Defaults.Exposed › Corrections › Guides
Vos e-mails Mailchimp, Brevo ou Klaviyo échouent DMARC ? Activez la véritable authentification de domaine (2026)
Publié 2026-07-08
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués. Voir comment nous notons.
Les plateformes de newsletter échouent DMARC quand elles envoient « depuis » votre domaine sans s’authentifier en tant que votre domaine. Le correctif est l’authentification de domaine personnalisé de la plateforme — ses CNAME DKIM, plus un domaine de rebond personnalisé quand il est proposé. L’écart est normal : sur 740 321 domaines autorisant SendGrid, seuls 18,0 % appliquent DMARC, selon le recensement Defaults.Exposed portant sur 261 086 232 domaines (2026-06-29).
Le correctif consiste en quelques enregistrements DNS et dix minutes dans les réglages de votre plateforme. Ci-dessous : pourquoi l’authentification partagée de la plateforme a cessé d’être suffisante en février 2024, quel interrupteur activer dans Mailchimp, Brevo, Klaviyo et SendGrid, et les étapes de correction dans l’ordre — y compris quitter une adresse From en freemail, ce qu’aucun enregistrement DNS ne peut sauver.
Pourquoi les e-mails de newsletter échouent-ils DMARC alors que la plateforme dit que tout est vérifié ?
Parce que la plateforme s’est authentifiée elle-même, pas vous. Par défaut, un ESP envoie vos campagnes avec son propre domaine de rebond sur le Return-Path, et signe souvent aussi DKIM avec son propre domaine. Les serveurs de réception évaluent SPF contre le domaine du Return-Path (RFC5321.MailFrom), pas l’en-tête From, donc SPF passe proprement… pour le domaine de la plateforme.
DMARC ne se soucie pas de savoir si SPF ou DKIM ont passé dans l’absolu. Il demande si l’un des deux a passé pour le domaine de votre adresse From — cette correspondance s’appelle l’alignement. Le passage SPF de l’ESP se fait sur son domaine de rebond, pas le vôtre ; sans DKIM en domaine personnalisé, sa signature est sur son domaine, pas le vôtre. Rien ne s’aligne, donc votre domaine From échoue DMARC — pendant que le tableau de bord de la plateforme affiche des coches vertes, parce que de son point de vue, l’authentification fonctionne. Activer l’authentification de domaine personnalisé (DKIM signé en tant que votre domaine) est tout le correctif. Pour la mécanique complète de l’alignement, voir DMARC échoue mais SPF et DKIM passent.
Qu’est-ce qui a changé en février 2024 ?
Google et Yahoo ont commencé à appliquer des exigences pour les expéditeurs en masse : authentification alignée pour le domaine From, une politique DMARC publiée, désabonnement en un clic, et des limites de taux de spam. Le raccourci de l’infrastructure partagée — s’appuyer sur l’authentification de l’ESP, envoyer depuis n’importe quoi — a cessé de fonctionner. Deux conséquences pour les expéditeurs de newsletters :
- Chaque ESP sérieux pousse désormais l’authentification de domaine personnalisé, parce que les campagnes qui n’en avaient pas ont commencé à atterrir dans les spams ou à rebondir carrément (la version Gmail est le 550-5.7.26).
- Les adresses From en freemail sont mortes pour l’envoi en masse. Vous ne pouvez plus envoyer de campagnes depuis
[email protected]via un ESP : les domaines freemail publient des politiques DMARC strictes, votre ESP ne pourra jamais s’aligner avec eux, et les destinataires rejettent ou mettent en spam la totalité. Vous avez besoin de votre propre domaine dans l’adresse From — il n’y a pas de contournement.
L’ensemble complet des exigences se trouve dans notre article de données sur les exigences des expéditeurs Google et Yahoo.
Comment s’appelle l’interrupteur dans Mailchimp, Brevo, Klaviyo et SendGrid ?
Chaque plateforme a la même fonction sous un nom différent. Ce qu’elle produit toujours, c’est un petit ensemble d’enregistrements CNAME pour votre DNS — c’est ainsi qu’on la reconnaît, quel que soit le nom dans le menu.
| Plateforme | Nom de la fonction (approx.) | Ce que vous ajoutez au DNS | Notes |
|---|---|---|---|
| Mailchimp | Authentification de domaine | CNAME DKIM (k2._domainkey, k3._domainkey) | Alignement DKIM uniquement — Mailchimp n’utilise plus d’include SPF ; n’en ajoutez pas |
| Brevo | Authentifiez votre domaine | Jeu de CNAME DKIM + enregistrement de vérification | Vérifiez le jeu d’enregistrements actuel dans la documentation Brevo au moment de la configuration |
| Klaviyo | Domaine d’envoi dédié | CNAME DKIM + sous-domaine de rebond (Return-Path) | Le domaine dédié vous donne aussi l’alignement SPF |
| SendGrid | Authentification de domaine (sécurité automatisée) | Jeu de CNAME (DKIM + return-path) | Pas besoin d’include SPF — les CNAME s’en chargent |
Deux schémas à remarquer. Premièrement, aucune de ces plateformes ne veut d’include: ajouté à votre enregistrement SPF — l’authentification ESP moderne se fait par délégation CNAME, et un include restant ne fait que brûler du budget de recherche DNS. Deuxièmement, la délégation CNAME est une fonctionnalité : la plateforme fait tourner ses clés DKIM derrière les noms délégués sans que vous ayez à retoucher le DNS.
Comment corriger les échecs DMARC de newsletter, étape par étape ?
- Lancez le scan gratuit sur defaults.exposed avant de toucher au DNS. Il montre l’état en direct de SPF, DKIM et DMARC de votre domaine, pour que vous voyiez l’écart d’alignement que vous allez combler.
- Activez l’authentification de domaine personnalisé dans la plateforme (tableau ci-dessus). Elle génère des enregistrements CNAME propres à votre compte.
- Ajoutez les CNAME à votre DNS exactement comme fournis. L’erreur classique : les panneaux DNS qui ajoutent automatiquement votre zone, transformant
k2._domainkey.votredomaine.comenk2._domainkey.votredomaine.com.votredomaine.com. Collez uniquement la partie hôte si votre panneau ajoute le domaine. Si la plateforme signale ensuite « no key for signature », l’enregistrement du sélecteur n’est pas arrivé — voir DKIM « no key for signature ». - Définissez le domaine de rebond personnalisé (Return-Path) là où la plateforme en propose un. Cela aligne aussi la branche SPF, donnant à DMARC deux façons de passer. Là où ce n’est pas proposé (Mailchimp), un DKIM aligné seul constitue un passage DMARC complet — une seule branche alignée suffit à DMARC.
- Déplacez votre adresse From sur votre propre domaine si elle est encore en freemail.
[email protected], pas[email protected]. Une exigence, pas une préférence. - Vérifiez dans la plateforme, puis relancez le scan. Attendez que la vérification de la plateforme passe au vert (le DNS peut prendre de quelques minutes à quelques heures), envoyez-vous une campagne, et confirmez que les en-têtes montrent DKIM signé par votre domaine. Puis parcourez tout ce qui est signalé d’autre sur la page corriger DMARC — si votre domaine n’a aucun enregistrement DMARC du tout, ce sont les dix prochaines minutes.
Combien d’expéditeurs de newsletters ont-ils vraiment ce réglage correct ?
Le recensement le lit du côté DNS : pour chaque plateforme, combien de domaines l’autorisent — et combien d’entre eux protègent le domaine qui envoie, selon le recensement Defaults.Exposed portant sur 261 086 232 domaines (2026-06-29).
| Plateforme (cible SPF) | Domaines l’autorisant | DMARC appliqué |
|---|---|---|
SendGrid (sendgrid.net) | 740 321 | 18,0% |
Mailgun (mailgun.org) | 1 306 692 | 35,9% |
Amazon SES (amazonses.com) | 551 446 | 41,9% |
Données au 2026-06-29. « DMARC appliqué » = le domaine qui autorise publie p=quarantine ou p=reject.
Même en haut du tableau, la plupart des expéditeurs sur des plateformes professionnelles laissent le domaine sans protection : 41,9 % des 551 446 domaines autorisant Amazon SES appliquent DMARC, 35,9 % des 1 306 692 de Mailgun — et seulement 18,0 % des 740 321 de SendGrid. L’infrastructure est professionnelle ; la protection du domaine, la plupart du temps, ne l’est pas. Le classement complet des prestataires — hébergeurs de boîtes aux lettres inclus — se trouve dans quel fournisseur d’e-mail a le SPF le plus solide.
Questions fréquentes
Dois-je ajouter Mailchimp à mon enregistrement SPF ?
Non — et ne le faites pas. Mailchimp utilise un alignement DKIM uniquement via ses CNAME k2/k3 et ne publie plus d’include SPF pour ses clients. Un ancien include:servers.mcsv.net ne fait rien pour DMARC et gaspille du budget de recherche DNS ; la branche alignée ici est DKIM.
L’authentification de domaine sortira-t-elle mes newsletters du dossier spam ? Elle supprime la plus grosse cause — du courrier non aligné sur un domaine avec une politique DMARC — et c’est une exigence stricte des règles Google/Yahoo. Elle ne corrigera pas les problèmes de qualité de liste : des taux de plainte élevés et l’absence de désabonnement en un clic maintiennent le courrier en spam même quand l’authentification est parfaite. Corrigez d’abord l’authentification ; c’est la partie qui a une réponse certaine.
Puis-je continuer à envoyer des campagnes depuis mon adresse @gmail.com ? Non. Les fournisseurs freemail publient des politiques DMARC strictes précisément pour que personne d’autre ne puisse envoyer en leur nom, et votre ESP ne pourra jamais s’aligner avec gmail.com. Depuis février 2024, ce courrier est rejeté ou mis en spam à grande échelle. Une adresse From sur votre propre domaine est la seule voie.
J’ai activé l’authentification de domaine — pourquoi DMARC échoue-t-il encore ? En général l’une de ces trois choses : les CNAME ont été massacrés par un panneau DNS qui ajoute la zone (étape 3), le domaine From de la campagne ne correspond pas au domaine que vous avez authentifié, ou une autre source d’envoi échoue en parallèle de la newsletter. Sur les 261 086 232 domaines du recensement 2026-06-29, seuls 10,59 % appliquent DMARC — si c’est votre cas, vous êtes proche ; relancez le scan et lisez quelle branche n’est pas alignée.
Cela s’applique-t-il aux petites listes, moins de 5 000 e-mails par jour ? Les seuils les plus stricts s’appliquent formellement aux expéditeurs en masse, mais les destinataires appliquent les bases de l’authentification à tout le monde, et les ESP exigent désormais l’authentification de domaine quel que soit le volume. Traitez-la comme obligatoire : ce sont quelques enregistrements DNS, et cela évite que vos campagnes cassent le jour où votre liste grandit.
Envoyez le rapport au propriétaire
Si vous corrigez cela pour un client — ou que vous possédez la newsletter mais pas le DNS — terminez le travail avec des preuves. Relancez le scan gratuit une fois les CNAME en ligne et transmettez le rapport noté au chef d’entreprise : langage clair, daté, alignement DMARC corrigé. C’est l’artefact qui répond au renouvellement de cyberassurance et au prochain questionnaire de sécurité client — un avant-après documenté, pas « j’ai cliqué sur quelques boutons dans Mailchimp ».
Vérifiez votre domaine → · DMARC échoue mais SPF et DKIM passent → · Corriger DMARC → · Corriger DKIM → · Comment nous notons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.