Aller au contenu
Délivrabilité email 2026 : SPF, DKIM, DMARC et BIMI

Délivrabilité email 2026 : SPF, DKIM, DMARC et BIMI

Par Baptiste P.

8 min de lecture
Lien copié dans le presse-papiers
Baptiste P.

La délivrabilité des emails, c'est le moment où votre message atterrit en boîte de réception plutôt que dans le dossier spam, ou pire, se fait rejeter avant même d'arriver. Depuis février 2024, ce n'est plus une affaire de chance ni de bon contenu : Google, Yahoo puis Microsoft ont chacun posé leurs conditions techniques. SPF, DKIM, DMARC et maintenant BIMI ne sont plus des cases à cocher optionnelles pour qui envoie en volume. Voici ce qui a changé, dans l'ordre où c'est arrivé, et ce qu'il faut faire concrètement.

Février 2024 : Google et Yahoo posent les règles#

Le point de bascule s'appelle « bulk sender ». Chez Google comme chez Yahoo, la définition est la même : plus de 5000 messages par jour vers des comptes personnels (Gmail d'un côté, boîtes Yahoo de l'autre). Au-delà de ce seuil, l'expéditeur bascule dans une catégorie soumise à des exigences renforcées, entrées en vigueur le 1er février 2024.

Le socle est identique : SPF et DKIM alignés sur le domaine, et un enregistrement DMARC publié. Bonne nouvelle pour ceux qui débutent, une politique p=none (surveillance seule, sans blocage) suffit à passer la porte. C'est le minimum accepté, pas le niveau recommandé.

Là où ça se complique, c'est le taux de plainte, et c'est un point que beaucoup présentent de travers. Google recommande de rester sous 0,10 % de plaintes et prévient de ne jamais atteindre 0,30 %. À ce seuil critique, mesuré via Postmaster Tools, vous perdez le support de mitigation de Google jusqu'à repasser sous 0,3 % pendant sept jours consécutifs. Yahoo, lui, fixe directement le plafond à moins de 0,3 %, mais calculé sur le mail délivré en boîte de réception, pas sur le volume total envoyé. Deux fournisseurs, deux méthodes de calcul : ne les mélangez pas dans vos tableaux de bord.

Dernier morceau de ce paquet 2024 : la désinscription en un clic. La norme technique existe depuis janvier 2017, c'est la RFC 8058, qui impose l'en-tête List-Unsubscribe-Post: List-Unsubscribe=One-Click avec au moins une URL HTTPS. Ce qui est nouveau, c'est l'obligation : les expéditeurs qui incluaient déjà un lien de désinscription avaient jusqu'au 1er juin 2024 pour l'implémenter. Google impose d'honorer la demande sous 48 heures, Yahoo parle de deux jours. Les emails transactionnels (confirmation de commande, réinitialisation de mot de passe) ne sont pas concernés, seulement le commercial et le marketing. C'est le même genre de discipline réglementaire qu'on retrouve côté conformité analytics et RGPD : une case oubliée et tout un canal se grippe.

J'ai vu un client, une boutique avec une newsletter hebdo tranquille, voir sa délivrabilité s'effondrer en mars 2024 simplement parce que son DMARC n'était pas publié. Rien de cassé dans le contenu, rien de spammy. Juste un enregistrement DNS manquant. Ça vaut le coup de vérifier avant de chercher des raisons compliquées, c'est souvent bête à ce point. Si vous montez une stratégie d'email marketing sérieuse, l'authentification passe avant la ligne d'objet.

Mai 2025 : Microsoft entre dans la danse#

Un an plus tard, Outlook a rejoint le mouvement. Depuis le 5 mai 2025, Microsoft applique ses propres exigences aux expéditeurs de plus de 5000 emails par jour vers les adresses outlook.com, hotmail.com et live.com.

Le fond est du même bois : un SPF configuré et valide, un DKIM valide, un alignement SPF ou DKIM avec le domaine From, et un DMARC publié (p=none accepté là aussi). Un email non conforme se voit rejeter avec un code précis : 550 5.7.515, qui signale que le domaine expéditeur n'atteint pas le niveau d'authentification requis. Et attention à une idée reçue : demander au destinataire de vous ajouter en liste blanche (Safe Sender List) ne contourne rien du tout. L'authentification passe avant la préférence du destinataire.

Un mot important, parce que c'est la tentation classique : ne collez pas à Microsoft les seuils de Google et Yahoo. Les sources techniques disponibles sur Outlook ne mentionnent aucun taux de plainte chiffré ni obligation formelle de désinscription en un clic. Le volet Microsoft, à ce stade, est centré sur l'authentification. Extrapoler un « 0,3 % côté Outlook » serait inventer.

Novembre 2025 : Gmail serre la vis pour de bon#

La phase de tolérance de 2024 est terminée. Depuis novembre 2025, Gmail applique des rejets temporaires (codes 4.7.x, qui limitent le débit du trafic non conforme) et des rejets permanents (codes 5.7.x, qui bloquent purement le message), avec perte du support de mitigation à la clé. En clair : ce qui passait avec un avertissement il y a deux ans se fait maintenant refouler.

Le socle technique, sans le jargon#

Un rappel utile, parce que ces trois protocoles ne font pas la même chose. SPF (RFC 7208) autorise des serveurs à envoyer pour votre domaine, mais il a une limite piégeuse : une évaluation ne doit pas dépasser 10 requêtes DNS, sinon c'est un PermError, et le maximum de requêtes renvoyant un résultat vide est fixé à 2. DKIM (RFC 6376) signe cryptographiquement le message ; la pratique du secteur recommande désormais des clés de 2048 bits et une rotation tous les six mois, conformément aux recommandations M3AAWG. DMARC, enfin, s'appuie sur les deux pour décider du sort d'un email qui échoue.

Et voici le point que trop d'expéditeurs oublient : l'authentification prouve votre identité, elle ne garantit pas votre place en boîte de réception. Un domaine parfaitement authentifié peut quand même finir en spam si sa réputation est dégradée (taux de plainte, rebonds, engagement, historique de l'IP). D'où l'intérêt de démarrer un nouvel envoi en douceur, avec un warm-up d'IP à faible volume (de l'ordre de 50 à 100 emails par jour), et de garder une hygiène de liste stricte pour éviter les spam traps, ces adresses piégées créées par les fournisseurs pour repérer les mauvaises pratiques. Toucher un spam trap peut suffire à une mise en liste noire.

BIMI et DMARCbis : la couche 2026#

BIMI, c'est le logo de votre marque affiché à côté de l'expéditeur. Sauf que le prérequis est exigeant : un DMARC en p=quarantine ou p=reject avec pct=100. La politique p=none n'est pas supportée, donc BIMI récompense ceux qui sont allés jusqu'au bout. Le logo doit être un SVG au profil Tiny-PS, carré, d'une taille maximale de 32 Ko (16 Ko conseillés pour une compatibilité maximale). Pour obtenir la coche bleue vérifiée dans Gmail, il faut un VMC (Verified Mark Certificate) ; un CMC est accepté en alternative, mais sans la coche. Comptez jusqu'à 48 heures de propagation après ajout de l'enregistrement DNS. Les émetteurs de VMC confirmés en 2026 sont DigiCert, GlobalSign et SSL.com.

Est-ce que BIMI vaut l'investissement pour une PME ? Honnêtement, j'hésite encore. La coche bleue rassure et fait partie de ces signaux qui font de votre marque un actif SEO à part entière, mais le coût du certificat n'est pas anodin, et le gain de délivrabilité pur reste discutable. À trancher au cas par cas.

Côté norme, un changement de fond en mai 2026 : DMARCbis. Les RFC 9989, 9990 et 9991 remplacent la vieille RFC 7489 (publiée en mars 2015, statut Informational) et font passer DMARC au statut Proposed Standard. Rien à refaire dans l'immédiat côté configuration, mais la référence officielle a changé.

Où en est vraiment le marché#

Un chiffre circule beaucoup : 52,1 % d'adoption DMARC en 2026 (937 931 domaines valides sur 1,8 million analysés par EasyDMARC, contre 47,7 % en 2025). Sauf que ce chiffre ne mesure que la présence d'un enregistrement. En réalité, seulement 23 % environ des domaines analysés sont en politique d'application (quarantine ou reject), et à peine 9 % combinent application ET reporting, la configuration réellement protectrice. Ne présentez jamais ces trois nombres comme interchangeables : ils décrivent des étapes différentes.

Le fossé se voit dans les segments. Le Fortune 500 affiche 95 % d'adoption et plus de 80 % en application. Les Inc. 5000, elles, sont plus de la moitié à rester en p=none, c'est-à-dire en simple surveillance. Publier un DMARC, c'est franchir la porte. La refermer derrière soi en passant à reject, c'est une autre histoire, et la majorité ne le fait pas.

La délivrabilité en 2026 se joue donc sur deux plans : la conformité technique, qui est devenue non négociable, et la réputation, qui se travaille dans la durée. Le premier vous ouvre la porte, le second décide si vous entrez.

Sources#

Lien copié dans le presse-papiers

À lire aussi