← Retour au blog
🏗️ Architecture / DSI anti-spamBIMIcybersécurité PMEdélivrabilité emailDKIMDMARCfiltrage URLproxy entrepriseréputation domaineSPF

Emails en spam, site bloqué en entreprise : deux problèmes que toute PME peut éviter

📅 22 April 2026 · ⏱ 12 min de lecture · ✍️ Vincent Piquet

Emails en spam, site bloqué par les proxys d’entreprise : deux problèmes DNS que toute PME peut résoudre avec SPF, DKIM, DMARC et la catégorisation.

📋 Sommaire

  1. Pourquoi vos emails finissent en spam
  2. SPF : déclarer qui peut envoyer en votre nom
  3. DKIM : la signature cryptographique de vos emails
  4. DMARC : la politique qui orchestre SPF et DKIM
  5. BIMI : votre logo dans la boîte de réception
  6. Pourquoi votre site est bloqué chez les grands comptes
  7. Les fournisseurs qui posent problème
  8. Maintenance et audit régulier
  9. Sources et outils
  10. Conclusion

Vos emails en spam chez certains clients, Votre site web est inaccessible depuis les ordinateurs d’un grand compte. Ces deux problèmes semblent distincts — ils ont pourtant la même origine : votre domaine n’a pas établi sa réputation auprès des systèmes de filtrage qui protègent les infrastructures informatiques de vos destinataires.

La bonne nouvelle : les deux se règlent avec une poignée d’enregistrements DNS et quelques démarches de déclaration. Configuration initiale en moins d’une journée, maintenance trimestrielle.

Pourquoi vos emails finissent en spam

Le protocole SMTP — celui qui fait circuler les emails depuis les années 1980 — n’a pas été conçu avec l’authentification en tête. Dans sa conception originale, n’importe quel serveur peut envoyer un email en prétendant être n’importe qui.

Résultat : sans configuration DNS appropriée, les serveurs de messagerie de vos destinataires ne peuvent pas vérifier que votre email vient bien de vous. Ils appliquent alors un principe de précaution : spam, quarantaine, ou rejet.

Ce n’est pas une question de contenu. Un email parfaitement rédigé, sans lien suspect, peut finir en spam uniquement parce que le domaine expéditeur n’a pas configuré SPF, DKIM et DMARC.

La même absence de configuration expose également votre domaine au spoofing : n’importe qui peut envoyer un email qui semble provenir de contact@votreentreprise.fr à vos clients, sans jamais avoir accès à votre messagerie.

⚠️ En février 2024, Google et Yahoo ont rendu obligatoires SPF, DKIM et DMARC pour tout expéditeur de plus de 5 000 emails/jour. Ces standards ne sont plus optionnels — ils sont devenus la norme de base attendue par les grands fournisseurs de messagerie.
🔑
Les deux problèmes
Emails en spam chez vos destinataires
Site bloqué par les proxys des grands comptes
La cause commune
Réputation DNS non établie
Domaine neutre ou non catégorisé
Les solutions
SPF + DKIM + DMARC pour l’email
Catégorisation FortiGuard & Cisco Talos
Délivrabilité email & accessibilité webDeux problèmes DNS — deux solutions complémentaires
❌ Sans configuration
⚙️ Les actions DNS
✅ Avec configuration
📧 Problème 1 — Délivrabilité email
📧
Email envoyé — sans protection DNS
✗ SPF absent ou incomplet
✗ DKIM non configuré
✗ DMARC manquant
→ Spam / Quarantaine / Rejeté
⚙️
SPF + DKIM + DMARC
→ Déclarer les serveurs autorisés
→ Signer chaque email (clé privée)
→ Politique p=reject + rapports
Enregistrements TXT dans le DNS
Boîte de réception
✓ SPF vérifié — serveur autorisé
✓ DKIM valide — email non altéré
✓ DMARC pass — politique respectée
→ Email délivré normalement
🌐 Problème 2 — Accessibilité web en entreprise
🌐
Accès site web — domaine inconnu
✗ Réputation “Neutral” ou “Unrated”
✗ Non référencé Fortinet / Cisco Talos
✗ Politique proxy : blocage par défaut
→ Accès bloqué par le proxy
🔍
Catégorisation domaine
→ FortiGuard : soumettre la catégorie
→ Cisco Talos : demander “Favorable”
→ Catégorie : Computers & Internet
Portails éditeurs (démarche gratuite)
Site accessible depuis l’entreprise
✓ Catégorie : Computers & Internet
✓ Réputation : Favorable
✓ Proxy autorise l’accès
→ Grand compte débloqué
🏷️ Étape suivante — BIMI
Une fois DMARC en p=reject : enregistrement BIMI pour afficher votre logo dans la boîte de réception. VMC requis pour Gmail (~1 500 €/an). Apple Mail et Fastmail sans VMC.
🔧 Outils de vérification
Email : MXToolbox · Mail Tester · DMARC Analyzer · Google Postmaster Tools
Web : fortiguard.com/webfilter · talosintelligence.com · urlfiltering.paloaltonetworks.com

SPF : déclarer qui peut envoyer en votre nom

SPF (Sender Policy Framework) est un enregistrement TXT dans votre zone DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine.

Comment ça fonctionne

Quand un serveur de messagerie reçoit un email de contact@votreentreprise.fr, il interroge le DNS de votreentreprise.fr pour vérifier si le serveur expéditeur figure dans l’enregistrement SPF. Si ce n’est pas le cas, l’email est considéré suspect.

Syntaxe de base

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all
Élément Signification
v=spf1 Version du protocole
include:domaine Autorise les serveurs de ce domaine
ip4:x.x.x.x Autorise une IP spécifique
~all Soft fail — les autres serveurs sont suspects
-all Hard fail — les autres serveurs sont rejetés

Exemples selon votre fournisseur

Fournisseur email Inclusion SPF
Google Workspace include:_spf.google.com
Microsoft 365 include:spf.protection.outlook.com
OVH include:mx.ovh.com
Hostinger include:_spf.hostinger.com
Brevo (ex-Sendinblue) include:spf.sendinblue.com
Mailchimp include:servers.mcsv.net
💡 Si vous utilisez plusieurs services d’envoi (votre serveur principal + un outil de newsletter + un CRM), tous doivent figurer dans votre SPF. Un SPF incomplet = les emails de l’outil manquant arrivent en spam.
⚠️ Attention à la limite des 10 lookups DNS dans un enregistrement SPF. Au-delà, l’enregistrement devient invalide et vos emails peuvent être rejetés. Si vous utilisez beaucoup de services SaaS, utilisez un outil de “flattening” SPF comme dmarcly.com ou easydmarc.com.

DKIM : la signature cryptographique de vos emails

DKIM (DomainKeys Identified Mail) ajoute une signature numérique à chaque email sortant. Cette signature est vérifiée par le serveur destinataire grâce à une clé publique publiée dans votre DNS.

Comment ça fonctionne

Votre serveur de messagerie génère une paire de clés cryptographiques :

  • La clé privée reste sur votre serveur et signe chaque email à l’envoi
  • La clé publique est publiée dans un enregistrement TXT de votre DNS

À la réception, le serveur destinataire interroge votre DNS, récupère la clé publique et vérifie que la signature correspond. Si quelqu’un a modifié l’email en transit, la signature ne correspond plus.

Format de l’enregistrement

sélecteur._domainkey.votreentreprise.fr  TXT  "v=DKIM1; k=rsa; p=MIGf..."

Le sélecteur est choisi par votre fournisseur email — il peut être google, mail, s1, etc. La clé publique (p=) est une longue chaîne en base64 générée automatiquement.

💡 La rotation des clés DKIM est une bonne pratique de sécurité : changer la clé privée tous les 6 à 12 mois limite le risque en cas de compromission. La plupart des fournisseurs (Google Workspace, Microsoft 365, Hostinger) proposent une rotation automatique ou guidée.

DMARC : la politique qui orchestre SPF et DKIM

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le chef d’orchestre. Il dit aux serveurs destinataires quoi faire quand un email échoue les vérifications SPF et DKIM — et il envoie des rapports pour que vous sachiez ce qui se passe.

Les trois politiques DMARC

_dmarc.votreentreprise.fr  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@votreentreprise.fr"
Politique Comportement Quand l’utiliser
p=none Aucune action — monitoring uniquement Démarrage, phase d’observation
p=quarantine L’email va en spam Transition, une fois SPF et DKIM validés
p=reject L’email est rejeté Cible finale, protection maximale

La progression recommandée

Ne passez pas directement à p=reject — vous risquez de bloquer des emails légitimes si votre SPF ou DKIM est incomplet.

Étape 1 — Déployer SPF + DKIM, puis commencer avec p=none pendant 2 à 4 semaines en analysant les rapports.

Étape 2 — Passer à p=quarantine une fois que vous avez identifié tous vos expéditeurs légitimes.

Étape 3 — Passer à p=reject une fois que vous êtes certain que seuls vos serveurs autorisés envoient en votre nom.

💡 Créez une adresse email dédiée pour recevoir les rapports DMARC (ex: dmarc@votreentreprise.fr), et utilisez un outil d’analyse comme DMARC Analyzer ou EasyDMARC. Les rapports bruts sont des fichiers XML illisibles sans outil dédié.

BIMI : votre logo dans la boîte de réception

BIMI (Brand Indicators for Message Identification) est le standard le plus récent. Il permet d’afficher votre logo directement dans la liste des emails — à côté du nom de l’expéditeur — dans les clients mail compatibles.

Prérequis

BIMI ne fonctionne que si DMARC est en mode p=quarantine ou p=reject. C’est intentionnel : BIMI récompense les domaines qui ont fait le travail de sécurisation.

default._bimi.votreentreprise.fr  TXT  "v=BIMI1; l=https://votreentreprise.fr/logo.svg;"

Le VMC — le frein principal

Le VMC est un certificat payant (~1 000 à 1 500 €/an) émis par DigiCert ou Entrust, qui atteste que vous êtes bien propriétaire de la marque. Sans VMC :

Client mail Affiche le logo sans VMC ?
Gmail ❌ Non
Yahoo Mail ❌ Non
Apple Mail ✅ Oui
Fastmail ✅ Oui
Outlook.com 🔄 En cours de déploiement

Verdict BIMI pour une PME

Sans VMC, l’impact est limité. Le prérequis DMARC p=reject est en revanche une bonne pratique indépendante de BIMI qui vaut la peine d’être mise en place pour toutes les raisons évoquées ci-dessus.

Pourquoi votre site est bloqué chez les grands comptes

Le deuxième problème est moins connu mais tout aussi concret : votre site web est inaccessible depuis les postes des employés d’une grande entreprise ou d’une administration. Ce n’est pas un bug — c’est un proxy de filtrage qui fait son travail.

Comment fonctionnent les proxys d’entreprise

Les grandes organisations déploient des solutions de filtrage web (Fortinet FortiGuard, Cisco Umbrella, Palo Alto, Symantec…) qui contrôlent l’accès à Internet depuis les postes de travail. Ces solutions s’appuient sur des bases de données de catégorisation d’URLs, mises à jour en temps réel.

Chaque domaine est classé dans une catégorie (Actualités, Technologie, Finance, Réseaux sociaux…) et reçoit un score de réputation. Les politiques de filtrage des entreprises autorisent ou bloquent des catégories entières.

Un domaine non catégorisé ou avec une réputation “neutre” est souvent bloqué par défaut. Les politiques de sécurité les plus strictes n’autorisent que les domaines avec une réputation explicitement “favorable”.

Vérifier la catégorie de votre domaine

Éditeur Outil de vérification
Fortinet FortiGuard fortiguard.com/webfilter
Cisco Talos talosintelligence.com/reputation_center
Palo Alto urlfiltering.paloaltonetworks.com
Symantec (Broadcom) sitereview.symantec.com
Trend Micro global.sitesafety.trendmicro.com
Zscaler zulu.zscaler.com

Saisissez votre domaine dans chacun de ces outils. Vous verrez la catégorie attribuée et le score de réputation.

Les statuts à connaître

Statut Signification Risque de blocage
Favorable / Trusted Domaine reconnu et fiable Faible
Neutral Domaine connu mais sans réputation établie Moyen — bloqué par les politiques strictes
Unrated / Uncategorized Domaine inconnu des bases Élevé — bloqué par défaut dans la plupart des entreprises
Suspicious / Malicious Domaine signalé comme dangereux Systématiquement bloqué

Soumettre une demande de recatégorisation

Sur chaque portail, un bouton “Submit for review” ou “Suggest a category” permet de demander une correction. La bonne catégorie à revendiquer pour un site IT professionnel : Computers and Internet ou Technology / News and Media.

Lors de la soumission, précisez en anglais la nature du site :

> *”Professional IT media website targeting SMBs. Publishes weekly articles on cybersecurity, AI, IT architecture and digital transformation. No commercial or malicious intent.”*

Priorité en France : Fortinet et Cisco — ce sont les deux solutions les plus répandues dans les entreprises françaises.

Ce qui fait monter la réputation naturellement

  • Ancienneté du domaine
  • Volume de trafic entrant régulier
  • HTTPS avec certificat valide
  • Pages légales (CGU, politique de confidentialité) visibles
  • SPF, DKIM, DMARC correctement configurés — les bases de réputation des proxys croisent souvent les données email et web
  • Indexation Google et présence dans les annuaires professionnels
💡 La réputation d’un domaine n’est pas instantanée. Comptez 2 à 6 mois pour qu’un nouveau domaine actif passe de “Neutral” à “Favorable” dans les principales bases, même sans démarche active. Les demandes de recatégorisation accélèrent ce processus.
⚠️ Si votre site est hébergé sur une IP partagée avec d’autres sites (hébergement mutualisé), la réputation de l’IP peut impacter la vôtre. Si vous ciblez des grands comptes, un hébergement avec IP dédiée est préférable.

Les fournisseurs qui posent problème

Tous les hébergeurs ne permettent pas de configurer ces enregistrements librement.

Fournisseur Limitation
Hébergements mutualisés ancienne génération DNS géré par l’hébergeur, accès aux enregistrements TXT limité — DKIM impossible à personnaliser
FAI pro (Orange Pro, SFR Business basiques) Messagerie @orange.fr ou @sfr.fr — impossible de configurer SPF/DKIM sur un domaine tiers
Wix / Squarespace (plans de base) Accès DNS limité, DKIM parfois géré par la plateforme uniquement
IONOS / 1&1 (plans Email Basic) DKIM non disponible ou limité aux clés gérées par IONOS
⚠️ Signe d’alerte lors du choix d’un hébergeur email : s’il ne mentionne pas SPF, DKIM et DMARC dans sa documentation, ou s’il ne vous donne pas accès à votre zone DNS complète, c’est un critère éliminatoire pour une messagerie professionnelle en 2026.

Les fournisseurs qui respectent ces critères sans difficulté : Google Workspace, Microsoft 365, OVH Pro, Hostinger Business, Infomaniak, Proton Mail for Business, Brevo.

Maintenance et audit régulier

Configurer SPF, DKIM et DMARC une fois ne suffit pas. Ces enregistrements doivent être maintenus activement.

Les événements qui nécessitent une mise à jour

Quand vous ajoutez un nouveau service d’envoi (CRM, newsletter, support) → ajouter le domaine SPF correspondant.

Quand vous changez d’hébergeur email → mettre à jour SPF, régénérer les clés DKIM, vérifier DMARC.

Rotation des clés DKIM → tous les 6 à 12 mois, générer une nouvelle paire de clés et vérifier avant de retirer l’ancienne.

Quand un prestataire quitte l’entreprise → vérifier que ses serveurs ne figurent plus dans votre SPF.

Audit trimestriel recommandé

  1. Tester SPF et DKIM avec MXToolbox (mxtoolbox.com)
  2. Analyser les rapports DMARC (DMARC Analyzer ou EasyDMARC)
  3. Vérifier la catégorie de votre domaine sur FortiGuard et Cisco Talos
  4. Tester la délivrabilité d’un email réel avec Mail Tester (mail-tester.com)

Sources et outils

Outils de test email

Outil Usage
MXToolbox Test SPF, DKIM, DMARC, blacklist
Google Postmaster Tools Réputation de votre domaine auprès de Gmail
DMARC Analyzer Analyse des rapports DMARC
EasyDMARC Gestion DMARC, SPF flattening, BIMI
Mail Tester Score de délivrabilité d’un email réel
Learn DMARC Outil pédagogique interactif

Outils de catégorisation web

Outil Usage
FortiGuard Web Filter Vérifier et soumettre la catégorie Fortinet
Cisco Talos Réputation et catégorie Cisco
Palo Alto URL Filtering Catégorie Palo Alto Networks
Symantec Site Review Catégorie Broadcom/Symantec
Zscaler Zulu Score de risque Zscaler

Conclusion

SPF, DKIM, DMARC et BIMI règlent le problème de la réputation email. La catégorisation de votre domaine règle le problème de l’accessibilité web en entreprise. Les deux démarches sont complémentaires et s’adressent au même enjeu : établir la crédibilité numérique de votre domaine auprès des systèmes de filtrage automatiques.

Configuration email : moins d’une journée. Demandes de recatégorisation : 30 minutes. Maintenance : trimestrielle.

Le rapport effort/protection est l’un des meilleurs qui existe en IT pour une PME.

Cet article vous a été utile ?

Restez informé sur les enjeux numériques qui comptent

Newsletter, chatbot, nouvelles publications… Choisissez comment rester dans la boucle.

Articles similaires

🏗️
Architecture / DSI ⏱ 15 min

API, MCP et opendata : comment les PME accèdent aux données externes

Lire →
🏗️
Architecture / DSI ⏱ 10 min

Souveraineté digitale : faut-il encore dépendre des géants américains et chinois ?

Lire →