La délivrabilité des emails est un enjeu majeur pour toute entreprise, site web ou adresse professionnelle. Comprendre pourquoi un email arrive en boîte de réception, finit en spam ou est rejeté permet d’éviter de nombreux problèmes de communication.
Après avoir expliqué comment configurer SPF, DKIM et DMARC pour éviter les emails en spam, il est essentiel d’aller plus loin et de comprendre comment les serveurs de réception prennent réellement leurs décisions.
Dans cet article, nous allons voir comment fonctionne la délivrabilité des emails, quels critères sont analysés par les serveurs de messagerie, et pourquoi, chez o2switch, l’utilisation de Jabatus (le système d’envoi des emails sortant) joue un rôle clé dans ce processus.
Ainsi, lorsqu’un email arrive sur un serveur de réception, il passe, au préalable, par une série de contrôles automatiques. Le serveur ne se contente pas de lire le contenu du message : il évalue surtout le niveau de confiance qu’il peut accorder à l’expéditeur ou l’expéditrice.
Cette décision repose sur plusieurs critères combinés, qui permettent de déterminer si l’email est légitime, douteux ou clairement frauduleux. Passons en revue ces différents critères.
Premier critère : l’authentification avec SPF, DKIM et DMARC
Le premier élément analysé est la présence et la cohérence de SPF, DKIM et DMARC.
Si SPF est valide, le serveur vérifie que l’email provient bien d’un serveur autorisé à envoyer des messages pour le domaine.
Si DKIM est valide, il confirme que le message n’a pas été modifié en cours de route et qu’il est bien signé par le domaine expéditeur.
Si DMARC est présent, il indique clairement au serveur quoi faire si SPF ou DKIM échouent.
Lorsque SPF, DKIM et DMARC sont correctement configurés et cohérents entre eux, l’email part avec un fort niveau de confiance.
À l’inverse, si SPF ou DKIM échouent et qu’aucun DMARC n’est présent pour donner des instructions, le serveur de réception devient méfiant et applique des règles strictes par défaut, souvent défavorables à l’expéditeur.
Prenons un exemple concret. Si vous envoyez un email avec pour objet « Facture de janvier », ceci n’est pas suspect en soi. Pourtant, un filtre antispam peut décider de le traiter avec prudence selon le contexte global. Si l’email provient d’un domaine récent ou peu connu, avec peu d’historique d’envoi, si l’authentification est incomplète (SPF ou DKIM partiellement valides, DMARC absent ou en mode observation), ou si le contenu ne correspond pas clairement à l’objet, le niveau de confiance baisse. Par exemple, un message intitulé « Facture de janvier » qui ne contient aucune facture en pièce jointe, mais seulement un lien externe à cliquer, correspond à un scénario très courant de phishing. Le filtre peut également tenir compte du comportement d’envoi, comme un volume inhabituel ou un script nouvellement installé, ainsi que du fait que le destinataire n’ait jamais échangé avec ce domaine auparavant. Dans ce cas, le serveur antispam ne bloque pas forcément l’email, mais peut ajouter un avertissement ou un préfixe dans l’objet pour prévenir l’utilisateur (donc, l’objet du mail est modifié). Cette modification, bien que légitime du point de vue de la sécurité, change le message original et peut rendre la signature DKIM invalide.
Donc, il est important, déjà, de vous assurer que SPF, DKIM et DMARC soient bien configurés, pour sécuriser l’authentification de vos envois.
Deuxième critère : la réputation du domaine et du serveur
Les fournisseurs de messagerie maintiennent une réputation pour chaque domaine et chaque serveur d’envoi, un peu comme un historique de comportement.
Un domaine qui envoie régulièrement des emails légitimes, peu signalés comme spam, bénéficie d’une bonne réputation. Ses messages ont alors plus de chances d’être acceptés et livrés en boîte de réception.
À l’inverse, un domaine sans historique, mal configuré ou ayant généré des plaintes est considéré comme plus risqué. Même avec SPF, DKIM et DMARC, une mauvaise réputation peut conduire à un classement en spam.
En plus du domaine, les fournisseurs de messagerie évaluent la réputation du serveur d’envoi, c’est-à-dire l’adresse IP depuis laquelle l’email est envoyé. Cette réputation est indépendante de celle du domaine et repose sur l’historique de l’IP elle-même.
Un serveur peut avoir une mauvaise réputation pour plusieurs raisons. Il peut avoir été utilisé par le passé pour envoyer du spam, avoir hébergé des sites compromis, ou avoir servi à des envois massifs mal maîtrisés. Sur des infrastructures mutualisées, il suffit parfois que plusieurs utilisateurs aient eu de mauvaises pratiques pour que l’IP d’envoi soit surveillée de près par les fournisseurs de messagerie. Résultat : même un email parfaitement rédigé et correctement authentifié peut être classé en spam simplement parce qu’il provient d’un serveur jugé peu fiable.
À l’inverse, un serveur dont les IP envoient régulièrement des emails légitimes, peu signalés comme spam, bénéficie d’une bonne réputation. Les emails envoyés depuis ces IP inspirent davantage confiance et ont plus de chances d’arriver en boîte de réception.
Lorsqu’un problème de réputation serveur est identifié, il est rarement possible de le corriger seul, car l’utilisateur ne maîtrise pas directement l’IP d’envoi. La solution consiste alors à s’appuyer sur une infrastructure d’envoi contrôlée, maintenue et surveillée par l’hébergeur ou par un prestataire spécialisé.
Cela passe par l’utilisation du serveur SMTP recommandé, l’envoi via une passerelle officielle, et l’évitement des envois directs depuis des scripts ou des configurations non standard. L’objectif est de faire transiter les emails par des IP dont la réputation est suivie, nettoyée et protégée dans le temps.
La réputation d’un serveur se reconstruit progressivement, grâce à des envois réguliers, cohérents et bien authentifiés. C’est pour cette raison que le choix du serveur d’envoi est aussi important que la configuration du domaine dans une stratégie de délivrabilité email.
C’est précisément sur ce point que certains hébergeurs, comme o2switch, ont fait le choix de mettre en place une passerelle d’envoi dédiée afin de maîtriser la réputation des IP et d’améliorer durablement la délivrabilité des emails. C’est là qu’intervient Jabatus, le système d’envoi propre à o2switch.
Troisième critère : la cohérence globale de l’email
Le serveur vérifie également la cohérence de l’ensemble du message. Il observe si l’adresse d’expéditeur correspond bien au domaine utilisé, si les en-têtes techniques sont logiques et si l’email ne tente pas de masquer son origine réelle.
Un email peut être techniquement valide mais incohérent, par exemple s’il est envoyé depuis un serveur autorisé mais sans signature DKIM correcte. Ce type d’incohérence augmente fortement le risque de classement en spam.
Imaginons que l’on envoie un email avec l’adresse d’expéditeur facturation@mon-domaine.fr. À première vue, l’email semble légitime. L’adresse est professionnelle et correspond bien au nom de domaine affiché.
Mais en analysant l’email, le serveur de réception constate que le message a été envoyé depuis un serveur appartenant à un tout autre domaine, par exemple autre-serveur.xyz (au lieu de mon-domaine.fr).
Ainsi, même si le SPF de ce serveur est autorisé, le message est incohérent :
- L’adresse affichée est celle d’un expéditeur provenant d’un domaine professionnel
- Mais le serveur d’envoi réel est externe
- La signature DKIM est signée sur un domaine différent
Donc pour les serveur de réception, ces signaux sont contradictoires. Le message n’est pas explicitement frauduleux, mais il manque de cohérence globale. Le risque de phishing ou d’usurpation d’identité est jugé élevé. L’email est placé en spam, par précaution.
Quatrième critère : le contenu et le comportement d’envoi
Même lorsque l’authentification technique est correcte, les serveurs de réception analysent également ce qui est envoyé et comment cela est envoyé. Le contenu du message et le comportement d’envoi permettent d’affiner l’évaluation du niveau de confiance.
Côté contenu, les filtres cherchent surtout à détecter des schémas à risque, et non des mots isolés. Un email peut être jugé suspect s’il présente un décalage entre l’objet et le corps du message, s’il incite fortement à cliquer sur des liens externes, ou s’il adopte des formulations couramment utilisées dans les tentatives de fraude. La structure du message est également prise en compte : emails très courts, absence de signature, liens masqués ou formats inhabituels augmentent la méfiance, même si le message est techniquement valide.
Le comportement d’envoi est tout aussi important. Les serveurs observent le rythme, le volume et la régularité des envois. Un domaine qui envoie habituellement quelques emails par jour et qui se met soudainement à en envoyer des centaines en quelques minutes déclenche des mécanismes de protection. De la même manière, l’envoi d’emails à de nombreux destinataires qui n’ont jamais interagi avec le domaine augmente le risque de classement en spam.
Ces signaux ne suffisent pas, à eux seuls, à bloquer un email bien authentifié. En revanche, lorsqu’ils s’ajoutent à une réputation moyenne ou à une configuration partiellement correcte, ils peuvent faire basculer la décision vers le spam. C’est pourquoi, pour un site classique ou une adresse professionnelle, le contenu et le comportement d’envoi doivent rester cohérents et prévisibles afin de préserver durablement la délivrabilité.
Ainsi, un email est accepté et arrive en boîte de réception lorsque SPF et DKIM sont valides, que DMARC est présent et cohérent, que le domaine possède une réputation correcte et que l’ensemble du message est jugé fiable. Le serveur estime alors que l’expéditeur est identifié, légitime et digne de confiance.
Un email est généralement placé en spam lorsque SPF ou DKIM sont absents ou partiellement incorrects, que DMARC est absent ou imprécis, ou que la réputation du domaine est moyenne. Le serveur ne bloque pas totalement le message, mais préfère le mettre à l’écart par précaution. C’est le scénario le plus fréquent en cas de configuration incomplète de SPF, DKIM et DMARC.
Le rejet intervient lorsque les signaux sont clairement négatifs. Cela se produit par exemple si SPF et DKIM échouent, et que DMARC indique explicitement que les emails non conformes doivent être rejetés. Dans ce cas, l’email est refusé avant livraison et n’apparaît même pas dans le dossier spam du destinataire.
Le rôle clé de DMARC dans cette décision
DMARC est l’élément qui fait la différence entre une décision floue et une décision maîtrisée. Sans DMARC, le serveur de réception décide seul, selon ses propres règles.
Avec DMARC, c’est le propriétaire du domaine qui donne les consignes. DMARC permet donc de reprendre le contrôle sur la manière dont les emails sont traités.
La spécificité d’o2switch : pourquoi l’utilisation de Jabatus est un avantage ?
Une fois ces principes techniques compris, il est important de tenir compte des spécificités de l’hébergeur utilisé.
Chez o2switch, la configuration de SPF, DKIM et DMARC s’appuie sur une infrastructure d’envoi maîtrisée, conçue par o2switch pour renforcer la sécurité, la cohérence technique et la délivrabilité des emails.
o2switch a mis en place Jabatus, son système interne d’envoi et de routage des emails sortants. Jabatus est la passerelle SMTP officielle par laquelle doivent transiter les emails envoyés un hébergement chez o2switch.
Son rôle est de centraliser les envois, de sécuriser l’infrastructure et de garantir que les emails partent depuis des serveurs et des adresses IP reconnues et autorisées.
Qu’est-ce que Jabatus exactement ?
Jabatus est un serveur d’envoi contrôlé par o2switch, intégré à leur infrastructure. Lorsqu’un email est envoyé via Jabatus, celui-ci s’assure que le message est envoyé depuis des IP officielles, déclarées et maintenues par o2switch.
Cela permet de garantir la cohérence entre le serveur d’envoi, le domaine expéditeur et les mécanismes d’authentification SPF, DKIM et DMARC.
Comment o2switch met en place Jabatus ?
Du côté DNS, o2switch simplifie la gestion en utilisant un mécanisme SPF basé sur un include. Le domaine autorise ainsi automatiquement toutes les IP d’envoi officielles d’o2switch, présentes et futures, sans avoir à les déclarer manuellement.
Du côté serveur, les emails envoyés depuis l’hébergement passent par Jabatus, qui utilise ces IP autorisées et applique la signature nécessaire. Cette combinaison permet à o2switch d’ajuster ses infrastructures, de faire évoluer ses IP et de protéger la réputation globale des domaines hébergés, sans intervention de l’utilisateur.
Pourquoi Jabatus améliore la délivrabilité ?
Même avec un SPF, un DKIM et un DMARC correctement configurés, la qualité de délivrabilité dépend aussi du chemin emprunté par l’email. En passant par Jabatus, les messages utilisent une infrastructure reconnue et cohérente, ce qui réduit fortement les risques de classement en spam ou de rejet.
Chez o2switch, la délivrabilité repose donc sur une approche globale qui combine configuration DNS et infrastructure d’envoi maîtrisée.
La FAQ o2switch explique comment cela se passe et comment faire avec l’authentification SPF et DKIM des mails, pour améliorer la délivrabilité des email. (La FAQ met d’ailleurs le doigt, sur le fait que les IA donnent une configuration de Jabatus erronée).
Donc, la délivrabilité email ne repose jamais sur un seul critère, mais sur un équilibre global de confiance. Les serveurs de réception évaluent à la fois l’identité technique de l’expéditeur, la réputation du domaine et du serveur d’envoi, la cohérence globale du message, ainsi que le contenu et le comportement d’envoi.
SPF, DKIM et DMARC constituent la base indispensable pour prouver l’identité de l’expéditeur. La réputation, construite dans le temps, permet de confirmer que ces emails sont légitimes et attendus. La cohérence technique garantit que tous les signaux racontent la même histoire, sans contradiction entre le domaine affiché, le serveur utilisé et les signatures appliquées. Enfin, le contenu et le rythme d’envoi viennent affiner la décision, en détectant les comportements inhabituels ou à risque.
Chez o2switch, cette logique s’inscrit dans une approche globale de la délivrabilité. L’utilisation de Jabatus permet de maîtriser le chemin d’envoi des emails, de s’appuyer sur des IP surveillées et reconnues, et d’assurer une parfaite cohérence avec SPF, DKIM et DMARC. Cette infrastructure ne remplace pas une bonne configuration ni de bonnes pratiques, mais elle en renforce l’efficacité et la fiabilité.
On peut résumer en disant qu’une configuration propre, une infrastructure maîtrisée et un comportement d’envoi cohérent sont les clés pour que les emails arrivent là où ils sont attendus : en boîte de réception.
Très bel article. Au paravent je pensais que les mails ne partaient pas. Mais avec le temps, j’ai maîtrisé le webmail.