Score de délivrabilité email : ce qui le compose et comment l'améliorer

⚡TL;DR

• Cinq piliers composent le score de délivrabilité email : authentification (SPF, DKIM, DMARC et alignement), réputation IP et domaine, sécurité du transport (MTA-STS, DANE, TLS-RPT), BIMI et engagement
• Seuils à viser : taux de délivrabilité entre 95 et 99 %, plaintes spam sous 0,1 %, bounces sous 2 %, Sender Score supérieur à 80
• Score n'est pas taux : le taux mesure le pourcentage d'emails arrivés, le score est une note prédictive composite qui anticipe vos chances d'atteindre la boîte de réception
• Mesurer puis surveiller : un audit ponctuel photographie l'état actuel, une surveillance continue détecte les régressions avant qu'elles ne coûtent une campagne

Vous envoyez des emails légitimes, votre contenu est soigné, votre liste est propre. Pourtant une partie de vos messages termine en spam ou n'arrive jamais. La cause se cache rarement dans le contenu : elle se trouve dans votre score de délivrabilité email (en anglais, email deliverability score), une note composite que les fournisseurs de messagerie calculent en permanence à partir de votre configuration technique et de votre comportement d'expéditeur.

Ce score n'est pas une boîte noire. C'est une note prédictive qui agrège des signaux mesurables : votre authentification est-elle en place et alignée ? Votre IP et votre domaine ont-ils une bonne réputation ? Vos échanges sont-ils chiffrés de bout en bout ? Vos destinataires ouvrent-ils vos emails ou les marquent-ils comme indésirables ? Comprendre ces signaux, c'est pouvoir améliorer la délivrabilité de façon durable plutôt qu'au coup par coup.

Ce guide décompose le score en cinq piliers : authentification, réputation, sécurité du transport, BIMI et engagement. Pour chacun, vous trouverez ce qui est mesuré, pourquoi ça compte et comment l'améliorer. Vous repartirez avec des seuils chiffrés (taux de délivrabilité entre 95 et 99 %, plaintes sous 0,1 %, bounces sous 2 %, Sender Score supérieur à 80) et un plan d'action concret.

Cet article s'adresse aux responsables marketing et CRM qui veulent comprendre ce qui pilote leur délivrabilité, aux administrateurs système et DevOps chargés d'implémenter les piliers techniques, et aux dirigeants de PME soucieux du retour sur investissement de leur messagerie. Chaque section reste actionnable, quel que soit votre niveau technique.

Qu'est-ce qu'un score de délivrabilité email ?

Un score de délivrabilité email est une note prédictive composite qui estime la probabilité que vos messages atteignent la boîte de réception principale de vos destinataires, plutôt que le dossier spam ou un rejet pur et simple. Contrairement à une métrique unique, ce score agrège plusieurs catégories de signaux, chacune pondérée selon son poids réel dans la décision des fournisseurs de messagerie.

L'important à retenir : ce score est calculé à partir de critères objectifs et vérifiables. Une configuration d'authentification valide, une IP propre, un transport chiffré et un faible taux de plaintes font monter le score. À l'inverse, un DMARC absent, une IP blacklistée ou un pic de plaintes le font chuter. Les outils d'audit confient ce calcul à un moteur côté serveur qui applique les mêmes barèmes que ceux observés chez Gmail, Microsoft et Yahoo.

Score de délivrabilité ou taux de délivrabilité ?

La confusion entre les deux notions est fréquente, mais ils mesurent des choses différentes. Le taux de délivrabilité est une mesure rétrospective : c'est le pourcentage d'emails effectivement remis (en boîte de réception ou en spam) sur le total envoyé, mesuré après l'envoi. Un taux de 97 % signifie que 97 % de vos messages ont été acceptés par les serveurs destinataires.

Le score de délivrabilité est une note prédictive : il anticipe vos chances de succès avant l'envoi, en évaluant l'état de votre configuration et de votre réputation. Vous pouvez avoir un bon taux historique tout en ayant un score qui se dégrade (par exemple après une rotation de clé DKIM oubliée), signe que le prochain envoi risque de poser problème. Le score est donc un indicateur d'alerte précoce ; le taux, une confirmation a posteriori.

Une note composite, pas une boîte noire

Le score ne tombe pas du ciel. Il se décompose en cinq piliers que ce guide va détailler un par un :

1. Authentification : SPF, DKIM, DMARC et surtout leur alignement.
2. Réputation : la confiance accordée à votre IP et à votre domaine.
3. Sécurité du transport : le chiffrement des échanges entre serveurs (MTA-STS, DANE, TLS-RPT).
4. BIMI : la confiance visuelle, conditionnée à un DMARC en application.
5. Engagement et contenu : la façon dont vos destinataires interagissent avec vos emails.

Chaque pilier contribue au total, et un seul maillon faible suffit à plafonner l'ensemble. Un domaine parfaitement authentifié mais hébergé sur une IP blacklistée n'atteindra jamais un bon score. C'est tout l'intérêt de la décomposition : elle indique précisément où agir.

Pilier 1 : Authentification (SPF, DKIM, DMARC et l'alignement)

L'authentification est le socle. Sans elle, les fournisseurs ne peuvent pas vérifier que vous êtes bien l'expéditeur que vous prétendez être, et ils traitent vos emails avec méfiance. Depuis 2024, Gmail et Yahoo ont rendu SPF et DKIM obligatoires pour tous les expéditeurs, et DMARC obligatoire pour les expéditeurs de masse (plus de 5 000 emails par jour). L'authentification n'est donc plus optionnelle, c'est un prérequis.

Le point que la plupart des guides ratent : ce n'est pas la simple présence de SPF, DKIM et DMARC qui compte, mais leur alignement. Un email peut passer SPF et DKIM tout en échouant à DMARC, parce que le domaine vérifié ne correspond pas au domaine affiché dans le champ From. C'est l'alignement qui transforme trois protocoles isolés en une chaîne d'authentification cohérente.

Concrètement, les trois protocoles répondent à trois questions distinctes. SPF vérifie quel serveur a le droit d'émettre pour le domaine. DKIM vérifie que le message n'a pas été modifié et qu'il provient d'un détenteur de la clé. DMARC vérifie que l'identité affichée correspond à l'identité authentifiée, puis dicte la conduite à tenir en cas d'échec. Un moteur de scoring strict valorise donc la cohérence de l'ensemble : un SPF parfait mais un DKIM absent, ou un DMARC en simple observation, laissent une faille exploitable et plafonnent le pilier. C'est pourquoi un audit sérieux ne se contente pas de cocher « présent / absent » : il vérifie que chaque maillon est valide et aligné.

SPF : autoriser les bons serveurs

SPF (Sender Policy Framework, RFC 7208) publie dans le DNS la liste des serveurs autorisés à envoyer pour votre domaine, via un enregistrement TXT :

v=spf1 include:_spf.captaindns.com -all

Le mécanisme final est décisif pour le score. Un -all (hardfail) indique fermement que tout serveur non listé doit être rejeté. Un ~all (softfail) reste toléré pour une phase de transition, mais signale une politique incomplète : les fournisseurs le considèrent comme un signal faible. Quant à ?all (neutral), il n'apporte aucune protection et n'a aucune valeur défensive : un moteur de scoring strict le traite comme une absence de politique. Visez -all dès que votre inventaire d'expéditeurs est complet.

Attention à la limite de la RFC 7208 : un enregistrement SPF ne peut déclencher que 10 requêtes DNS lors de son évaluation. Les mécanismes include, a, mx, redirect et exists comptent chacun. Au-delà de 10, le serveur retourne un PermError et votre SPF devient invalide, ce qui fait s'effondrer le pilier authentification. Si vous accumulez les prestataires, consultez notre guide sur le problème des trop nombreux lookups DNS dans SPF pour aplatir votre enregistrement.

DKIM : signer cryptographiquement

DKIM (DomainKeys Identified Mail, RFC 6376) ajoute une signature cryptographique à chaque email, vérifiable via une clé publique publiée dans le DNS sur selecteur._domainkey.captaindns.com. La signature garantit que le message n'a pas été altéré en transit et qu'il provient bien d'un serveur détenant la clé privée.

Pour le score, deux paramètres comptent. La robustesse de la clé d'abord : une clé RSA de 2048 bits est aujourd'hui le minimum recommandé, une clé de 1024 bits est jugée faible. L'Ed25519 est également supporté par les fournisseurs modernes et offre des signatures plus compactes. La rotation ensuite : une clé DKIM ne doit pas rester en place indéfiniment. Une rotation régulière limite l'impact d'une compromission. Pour cadrer cette pratique, voir le guide de rotation des clés DKIM. Si vous découvrez la signature DKIM, commencez par comprendre ce qu'est un enregistrement DKIM.

DMARC et l'alignement : le maillon décisif

DMARC (RFC 7489, en cours de révision avec DMARCbis) s'appuie sur SPF et DKIM mais ajoute la pièce manquante : la vérification de l'alignement entre le domaine authentifié et le domaine du champ From visible par le destinataire. C'est l'alignement qui empêche un tiers de passer SPF avec son propre domaine tout en usurpant le vôtre dans l'affichage.

L'alignement peut être relaxed (même domaine organisationnel, par exemple une signature d=mail.captaindns.com alignée avec un From @captaindns.com) ou strict (correspondance exacte). Le mode relaxed convient à la plupart des déploiements.

La politique DMARC détermine le poids de ce pilier. Une politique p=none ne fait qu'observer : elle collecte des rapports mais ne protège pas, et un moteur de scoring strict la plafonne car elle n'offre aucune défense effective contre l'usurpation. C'est une étape de transition, pas une destination. Pour faire monter le score, passez en p=quarantine puis p=reject une fois vos rapports propres :

v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Pour la mise en place complète et la migration vers la nouvelle révision du standard, consultez le guide DMARCbis. Notez aussi que les relais intermédiaires (listes de diffusion, transferts) peuvent casser SPF et DKIM ; le protocole ARC (Authenticated Received Chain) préserve les résultats d'authentification à travers ces relais et limite les faux échecs DMARC.

Pilier 2 : Réputation IP et réputation de domaine

L'authentification prouve qui vous êtes. La réputation détermine si on vous fait confiance. Deux expéditeurs parfaitement authentifiés peuvent obtenir des scores radicalement différents selon l'historique de leur IP et de leur domaine. La réputation est un capital qui se construit lentement et se détruit vite.

Réputation IP ou réputation de domaine ?

La réputation IP est attachée à l'adresse du serveur qui émet vos emails. Sur une IP partagée (cas fréquent chez les fournisseurs d'envoi), votre réputation dépend aussi du comportement des autres expéditeurs qui l'utilisent. Sur une IP dédiée, vous maîtrisez votre réputation mais devez la chauffer progressivement : démarrer un gros volume sur une IP neuve déclenche immédiatement la méfiance.

La réputation de domaine suit votre nom de domaine, indépendamment de l'IP. C'est la composante la plus durable : changer d'IP ne réinitialise pas une mauvaise réputation de domaine. Les fournisseurs privilégient de plus en plus le domaine, car il est plus difficile à manipuler qu'une IP. Soigner la réputation de domaine est donc un investissement de long terme.

La phase de chauffe (warmup) mérite une attention particulière, car c'est là que se jouent les premiers points. Lancer 50 000 emails depuis une IP ou un domaine sans historique déclenche immédiatement les filtres anti-spam : un expéditeur de confiance ne surgit pas de nulle part avec un gros volume. La bonne pratique consiste à augmenter les volumes progressivement sur plusieurs semaines. Commencez par les destinataires les plus engagés, ceux qui ouvrent et cliquent, pour construire un signal positif avant d'élargir. Un sous-domaine dédié au marketing, distinct du domaine transactionnel, isole aussi les réputations : une campagne qui dérape n'entache alors pas vos emails critiques (factures, confirmations, réinitialisations de mot de passe).

Lire son score de réputation d'expéditeur

Le Sender Score de Validity est une note de réputation d'IP sur une échelle de 0 à 100, calculée à partir d'un historique d'envoi sur 30 jours glissants. Un score supérieur à 80 est considéré comme bon ; entre 70 et 80, la situation est à surveiller ; en dessous de 70, vos emails subissent des filtrages accrus. C'est un baromètre externe utile pour situer votre IP par rapport à l'écosystème.

Le Sender Score n'est pas le seul indicateur, mais il converge avec les autres signaux de réputation : un score d'expéditeur qui chute accompagne presque toujours une hausse des plaintes ou un passage sur blacklist.

Blacklists : l'impact immédiat

Une IP ou un domaine listé sur une blacklist (DNSBL) voit sa délivrabilité s'effondrer instantanément. Les principales listes (Spamhaus, Barracuda, SpamCop) sont consultées par la majorité des serveurs de réception. Une seule entrée sur Spamhaus ZEN peut bloquer une part massive de vos envois. Pour comprendre les différences entre ces listes et leur sévérité, voir notre comparatif Spamhaus, Barracuda et SpamCop.

Si vous découvrez une inscription, la sortie n'est pas automatique : chaque liste a sa procédure. Notre guide de retrait des blacklists IP détaille la démarche liste par liste. Surveiller son statut en continu évite de découvrir le problème seulement quand une campagne échoue.

Pilier 3 : Sécurité du transport (MTA-STS, DANE, TLS-RPT)

Voici le pilier que les concurrents oublient presque toujours. La plupart des guides de délivrabilité s'arrêtent à SPF/DKIM/DMARC. Pourtant, la sécurité du transport, c'est-à-dire le chiffrement garanti des échanges entre serveurs de messagerie, est un signal de confiance croissant et un facteur de protection contre l'interception. Un domaine qui force le TLS entrant envoie un signal de sérieux que les fournisseurs valorisent.

Par défaut, SMTP négocie le chiffrement de façon opportuniste via STARTTLS : si le serveur destinataire annonce TLS, l'échange est chiffré, sinon il passe en clair. Un attaquant en position d'interception peut supprimer l'annonce STARTTLS et forcer un envoi en clair (attaque de downgrade). MTA-STS et DANE existent pour fermer cette faille.

Pourquoi ce pilier pèse-t-il sur la délivrabilité, et pas seulement sur la sécurité ? Parce que les grands fournisseurs publient désormais des rapports de transport et observent qui force le TLS. Un domaine qui accepte encore des connexions en clair envoie un signal de négligence. À l'inverse, un domaine qui impose le chiffrement entrant démontre une maîtrise technique que les filtres intègrent dans leur évaluation de confiance. La sécurité du transport est aussi un prérequis de conformité dans de nombreux secteurs réglementés : c'est donc un argument auprès des dirigeants autant qu'un levier de délivrabilité.

MTA-STS : forcer le TLS entrant

MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) publie une politique qui indique aux serveurs expéditeurs : pour m'écrire, le TLS est obligatoire, refuse de m'envoyer un email en clair. La politique est servie sur un hôte HTTPS dédié et référencée via un enregistrement DNS. Un mode enforce est protecteur ; un mode testing se contente de générer des rapports sans bloquer ; un mode none désactive la protection et n'apporte rien au score. Pour la mise en place complète, voir le guide MTA-STS.

DANE et TLSA : ancrer le certificat dans le DNS

DANE (DNS-based Authentication of Named Entities, RFC 7672 pour SMTP) atteint le même objectif que MTA-STS par une voie différente : il publie une empreinte du certificat TLS du serveur dans un enregistrement DNS de type TLSA, sécurisé par DNSSEC. Le serveur expéditeur vérifie que le certificat présenté correspond à l'empreinte publiée. DANE exige DNSSEC, ce qui en limite l'adoption mais offre une garantie cryptographique forte. Voir le guide DANE/TLSA. MTA-STS et DANE ne sont pas exclusifs : ils répondent à des contraintes différentes, comme l'explique notre comparatif MTA-STS contre DANE.

TLS-RPT : mesurer le transport

TLS-RPT (SMTP TLS Reporting, RFC 8460) ferme la boucle : il demande aux serveurs distants de vous renvoyer des rapports agrégés sur les succès et échecs de négociation TLS lors de l'envoi vers votre domaine. Sans TLS-RPT, vous activez MTA-STS ou DANE à l'aveugle ; avec, vous savez si une politique provoque des échecs de remise. C'est l'instrument de mesure indispensable, détaillé dans le guide TLS-RPT.

Pilier 4 : BIMI et la confiance visuelle

BIMI (Brand Indicators for Message Identification) affiche le logo de votre marque à côté de vos emails dans les boîtes de réception compatibles (Gmail, Yahoo, Apple Mail). C'est un pilier à part : il n'augmente pas directement vos chances d'atteindre la boîte de réception, mais il renforce la confiance visuelle et l'engagement, qui eux nourrissent le score à moyen terme.

BIMI exige un DMARC en application

BIMI n'est accessible qu'aux domaines dont la politique DMARC est en application (p=quarantine ou p=reject, jamais p=none). C'est une exigence stricte : sans DMARC en enforcement, le logo ne s'affichera pas, quelle que soit la qualité de votre fichier. Cette dépendance fait de BIMI un excellent levier de motivation pour finir le travail sur le pilier authentification. Pour démarrer, voir le guide BIMI pour petites entreprises.

VMC, CMC et impact sur l'engagement

Pour afficher le logo chez Gmail et la plupart des fournisseurs, un certificat est requis : le VMC (Verified Mark Certificate), basé sur une marque déposée, ou le CMC (Common Mark Certificate), une alternative plus accessible pour des logos non déposés. Le détail des deux options figure dans le guide des certificats VMC et CMC.

L'effet de BIMI est indirect mais réel : un logo de marque visible augmente le taux d'ouverture et réduit le risque que le destinataire signale l'email comme spam, parce qu'il identifie immédiatement l'expéditeur. Ces meilleurs signaux d'engagement remontent ensuite dans le pilier 5. À considérer comme un amplificateur de confiance, pas comme un raccourci vers la boîte de réception.

Pilier 5 : Engagement et contenu

Les quatre premiers piliers sont techniques. Le cinquième est comportemental : il mesure comment vos destinataires réagissent à vos emails. C'est aujourd'hui l'un des signaux les plus puissants, parce qu'il est très difficile à truquer. Un fournisseur observe que vos abonnés ouvrent, cliquent et répondent ? Il en déduit que vos emails sont désirés et les remet en boîte de réception. Ils suppriment sans ouvrir ou cliquent sur « spam » ? La sanction est immédiate.

Ouvertures, clics et réponses

Le taux d'ouverture, le taux de clic et, signal fort, le taux de réponse alimentent la réputation d'engagement. Les fournisseurs surveillent aussi des actions négatives : suppression sans ouverture, déplacement manuel vers le spam. Maintenir une liste d'abonnés réellement engagés vaut mieux qu'une grande liste inactive : envoyer à des adresses qui n'ouvrent jamais dégrade le score de l'ensemble. Si vos messages finissent malgré tout en indésirables, notre guide sur les raisons pour lesquelles les emails partent en spam détaille les causes les plus fréquentes.

Plaintes spam et bounces : les seuils critiques

Deux métriques pèsent lourd et ont des seuils précis. Le taux de plaintes (proportion de destinataires qui marquent vos emails comme spam) doit rester sous 0,1 %. Gmail tolère jusqu'à 0,3 % avant sanction lourde, mais viser 0,1 % protège votre marge. Au-delà, la délivrabilité s'effondre rapidement.

Le taux de bounces (emails rejetés) doit rester sous 2 %. Un taux élevé signale une liste mal entretenue, ce que les fournisseurs interprètent comme un comportement de spammeur. Distinguez les hard bounces (adresse inexistante, à supprimer immédiatement) des soft bounces (boîte pleine, problème temporaire).

Le contenu compte aussi

Le contenu lui-même envoie des signaux. Un ratio texte/image trop déséquilibré (un email entièrement composé d'une seule grande image, sans texte exploitable) est un classique des filtres anti-spam. De même, des liens raccourcis génériques, des pièces jointes inattendues ou un objet en majuscules truffé de points d'exclamation dégradent la perception du message. Les filtres modernes ne cherchent plus seulement des mots-clés « interdits ». Ils évaluent la cohérence globale entre l'expéditeur, l'objet, le corps et le comportement historique. Un contenu propre, un objet honnête et un appel à l'action clair réduisent le risque de classement en indésirable et soutiennent l'engagement, qui lui-même nourrit le score.

La cohérence d'envoi joue aussi : un expéditeur régulier, qui maintient un rythme stable vers une audience qui interagit, inspire davantage confiance qu'un expéditeur erratique qui envoie 100 emails un mois et 100 000 le suivant. La régularité est, elle aussi, un signal de légitimité.

Listes propres et exigences expéditeurs en masse

Une hygiène de liste rigoureuse (validation des adresses, retrait des inactifs, double opt-in, désabonnement en un clic) est le moyen le plus efficace de maintenir engagement et plaintes dans le vert. Depuis 2024, Gmail et Yahoo imposent en plus des exigences strictes aux expéditeurs de masse : authentification complète, en-tête de désabonnement en un clic et taux de plaintes maîtrisé. Notre guide sur les exigences Gmail et Yahoo pour les expéditeurs en masse détaille la check-list complète.

Qu'est-ce qu'un bon score de délivrabilité ?

Un bon score se traduit par des métriques mesurables. Plutôt qu'un chiffre abstrait, raisonnez en seuils par indicateur. Le tableau suivant donne les repères à viser, à surveiller et à corriger d'urgence.

Métrique	Bon	À surveiller	Critique
Taux de délivrabilité	95-99 %	90-95 %	Sous 90 %
Taux de plaintes spam	Sous 0,1 %	0,1-0,3 %	Au-delà de 0,3 %
Taux de bounces	Sous 2 %	2-5 %	Au-delà de 5 %
Sender Score (Validity)	Supérieur à 80	70-80	Sous 70
Politique DMARC	p=reject	p=quarantine	p=none ou absente
Sécurité du transport	MTA-STS enforce ou DANE	MTA-STS testing	Aucune

Ces seuils sont cohérents avec les barèmes appliqués par les principaux fournisseurs. Un domaine qui coche toutes les colonnes « Bon » obtient une note élevée et une remise en boîte de réception fiable. Un seul indicateur en « Critique » suffit à plafonner l'ensemble : c'est la logique du maillon faible.

Au-delà des chiffres bruts, une lecture utile consiste à distinguer les seuils de configuration (DMARC, sécurité du transport) des seuils de performance (taux de délivrabilité, plaintes, bounces, Sender Score). Les premiers sont sous votre contrôle direct et se corrigent une fois pour toutes : publier un DMARC en p=reject ou activer MTA-STS est une action ponctuelle. Les seconds reflètent un comportement continu et demandent un entretien permanent : ils peuvent se dégrader d'une campagne à l'autre. C'est précisément pour cette raison que la mesure ne doit pas être un événement unique mais une routine, comme l'aborde la dernière section de ce guide.

Notez aussi que la notion de « bon score » dépend du type d'envoi. Un expéditeur transactionnel (factures, confirmations) vise des seuils encore plus stricts qu'un expéditeur marketing, car ses messages sont attendus et critiques : un email de réinitialisation de mot de passe perdu en spam est un incident, pas une statistique. À l'inverse, un envoi marketing accepte une marge légèrement plus large, à condition de respecter impérativement les plafonds de plaintes et de bounces.

Pourquoi 100 % n'existe pas ?

Aucun expéditeur n'atteint durablement 100 % de remise en boîte de réception, et viser ce chiffre est contre-productif. Les fournisseurs gardent une part d'imprévisibilité volontaire pour empêcher les spammeurs de calibrer parfaitement leurs envois. De plus, une partie des non-remises provient de facteurs hors de votre contrôle : boîtes pleines, filtres d'entreprise spécifiques, adresses devenues invalides. Un taux stable entre 95 et 99 % avec des métriques d'engagement saines est l'objectif réaliste et excellent.

Comment mesurer son score de délivrabilité ?

On n'améliore que ce qu'on mesure. Deux approches se complètent : les outils des fournisseurs, qui montrent comment ils vous perçoivent, et un audit technique, qui vérifie chaque pilier en une passe.

Ce que révèle l'outil Google Postmaster

Google Postmaster Tools donne accès à la réputation de domaine et d'IP telle que Gmail la mesure, ainsi qu'au taux de plaintes réel de vos destinataires Gmail. C'est une source de vérité précieuse, car Gmail représente une part majeure des boîtes. La contrepartie : ces données ne couvrent que Gmail, n'apparaissent qu'au-delà d'un certain volume, et arrivent avec un délai. C'est un thermomètre, pas un diagnostic complet.

Un audit technique en une passe

Pour évaluer les cinq piliers d'un coup (authentification, réputation, transport, BIMI, engagement), un audit technique du domaine est la méthode la plus directe. Il vérifie en quelques secondes la validité et l'alignement de SPF, DKIM et DMARC, le statut blacklist, la présence de MTA-STS/DANE/TLS-RPT et la configuration BIMI, puis restitue un score avec les corrections prioritaires. C'est précisément ce que fait l'audit de délivrabilité présenté en début d'article.

Si votre objectif est spécifiquement de valider le placement en boîte de réception avant un envoi de campagne, un test d'envoi dédié complète l'audit : notre guide pour tester la délivrabilité email avant l'envoi détaille cette méthode par email de test. L'audit photographie la configuration ; le test mesure le résultat sur un envoi réel.

🎯 Plan d'amélioration et surveillance continue

Améliorer durablement son score suit un ordre logique : on sécurise d'abord le socle, puis on optimise. Voici le plan en cinq étapes.

1. Authentifier complètement : publier SPF avec -all, signer en DKIM (clé RSA 2048 bits ou Ed25519), publier DMARC. Vérifier surtout l'alignement, pas seulement la présence.
2. Passer DMARC en application : analyser les rapports DMARC sur quelques semaines, identifier les sources légitimes, puis passer de p=none à p=quarantine, enfin à p=reject. C'est aussi le prérequis pour activer BIMI.
3. Sécuriser le transport : déployer MTA-STS en mode enforce (ou DANE si vous avez DNSSEC), et activer TLS-RPT pour mesurer les négociations TLS sans voler à l'aveugle.
4. Nettoyer les listes et réduire les plaintes : retirer les adresses inactives et les hard bounces, imposer le double opt-in, fournir un désabonnement en un clic, segmenter pour n'envoyer qu'aux destinataires engagés.
5. Surveiller en continu : la délivrabilité n'est jamais acquise. Un prestataire ajoute un include SPF, une clé DKIM expire, une IP partagée se fait blacklister, autant de régressions silencieuses. Une surveillance automatisée détecte ces dérives et alerte avant qu'une campagne n'en pâtisse.

C'est la différence entre la mesure ponctuelle et la surveillance : l'audit vous donne une photo à l'instant T, la surveillance continue vous prévient quand quelque chose change. Une surveillance avec alerte digest regroupe les changements détectés et vous les signale par email, sans avoir à relancer un audit manuellement.

Pour couvrir l'ensemble des piliers sans multiplier les abonnements, notre suite gratuite de sécurité email managée regroupe audit, hébergement de politiques et surveillance dans un même environnement.

FAQ

Qu'est-ce qu'un score de délivrabilité email ?

Un score de délivrabilité email est une note prédictive composite qui estime la probabilité que vos messages atteignent la boîte de réception plutôt que le dossier spam. Il agrège cinq familles de signaux : authentification (SPF, DKIM, DMARC et alignement), réputation IP et domaine, sécurité du transport (MTA-STS, DANE, TLS-RPT), BIMI et engagement. Contrairement à une métrique unique, il anticipe vos chances de succès avant l'envoi.

Qu'est-ce qu'un bon score de délivrabilité ?

Un bon score se traduit par des seuils mesurables : un taux de délivrabilité entre 95 et 99 %, un taux de plaintes spam sous 0,1 %, un taux de bounces sous 2 % et un Sender Score supérieur à 80. Côté configuration, cela suppose une politique DMARC en application (p=reject) et une sécurité du transport active (MTA-STS en enforce ou DANE). Un seul indicateur en zone critique suffit à plafonner l'ensemble.

Comment le score de délivrabilité est-il calculé ?

Le score est calculé par un moteur côté serveur qui pondère chaque pilier selon son poids réel dans la décision des fournisseurs de messagerie. L'authentification valide et alignée, une IP et un domaine propres, un transport chiffré forcé et un faible taux de plaintes font monter le score ; un DMARC en p=none, une IP blacklistée ou un pic de plaintes le font chuter. Le calcul applique les mêmes barèmes que ceux observés chez Gmail, Microsoft et Yahoo.

Quelle différence entre score de délivrabilité et taux de délivrabilité ?

Le taux de délivrabilité est rétrospectif : c'est le pourcentage d'emails effectivement remis sur le total envoyé, mesuré après l'envoi. Le score de délivrabilité est prédictif : il anticipe vos chances de succès avant l'envoi en évaluant configuration et réputation. Vous pouvez avoir un bon taux historique et un score qui se dégrade, signe d'une régression à venir. Le score est un indicateur d'alerte précoce, le taux une confirmation a posteriori.

Quels facteurs affectent la délivrabilité ?

Cinq familles de facteurs : l'authentification et son alignement (SPF, DKIM, DMARC), la réputation de l'IP et du domaine (dont le statut blacklist), la sécurité du transport (MTA-STS, DANE, TLS-RPT), la confiance visuelle (BIMI) et l'engagement des destinataires (ouvertures, clics, plaintes, bounces). Le contenu et l'hygiène de liste jouent aussi un rôle majeur via les signaux d'engagement.

SPF, DKIM et DMARC suffisent-ils pour un bon score ?

Non, mais ils sont indispensables. L'authentification est le socle : sans elle, le score reste bas. En revanche, un domaine parfaitement authentifié mais hébergé sur une IP blacklistée, sans sécurité du transport et avec un fort taux de plaintes n'atteindra jamais un bon score. L'authentification est nécessaire mais pas suffisante : les cinq piliers comptent, et le maillon faible plafonne l'ensemble.

Comment vérifier sa réputation d'expéditeur et de domaine ?

Trois sources se complètent. Google Postmaster Tools montre la réputation de domaine et d'IP telle que Gmail la mesure, avec le taux de plaintes réel. Le Sender Score de Validity note la réputation de l'IP sur une échelle de 0 à 100. Enfin, une vérification de blacklist détecte une inscription sur Spamhaus, Barracuda ou SpamCop. Un audit technique du domaine regroupe ces contrôles en une passe.

MTA-STS, DANE et TLS-RPT améliorent-ils la délivrabilité ?

Oui, indirectement mais réellement. Forcer le TLS entrant via MTA-STS ou DANE protège contre l'interception et envoie un signal de sérieux que les fournisseurs valorisent. TLS-RPT permet de mesurer les négociations TLS et d'éviter les échecs de remise liés à une politique mal configurée. C'est un pilier différenciant que la plupart des expéditeurs négligent, alors qu'il pèse de plus en plus dans la confiance accordée.

BIMI améliore-t-il la délivrabilité ?

BIMI n'augmente pas directement vos chances d'atteindre la boîte de réception, mais il renforce la confiance visuelle : afficher votre logo de marque augmente le taux d'ouverture et réduit le risque que le destinataire signale l'email comme spam. Ces meilleurs signaux d'engagement nourrissent le score à moyen terme. BIMI exige une politique DMARC en application (p=quarantine ou p=reject) et, le plus souvent, un certificat VMC ou CMC.

Comment améliorer son score de délivrabilité ?

Suivez un ordre logique : authentifier complètement (SPF en -all, DKIM robuste, DMARC) en vérifiant l'alignement, passer DMARC en application (p=reject), sécuriser le transport (MTA-STS enforce ou DANE, plus TLS-RPT), nettoyer les listes pour réduire plaintes et bounces, puis surveiller en continu. La surveillance est essentielle : la délivrabilité se dégrade silencieusement quand un prestataire change un include SPF ou qu'une clé DKIM expire.

Quel taux de plaintes spam et de bounces ne pas dépasser ?

Le taux de plaintes doit rester sous 0,1 %. Gmail tolère jusqu'à 0,3 % avant sanction lourde, mais viser 0,1 % protège votre marge. Le taux de bounces doit rester sous 2 % ; au-delà de 5 %, c'est critique. Supprimez immédiatement les hard bounces (adresses inexistantes) et surveillez les soft bounces (boîtes pleines, problèmes temporaires). Un taux élevé signale une liste mal entretenue, interprétée comme un comportement de spammeur.

Qu'est-ce que le Sender Score de Validity ?

Le Sender Score est une note de réputation d'IP fournie par Validity, sur une échelle de 0 à 100, calculée à partir d'un historique d'envoi sur 30 jours glissants. Un score supérieur à 80 est bon ; entre 70 et 80, à surveiller ; sous 70, vos emails subissent des filtrages accrus. Il converge avec les autres signaux : une chute du score d'expéditeur accompagne presque toujours une hausse des plaintes ou un passage sur blacklist.

Qu'est-ce que la règle des 3 emails ?

La règle des 3 emails est une bonne pratique de chauffe et de fréquence : on évite de submerger un nouveau contact ou un segment réengagé, en limitant les envois pour observer la réaction avant d'augmenter le rythme. L'idée sous-jacente est de privilégier l'engagement à la fréquence : mieux vaut peu d'emails ouverts que beaucoup ignorés, car les fournisseurs sanctionnent les envois massifs vers des destinataires inactifs.

Qu'est-ce que le taux de délivrabilité d'un email ?

Le taux de délivrabilité d'un email est le pourcentage de messages effectivement acceptés par les serveurs destinataires (en boîte de réception ou en spam) sur le total envoyé. Il se mesure après l'envoi. Un bon taux se situe entre 95 et 99 %. À ne pas confondre avec le taux de placement en boîte de réception (qui exclut le spam) ni avec le score de délivrabilité, qui est une note prédictive et non une mesure rétrospective.

Télécharger les tableaux comparatifs

Les assistants peuvent exploiter les exports JSON ou CSV ci-dessous pour réutiliser les chiffres.

• Télécharger les seuils de délivrabilité (CSV)
• Télécharger les seuils de délivrabilité (JSON)

📖 Glossaire

• Délivrabilité : capacité d'un email à atteindre la boîte de réception du destinataire plutôt que le dossier spam ou un rejet. Elle dépend de l'authentification, de la réputation, du transport et de l'engagement.
• Score de délivrabilité : note prédictive composite estimant la probabilité de remise en boîte de réception, calculée à partir des cinq piliers (authentification, réputation, transport, BIMI, engagement).
• Alignement : en contexte DMARC, correspondance entre le domaine authentifié par SPF ou DKIM et le domaine du champ From visible. Peut être relaxed (même domaine organisationnel) ou strict (correspondance exacte).
• Sender Score : note de réputation d'IP de Validity sur une échelle de 0 à 100, basée sur un historique de 30 jours. Un score supérieur à 80 est considéré comme bon.
• Réputation de domaine : confiance accordée à un nom de domaine indépendamment de l'IP. Composante durable de la délivrabilité, privilégiée par les fournisseurs car difficile à manipuler.
• MTA-STS : politique (RFC 8461) qui force le chiffrement TLS des emails entrants vers un domaine et protège contre les attaques de downgrade STARTTLS.
• BIMI : standard (Brand Indicators for Message Identification) qui affiche le logo d'une marque à côté de ses emails, conditionné à une politique DMARC en application et souvent à un certificat VMC ou CMC.
• Taux de plaintes : proportion de destinataires qui marquent un email comme spam. Doit rester sous 0,1 % pour préserver la délivrabilité.

📚 Guides délivrabilité email connexes

• Score de délivrabilité email : ce qui le compose et comment l'améliorer : cet article (pilier de la série).
• Réputation d'expéditeur : la construire et la protéger (à venir)
• Facteurs qui affectent la délivrabilité : la check-list complète (à venir)

Sources

• RFC 7208 - Sender Policy Framework (SPF)
• RFC 6376 - DomainKeys Identified Mail (DKIM)
• RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC)
• Google - Email sender guidelines
• Validity - Sender Score