Échec DMARC : Guide de correction complet pour le cold email B2B (2025)

Si vous avez déjà rencontré des échecs DMARC, vous en connaissez déjà les symptômes : emails qui atterrissent dans le spam, taux de réponse en baisse et outreach freiné au pire moment possible.

Et vous avez probablement entendu le conseil habituel : 

• Vérifiez le SPF
• Alignez DKIM
• Mettez en place une politique DMARC

Cela fonctionne dans les cas simples. 

Pour les expéditeurs B2C ou les emails transactionnels, cela pourrait même suffire. Mais le cold outreach B2B fonctionne différemment. Vous envoyez souvent depuis plusieurs domaines, en utilisant différents outils et en vous appuyant sur des configurations qui changent à chaque campagne. Dans cet environnement, les correctifs superficiels ne tiendront pas.

Le problème est généralement que la configuration est mal alignée entre les systèmes. L'authentification se brise quelque part le long de la chaîne, et vous ne le remarquez pas avant que votre deliverability ne chute.

Ce guide aborde directement les causes réelles des échecs DMARC dans les configurations de cold outreach, et ce qu'il faut faire lorsque les conseils standards ne suffisent pas.

Commençons par comprendre ce qui cause ces échecs en premier lieu.

Pourquoi DMARC échoue dans le Cold Outreach B2B

Les schémas d'échec les plus courants que nous observons dans les équipes de croissance, les agences et les opérations outbound sont les suivants :

Domaines mal alignés entre les campagnes

De nombreuses équipes B2B utilisent des sous-domaines pour séparer le trafic outbound. Par exemple, votre équipe marketing peut envoyer des newsletters depuis brand.com, tandis que vos SDR utilisent sales.brand.com ou même brandhq.io. Si ceux-ci ne sont pas correctement authentifiés avec des enregistrements SPF, DKIM et DMARC cohérents, l'alignement échoue.

Même de petites différences, comme l'absence d'une balise p= dans un enregistrement DNS, peuvent bloquer la livraison des emails sans avertissement.

Outils de cold email avec une configuration d'authentification incomplète

De nombreuses plateformes de cold outreach promettent une deliverability et une automatisation intégrées. Mais la plupart ne vous guident pas à travers une configuration DNS complète. Elles supposent souvent que SPF et DKIM sont « auto-configurés », alors qu'en réalité, vos enregistrements sont incomplets ou mal alignés. Vous pensez que tout fonctionne, mais vous découvrez que vos emails échouent silencieusement à cause de DMARC.

Cela empire si vous utilisez plusieurs outils à travers des campagnes ou des zones géographiques. Une plateforme mal configurée peut compromettre la réputation de l'ensemble de votre domaine.

Les incohérences dans l'adresse de l'expéditeur entraînent des échecs d'alignement

Même si vos domaines sont alignés, l'incohérence dans les adresses « From », comme le passage de hello@brand.com, outreach@brandhq.io et reply@brand.co, peut déclencher des problèmes d'authentification. DMARC vérifie l'alignement entre ce qui est visible pour le destinataire et ce qui se trouve dans les en-têtes de l'email.

C'est l'une des causes profondes les plus courantes des erreurs d'échec DMARC d'authentification DNS dans les campagnes de cold email réelles.

Modifications DNS ou changements d'outils qui cassent les enregistrements

Changer d'outils d'email, ajouter de nouveaux domaines ou migrer des fournisseurs DNS est risqué. Les modifications peuvent prendre des heures à se propager, et les configurations partielles sont courantes. Un enregistrement TXT ou CNAME oublié peut tout casser, et la plupart des plateformes de cold email ne vous alerteront pas lorsque cela se produit.

C'est souvent pendant ces transitions que les expéditeurs commencent à voir des alertes comme l'échec DMARC de Mailchimp, sans se rendre compte que c'est lié aux récents changements d'infrastructure.

Conflits entre les systèmes de messagerie d'entreprise et les outils d'outreach

Si vous utilisez Google Workspace ou Office 365 pour vos opérations quotidiennes et que vous ajoutez des outils comme Instantly ou Mailshake, les conflits sont fréquents. Les enregistrements SPF au niveau de l'entreprise peuvent ne pas inclure les adresses IP de votre outil d'outreach. DKIM peut ne pas être configuré pour l'envoi externe.

Même LinkedIn, l'une des marques les plus imitées dans les attaques de phishing, a dû renforcer sa configuration DMARC avec une politique stricte p=reject pour empêcher l'usurpation d'identité et l'abus de domaine. Si les plateformes de cette envergure appliquent l'authentification pour protéger la communication, les équipes d'outbound ne peuvent pas se permettre de l'ignorer non plus.

Des outils de diagnostic avancés, tels que le spam test de MailReach, peuvent identifier précisément quel désalignement compromet la deliverability.

À lire aussi : Améliorer la deliverability de vos emails : Les 18 actions (2025)

Comment Diagnostiquer un Échec DMARC

 Pour diagnostiquer un échec DMARC, vérifiez vos rapports DMARC pour les résultats d'authentification, vérifiez l'alignement SPF et DKIM entre votre domaine "From" et le domaine d'envoi, et testez vos en-têtes d'email à l'aide d'outils comme MXToolbox ou DMARC Analyzer pour identifier quel contrôle d'authentification échoue.

Voici comment identifier systématiquement la cause de l'échec :

Étape 1 : Examiner Vos Rapports DMARC

Vérifiez si votre DNS est correctement configuré pour envoyer des rapports agrégés DMARC. Si votre enregistrement DMARC inclut une balise rua= valide, vous recevrez des rapports au format XML indiquant quelles sources envoient des emails en votre nom et si elles ont réussi les contrôles SPF et DKIM.

Recherchez les signaux d'alerte comme :

• Des adresses IP ou des domaines d'envoi que vous ne reconnaissez pas
• Des outils légitimes qui échouent au SPF ou au DKIM
• Des pics de volume inattendus provenant d'une source unique

Étape 2 : Effectuez des vérifications d'authentification de base

Utilisez le SPF checker et le DKIM checker de MailReach pour vérifier vos configurations. Ces outils nécessitent l'envoi d'un email, puis la vérification des réponses de Google et Microsoft à vos enregistrements SPF et DKIM. Cette vérification de bout en bout confirme l'alignement de chaque protocole, ce qui en fait le moyen le plus fiable de tester SPF et DKIM.

Mais voici un piège : même si votre configuration est techniquement “reçue,” si votre domaine “from” ne correspond pas au domaine authentifié, Gmail peut toujours signaler votre email.

Étape 3 : Tracez le parcours de vos cold emails

Les en-têtes révèlent la vérité. Voici comment vérifier :

• Envoyez-vous un email de test à vous-même ou à une boîte de réception Gmail
• Ouvrez les en-têtes complets et inspectez les champs Return-Path, From et Received
• Comparez-les avec vos enregistrements DNS et la documentation de l'outil d'envoi

Si votre outil d'outreach envoie via ses propres serveurs mais que votre DNS ne les a pas autorisés, vous constaterez des incohérences. Cela peut entraîner l'échec de DMARC, même si SPF et DKIM réussissent individuellement. 

Étape 4 : Testez la deliverability en conditions réelles 

Utilise un outil spécifique pour les cold emails, comme le spam test de MailReach, pour :

• Envoie des emails de test à plus de 30 vraies boîtes de réception (Gmail, Outlook, Yahoo, etc.)
• Surveille le placement dans la boîte de réception, le dossier spam et l'onglet promotions.
• Repère les problèmes de réputation de domaine qui varient selon le fournisseur.
• Compare les performances avec le formatage et les en-têtes de tes cold emails.
• Détecte les filtres basés sur le contenu ou la réputation.

Cela va bien au-delà d'une simple vérification statique de réussite/échec. Cela te montre comment les fournisseurs de boîtes aux lettres traitent tes emails en production et explique pourquoi un outil d'email warmup qui indique que tu "passes DMARC" peut quand même te faire atterrir dans le spam.

Étapes pour corriger les échecs DMARC pour les cold emails B2B

Voici ton plan d'action priorisé pour corriger les échecs DMARC et restaurer la deliverability des cold emails. Chaque correctif est classé par ordre d'impact et de difficulté, afin que tu puisses résoudre ce qui compte en premier sans casser tout ton système.

Gains rapides (à corriger dans les 24 à 48 heures)

1. Aligne ton domaine "From" avec le domaine d'envoi

Mets à jour tes enregistrements DNS pour autoriser le domaine exact qui apparaît dans ton adresse "from". Utilise également un vérificateur de propagation DNS global (par exemple, whatsmydns.net) pour t'assurer que tes mises à jour d'enregistrements sont en ligne dans toutes les régions. 

2. Configure correctement DKIM pour ton outil de cold email

‍Certains outils sautent cette étape ou prétendent qu'elle est "auto-configurée". Ne te fie pas aveuglément à ces outils.

Manuellement:

• Ajoute l'enregistrement DKIM TXT fourni par ton outil
• Assure-toi que le sélecteur et le domaine correspondent exactement
• Utilise un DKIM checker pour confirmer qu'il fonctionne

Si DKIM ne vérifie pas, tes emails courent un risque élevé d'être signalés ou rejetés par Gmail et Outlook, même si le SPF passe.

3. Définis ta politique DMARC sur quarantine (pas reject)

Passer directement à p=reject bloque tous les envois non authentifiés, y compris les erreurs inoffensives ou les outils nouvellement ajoutés.

Pendant le dépannage, définis la politique sur p=quarantine afin de pouvoir surveiller les échecs d'authentification sans risquer le placement en boîte de réception. Tu peux également ajouter une balise ruf= pour obtenir des rapports d'échec détaillés. Ceux-ci fournissent plus de contexte sur les raisons pour lesquelles les messages ont échoué.

Exemple d'enregistrement DMARC :
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com

Une fois que toutes les sources d'envoi sont confirmées comme alignées, tu peux passer à p=reject. Correctifs à moyen terme (1–2 semaines)

4. Utilise des sous-domaines pour la cold outreach

Isoler le traffic des cold emails sur un sous-domaine comme outreach.brand.com protège la réputation de ton domaine principal et te donne la flexibilité de tester et d'optimiser la cold outreach sans nuire à la deliverability principale.

Configure l'authentification complète SPF, DKIM et DMARC sur le sous-domaine, et assure-toi que ton outil de cold email envoie uniquement à partir de ce domaine, et non de la racine.

5. Coordonne les différentes plateformes d'envoi

Si tu utilises Lemlist pour l'outreach, MailerSend pour les alertes et Google Workspace pour la communication interne, ta configuration SPF et DKIM peut rapidement devenir confuse.

Attention à :

• Plus de 10 lookups include: dans ton enregistrement SPF (cela le cassera)
• Les sélecteurs DKIM étant réutilisés sur plusieurs outils
• Les anciens enregistrements DNS provenant d'outils désactivés, qu'ils soient toujours actifs et interfèrent

Nettoie ta configuration DNS, retire les plateformes inutilisées et documente quel outil possède quels sélecteurs. Cela empêche les conflits d'authentification cachés qui déclenchent silencieusement des échecs DMARC. 

Correctifs continus

6. Surveillez votre conformité DMARC au fil du temps

Corriger l'authentification une seule fois ne suffit pas. Les outils de cold outreach évoluent, les comportements d'envoi changent, et même de petites modifications DNS peuvent créer de nouveaux problèmes. Une surveillance continue est le seul moyen de garder une longueur d'avance.

Alors, surveillez :

• Les rapports DMARC agrégés (via votre tag rua=)
• Les rapports d'échec légaux (via le tag ruf=)
• Les tendances de placement en boîte de réception sur Gmail, Outlook, Yahoo et d'autres fournisseurs

Avec l'API d'email warmup de MailReach, vous pouvez suivre la réputation du domaine, automatiser les tests de placement en boîte de réception et recevoir des alertes lorsque l'authentification ou le placement commence à faiblir.

Stratégies DMARC Avancées pour le Succès du Cold Email

Une fois que vous avez corrigé les échecs DMARC immédiats, le vrai travail commence : construire un système qui les empêche de se reproduire. Voici comment faire : 

Stratégie 1 : Construire une Infrastructure avec des Domaines Secondaires

Votre domaine principal porte toute la réputation de votre marque. Pour le B2B cold outreach, utilisez des domaines secondaires avec des extensions bien connues comme .com, .co ou .io, et configurez-les spécifiquement pour les campagnes de cold email.

Cela crée une séparation claire entre vos emails marketing, vos messages transactionnels et votre cold outreach. Chaque sous-domaine reçoit sa propre configuration SPF, DKIM et DMARC, éliminant les conflits et simplifiant le dépannage. Si un email warmup se passe mal ou qu'une campagne déclenche des filtres anti-spam, les dommages restent contenus dans ce sous-domaine au lieu d'affecter l'ensemble de votre marque.

Stratégie 2 : Gérer Chaque Boîte de Réception comme un Actif Indépendant

Pour vraiment protéger la deliverability, vous devez traiter chaque boîte de réception comme sa propre unité de performance. Chacune a une réputation d'expéditeur, une empreinte d'activité et un niveau de risque distincts.

Vous ne pouvez pas appliquer la même logique d'email warmup à tous les coups. Une boîte de réception qui envoie trop vite, répond trop peu ou se comporte de manière irrégulière peut nuire à la crédibilité des autres sur le même sous-domaine. Ce qui compte, ce n'est pas seulement le nombre d'emails envoyés, mais la façon dont chaque boîte de réception se comporte et si les fournisseurs de boîtes aux lettres font confiance à ces schémas.

Gérer les boîtes de réception individuellement signifie :

• Définir différents calendriers d'email warmup en fonction du type de boîte de réception, de l'âge et de l'état actuel
• Suivre les taux de réponse, le placement en boîte de réception et l'engagement par boîte de réception
• Savoir quelles boîtes de réception améliorent la réputation et lesquelles la tirent vers le bas

C'est là que la plupart des configurations manuelles échouent. Il est difficile de maintenir ce niveau de contrôle sans le bon système.

L'API d'email warmup de MailReach est conçue pour gérer cela. Elle attribue des calendriers d'email warmup personnalisés à chaque boîte de réception, simule de vraies conversations et construit la réputation de l'expéditeur grâce à des schémas semblables à ceux des humains. Chaque boîte de réception est chauffée indépendamment, ce qui maintient votre domaine en bonne santé même lorsque vous évoluez.

Stratégie 3 : Surveiller Proactivement la Santé du Domaine et les Signaux DMARC

La plupart des équipes ne réalisent que quelque chose est cassé que lorsque les emails commencent à atterrir dans le spam ou cessent d'être livrés. À ce moment-là, vous avez déjà perdu des opportunités et endommagé la réputation de votre expéditeur.

La meilleure approche consiste à surveiller les indicateurs clés avant que les problèmes ne s'aggravent. Voici ce qu'il faut suivre :

• Analyse hebdomadaire des rapports DMARC à l'aide des tags rua= et ruf=
• Tests réguliers de placement en boîte de réception sur Gmail, Outlook et Yahoo
• Alertes automatisées pour les changements de DNS, les problèmes de warmup ou les baisses de deliverability

Si le suivi manuel est compliqué, utilisez des outils de warmup comme MailReach. Son tableau de bord de monitoring offre une visibilité en temps réel sur toutes vos boîtes de réception et domaines, en envoyant des alertes dès qu'un élément change et pourrait déclencher des erreurs DMARC. 

Stratégie 4 : Choisir des outils qui évoluent avec votre activité

Les outils fournissent une infrastructure conçue pour l'évolutivité et la complexité.

Par exemple, MailReach répond spécifiquement à ces défis pour les équipes B2B :

• Regroupement au niveau de la boîte de réception : Taguez et organisez les boîtes de réception par campagne, domaine ou client pour maintenir une séparation claire
• Planification automatisée du warmup : Chaque boîte de réception suit son propre modèle de warmup optimisé sans supervision manuelle
• Tests continus de deliverability : Monitoring en temps réel du placement en boîte de réception chez tous les principaux fournisseurs
• Alertes intégrées : Notifications Slack et webhook lorsque des problèmes surviennent, avant qu'ils n'affectent les campagnes

Cette approche transforme la deliverability des emails, d'un exercice d'urgence constant à un système géré et prévisible. 

Essayez MailReach
‍

‍FAQ

1. Pourquoi mon DMARC est-il validé, mais les emails vont quand même dans le spam ?

Parce que la validation DMARC confirme seulement que votre configuration technique est correcte, pas que les fournisseurs de boîtes de réception font confiance à votre domaine. Gmail et Outlook utilisent de nombreux autres signaux, comme la réputation du domaine, l'engagement des utilisateurs, le volume d'envoi et les modèles de contenu, pour vérifier si les emails sont fiables. Même un email bien authentifié peut atterrir dans le spam si le domaine manque de confiance ou d'historique.

2. Quelle est la différence entre SPF, DKIM et DMARC ?

‍SPF indique aux fournisseurs de boîtes de réception quelles adresses IP sont autorisées à envoyer en votre nom. DKIM ajoute une signature cryptographique pour confirmer que le message n'a pas été modifié. DMARC s'appuie sur ces éléments en vérifiant si le domaine de l'expéditeur correspond aux domaines validés par SPF ou DKIM. Il impose l'alignement et aide à prévenir l'usurpation d'identité.

3. Puis-je utiliser le même enregistrement DKIM pour plusieurs outils ?

Vous avez besoin d'un enregistrement DKIM pour chaque Email Service Provider (ESP). Chaque ESP doit générer son propre sélecteur et clé DKIM. Réutiliser les sélecteurs sur plusieurs plateformes peut entraîner des échecs de vérification ou des conflits DNS. Créer des enregistrements séparés pour chaque ESP maintient votre authentification stable et facilite le dépannage.

4. Pourquoi DMARC échoue-t-il même lorsque SPF et DKIM sont validés ?

‍Parce que DMARC vérifie également si le domaine dans l'adresse "From" visible correspond aux domaines validés par SPF ou DKIM. Si votre outil envoie à partir d'un domaine différent de celui qui est authentifié, DMARC échouera malgré les validations individuelles. C'est ce qu'on appelle un problème d'alignement de domaine.

5. Est-il sûr d'utiliser p=reject dès le début ?

‍‍Pas si vous n'êtes pas certain que chaque source d'envoi est correctement authentifiée. Passer à p=reject trop tôt peut bloquer les emails légitimes, surtout si vous utilisez de nouveaux outils ou si vous n'avez pas terminé la configuration. Commencez par p=none ou p=quarantine pour surveiller et détecter les problèmes en premier.

6. À quelle fréquence dois-je vérifier ma configuration d'authentification ?

‍Au minimum tous les trimestres, mais vérifiez-la chaque fois que vous changez d'outils, ajoutez de nouvelles boîtes de réception ou mettez à jour les enregistrements DNS. Même un seul enregistrement obsolète ou conflictuel peut provoquer des échecs silencieux. Des vérifications régulières aident à détecter les problèmes tôt et à éviter d'endommager la réputation de votre expéditeur.