Introduction
Un site peut parfaitement envoyer des emails valides (factures, formulaires, notifications), mais si les enregistrements SPF, DKIM et DMARC ne sont pas configurés correctement, ces messages risquent de se retrouver directement dans les spams. C’est un problème classique, surtout en hébergement mutualisé, où la configuration par défaut ne correspond pas toujours aux besoins réels.
Dans ce récit, nous allons retracer pas à pas l’expérience d’un administrateur qui a dû corriger ce souci, en détaillant les tests, les erreurs et les ajustements effectués.
Le point de départ : des emails rejetés ou classés en spam
Tout semblait fonctionner côté site : les formulaires de contact partaient bien, les notifications aussi. Pourtant, certains destinataires, notamment sur Gmail et Yahoo, signalaient que les emails arrivaient en spam, voire étaient bloqués.
Le premier réflexe a été de vérifier la délivrabilité avec un outil comme mail-tester.com. Le verdict était clair : problème d’authentification sur les emails.
Premier diagnostic : SPF incomplet
L’enregistrement SPF initial ressemblait à ceci :
v=spf1 a mx ip4:109.234.162.154 include:spf.jabatus.fr include:zoho.com include:eu-sender.zohoinvoice.com -all
Il autorisait certaines adresses IP et services tiers (Zoho par exemple), mais pas tous les relais SMTP utilisés par l’hébergeur. Résultat : certains serveurs voyaient les emails comme suspects.
Deuxième vérification : DKIM actif mais pas uniforme
Le test montrait que DKIM était bien activé sur le domaine. Cependant, comme l’envoi passait parfois par différentes machines (mandarine.o2switch.net, smtp.jabatus.fr, etc.), certaines signatures n’étaient pas cohérentes. Cela créait des divergences lors des contrôles.
La correction : simplifier et verrouiller
La solution a été de simplifier et de verrouiller la configuration DNS :
- SPF : on a limité aux IP et relais réellement utilisés, en retirant les références inutiles.
Exemple corrigé :v=spf1 a mx ip4:109.234.162.154 ip4:109.234.163.21 include:spf.jabatus.fr -all - DKIM : laissé activé par défaut via l’hébergeur, en s’assurant que la clé publique soit bien publiée dans le DNS.
- DMARC : ajouté pour exiger le rejet des emails non conformes.
Exemple d’enregistrement :v=DMARC1; p=reject; rua=mailto:rapport@votredomaine.fr; ruf=mailto:alerte@votredomaine.fr; fo=1
Résultat après mise à jour
Un nouvel envoi vers Gmail a confirmé le succès :
- SPF : pass
- DKIM : pass
- DMARC : pass
Les emails n’étaient plus placés en spam. Le problème venait bien d’une configuration DNS trop large et incohérente.
Ce qu’il faut retenir
- Trop d’autorisations dans SPF peuvent nuire autant qu’une absence de configuration.
- Il faut s’assurer que tous les serveurs qui envoient pour votre domaine soient inclus, et uniquement eux.
- Un DMARC strict (p=reject) est la meilleure protection contre l’usurpation, à condition que SPF et DKIM soient parfaitement en place.
Si vous rencontrez ce même problème avec vos emails, nous pouvons vous aider à analyser vos enregistrements DNS et mettre en place une configuration solide qui garantit la délivrabilité.
0 commentaires