Tous les articles
Mécanique9 min de lecture

Vos cold emails finissent en spam. Ce n'est presque jamais votre copy.

Vous réécrivez l'objet pour la dixième fois. Le vrai problème est en dessous : authentification DNS et réputation d'envoi. Voici SPF, DKIM, DMARC expliqués, et les enregistrements à copier.

Vous croyez que vos cold emails finissent en spam à cause de votre copy. Vous réécrivez l'objet, vous enlevez le mot "gratuit", vous testez trois accroches. Rien ne bouge. Le problème n'est presque jamais le texte. Il est dans une couche que vous ne voyez pas : l'authentification de votre domaine et sa réputation d'envoi.

Depuis février 2024, Google et Yahoo exigent SPF, DKIM et DMARC pour toute boîte qui envoie du volume. Sans ces trois enregistrements DNS, votre email n'atteint même pas le filtre de contenu : il est écarté avant. Voici les trois expliqués simplement, et les enregistrements exacts à copier.

L'essentiel en 30 secondes
  • Le spam vient de l'infrastructure, pas de la copy : sans SPF, DKIM et DMARC, vous êtes filtré avant même la lecture du contenu.
  • SPF dit quels serveurs ont le droit d'envoyer. DKIM signe le message pour prouver qu'il n'a pas été altéré. DMARC dit quoi faire si les deux échouent.
  • Réputation : domaine secondaire dédié, warmup 2 à 4 semaines, ~30 emails par boîte et par jour, bounces sous 1 %.
  • Les enregistrements DNS à copier et la checklist avant envoi sont plus bas.

Pourquoi votre email est jugé avant d'être lu

Quand votre email arrive chez Gmail, le serveur pose trois questions en une fraction de seconde. Qui prétend l'envoyer ? Ce serveur a't-il le droit ? Le message a-t-il été trafiqué en route ? Si les réponses ne tiennent pas, l'email est classé spam sans que le filtre de contenu n'intervienne.

C'est contre-intuitif : on imagine un algorithme qui lit le texte et repère les mots suspects. En réalité, la première barrière est purement technique. Un email parfaitement écrit depuis un domaine non authentifié perd contre un email médiocre depuis un domaine en règle. La copy ne compte qu'une fois cette barrière franchie.

3
Enregistrements DNS exigés depuis 2024
< 1 %
Taux de bounce à ne pas dépasser
~30
Emails par boîte et par jour (cold)

SPF, DKIM, DMARC : les trois, en une phrase chacun

Oubliez le jargon. Voici la seule chose à retenir sur chacun, avec une analogie qui tient.

1
Couche 1
SPF: la liste des expéditeurs autorisés

Un enregistrement DNS qui déclare : "seuls ces serveurs ont le droit d'envoyer en mon nom". Comme une liste d'invités à l'entrée. Le serveur qui reçoit vérifie que l'expéditeur est dessus.

2
Couche 2
DKIM: la signature scellée

Chaque email part avec une signature cryptographique. Le serveur qui reçoit la vérifie avec votre clé publique (dans le DNS). Si le message a été modifié en route, la signature casse. C'est le sceau de cire sur l'enveloppe.

3
Couche 3
DMARC: la consigne en cas d'échec

Dit au serveur qui reçoit quoi faire quand SPF ou DKIM échoue : ne rien faire (p=none), mettre en quarantaine (p=quarantine), ou rejeter (p=reject). Et vous envoie des rapports pour surveiller qui usurpe votre domaine.

SPF dit qui peut envoyer. DKIM prouve que le message est intact. DMARC décide quoi faire quand ça rate. Les trois, sinon rien.
La règle à retenir

Les enregistrements DNS exacts à ajouter

Voici à quoi ressemblent les trois enregistrements. Vous les ajoutez chez votre registrar (OVH, Gandi, Cloudflare), dans la zone DNS de votre domaine d'envoi. Les valeurs SPF include et la clé DKIM vous sont données par votre fournisseur d'envoi : ne recopiez pas les miennes, elles sont là pour la forme.

Zone DNS: SPF, DKIM, DMARC
# SPF (type TXT, hôte "@" ou racine du domaine)
# Autorise vos serveurs d'envoi. UN SEUL enregistrement SPF par domaine.
v=spf1 include:_spf.google.com include:sendgrid.net ~all

# DKIM (type TXT, hôte fourni par votre outil, ex : "s1._domainkey")
# La clé publique. Copiez EXACTEMENT la valeur donnée par votre fournisseur.
s1._domainkey  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq...VOTRE_CLE_PUBLIQUE...QAB"

# DMARC (type TXT, hôte "_dmarc")
# Commencez en p=none pour observer, sans rien bloquer.
_dmarc  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr; fo=1"

# Une fois SPF + DKIM alignés et vérifiés (2 à 4 semaines) :
_dmarc  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr"

Trois pièges classiques. Un : un seul enregistrement SPF par domaine, sinon il est invalide. Si vous utilisez plusieurs services, fusionnez leurs include: dans une seule ligne. Deux : la clé DKIM se copie caractère pour caractère, un espace en trop et elle casse. Trois : démarrez DMARC en p=none, observez les rapports deux à quatre semaines, puis passez en p=quarantine. Passer direct en p=reject peut bloquer vos propres emails légitimes.

Comment vérifier que c'est bon
Envoyez un email de test à une adresse Gmail, ouvrez le message, "Afficher l'original". Vous devez lire PASS sur les trois lignes SPF, DKIM et DMARC. Des outils gratuits comme mail-tester.com vous donnent un score sur 10 et pointent chaque enregistrement manquant.

L'authentification vous met dans la course. La réputation la gagne.

Une fois les trois enregistrements en PASS, vous n'êtes plus écarté d'office. Mais vous n'êtes pas encore en boîte de réception. La suite se joue sur la réputation de votre domaine et de vos IP, construite par votre comportement d'envoi.

1
Étape 1
Domaine secondaire dédié

Achetez un domaine proche de votre marque pour le cold outbound uniquement. Jamais votre domaine principal : si la réputation brûle, vos emails d'équipe et de facturation brûlent avec.

2
Étape 2
Warmup 2 à 4 semaines

Sur un domaine neuf, montez le volume progressivement avec des échanges qui reçoivent des réponses. Les outils de cold email automatisent ce warmup. Un domaine neuf balancé à 500 emails d'un coup part en spam à coup sûr.

3
Étape 3
Plafond de volume par boîte

Restez autour de 30 emails par boîte et par jour en cold. Pour scaler, multipliez les boîtes (plusieurs adresses, éventuellement plusieurs domaines), jamais le volume par boîte.

4
Étape 4
Hygiène de liste

Vérifiez chaque liste avant l'envoi, gardez les bounces sous 1 %. Une liste non vérifiée est le moyen le plus rapide de détruire une réputation que vous avez mis un mois à construire.

Le signal que les fournisseurs surveillent le plus, c'est l'engagement : est-ce qu'on vous répond, est-ce qu'on vous marque en spam ? D'où le lien direct avec le ciblage. Un email pertinent, envoyé à la bonne personne, protège votre délivrabilité. Un envoi en masse à une liste froide la détruit, comme le rappelle le guide de délivrabilité de Postmark.

La checklist avant d'appuyer sur envoi

Passez ces sept points avant chaque nouvelle campagne. Si l'un saute, ne lancez pas.

SPF en PASS (un seul enregistrement)DNS
DKIM en PASS (clé copiée exactement)DNS
DMARC publié (p=none puis quarantine)DNS
Domaine secondaire dédié au colddomaine
Warmup terminé (2 à 4 semaines)réputation
Volume sous ~30 / boîte / jourvolume
Liste vérifiée, bounces < 1 %hygiène
Quand le vrai problème est le volume, pas l'auth
Si vous êtes en règle sur SPF, DKIM, DMARC, que votre domaine est chaud, et que vous finissez quand même en spam, le coupable est souvent le volume ou le ciblage. Envoyer 300 emails par jour depuis une seule boîte, ou marteler une liste froide qui ne répond jamais, aucune config DNS ne vous sauvera. À ce stade, coupez le volume et resserrez la cible avant de toucher quoi que ce soit d'autre.
Jugez sur pièce
Ne nous croyez pas sur parole

Lancez une recherche sur votre niche avec les 200 crédits offerts, sans carte bancaire. Si le résultat est mauvais, vous aurez perdu dix minutes.

Où AutoLeads intervient

Rien de ce qui précède n'exige AutoLeads, et surtout, AutoLeads n'envoie pas vos emails. La config DNS se fait chez votre registrar, le warmup et l'envoi chez Instantly ou Smartlead, avec l'outil que vous maîtrisez. AutoLeads s'arrête une étape avant : il trouve les leads de votre niche, les enrichit, puis les pousse directement dans votre campagne Instantly. La délivrabilité reste entre vos mains, on vous amène juste des leads propres et ciblés à y envoyer.

Si vous ne devez retenir qu'une chose : avant de retoucher votre objet, allez lire "Afficher l'original" sur un email de test. Trois PASS, ou rien. Le reste de votre copy ne comptera qu'après.

Questions fréquentes

Combien d'emails puis-je envoyer par boîte et par jour ?

Sur une boîte chaude et bien authentifiée, restez autour de 30 à 50 emails par jour et par adresse en cold outbound. Ce n'est pas une règle officielle de Google, c'est le consensus des outils de cold email (Instantly, Smartlead) pour ne pas déclencher les filtres anti-spam. Pour envoyer plus, ajoutez des boîtes, jamais du volume par boîte.

C'est quoi le warmup, et est-il obligatoire ?

Le warmup, c'est monter le volume d'envoi progressivement sur 2 à 4 semaines sur un domaine neuf, avec des échanges qui reçoivent des réponses, pour construire une réputation. Sur un domaine neuf jamais chauffé, vos premiers envois en masse partent quasi tous en spam. Oui, c'est obligatoire pour un domaine récent.

Faut-il un domaine séparé pour le cold email ?

Oui. N'envoyez jamais de cold outbound depuis votre domaine principal (celui de vos factures et de votre équipe). Achetez un domaine secondaire proche (par exemple votremarque-mail.fr) et envoyez depuis lui. Si sa réputation brûle, votre domaine principal reste intact.

Quel taux de bounce est acceptable ?

Visez moins de 1 % de bounces. Au-dessus de 2 à 3 %, les fournisseurs interprètent ça comme une liste non vérifiée ou achetée, et votre réputation chute. Vérifiez chaque liste avant l'envoi (NeverBounce, ZeroBounce, ou la vérification intégrée à votre outil).

SPF, DKIM et DMARC suffisent-ils à ne plus finir en spam ?

Non. L'authentification est la condition d'entrée : sans elle, vous êtes filtré d'office depuis 2024. Mais une fois en règle, la délivrabilité dépend de la réputation (taux de réponse, plaintes spam, bounces) et du volume. L'authentification vous met dans la course, elle ne gagne pas la course.

Faut-il AutoLeads pour appliquer tout ça ?

Non. La config DNS se fait chez votre registrar, le warmup et l'envoi chez Instantly ou Smartlead. AutoLeads trouve et enrichit les leads puis les pousse dans Instantly. L'envoi et la délivrabilité restent votre domaine, avec l'outil que vous maîtrisez.