DMARC n’est plus seulement une bonne pratique de sécurité.
Chez les grands fournisseurs de boîtes mail, il devient une condition de délivrabilité.
Gmail, Yahoo et Microsoft ont progressivement durci leurs règles : authentification obligatoire, alignement du domaine visible, taux de plaintes surveillé, désinscription simplifiée, DNS propre et rejets SMTP pour les expéditeurs à volume qui ne respectent pas le socle minimum.
Ce qui a changé
Pendant longtemps, beaucoup d’expéditeurs pouvaient envoyer avec un SPF partiel, un DKIM absent sur certains outils, un DMARC non publié et une base email moyennement entretenue.
Ce modèle devient de moins en moins toléré.
Les grands fournisseurs veulent répondre à trois problèmes :
- réduire le phishing et l’usurpation de domaine ;
- rendre les expéditeurs responsables de leurs outils d’envoi ;
- limiter les campagnes qui génèrent trop de plaintes, de bounces ou de signaux négatifs.
Le message est clair : si vous envoyez à volume, votre domaine doit être authentifié, aligné, surveillé et capable de prouver qu’il respecte les règles.
La chronologie du durcissement
La bascule s’est faite par étapes.
En octobre 2023, Gmail et Yahoo annoncent de nouvelles exigences pour les expéditeurs.
En février 2024, Gmail commence à appliquer ses règles pour les expéditeurs qui envoient vers des comptes Gmail personnels. Yahoo lance également son enforcement progressif pour les expéditeurs à volume significatif.
En juin 2024, Gmail durcit l’impact du taux de spam : les expéditeurs avec un taux de plaintes utilisateur supérieur à 0,3 % deviennent inéligibles à certaines mitigations tant que le signal ne revient pas sous le seuil pendant plusieurs jours.
En avril 2025, Microsoft annonce ses nouvelles exigences pour les gros expéditeurs vers Outlook.com, Hotmail.com et Live.com.
À partir du 5 mai 2025, Microsoft indique rejeter les messages des domaines à haut volume qui ne respectent pas SPF, DKIM et DMARC, avec une erreur du type :
550 5.7.515 Access denied, sending domain does not meet the required authentication levelEn 2026, ces règles ne sont plus des annonces lointaines. Elles font partie du fonctionnement normal de la délivrabilité.
Les exigences communes
Les fournisseurs n’utilisent pas toujours les mêmes mots, mais le socle se ressemble.
Pour envoyer correctement à volume, il faut généralement :
- SPF configuré et fonctionnel ;
- DKIM actif sur chaque plateforme d’envoi ;
- DMARC publié, au minimum en
p=none; - alignement DMARC avec le domaine visible dans le
From; - PTR / reverse DNS valide pour les IP d’envoi ;
- TLS pendant le transport ;
- messages conformes au format RFC 5322 ;
- désinscription simple pour les messages marketing ;
- taux de plaintes spam bas ;
- base email entretenue.
Le point important : publier un enregistrement DMARC ne suffit pas.
Il faut que les messages réels passent DMARC.
Gmail : seuil explicite à 5 000 messages par jour
Gmail distingue les expéditeurs classiques et les expéditeurs envoyant 5 000 messages ou plus par jour vers des comptes Gmail personnels.
Pour les gros expéditeurs, Gmail demande notamment SPF, DKIM, DMARC, l’alignement du domaine visible avec SPF ou DKIM, des DNS directs et inverses valides, TLS, un taux de spam maîtrisé et la désinscription en un clic pour les messages promotionnels.
Le DMARC minimum peut être p=none.
Mais attention : p=none ne veut pas dire “aucune exigence”. Cela signifie que la politique publiée est en observation. Les messages doivent quand même être authentifiés et alignés.
Gmail recommande de garder le taux de spam sous 0,1 % et d’éviter absolument d’atteindre 0,3 %.
À partir de 0,3 %, les impacts deviennent beaucoup plus sérieux : moins de marge de mitigation, placement dégradé, limitations ou rejets selon les autres signaux.
Yahoo : pas de seuil public fixe
Yahoo a une approche différente.
Yahoo ne publie pas un seuil universel équivalent au 5 000/jour de Gmail. Il parle plutôt de volume significatif et analyse le domaine, le contenu, les IP et les comportements observés.
En pratique, si vous envoyez des newsletters, campagnes marketing, relances commerciales, notifications massives ou scénarios automatisés vers Yahoo, AOL ou des domaines routés par Yahoo, il faut vous comporter comme un bulk sender.
Les attentes sont proches :
- authentification SPF et DKIM ;
- DMARC publié ;
- alignement avec le domaine visible ;
- taux de plaintes spam bas ;
- désinscription claire ;
- hygiène de liste ;
- DNS et infrastructure propres.
Le piège chez Yahoo est de chercher un seuil magique.
Il n’y en a pas toujours. Le statut “bulk” dépend aussi de ce que Yahoo observe réellement.
Microsoft : Outlook.com, Hotmail et Live durcissent
Microsoft a rejoint le mouvement en 2025 pour ses services grand public : Outlook.com, Hotmail.com et Live.com.
Le seuil annoncé concerne les domaines envoyant plus de 5 000 emails par jour.
Pour ces expéditeurs, Microsoft demande SPF, DKIM et DMARC. DMARC doit être publié au minimum en p=none et s’aligner avec SPF ou DKIM, idéalement les deux.
Microsoft a aussi insisté sur l’hygiène : adresses From et Reply-To valides, désinscription fonctionnelle, nettoyage des listes et pratiques transparentes.
Le point le plus sensible est l’enforcement : Microsoft a indiqué rejeter les messages qui ne respectent pas le niveau d’authentification requis, avec l’erreur 550 5.7.515.
Cela transforme une mauvaise configuration en problème visible immédiatement : le message ne part plus seulement en spam, il peut rebondir.
Les seuils bloquants à connaître
Il y a trois seuils à retenir.
Le premier est le volume.
Gmail et Microsoft utilisent clairement le seuil de 5 000 messages par jour pour déclencher les obligations de gros expéditeur. Yahoo ne donne pas de chiffre public fixe, mais applique ses règles aux volumes significatifs.
Le deuxième est le taux de plaintes spam.
Chez Gmail, l’objectif est de rester sous 0,1 % et de ne jamais atteindre 0,3 %. À 0,3 %, l’expéditeur entre dans une zone très risquée.
Le troisième est l’échec d’authentification.
Un message qui ne passe pas SPF/DKIM/DMARC ou qui n’aligne pas le domaine visible peut être placé en spam, temporairement refusé ou rejeté selon le fournisseur, le volume et l’historique de réputation.
L’alignement DMARC : le vrai sujet
Beaucoup d’entreprises pensent être conformes parce que SPF et DKIM sont publiés.
Mais DMARC ne regarde pas seulement si SPF ou DKIM passent.
Il vérifie aussi si le domaine authentifié correspond au domaine visible dans le champ From.
Exemple problématique :
From: newsletter@example.com
SPF pass: esp-mail.net
DKIM pass: esp-mail.net
DMARC failSPF et DKIM passent, mais ils passent pour le domaine de l’outil d’envoi, pas pour example.com.
Exemple correct :
From: newsletter@example.com
SPF pass: bounce.example.com
DKIM pass: example.com
DMARC passDans ce cas, au moins un mécanisme s’aligne avec le domaine visible.
Pourquoi les ESP sont concernés
Un domaine d’entreprise envoie rarement depuis un seul endroit.
On retrouve souvent :
- Google Workspace ou Microsoft 365 ;
- un outil newsletter ;
- un CRM ;
- un outil de facturation ;
- une plateforme transactionnelle ;
- un outil support ;
- un CMS ou un formulaire web ;
- une ancienne application métier.
Chaque ESP ou outil d’envoi doit être intégré proprement.
Cela signifie : SPF quand c’est nécessaire, DKIM avec un domaine aligné, sous-domaine dédié si le flux est marketing ou transactionnel, et visibilité dans les rapports DMARC.
Le vrai chantier DMARC n’est donc pas seulement DNS.
C’est une cartographie des flux email.
Comment se mettre en conformité
La méthode la plus sûre est progressive.
- publier DMARC en
p=noneavec des rapportsrua; - collecter les rapports pendant plusieurs jours ou semaines ;
- identifier tous les outils qui envoient avec le domaine ;
- activer DKIM sur chaque plateforme ;
- vérifier l’alignement SPF ou DKIM sur les messages réels ;
- séparer les flux marketing, transactionnels et corporate si nécessaire ;
- corriger le PTR, TLS, SPF trop long et bounces ;
- mettre en place la désinscription en un clic pour les campagnes ;
- surveiller les plaintes, surtout chez Gmail ;
- passer progressivement vers
p=quarantine, puisp=rejectquand les flux sont maîtrisés.
Le passage à p=reject ne doit pas être improvisé.
Il doit arriver après observation, correction et validation des sources légitimes.
Ce qui bloque le plus souvent
Les blocages les plus fréquents sont très concrets :
- un outil qui envoie sans DKIM aligné ;
- un SPF trop long ou en erreur ;
- un sous-domaine marketing non documenté ;
- un domaine visible différent du domaine authentifié ;
- une IP sans PTR valide ;
- une base email qui génère trop de plaintes ;
- un lien de désinscription absent ou non fonctionnel ;
- des redirections qui cassent SPF sans ARC ou SRS ;
- un prestataire qui signe avec son propre domaine au lieu du vôtre.
Ces erreurs peuvent passer inaperçues à petit volume.
À volume élevé, elles deviennent des seuils bloquants.
Conclusion
DMARC est devenu une pièce centrale de la délivrabilité.
Gmail, Yahoo et Microsoft ne demandent plus seulement “avez-vous un bon contenu ?”. Ils demandent aussi : “pouvez-vous prouver que ce domaine contrôle vraiment ses envois ?”
Le minimum actuel est clair : SPF, DKIM, DMARC, alignement, DNS propre, faible taux de plaintes, désinscription fonctionnelle et hygiène de base.
Pour les entreprises, la bonne réponse n’est pas de publier un TXT à la hâte.
La bonne réponse est de piloter l’écosystème d’envoi : cartographier, aligner, surveiller, corriger, puis durcir progressivement la politique DMARC.
Sources utiles : Google Email sender guidelines, Google Email sender guidelines FAQ, Microsoft Outlook requirements for high-volume senders et Yahoo Sender Hub FAQ.