messages partent, ils semblent « délivrés » mais ils n’arrivent jamais dans la boîte de réception.
Bonne nouvelle : ajouter un enregistrement SPF valide prend moins de 10 minutes. Le délai de propagation DNS est la seule variable hors de votre contrôle.
Ce que fait concrètement un enregistrement SPF
Le serveur de messagerie de votre destinataire, avant même d’examiner le contenu de l’email, interroge la zone DNS de votre domaine pour savoir si le serveur qui a envoyé le message est autorisé à le faire. C’est le rôle du SPF ou Sender Policy Framework : une ligne de texte dans votre DNS qui liste les serveurs autorisés à envoyer au nom de votre domaine.
Si cette ligne est absente, le serveur de réception reçoit une réponse vide. Ce qu’il fait ensuite dépend de sa politique interne. Gmail, depuis novembre 2025, rejette activement les emails non conformes au niveau SMTP pour les gros volumes, finis les « soft penalties », c’est un vrai rejet. Microsoft Exchange est encore plus strict : il affiche un taux moyen d’inbox placement de 75,6 % pour les domaines partiellement authentifiés, selon les données TrulyInbox (analyse de 32 000+ comptes, mai 2026).
Sans aucune authentification, les mêmes données montrent un inbox placement qui tombe sous 30 %. Avec SPF seul, il remonte à 55-70 %. La stack complète SPF + DKIM + DMARC atteint 85-95 %. L’écart entre « rien » et « tout bien configuré » représente 60 points de pourcentage.
Pourquoi le problème reste invisible aussi longtemps
En avril, un responsable growth remarque que son taux d’ouverture est passé de 32 % à 18 % en trois mois. Aucun changement côté contenu, aucune notification de son ESP. Le taux de bounces hard était resté normal. Son CMO veut une explication.
Ce scénario est documenté par le rapport Suped 2025 (Whittaker, mis à jour mai 2026) : 43 % des entreprises présentent des inbox misses significatifs alors que leurs plateformes affichent des taux de délivrance supérieurs à 95 %. La raison tient à la distinction entre « accepted » et « inboxed » : un email peut être accepté par le serveur destinataire et finir en spam. Votre dashboard ne voit que la première étape.
À noter : la sender reputation ne se dégrade pas instantanément. Les premières semaines, Gmail est relativement tolérant. Mais chaque envoi raté alimente les signaux négatifs, complaint rate qui monte, soft bounces qui s’accumulent, utilisateurs qui ne cliquent plus. Quand la réputation IP commence à baisser dans Postmaster Tools, le SPF manquant a souvent fait des dégâts depuis des mois.
Comment vérifier si votre SPF est absent ou cassé
Trois outils fonctionnent bien pour ce diagnostic, chacun avec un angle différent.
- MXToolbox SPF Lookup, saisissez votre domaine sur mxtoolbox.com, le résultat indique si un enregistrement SPF existe et s’il est syntaxiquement valide. Temps : 30 secondes.
- Google Postmaster Tools, si votre domaine envoie vers Gmail, l’onglet « Authentication » affiche le taux de mails qui passent SPF, DKIM et DMARC sur les 30 derniers jours. Un taux SPF inférieur à 95 % signale un problème actif.
- Un envoi test « en-têtes bruts », envoyez un email depuis votre domaine vers une adresse Gmail, ouvrez le message, cliquez sur « Afficher l’original ». La ligne Received-SPF indique
pass,softfail,failounone.noneconfirme l’absence de record.
Si MXToolbox retourne « No SPF Record Found » ou si Postmaster Tools affiche un taux d’authentification SPF inférieur à 90 %, continuez vers la correction.
Créer un enregistrement SPF valide : la méthode directe
Un enregistrement SPF est un enregistrement TXT dans votre zone DNS. Sa syntaxe de base ressemble à ceci :
v=spf1 include:_spf.google.com ~all
Le mécanisme include: pointe vers les serveurs autorisés de votre prestataire d’envoi. Chaque ESP fournit sa propre valeur. Quelques exemples courants :
| Fournisseur | Mécanisme include à ajouter | Cas d’usage typique |
|---|---|---|
| Google Workspace | include:_spf.google.com |
Envoi via Gmail pro |
| Brevo (ex-Sendinblue) | include:spf.brevo.com |
Campagnes marketing |
| Mailchimp / Mandrill | include:spf.mandrillapp.com |
Transactionnel Mandrill |
| Amazon SES | include:amazonses.com |
Envoi via AWS |
| OVHcloud MX Plan | include:mx.ovh.com |
Hébergement mutualisé |
Si vous utilisez plusieurs fournisseurs, combinez-les dans un seul enregistrement : v=spf1 include:_spf.google.com include:spf.brevo.com ~all. Attention au plafond de 10 lookups DNS : chaque mécanisme include: consomme au moins un lookup et certains en chaînent d’autres. Dépasser cette limite casse l’authentification SPF même si la syntaxe est correcte.
La valeur finale ~all (softfail) ou -all (fail strict) définit ce que les serveurs font des messages non couverts. Pour un domaine avec une configuration stable, -all est préférable ; pendant la migration, restez sur ~all le temps de vérifier qu’aucune source légitime n’est oubliée.
Ajouter le record dans votre DNS : les étapes concrètes
La procédure varie légèrement selon le registrar ou l’hébergeur DNS mais la logique est identique partout.
Connectez-vous à votre interface DNS (OVHcloud, Cloudflare, Gandi, Namecheap, GoDaddy). Repérez la zone DNS de votre domaine principal. Ajoutez un nouvel enregistrement de type TXT, avec le nom @ (ou le domaine nu selon l’interface) et collez votre valeur SPF dans le champ « Valeur » ou « Content ». Sauvegardez.
Cloudflare propage généralement en moins de 5 minutes. OVHcloud et Gandi peuvent prendre 30 minutes à quelques heures. Pour vérifier que la propagation est effective, relancez MXToolbox ou utilisez dig TXT votredomaine.com depuis un terminal, quand l’enregistrement apparaît, il est actif.
En pratique, la configuration prend 5 à 8 minutes sur Cloudflare ; le reste du temps annoncé (10 minutes) correspond au diagnostic initial et à la vérification post-ajout.
L’objection qu’on entend souvent : « j’ai déjà Lemlist, Instantly, mon ESP gère ça »
Les plateformes d’outreach comme Lemlist, Instantly ou Smartlead configurent leur propre infrastructure d’envoi et peuvent ajouter leur mécanisme SPF dans vos DNS via un assistant d’onboarding. Mais ce mécanisme ne couvre que les envois passant par leurs serveurs. Si votre domaine envoie aussi via Google Workspace, un serveur SMTP interne ou un autre outil transactionnel, ces flux ne sont pas couverts par l’include de votre ESP.
Un enregistrement SPF couvre l’ensemble des sources autorisées pour un domaine donné. L’oubli classique : un domaine configuré pour Lemlist, sans include pour Google Workspace, qui voit ses emails de facturation ou de support finir en spam parce que le serveur Google n’est pas listé.
« Les SPF misconfigurations affectent 15 % des domaines qui ont pourtant un SPF activé. » (dmarcian, cité par TrulyInbox, mai 2026)
Autrement dit, avoir un SPF n’est pas suffisant si la liste des sources autorisées est incomplète ou si les 10 lookups DNS sont dépassés.
Ce que le SPF ne règle pas seul
Un SPF correctement configuré améliore l’authentification de l’expéditeur mais il ne signe pas le contenu du message. C’est le rôle du DKIM, qui utilise une paire de clés cryptographiques pour prouver que l’email n’a pas été modifié en transit. Sans DKIM, les données TrulyInbox montrent une pénalité supplémentaire de 10 à 15 points de placement inbox.
DMARC, lui, exploite SPF et DKIM ensemble pour définir une politique : que faire si un email échoue aux deux contrôles ? Rejeter, mettre en quarantaine ou ne rien faire (monitoring seul). Sans DMARC, même un SPF et un DKIM corrects laissent votre domaine vulnérable au spoofing et surtout, vous n’avez aucun rapport agrégé pour détecter les anomalies. En 2026, 78 % des organisations connaissent DMARC mais seulement 42 % l’appliquent réellement avec une politique stricte (Valimail, State of DMARC 2026).
Commencer par le SPF reste la priorité, car c’est le prérequis technique des deux autres. Mais un SPF seul place votre inbox rate entre 55 et 70 %. La list hygiene et l’IP warmup font le reste.
Gmail rejette désormais les emails non authentifiés au niveau SMTP. Le record TXT dans le DNS reste la seule variable que vous contrôlez entièrement, en quelques minutes, sans budget supplémentaire.
