Depuis février 2024, Gmail et Yahoo imposent des règles strictes aux expéditeurs en volume ; Microsoft a suivi en mai 2025 et, depuis novembre 2025, les messages non conformes reçoivent un rejet définitif (erreurs 550). Si vous envoyez plus de 5 000 e-mails par jour depuis Salesforce Marketing Cloud, l’authentification SPF, DKIM et DMARC n’est plus une bonne pratique : c’est la condition d’entrée dans la boîte de réception. Ce guide pratique détaille, étape par étape, comment configurer votre authentification, aligner vos domaines, activer la désinscription en un clic et déployer BIMI pour transformer la conformité en avantage de délivrabilité durable.
Pourquoi 2026 rebat les cartes pour les expéditeurs SFMC
Les trois principaux fournisseurs de messagerie convergent désormais vers un socle commun d’exigences. Le seuil déclencheur est de 5 000 messages par jour vers un même fournisseur (Gmail, Yahoo, Outlook), mais dans les faits, ces règles définissent le standard pour tous. Trois piliers sont incontournables : une authentification complète (SPF, DKIM et DMARC), un alignement de domaine correct, et une désinscription en un clic conforme au RFC 8058. À cela s’ajoute une exigence comportementale : maintenir un taux de plainte inférieur à 0,30 %, idéalement sous 0,10 %.
| Exigence | Gmail | Yahoo | Microsoft |
|---|---|---|---|
| SPF + DKIM | Requis | Requis | Requis |
| DMARC (p=none min.) | Requis | Requis | Requis |
| Désinscription en un clic | Requis | Requis | Requis |
| Taux de plainte | < 0,30 % | < 0,30 % | < 0,30 % |
Étape 1 : configurer SPF avec le Sender Authentication Package
Dans Salesforce Marketing Cloud, la base de l’authentification est le Sender Authentication Package (SAP), qui vous attribue un domaine d’envoi dédié et une adresse IP réservée. Avec un domaine privé, vous publiez un enregistrement SPF qui autorise les serveurs de SFMC à envoyer en votre nom. L’enregistrement type ressemble à ceci :
votredomaine.com. IN TXT "v=spf1 include:cust-spf.exacttarget.com -all"Le mécanisme -all (hardfail) indique aux destinataires de rejeter tout serveur non listé. Veillez à ne pas dépasser la limite de dix recherches DNS imbriquées : si vous cumulez plusieurs prestataires, consolidez vos include ou recourez à l’aplatissement SPF.
Étape 2 : activer et aligner DKIM
DKIM appose une signature cryptographique sur chaque message, vérifiable via une clé publique publiée dans votre DNS. SFMC génère cette signature dès lors que votre domaine privé est validé. Utilisez une clé d’au moins 1024 bits ; privilégiez 2048 bits lorsque c’est possible. L’enregistrement publié prend la forme :
selector1._domainkey.votredomaine.com. IN TXT
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB..."L’alignement, le vrai point de bascule
Avoir SPF et DKIM ne suffit pas : au moins l’un des deux doit être aligné avec le domaine affiché dans l’en-tête From:. Concrètement, si vos e-mails partent de news@votredomaine.com, la signature DKIM ou le domaine SPF doit appartenir à votredomaine.com. C’est pourquoi un domaine d’envoi dédié dans SFMC est préférable au domaine partagé par défaut.
L’erreur la plus fréquente n’est pas l’absence d’enregistrements, mais leur mauvais alignement : un SPF qui passe sur un domaine technique sans correspondre au From: visible fait échouer DMARC, même quand « tout semble vert ».Étape 3 : publier une politique DMARC progressive
DMARC indique aux fournisseurs comment traiter les messages qui échouent à l’authentification, et vous renvoie des rapports. Commencez en mode observation, puis durcissez progressivement :
_dmarc.votredomaine.com. IN TXT
"v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; fo=1; adkim=s; aspf=s; pct=100"La trajectoire recommandée est : p=none pendant deux à quatre semaines pour collecter les rapports, puis p=quarantine, et enfin p=reject une fois que 100 % de votre trafic légitime est aligné. Les paramètres adkim=s et aspf=s imposent un alignement strict ; passez à r (relaxé) si des sous-domaines posent problème.
Exploiter les rapports agrégés
Les rapports rua au format XML révèlent toutes les sources qui envoient en votre nom, y compris d’éventuels usurpateurs. Un outil d’analyse DMARC transforme ces fichiers en tableau de bord lisible et vous évite d’atteindre p=reject à l’aveugle.
Étape 4 : la désinscription en un clic et l’hygiène de liste
Les expéditeurs en volume doivent inclure les en-têtes List-Unsubscribe et List-Unsubscribe-Post conformes au RFC 8058, qui permettent un désabonnement sans quitter la messagerie. SFMC ajoute nativement ces en-têtes lorsque la fonctionnalité est activée au niveau du compte. Ne supprimez pas pour autant le lien de désinscription classique : il reste exigé. Au-delà de la mécanique, l’hygiène compte : supprimez les adresses inactives, traitez les rebonds durs immédiatement et surveillez votre taux de plainte via Google Postmaster Tools et Yahoo Sender Hub.
Étape 5 : déployer BIMI pour la confiance et la marque
BIMI (Brand Indicators for Message Identification) affiche le logo de votre marque à côté de vos e-mails authentifiés. Il exige une politique DMARC en application (p=quarantine ou p=reject) et, pour Gmail et Apple Mail, un certificat VMC. L’enregistrement :
default._bimi.votredomaine.com. IN TXT
"v=BIMI1; l=https://votredomaine.com/logo.svg; a=https://votredomaine.com/vmc.pem"Le logo doit être un SVG au format Tiny PS. BIMI n’est pas qu’un gain esthétique : il renforce la reconnaissance, la confiance et, mécaniquement, les taux d’ouverture.
À retenir
1. La conformité est binaire. Sans SPF, DKIM et DMARC, vos e-mails à fort volume sont définitivement rejetés (erreurs 550) chez Gmail, Yahoo et Microsoft depuis fin 2025.
2. L’alignement prime sur la présence. Un domaine d’envoi dédié dans SFMC garantit que DKIM ou SPF correspond au From: visible : c’est ce qui fait réellement passer DMARC.
3. Durcissez DMARC par étapes. Passez de p=none à p=quarantine puis p=reject en vous appuyant sur les rapports agrégés.
4. La réputation est comportementale. Maintenez un taux de plainte sous 0,10 %, activez la désinscription en un clic et nettoyez vos listes en continu.
5. BIMI capitalise sur l’effort. Une fois DMARC en application, BIMI valorise votre marque et améliore l’engagement.
Besoin d’un audit de délivrabilité ou d’un accompagnement sur la configuration de votre tenant Salesforce Marketing Cloud ? Contactez l’équipe CGC-Agency pour sécuriser vos campagnes.
