✉️ Email

Mes emails partent en spam : diagnostic complet

Méthode pas à pas pour identifier pourquoi vos mails atterrissent dans les indésirables : authentification, reverse DNS, réputation, contenu, et outils pour objectiver le diagnostic.

intermédiaire ⏱ 12 min Mise à jour : 2026-04-24

Vos clients se plaignent de ne pas recevoir vos mails, ou les retrouvent dans les spams. Avant de changer de prestataire ou de vous résigner, il existe une grille d'analyse simple : dans 95 % des cas, la cause tombe dans l'une des quatre catégories listées ci-dessous. Ce guide propose une méthode de diagnostic reproductible pour identifier laquelle, et corriger.

Les 4 causes qui reviennent tout le temps

  1. Authentification mal alignée : SPF présent mais pas -all, DKIM absent sur certains flux, DMARC en p=none oublié depuis deux ans. L'enveloppe From ne correspond pas à l'en-tête From:, donc DMARC échoue même quand SPF et DKIM passent isolément.
  2. Reverse DNS (PTR) manquant ou incohérent, votre IP d'envoi n'a pas d'enregistrement PTR, ou bien le PTR pointe vers un nom qui ne correspond pas à votre domaine d'envoi. Gmail et Outlook considèrent ça comme louche.
  3. Réputation IP ou domaine dégradée — votre IP figure sur une blacklist (Spamhaus, SORBS, Barracuda), ou votre domaine a été associé à du phishing, ou simplement votre volume a explosé d'un coup sans rampe de chauffe.
  4. Contenu qui ressemble à du spam : ratio HTML/texte déséquilibré, mots déclencheurs (« gratuit », « urgent », « cliquez ici »), lien de désinscription absent, images hébergées sur un domaine différent, pièces jointes suspectes.
🎯
Par où commencer
Dans l'ordre : d'abord mail-tester.com pour obtenir un diagnostic synthétique, ensuite MXToolbox pour vérifier les blacklists, puis Google Postmaster Tools si vous écrivez beaucoup à des adresses @gmail.com. Cinq minutes suffisent pour situer le problème.

Étape 1 : tester sa délivrabilité en 3 outils

mail-tester.com, le premier réflexe

Rendez-vous sur mail-tester.com, copiez l'adresse jetable affichée, envoyez-y un mail depuis votre système habituel (client, app, CRM, outil marketing — peu importe, c'est ce qu'on veut auditer). Cliquez sur « Then check your score ». Vous obtenez une note sur 10 avec le détail :

  • SPF, DKIM, DMARC : PASS/FAIL ligne par ligne.
  • Reverse DNS : présent ou non, cohérent ou non.
  • Présence sur les principales blacklists.
  • Contenu : SpamAssassin note chaque règle déclenchée.
  • Liens, images, ratio texte/HTML, présence d'un lien de désinscription.

Viser 10/10. En dessous de 8, Gmail tolère encore, mais Outlook et les filtres d'entreprise commencent à trier. En dessous de 6, vous êtes en spam quasi partout.

MXToolbox : chercher les blacklists

Sur mxtoolbox.com/blacklists.aspx, entrez l'IP d'envoi (pas le domaine). L'outil interroge une centaine de listes. Les seules vraiment importantes : Spamhaus ZEN, SORBS, Barracuda, Invaluement. Un listing sur une DNSBL obscure n'a pas d'impact. Un listing Spamhaus, si.

En cas de listing légitime (IP vraiment compromise), chaque blacklist a sa procédure de retrait. En cas de faux positif, un formulaire de delisting est toujours disponible.

Google Postmaster Tools

Incontournable si vous envoyez du volume vers Gmail. Créez un compte sur postmaster.google.com, ajoutez votre domaine d'envoi (validation par TXT DNS), attendez 24 à 48 heures. Vous obtenez :

  • Domain reputation : High, Medium, Low, Bad. En dessous de High, vos mails transitent par le dossier Promotions ou Spam.
  • IP reputation : idem par IP d'envoi.
  • Spam rate : % de destinataires qui ont cliqué « Marquer comme spam ». Au-dessus de 0,3 %, Gmail sanctionne.
  • Feedback loop, authenticated traffic, encrypted traffic.

Étape 2 : vérifier SPF

dig +short TXT votredomaine.fr | grep spf1

Sortie attendue :

"v=spf1 include:_spf.datacampus.fr -all"

Pièges classiques

  • Deux enregistrements SPF distincts publiés côte à côte. C'est invalide, les destinataires ignorent les deux. À fusionner en un seul.
  • Terminaison ~all ou ?all, qui autorise les envois non listés en « soft fail ». Passer à -all dès que vous avez cartographié toutes vos sources.
  • Dépassement des 10 lookups DNS. Chaque include compte, chaque include imbriqué aussi. spf.protection.outlook.com + _spf.google.com + deux services marketing, et vous êtes au-dessus. Le résultat : permerror, SPF échoue globalement. Solutions : réduire les émetteurs, ou utiliser un service d'aplatissement SPF.
  • Alignement : le domaine de l'enveloppe MAIL FROM doit correspondre au domaine de l'en-tête From:. Si votre app envoie via un service tiers qui utilise son propre Return-Path, SPF peut passer sans que DMARC ne soit aligné. Vérifiable dans les en-têtes du mail reçu.

Étape 3 — Vérifier DKIM

DKIM se vérifie par sélecteur. Le sélecteur se lit dans l'en-tête du mail reçu, ligne DKIM-Signature: s=....

dig +short TXT selecteur._domainkey.votredomaine.fr

Sélecteurs usuels :

  • Mailcow : dkim par défaut (configurable dans Configuration > Clés DKIM).
  • Plesk : default.
  • Google Workspace : google (ou le nom saisi à la configuration).
  • Brevo, Mailjet, Mailchimp : sélecteurs propres au prestataire, visibles dans leur interface.

La réponse dig doit retourner une clé v=DKIM1; k=rsa; p=.... Si elle est vide, l'enregistrement n'est pas publié côté DNS, ou le sélecteur demandé n'est pas le bon.

⚠️
Plusieurs flux, plusieurs sélecteurs
Si vous envoyez via Mailcow et via Brevo, chaque flux a son propre sélecteur DKIM. Les deux doivent être publiés. Ce n'est pas une alternative, c'est une addition.

Étape 4 — Vérifier DMARC

dig +short TXT _dmarc.votredomaine.fr

Trois paliers à suivre dans l'ordre :

  1. p=none + rua=mailto:dmarc@votredomaine.fr pendant 2 à 4 semaines. Vous recevez les rapports agrégés quotidiens de Gmail, Outlook, La Poste, Yahoo. Ils listent toutes les IP qui envoient en votre nom, avec le résultat SPF/DKIM pour chacune. C'est le seul moyen d'avoir une vue exhaustive de vos flux réels, y compris celui que le stagiaire a monté en 2022 et que personne ne connaît.
  2. p=quarantine une fois toutes les sources légitimes alignées. Les mails non authentifiés partent en spam au lieu d'être rejetés.
  3. p=reject quand tout est propre depuis quelques semaines. Les mails non authentifiés sont refusés au niveau SMTP.

Les rapports agrégés sont du XML un peu indigeste. Des services gratuits les parsent en tableau de bord lisible (Postmark DMARC, dmarcian, URIports en formule gratuite).

Étape 5 — Reverse DNS (PTR)

Le reverse DNS associe votre IP d'envoi à un nom de domaine. Gmail et Outlook exigent qu'il existe et qu'il soit cohérent. Vérification :

dig +short -x 185.17.10.42

La sortie doit renvoyer un nom du type mail.votredomaine.fr, et ce nom doit lui-même résoudre vers la même IP (reverse « concordant »). Un PTR du style 185-17-10-42.pool.fai.net passe difficilement, les filtres l'interprètent comme une IP résidentielle dynamique.

🔧
Chez Datacampus, sur demande
Nous configurons le reverse DNS sur demande par ticket au ServiceDesk. Précisez l'IP et le nom souhaité (il doit résoudre vers l'IP). Pour les VPS et serveurs mail hébergés chez nous, c'est systématique à la mise en service.

Étape 6 : réputation et contenu

Même avec une authentification parfaite, un contenu mal cadré peut vous envoyer en spam. Les filtres notent chaque règle déclenchée et additionnent les points.

  • Mots-déclencheurs à doser : « gratuit », « offre limitée », « cliquez ici », « urgent », « 100 % », suites d'exclamations ou de majuscules. Un ou deux ne tuent pas un mail, une accumulation si.
  • Ratio HTML/texte : si votre mail est HTML, toujours inclure une version texte alternative (multipart/alternative). Les clients mail modernes le font automatiquement ; les templates maison, rarement.
  • Lien de désinscription visible : obligatoire pour les envois marketing, fortement recommandé partout. En-tête List-Unsubscribe en plus d'un lien dans le corps.
  • Images hébergées sur votre propre domaine, pas sur un CDN externe inconnu. Un mail avec 80 % d'images et 20 % de texte est typique du spam, donc équilibrez.
  • Liens raccourcis (bit.ly et consorts) : à éviter, ils masquent la destination et les filtres n'aiment pas ça.

Pièges spécifiques qui reviennent en ticket

⚠️
Les classiques qu'on voit passer
  • SPF à 11 lookups parce qu'on a ajouté « juste un petit include Mailchimp ». Tout casse silencieusement.
  • Double enregistrement SPF : l'ancien hébergeur avait publié le sien, le nouveau a ajouté le sien à côté. Il faut fusionner.
  • Enveloppe From différente du From header : service marketing qui utilise bounce@service-tiers.com en Return-Path, SPF valide sur service-tiers.com mais l'en-tête From: est à votredomaine.fr. DMARC échoue par non-alignement. Solution : configurer un sous-domaine délégué (mail.votredomaine.fr) avec CNAME vers le service tiers.
  • DKIM publié en k=rsa sans p= (clé publique vide) : la clé a été « révoquée » proprement mais le flux continue d'envoyer. Purement destructeur.
  • DMARC p=reject activé sans observation préalable, et le lendemain le service de facturation ne reçoit plus les notifications de règlement. Toujours passer par p=none d'abord.

Cas Datacampus : où est votre émetteur réel

Le diagnostic change selon qui envoie vraiment vos mails. Deux situations :

Envoi via Mailcow ou SMTP Datacampus

Votre flux sort par nos IP sur l'AS50446. Reverse DNS configuré, IP surveillées et nettoyées si besoin, signature DKIM automatique, SPF include:_spf.datacampus.fr pris en charge. Dans ce cas, si vos mails tombent en spam, l'investigation porte sur l'alignement de votre côté (SPF sur votre zone, DKIM bien publié, DMARC en place) et sur le contenu.

Envoi via un service tiers (Mailchimp, Brevo, SendGrid, HubSpot)

Vos mails partent depuis leur infra, sur leurs IP. La réputation dépend d'eux, pas de Datacampus. Notre responsabilité s'arrête à la bonne publication de leurs include SPF et de leur CNAME DKIM dans votre zone DNS. Si la réputation de leurs IP est mauvaise (mutualisation avec d'autres clients qui spamment), la solution est de changer de pool d'IP chez le prestataire, ou de passer sur une IP dédiée (payant mais souvent justifié au-delà de 50 000 mails/mois).

Checklist de sortie

[ ] Score mail-tester.com >= 9/10
[ ] Aucune blacklist majeure (Spamhaus, SORBS, Barracuda)
[ ] SPF unique, se termine par -all, < 10 lookups
[ ] DKIM publié pour chaque flux d'envoi (Mailcow + services tiers)
[ ] DMARC publié, au minimum p=none + rua=
[ ] Reverse DNS configuré et cohérent
[ ] Lien de désinscription présent sur les envois marketing
[ ] Version texte alternative sur les mails HTML
[ ] Rapports DMARC lus au moins une fois par mois

Si la checklist est verte et que vos mails continuent de partir en spam, ouvrez un ticket au ServiceDesk avec les en-têtes complets d'un mail qui a fini en indésirables et le destinataire concerné. On regarde les logs côté envoi et on remonte la piste.

Pour aller plus loin

Docs liés

Email

Mailcow : administration d'un domaine

Gérer boîtes, alias, listes, filtres Sieve et quarantaine rspamd depuis l'interface Mailcow en tant que domain admin.

 Email

SMTP transactionnel : envoyer depuis une app

Configurer l'envoi SMTP authentifié pour un site ou une application : WordPress, PHPMailer, ports, bonnes pratiques de délivrabilité.

 Email

SPF, DKIM et DMARC : authentifier ses emails

Les trois enregistrements DNS indispensables pour que Gmail, Outlook et consorts acceptent vos mails : principe, valeurs à publier, tests.

Besoin d'aide ?

Cette documentation ne couvre pas votre cas ? Notre support humain est là.

Ouvrir un ticket Nous contacter