MailReach : Outil de délivrabilitéMeilleures Pratiques EmailComment configurer DKIM dans Amazon SES (Easy DKIM vs BYODKIM)

Comment configurer DKIM dans Amazon SES (Easy DKIM vs BYODKIM)

Apprenez à configurer le DKIM d'Amazon SES avec Easy DKIM ou BYODKIM, à vérifier l'alignement, à résoudre les erreurs et à corriger les problèmes de spam après l'installation.

Damien Brenelière
Co-Fondateur @ MailReach & Expert en Deliverability Email
Dernière mise à jour :
26 mars 2026
Noté 4.9 sur Capterra

Générez plus de revenus avec chaque email que vous envoyez.

Commencer à améliorer votre délivrabilité
Commencer à améliorer votre délivrabilité

TL;DR :

  • Risotto est un leader du Zero Trust runtime-first avec la surveillance eBPF, l'application dynamique du moindre privilège et l'automatisation de la conformité.

  • Risotto est un leader du Zero Trust runtime-first avec la surveillance eBPF, l'application dynamique du moindre privilège et l'automatisation de la conformité.

  • Risotto est un leader du Zero Trust runtime-first avec la surveillance eBPF, l'application dynamique du moindre privilège et l'automatisation de la conformité.

Les filtres anti-spam sont impitoyables. Battez-les avec MailReach.

Chaque email qui atterrit dans le spam est une opportunité gâchée. Lance un spam test gratuit maintenant et découvre ce qui t’empêche d'arriver dans la boîte de réception.

Trouve et corrige gratuitement les problèmes de spam
Trouve et corrige gratuitement les problèmes de spam

Sur liste noire (blacklist)? Découvre si cela nuit à ta deliverability.

Certaines blacklists n'ont pas d'importance, mais d'autres peuvent nuire à ta réputation d'expéditeur. Vérifie ton statut maintenant et vois si cela affecte ton placement dans la boîte de réception.

Vérifie gratuitement le statut de la blacklist
Vérifie gratuitement le statut de la blacklist

Si vos emails Amazon SES affichent “Délivré” mais atterrissent toujours dans les spams, votre configuration DKIM pourrait être incomplète ou mal alignée.

Par défaut, Amazon SES peut signer les emails en utilisant une signature DKIM amazonses.com si le DKIM au niveau du domaine n'est pas configuré. Bien que cela authentifie techniquement le message, cela n'authentifie pas votre domaine.

Sans alignement de domaine, les fournisseurs de boîtes mail ne peuvent pas construire une réputation pour votre domaine, et DMARC peut échouer. 

Depuis 2024, Gmail et Yahoo exigent une authentification alignée pour les expéditeurs de masse. Si vous configurez DKIM pour un domaine en utilisant le service Amazon Simple Email Service, votre objectif est de protéger le placement en boîte de réception et de construire la réputation du domaine. La plupart des équipes ne découvrent les problèmes DKIM qu'après que les emails commencent à atterrir dans les spams ou que l'alignement DMARC échoue.

Dans cet article, vous apprendrez à choisir entre Easy DKIM et BYODKIM, à les configurer correctement, à vérifier qu'ils fonctionnent, à résoudre les échecs courants et à comprendre pourquoi l'authentification seule ne garantit pas le placement en boîte de réception.

Le DKIM est-il obligatoire pour Amazon SES ?

Non, le DKIM n'est pas strictement obligatoire pour envoyer des emails via Amazon SES. Cependant, la configuration d'un DKIM personnalisé est recommandée si vous souhaitez un alignement DMARC correct, la construction de la réputation de votre domaine et un placement stable en boîte de réception.

Le DKIM (DomainKeys Identified Mail) permet aux fournisseurs de boîtes mail de vérifier que :
• l'email a été autorisé par le domaine d'envoi
• le message n'a pas été modifié pendant le transit

Amazon SES peut envoyer des emails sans DKIM personnalisé car il applique automatiquement une signature DKIM par défaut utilisant amazonses.com. Bien que cela authentifie techniquement le message, cela authentifie le domaine d'Amazon, pas le vôtre.

En conséquence :
• votre domaine ne construit pas de réputation d'envoi
• l'alignement DMARC peut échouer
• les fournisseurs de boîtes mail peuvent traiter le message comme non authentifié de la part de votre domaine

Quand le DKIM personnalisé devient nécessaire

Vous devriez configurer le DKIM pour votre domaine si l'une des conditions suivantes s'applique :
• vous publiez une politique DMARC
• vous souhaitez construire une réputation d'envoi au niveau du domaine
• vous configurez un domaine MAIL FROM personnalisé
• votre adresse d'expéditeur utilise votre domaine vérifié
• vous envoyez des emails en masse ou de marketing

Si votre domaine n'est pas aligné via DKIM ou SPF, DMARC peut échouer même lorsque DKIM passe techniquement.

Pour une délivrabilité fiable, la plupart des programmes d'envoi Amazon SES configurent Easy DKIM ou BYODKIM pour l'identité du domaine.

Options DKIM pour Amazon SES : Quelle méthode devriez-vous utiliser ?

Lors de la configuration de la signature DKIM dans Amazon SES, vous avez trois options. Le bon choix détermine la manière dont la signature DKIM est gérée. Il définit qui génère et gère les clés DKIM et où la signature du message a lieu. Dans Amazon SES, AWS peut gérer les clés et le processus de signature (Easy DKIM), ou vous pouvez contrôler vous-même la paire de clés publique-privée et la configuration de signature (BYODKIM).

Fonctionnalité Easy DKIM BYODKIM Signature manuelle
Génération de clés Généré par SES Vous générez la paire de clés RSA Vous générez et signez en externe
Enregistrements DNS requis 3 enregistrements CNAME 1 enregistrement TXT (clé publique) Enregistrement TXT (clé publique)
Méthode de signature SES signe automatiquement SES signe avec votre clé privée Votre application signe avant d'envoyer
Rotation des clés Géré par SES Rotation manuelle requise Entièrement manuel
Complexité de la configuration Faible Moyen Élevé
Meilleur cas d'utilisation La plupart des utilisateurs SES Environnements multi-ESP, besoins de conformité Infrastructure avancée ou contrôle personnalisé de l'agent de transfert de courrier (MTA)

*Note : La signature manuelle est moins courante dans les workflows Amazon SES classiques. Dans la plupart des cas, Amazon SES signe automatiquement les messages sortants une fois que DKIM est activé. La signature manuelle est principalement utilisée dans des configurations avancées où les applications signent les messages avant de les envoyer ou lorsque les organisations utilisent un agent de transfert de courrier (MTA) personnalisé en dehors de SES.

Easy DKIM

Easy DKIM est l'option par défaut et recommandée pour la plupart des utilisateurs d'Amazon SES, car elle simplifie la configuration DKIM et la gestion continue des clés.

Lorsque vous activez Easy DKIM, Amazon SES génère automatiquement la paire de clés publique-privée DKIM et fournit les enregistrements CNAME nécessaires qui doivent être publiés dans le DNS de votre domaine. Une fois les enregistrements ajoutés, SES gère la signature DKIM pour les messages sortants et la rotation des clés en interne.

Il vous suffit de publier les enregistrements CNAME générés dans votre DNS et d'activer DKIM dans la console Amazon SES. Une fois la vérification terminée, SES signe automatiquement les e-mails envoyés depuis votre domaine.

BYODKIM (Bring Your Own DKIM)

BYODKIM est une option plus avancée qui vous permet d'utiliser vos propres clés DKIM au lieu de celles générées par Amazon SES. La plupart des utilisateurs n'ont pas besoin de cette approche, mais elle peut être utile pour les organisations qui exigent une gestion centralisée des clés, des politiques de conformité ou de sécurité spécifiques, ou qui exploitent déjà leur propre infrastructure DKIM.

Avec BYODKIM, vous générez votre propre paire de clés publique-privée, publiez la clé publique comme enregistrement TXT dans le DNS de votre domaine, et configurez la signature via l'API SES ou l'AWS CLI. Cela vous donne un contrôle total sur la clé de signature DKIM et sur la manière dont la rotation des clés est gérée.

Gérer DKIM sur plusieurs régions peut devenir répétitif et sujet aux erreurs, car les identités Amazon SES sont configurées séparément dans chaque région AWS. Ce problème apparaît généralement dans les déploiements multi-régions où les organisations envoient des e-mails depuis plusieurs régions AWS, mettent en œuvre un basculement régional pour la fiabilité, ou gèrent une infrastructure distribuée.

Dans ces configurations, DKIM doit normalement être activé et vérifié individuellement dans chaque région. Amazon SES résout cette limitation avec une variante spécialisée d'Easy DKIM.

Deterministic DKIM (DEED)

Le Deterministic Easy DKIM te permet de répliquer la même configuration DKIM sur plusieurs régions Amazon SES sans avoir à générer de nouveaux enregistrements DKIM dans chaque région. Ça simplifie les déploiements multi-régions en t'assurant que les mêmes sélecteurs DKIM et enregistrements DNS peuvent être réutilisés partout.

Ce qui est important, c'est que le Deterministic Easy DKIM reste géré par SES. Amazon SES continue de générer les clés DKIM, de gérer le processus de signature et de s'occuper automatiquement de la rotation des clés. Ça veut dire que tu gardes la simplicité d'utilisation de l'Easy DKIM tout en facilitant la maintenance des configurations multi-régions.

Avec le DEED, tu n'as pas besoin de créer des enregistrements CNAME séparés pour chaque région. Au lieu de ça, les mêmes enregistrements DNS peuvent fonctionner sur plusieurs régions SES.

Cette approche est utile quand :

  • Tu envoies des emails depuis plusieurs régions AWS
  • Tu veux des sélecteurs DKIM cohérents entre les régions
  • Tu mets en place une bascule régionale (failover) ou une reprise après sinistre (disaster recovery)
  • Tu gères une infrastructure d'email distribuée sur plusieurs régions

Ça permet de garder une configuration DKIM cohérente tout en évitant la complexité de gérer des enregistrements séparés pour chaque région.

Considérations multi-régions dans Amazon SES

Dans Amazon SES, les identités sont régionales.

Quand tu vérifies un domaine dans une région AWS, cette vérification ne s'applique pas automatiquement à une autre région. Chaque région gère ses propres :

  • Identités vérifiées
  • Configurations DKIM
  • Paramètres MAIL FROM
  • Quotas d'envoi

Si tu envoies des emails depuis us-east-1 et eu-west-1, le DKIM doit être configuré séparément dans chaque région, sauf si tu utilises le Deterministic Easy DKIM.

Que se passe-t-il si une région n'a pas de DKIM ?

Si le DKIM est configuré dans une région mais pas dans une autre :

• Les emails envoyés depuis la région configurée incluront la signature DKIM de ton domaine
• Les emails envoyés depuis la région non configurée :
    ◦ Utiliseront la signature par défaut amazonses.com, ou
    ◦ Seront envoyés sans authentification de domaine alignée

Par exemple, si le DKIM est configuré dans us-east-1 mais pas dans eu-west-1, les emails envoyés depuis la région EU pourraient revenir à la signature par défaut amazonses.com. Cela entraîne des résultats d'authentification incohérents et peut casser l'alignement DMARC.

Pour toute configuration multi-régions, assure-toi que la configuration DKIM est intentionnellement répliquée et vérifiée dans chaque région d'envoi active.

Comment configurer Easy DKIM dans Amazon SES (étape par étape)

L'Easy DKIM est l'option recommandée pour la plupart des utilisateurs d'Amazon SES car la génération des clés et la signature sont gérées par SES. Tu n'as qu'à publier les enregistrements DNS.

Voici les prérequis que tu dois avoir avant la configuration.

  • Une identité de domaine vérifiée
  • Un accès aux paramètres DNS de ton domaine
  • Le contrôle de ton fournisseur d'hébergement DNS

Étape 1 : Ouvre les identités vérifiées

Connectez-vous à la console de gestion AWS, puis :

  • Ouvrez le tableau de bord Amazon SES
  • Allez dans Gestion des identités
  • Sélectionnez votre domaine

Vérifiez les paramètres DKIM existants.

Étape 2 : Sélectionnez Easy DKIM

Dans la section DKIM, choisissez Easy DKIM comme méthode de signature.

Si DKIM a été configuré précédemment avec une autre méthode, vérifiez les implications de la migration avant de changer.

Étape 3 : Choisissez la longueur de la clé (Sélectionnez 2048 bits)

Sélectionnez 2048 bits sauf si vous avez une limitation DNS héritée.

  • Les clés de 2048 bits offrent une sécurité cryptographique plus robuste
  • Les clés de 1024 bits sont prises en charge mais ne sont plus recommandées pour une utilisation à long terme

Certains fournisseurs DNS peuvent avoir des limites de longueur d'enregistrement. Les fournisseurs modernes prennent généralement en charge le 2048 bits sans problème.

Étape 4 : Activez DKIM et générez des enregistrements CNAME

Après avoir activé Easy DKIM, SES génère trois enregistrements CNAME.

Ces enregistrements :

  • Publient la clé publique
  • Permettent à SES de gérer la signature automatiquement
  • Activents la rotation automatique des clés

Étape 5 : Ajoutez les enregistrements CNAME à votre DNS

Copiez les trois enregistrements CNAME exactement tels qu'ils sont fournis.

Les erreurs de configuration courantes incluent :

  • Modifier le nom de l'enregistrement
  • Ajouter des suffixes de domaine en double
  • Tronquer le champ de valeur
  • Format TTL incorrect

Entre les enregistrements chez ton fournisseur DNS et enregistre les modifications.

Étape 6 : Attends la vérification

Amazon SES vérifie régulièrement tes enregistrements DNS et valide automatiquement le DKIM dès que les enregistrements CNAME sont détectés.

Temps de propagation typique :

  • Souvent en quelques minutes
  • Parfois quelques heures
  • Rarement jusqu'à 72 heures, selon le TTL DNS et la mise en cache du fournisseur.

Si tu veux confirmer les enregistrements avant que SES ne les détecte, tu peux les vérifier toi-même avec des outils de recherche DNS ou des utilitaires en ligne de commande comme dig ou nslookup.

Une fois les enregistrements détectés et validés, le statut DKIM affichera “Réussi” dans la console SES.

Contraintes de configuration et cas limites

• Évite de changer fréquemment de méthode DKIM ou de longueur de clé sur de courtes périodes
• Planifie soigneusement les migrations de BYODKIM vers Easy DKIM pour éviter les e-mails non signés temporaires
• Ne supprime pas les anciens enregistrements TXT tant que les nouveaux enregistrements CNAME n'affichent pas “Réussi”
• Vérifie le comportement d'auto-ajout DNS pour éviter les entrées de domaine en double
• Attends-toi à des délais de propagation allant de quelques minutes à plusieurs heures selon le TTL
• Vérifie publiquement les enregistrements avec un outil de recherche DNS si le statut reste “En attente”

Comment configurer BYODKIM dans Amazon SES

BYODKIM (Bring Your Own DKIM) te permet d'utiliser ta propre paire de clés RSA au lieu des clés générées par Amazon SES. Cette approche est souvent utilisée par les organisations qui veulent garder des sélecteurs et des clés DKIM cohérents sur plusieurs plateformes d'e-mail ou fournisseurs de services d'e-mail.

En gérant toi-même les clés, tu peux réutiliser la même configuration DKIM sur différents systèmes d'envoi tout en gardant un contrôle centralisé sur les clés de signature.

Quand utiliser BYODKIM

Utilise BYODKIM si :

  • Tu as besoin de la même clé DKIM sur plusieurs ESP.
  • Ton organisation a des exigences de conformité ou de gestion des clés.
  • Tu veux des sélecteurs cohérents entre les fournisseurs et les régions.
  • Tu gères un contrôle cryptographique centralisé.

Pour la plupart des équipes, Easy DKIM est suffisant. BYODKIM est généralement choisi pour la standardisation de l'infrastructure ou pour des raisons réglementaires. Par exemple, les organisations qui envoient depuis plusieurs ESP (comme SES, SendGrid et Mailgun) utilisent souvent BYODKIM pour que chaque fournisseur signe les e-mails avec le même sélecteur de domaine.

Étape 1 : Générer une paire de clés RSA

Générer des clés DKIM avec OpenSSL

Générez une clé privée RSA de 1024 ou 2048 bits avec OpenSSL :

openssl genrsa -out DKIM_private.key 2048

Extrayez la clé publique :

openssl rsa -in DKIM_private.key -pubout -out DKIM_public.pem

Vous publierez la clé publique dans le DNS. La clé privée reste sécurisée et est fournie à SES.

Étape 2 : Préparez la clé publique pour le DNS

Ouvrez le fichier DKIM_public.pem et :

  • Supprimez les lignes d'en-tête et de pied de page
  • Supprimez tous les sauts de ligne
  • Ne gardez que la chaîne de clé encodée en Base64
Exemple de format DKIM dans le DNS

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...

Toute la p= valeur doit être sur une seule ligne.

Étape 3 : Configurez le BYODKIM dans Amazon SES (API v2)

La configuration du BYODKIM se fait en utilisant l'API SES v2.

Voici ce que vous devez faire :

  • Spécifiez le nom du sélecteur
  • Fournissez la clé privée encodée en Base64
  • Activez la signature pour l'identité du domaine
Exemple de structure CLI

aws sesv2 put-email-identity-dkim-signing-attributes \
--email-identity yourdomain.com \
--signing-attributes-origin EXTERNAL \
--signing-attributes SigningAttributes={DomainSigningPrivateKey="BASE64_PRIVATE_KEY",DomainSigningSelector="selector1"}

Remplacez :

BASE64_PRIVATE_KEY par votre clé privée encodée
sélecteur1 avec le sélecteur que tu as choisi

Étape 4 : Publie l'enregistrement TXT dans le DNS

Crée un enregistrement TXT en utilisant ce format

Hôte :
selector1._domainkey.yourdomain.com

Valeur :
v=DKIM1; k=rsa; p=YOUR_PUBLIC_KEY

Une fois publié, SES validera l'enregistrement DNS.

Étape 5 : Vérifie le statut DKIM

Retourne à la console SES et vérifie le statut DKIM pour l'identité.

Le statut devrait passer de « En attente » à « Réussi » après la propagation DNS.

Dépannage des problèmes BYODKIM

1. Erreurs de formatage Base64

  • Supprime -----BEGIN PUBLIC KEY----- et -----END PUBLIC KEY-----
  • Supprimez tous les sauts de ligne
  • Assure-toi qu'il n'y a pas d'espaces supplémentaires

Un formatage incorrect est la cause la plus fréquente d'échec de validation.

2. Problèmes de saut de ligne dans le DNS

Les enregistrements TXT DNS doivent contenir la clé publique sur une seule ligne logique. Certains fournisseurs DNS divisent automatiquement les longues valeurs. Confirme que l'enregistrement final publié est intact.

3. Validation de la longueur de la clé

SES prend en charge les clés de 1024 et 2048 bits.
2048 bits est recommandé pour les standards d'authentification modernes.

Si SES rejette la clé :

  • Confirme la bonne longueur de clé
  • Confirme le format RSA
  • Assure-toi que les clés privée et publique correspondent

BYODKIM offre un contrôle total sur la signature DKIM, mais nécessite une manipulation minutieuse des clés et une précision DNS.

Ensuite, nous vérifions si SES signe correctement et si les fournisseurs de boîtes mail reconnaissent la signature.

Comment vérifier que votre DKIM Amazon SES fonctionne

Activer le DKIM ne veut pas dire qu'il fonctionne en production. Pour le vérifier, il faut contrôler le statut SES et le comportement réel des emails.

Utilisez la checklist ci-dessous pour vérifier que la signature DKIM fonctionne correctement.

Vérification 1 : Confirmez le statut DKIM dans SES

Dans la console Amazon SES, ouvrez votre domaine sous Identités vérifiées.

Le statut DKIM doit afficher : Réussi

S'il affiche Pending, la validation DNS n'est pas terminée.
S'il affiche Failed, vérifiez le formatage DNS.

Cela confirme qu'Amazon SES reconnaît vos enregistrements DNS. Cependant, cela ne confirme pas que les fournisseurs de boîtes mail reconnaissent la signature DKIM.

Vérification 2 : Inspectez les en-têtes d'email

Envoyez un email de test à Gmail ou à une autre boîte mail et ouvrez les en-têtes complets du message.

Cherchez :

  • DKIM-Signature
  • d=yourdomain.com

Si vous ne voyez que :

  • d=amazonses.com

alors votre signature DKIM personnalisée n'est pas appliquée.

Confirmez aussi :

  • DKIM=pass
  • header.d=yourdomain.com

Si le DKIM échoue ou est manquant, l'alignement d'authentification sera rompu sous DMARC.

Vérification 3 : Validez les enregistrements DNS publiquement

Même si SES affiche “Successful”, confirmez que les enregistrements sont publiquement visibles.

Utilisez le DKIM checker de MailReach pour :

  • Valider le formatage des enregistrements
  • Confirmer la visibilité du sélecteur
  • Détecter les problèmes de coupure
  • Identifier les problèmes de propagation DNS

Vérification 4 : Faire un test de délivrabilité

Quand SES indique « Délivré », cela signifie seulement que le serveur de réception a accepté le message. Ça n'indique pas le placement en boîte de réception.

Le fait que l'authentification passe ne garantit pas le placement en boîte de réception.

Fais un test de délivrabilité d'e-mail pour voir :

  • Placement en boîte de réception vs spam
  • Classification Gmail
  • Placement Outlook et Yahoo
  • Résultats d'authentification
  • Indicateurs de blacklist

C'est là que beaucoup d'équipes découvrent que le DKIM passe, mais que les signaux de réputation poussent les messages dans le spam. Des outils comme le spam test de MailReach aident à faire remonter ces problèmes en montrant comment les fournisseurs de boîtes mail classent tes e-mails et où des corrections sont nécessaires.

La vérification assure :

  1. Que SES reconnaît ta configuration DKIM
  2. Que les fournisseurs de boîtes mail valident ta signature
  3. Que ton domaine est correctement aligné
  4. Que tes e-mails arrivent bien dans la boîte de réception, et pas seulement sur le serveur de réception

Ensuite, on aborde les échecs DKIM les plus courants dans Amazon SES et comment les résoudre.

Dépannage des problèmes DKIM courants d'Amazon SES

Même quand il est configuré correctement, les problèmes DKIM dans Amazon SES suivent généralement quelques schémas prévisibles. Utilise les scénarios ci-dessous pour isoler la cause racine.

Problème 1 : DKIM bloqué en statut « pending »

Si le statut DKIM reste « Pending » dans la console Amazon SES, SES ne peut pas valider tes enregistrements DNS.

Causes courantes :

  • Délai de propagation DNS
  • Nom d'hôte CNAME incorrect
  • Suffixe de domaine en double ajouté par le fournisseur DNS
  • Enregistrement publié en TXT au lieu de CNAME
  • D'anciens enregistrements DKIM conflictuels sont toujours présents

Solution :

  • Vérifiez que les trois enregistrements CNAME correspondent exactement à SES
  • Vérifiez que votre fournisseur DNS n'a pas ajouté automatiquement le nom de domaine
  • Utilisez un outil de recherche DNS public pour confirmer la visibilité
  • Vérifiez les paramètres TTL

Si les enregistrements sont visibles publiquement mais que SES affiche toujours « En attente » après un certain temps, ouvrez un ticket de support auprès d'AWS.

Problème 2 : Les e-mails ne sont pas signés DKIM

DKIM indique « Réussi », mais les e-mails sortants ne contiennent pas la signature de votre domaine.

Causes courantes :

  • DKIM activé sur l'identité du domaine mais envoi depuis un sous-domaine différent
  • L'identité de l'e-mail remplace l'identité du domaine
  • DKIM non activé au bon niveau d'identité
  • Envoi depuis une région AWS différente
  • Application configurée pour utiliser le mauvais endpoint SES

Dans Amazon SES, les identités sont régionales. Si vous envoyez depuis us-east-1 mais que vous n'avez configuré DKIM qu'en eu-west-1, les messages provenant de la région non configurée n'utiliseront pas la signature de votre domaine.

Vérifiez :

  • La région d'envoi
  • Le domaine « From » exact
  • La configuration DKIM au niveau de l'identité

Problème 3 : DKIM passe mais les e-mails vont toujours dans les spams

C'est la confusion la plus courante.

DKIM prouve l'intégrité du message et l'authenticité du domaine. Cela ne garantit pas le placement en boîte de réception.

Les fournisseurs de boîtes mail évaluent des signaux supplémentaires, notamment :

  • Réputation de l'expéditeur
  • Taux d'engagement
  • Les taux de plaintes
  • Âge du domaine
  • Réputation de l'IP
  • Pics de volume
  • Modèles de contenu
  • Alignement SPF
  • Politique DMARC

Un domaine avec un DKIM valide mais une faible réputation peut quand même atterrir en spam.

Si le DKIM passe mais que le placement en boîte de réception est instable, lancez un spam test pour diagnostiquer :

  • Alignement de l'authentification
  • Modèles déclencheurs de spam
  • Placement en boîte de réception sur Gmail, Outlook et Yahoo

Cela permet de distinguer les problèmes d'authentification des problèmes de réputation.

Problème 4 : Configuration DKIM multi-régions

Amazon SES ne partage pas les paramètres DKIM entre les régions.

Si vous vérifiez et configurez le DKIM dans une seule région :

  • Les e-mails de cette région seront signés correctement
  • Les e-mails des autres régions pourraient revenir à la signature par défaut

Cela crée un comportement d'authentification incohérent et peut affaiblir la confiance du domaine avec le temps.

Vérifiez toutes les régions d'envoi actives et confirmez que le DKIM est configuré intentionnellement dans chacune d'elles.

Problème 5 : E-mail de révocation DKIM de SES

Amazon SES vérifie périodiquement les enregistrements DNS.

Si les enregistrements CNAME ou TXT requis sont supprimés ou modifiés :

  • Le statut DKIM change
  • La signature pourrait s'arrêter
  • Vous pourriez recevoir une notification de révocation

Cela peut arriver après :

  • Migrations DNS
  • Changements de prestataire
  • Nettoyage accidentel des enregistrements
  • Transferts de domaine

En cas de révocation :

  1. Republiez les bons enregistrements
  2. Attendez la vérification
  3. Confirmez la signature dans les en-têtes d'e-mail

Revérifiez toujours le DKIM après des changements d'infrastructure DNS.

Ces étapes de dépannage permettent d'isoler les erreurs de configuration des problèmes de boîte de réception liés à la réputation.

Ensuite, on complète la stack d'authentification avec SPF et DMARC.

Compléter la stack : DKIM + SPF + DMARC pour Amazon SES

L'authentification fonctionne comme un système. Chaque protocole a un rôle distinct :

Protocole Qu'est-ce que ça vérifie ? Ce que vous devez faire dans Amazon SES
DKIM Intégrité du message et signature du domaine Activez Easy DKIM ou BYODKIM pour votre domaine d'envoi
SPF Serveurs d'envoi autorisés Ajoutez include:amazonses.com et configurez un domaine Custom MAIL FROM pour l'alignement
DMARC Alignement + politique d'application Publiez un enregistrement DMARC (commencez avec p=none, puis passez à quarantine ou reject)

Passer le DKIM et le SPF individuellement ne suffit pas. DMARC exige un alignement entre le domaine From visible et le domaine authentifié.

Si le SPF utilise un domaine MAIL FROM d'Amazon et que le DKIM n'est pas aligné, DMARC peut échouer même si l'authentification passe techniquement.

Pour un processus d'implémentation complet, étape par étape, couvrant la configuration SPF, la configuration Custom MAIL FROM et la stratégie d'application DMARC, consultez le guide d'implémentation SPF, DKIM et DMARC de MailReach.

Une image montrant les différentes manières d'implémenter les protocoles SPF, DKIM et DMARC.
Implémentation de SPF, DKIM et DMARC

Une fois l'authentification bien configurée, les facteurs restants sont la réputation et le placement en boîte de réception. 

Pourquoi l'authentification seule ne résoudra pas vos problèmes de délivrabilité

L'authentification est fondamentale. Ce n'est pas un facteur de classement pour la boîte de réception.

DKIM, SPF et DMARC confirment que vous êtes autorisé à envoyer. Ils ne disent pas aux fournisseurs de boîtes mail si les utilisateurs veulent vos emails.

Quand vous commencez à envoyer depuis un nouveau domaine sur Amazon SES, ce domaine n'a pas d'historique de réputation. Les fournisseurs de boîtes mail évaluent les signaux comportementaux avant de décider du placement.

Ils évaluent :

  • La cohérence de l'historique d'envoi
  • Les signaux d'engagement comme les réponses
  • Taux de bounce
  • Les taux de plaintes
  • Pics de volume
  • Réputation de l'IP

Un domaine entièrement authentifié avec un faible engagement ou des augmentations de volume agressives peut quand même atterrir en spam.

L'authentification vous permet d'être pris en compte. La réputation détermine le placement.

Avant de faire monter en puissance vos campagnes, établissez un historique d'envoi progressivement, surveillez les métriques d'engagement et suivez le placement en boîte de réception chez les principaux fournisseurs. Sans gestion de la réputation, l'authentification seule ne stabilisera pas la délivrabilité.

Transformer l'authentification SES en stabilité de la boîte de réception

Une fois que DKIM, SPF et DMARC sont correctement configurés, l'étape suivante est la gestion de la réputation.

Pour stabiliser le placement en boîte de réception :

  • Faites un email warmup des nouveaux domaines progressivement
  • Évitez les pics de volume soudains
  • Surveillez régulièrement le placement en boîte de réception
  • Testez avant de lancer des campagnes importantes

Les nouveaux domaines SES commencent sans historique de confiance. Les fournisseurs de boîtes mail évaluent le comportement au fil du temps. Des augmentations de volume progressives et des signaux d'engagement cohérents réduisent le risque de classification en spam.

L'authentification prouve la légitimité. Un comportement d'envoi cohérent construit la crédibilité.

MailReach aide les utilisateurs d'Amazon SES à passer de « authentifié » à « atterrir constamment en boîte de réception » en :

  • Faisant un warmup des domaines SES en toute sécurité
  • Générant des signaux d'engagement positifs
  • Surveillant le placement en boîte de réception chez plus de 35 fournisseurs de boîtes mail
  • Détecter les problèmes de spam tôt avant qu'ils n'affectent vos revenus

Si vous envoyez via Amazon SES, ne vous arrêtez pas à l'authentification. Construisez et surveillez votre réputation avant de scaler avec MailReach.

Ne laissez pas les filtres anti-spam décider du succès de votre campagne.

Reprenez le contrôle de votre stratégie d'email. Trouvez les lacunes, corrigez les problèmes et atterrissez là où ça compte.

Faites votre premier Spam test gratuit maintenant
Faites votre premier Spam test gratuit maintenant

Assurez-vous que vos emails atteignent la boîte de réception.

Une blacklist seule ne va pas toujours ruiner votre deliverability, mais ça vaut la peine de vérifier. Analysez les problèmes, effectuez un spam test et obtenez des prochaines étapes claires.

Testez mon score de Placement en Boîte de Réception maintenant
Testez mon score de Placement en Boîte de Réception maintenant

Table des matières :

Ceci est un texte à l'intérieur d'un bloc div.
Noté 4.9 sur Capterra
Arrêtez de perdre des revenus à cause d'une mauvaise deliverability.

Une mauvaise configuration du domaine ou des problèmes d'email pourraient vous empêcher d'atteindre les boîtes de réception. Testez la santé de vos emails et corrigez-la en quelques minutes.

Effectuez un contrôle gratuit de la santé de vos emails
Effectuez un contrôle gratuit de la santé de vos emails
Noté 4.9 sur Capterra
Le warmup n'est pas facultatif, il est essentiel.

Sans le bon warmup, vos meilleures campagnes ne servent à rien. Vous pouvez commencer par tester votre placement en boîte de réception et commencer à l'améliorer dès aujourd'hui.

Faites un Spam Test gratuit
Faites un Spam Test gratuit
Obtenez un warmup expert qui donne des résultats
Obtenez un warmup expert qui donne des résultats
Commencez à utiliser MailReach dès maintenant et profitez de 20% de réduction sur le premier mois de notre plan Pro.
Uniquement pour l'activité de cold outreach B2B
Noté 4.9 sur Capterra
Atterrir dans le spam coûte plus cher que vous ne le pensez.

Si les filtres anti-spam vous bloquent, vous manquez des leads, des affaires et du chiffre d'affaires. Testez votre placement et prenez le contrôle.

Faites un Spam test gratuit maintenant
Faites un Spam test gratuit maintenant
Noté 4.9 sur Capterra
Les blacklists empêchent-elles vos emails d'arriver dans la boîte de réception ?

Ce n'est pas parce que vous êtes listé que votre deliverability est condamnée. Lancez un spam test pour voir si vos emails arrivent réellement ou s'ils sont bloqués.

Lancez un Spam Test Gratuit
Lancez un Spam Test Gratuit
Noté 4.9 sur Capterra
Vous pensez que votre cold outreach ne fonctionne pas ? Vérifions ça.

De superbes emails ont besoin d'une excellente deliverability. Testez votre placement maintenant et assurez-vous que vos emails arrivent là où ils devraient.

Lancer un Spam Test Gratuit
Lancer un Spam Test Gratuit
Noté 4.9 sur Capterra
De petits problèmes facilement réparables pourraient être la raison pour laquelle vos emails atterrissent dans le spam.

Obtenez un bilan de santé en quelques minutes et commencez à vous améliorer dès aujourd'hui. Avec MailReach !

Lancez un Test de Délivrabilité Gratuit
Lancez un Test de Délivrabilité Gratuit

Articles Récents

Notre blog sur la deliverability
Notre blog sur la deliverability
Meilleures Pratiques Email
Meilleures Pratiques Email
Tous les Blogs
Les 5 meilleurs outils d'inbox placement pour réduire le taux de spam en 2026

Les 5 meilleurs outils d'inbox placement pour réduire le taux de spam en 2026

Meilleures Pratiques Email
Meilleures Pratiques Email
Tous les Blogs
Top 4 des alternatives à Inbox Ally en 2026

Top 4 des alternatives à Inbox Ally en 2026

Meilleures Pratiques Email
Meilleures Pratiques Email
Tous les Blogs
Limites d'envoi d'emails Google Workspace pour 2026 : Un guide pratique pour les équipes de prospection à froid

Limites d'envoi d'emails Google Workspace pour 2026 : Un guide pratique pour les équipes de prospection à froid

Meilleures Pratiques Email
Meilleures Pratiques Email
Tous les Blogs
Checklist de conformité GDPR pour les emails en 2026

Checklist de conformité GDPR pour les emails en 2026

Meilleures Pratiques Email
Aucun élément trouvé.
Formules de politesse : Comment terminer vos emails comme un pro

Formules de politesse : Comment terminer vos emails comme un pro

Meilleures Pratiques Email
Meilleures Pratiques Email
Tous les Blogs
Meilleures pratiques de fréquence d'envoi d'e-mails en 2026 : À quelle fréquence devez-vous envoyer des e-mails ?

Fréquence d'envoi des e-mails en 2026 : Trouver le bon équilibre pour votre audience

Ayez une longueur d'avance sur les filtres anti-spam, même les plus sophistiqués.

Assurez le succès de vos campagnes de prospection B2B avec le spam score checker et l'outil d'email warmup de MailReach.
Obtenir MailReach
Obtenir MailReach
Obtenir MailReach
Obtenir MailReach