Bonnes pratiques de configuration du domaine e-mail

Documentation Index

Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt

Use this file to discover all available pages before exploring further.

La façon dont votre domaine est configuré a un impact direct sur la réception de vos e-mails dans la boîte de réception. Ces étapes constituent la base d’une identité d’expéditeur en laquelle les fournisseurs de messagerie ont confiance, que les destinataires reconnaissent et que les acteurs malveillants ne peuvent pas usurper. Bien faire cela protège votre marque, améliore votre délivrabilité et signale à l’écosystème de messagerie plus large que vous êtes un expéditeur légitime qui vaut la peine d’être livré.

---

​

Auto-vérification

Parcourez chaque élément. Cliquez sur n’importe quel lien pour aller à la section concernée.

• SPF, DKIM et DMARC sont tous présents, valides et alignés avec votre adresse From:.
• Les enregistrements DNS se résolvent correctement, y compris les enregistrements A/AAAA et les serveurs de noms répondants.
• Votre domaine et IP ne sont sur aucune liste de blocage majeure. C’est la cause la plus courante de refus à laquelle les clients ne pensent pas à vérifier.
• Le certificat SSL/TLS est valide sur votre domaine sans avertissements du navigateur.
• Votre domaine dispose d’un site web réel et accessible qui représente votre organisation.
• L’enregistrement du domaine est public et cohérent avec les informations de votre entreprise.

Si tous les éléments de cette liste de vérification passent, consultez la FAQ pour des considérations supplémentaires avant de réessayer la vérification.

---

​

Authentification e-mail (SPF, DKIM et DMARC)

Les enregistrements d’authentification sont très importants pour la réputation d’envoi de votre domaine. Ils indiquent aux serveurs de messagerie de réception que vos e-mails proviennent réellement de vous et leur donnent des instructions claires sur ce qu’il faut faire lorsque ce n’est pas le cas. Les trois enregistrements (SPF, DKIM et DMARC) doivent être présents et cohérents entre eux. Une lacune dans l’un d’eux affaiblit votre posture d’authentification globale et réduit la confiance des fournisseurs de boîte de réception dans votre courrier.

​

L’alignement compte

Le domaine de votre adresse From: doit s’aligner avec votre domaine de signature DKIM ou votre chemin de retour SPF. Le désalignement (lorsque ces éléments ne correspondent pas) entraîne des échecs d’authentification même lorsque les trois enregistrements sont correctement configurés, ce qui nuit directement à la délivrabilité. Par exemple, si votre adresse From: est team@onesignal.com mais que votre signature DKIM est configurée pour mail.example.com, les fournisseurs de boîte de réception verront cette incompatibilité et traiteront l’authentification comme échouée. Même si les deux enregistrements peuvent être valides par eux-mêmes, les domaines doivent correspondre pour que l’authentification réussisse.

---

​

Configuration et santé du DNS

Une configuration DNS saine est l’infrastructure dont dépendent vos enregistrements d’authentification. Des problèmes ici peuvent compromettre tout le reste. Pour la configuration étape par étape des enregistrements DNS, consultez le guide Configuration DNS des e-mails. Au-delà de vos enregistrements d’authentification, il y a quelques éléments qui valent la peine d’être vérifiés :

• Les enregistrements A et AAAA connectent votre domaine à un serveur web. Les domaines qui ne se résolvent à rien n’ont pas de présence web, ce qui affecte la façon dont les fournisseurs de boîte de réception et les filtres anti-spam les évaluent.
• Les serveurs de noms doivent être actifs et répondants. Si les recherches DNS contre votre domaine échouent, vos enregistrements d’authentification ne peuvent pas être vérifiés, et une authentification non vérifiable est traitée de la même manière qu’une absence d’authentification.

Des outils gratuits comme MXToolbox et DNSChecker vous permettent d’inspecter rapidement tous vos enregistrements DNS et de repérer les lacunes de configuration avant qu’elles n’affectent votre envoi.

---

​

Vérifiez votre statut de liste de blocage

Votre domaine — et toutes les adresses IP qui lui sont associées — peut apparaître sur une ou plusieurs listes de blocage de réputation publiques pour des raisons qui n’ont rien à voir avec vous. Les causes courantes incluent les propriétaires précédents du domaine, l’historique d’hébergement ou d’IP partagé, ou une seule plainte de spam passée. Les fournisseurs de boîte de réception et les systèmes de vérification traitent les domaines listés comme à risque plus élevé, ce qui signifie qu’une entrée de liste de blocage peut être le facteur décisif dans un refus même lorsque toutes les autres parties de votre configuration sont correctes. Vérifiez votre domaine et IPs par rapport aux listes principales :

• Spamhaus DBL — liste de blocage de domaines
• SURBL — liste de blocage d’URI/domaines
• MXToolbox blacklist check — vérifie plus de 80 listes en une fois

Si vous êtes listé, chaque liste de blocage publie son propre processus de retrait. Le retrait est gratuit et se termine généralement en quelques jours. Revérifiez les listes avant de réessayer la vérification.

---

​

SSL/TLS et sécurité du site

Un certificat SSL/TLS valide est un signal de légitimité de base que recherchent les fournisseurs de boîte de réception, les filtres anti-spam et les destinataires. Un certificat expiré, manquant ou mal configuré sape la confiance dans votre domaine avant même qu’un seul e-mail ne soit évalué. Votre site doit se charger via HTTPS sans avertissement de sécurité du navigateur. Votre certificat doit être à jour, correctement configuré et émis pour le bon domaine. Les certificats gratuits de fournisseurs comme Let’s Encrypt sont tout à fait acceptables tant qu’ils sont valides et correctement en place.

---

​

Domaine et présence web

Votre configuration technique indique aux fournisseurs de boîte de réception comment votre domaine est configuré. Votre présence web leur indique, ainsi qu’à vos destinataires, qui est derrière. Un domaine avec un site web réel et accessible qui représente clairement votre organisation est un expéditeur plus fort qu’un domaine avec du contenu d’espace réservé, une page d’hébergement par défaut ou aucun site accessible. Une présence web cohérente rend également plus difficile pour les acteurs malveillants d’usurper votre marque de manière convaincante, car il existe un point de référence établi pour ce à quoi ressemble une communication légitime venant de vous. Les domaines enregistrés très récemment ou qui montrent des signes d’expiration et de réenregistrement portent moins de confiance inhérente auprès des fournisseurs de boîte de réception. Si votre domaine est nouveau, laissez le temps à cette confiance de se construire avant d’augmenter le volume d’envoi.

---

​

Construire un profil de confiance plus solide

Au-delà de la base, quelques étapes supplémentaires renforcent considérablement la réputation de votre domaine en tant qu’expéditeur.

​

Rendez l’enregistrement de votre domaine public

L’enregistrement public, avec des informations commerciales cohérentes à travers votre enregistrement, votre site web et tout profil commercial public, signale la légitimité organisationnelle. La cohérence entre ces sources compte plus que n’importe laquelle prise isolément, et rend votre domaine considérablement plus difficile à usurper de manière convaincante.

​

Couvrez votre domaine organisationnel

Si vous envoyez depuis un sous-domaine (par exemple, mail.yourdomain.com), assurez-vous que votre domaine organisationnel dispose également d’enregistrements SPF, DKIM et DMARC valides. Un sous-domaine d’envoi soutenu par un domaine parent nu sans enregistrements d’authentification est une configuration incomplète qui expose votre marque.

​

Passez DMARC de la surveillance à l’application

Si votre politique DMARC est actuellement p=none, vous collectez des données mais n’agissez pas dessus. Passer à p=quarantine ou p=reject avec une adresse de rapport active protège vos destinataires des courriers usurpés, protège la réputation de votre marque et signale aux fournisseurs de boîte de réception que vous prenez votre domaine au sérieux. Cela est considéré comme une bonne pratique aussi bien par M3AAWG que par les principaux fournisseurs de boîte de réception.

---

​

Maintenance continue

La configuration du domaine n’est pas une tâche ponctuelle. Maintenez-la à mesure que votre infrastructure évolue :

• Faites tourner les clés DKIM périodiquement pour limiter l’exposition si une clé est compromise.
• Examinez régulièrement les rapports DMARC pour détecter tôt toute utilisation non autorisée de votre domaine.
• Mettez à jour les enregistrements DNS chaque fois que vous changez de fournisseurs de messagerie, d’hébergement ou de sous-domaines.
• Renouvelez les certificats SSL avant expiration ; configurez le renouvellement automatique lorsque c’est possible.
• Revérifiez après des changements majeurs dans votre infrastructure d’envoi pour confirmer qu’aucune régression ne s’est produite.

---

​

FAQ

​

Pourquoi mon compte a-t-il été refusé ?

OneSignal utilise un fournisseur tiers de réputation de domaine pour maintenir la vérification résistante à la falsification et cohérente entre tous les clients. Pour préserver l’intégrité de ce signal, nous ne partageons pas les scores sous-jacents ni les facteurs spécifiques évalués pour un compte individuel. Ce que nous pouvons vous dire : la vérification s’appuie sur des signaux publiquement observables concernant votre domaine — enregistrements d’authentification, santé du DNS, statut de liste de blocage, configuration SSL, présence web et historique d’enregistrement. L’auto-vérification ci-dessus vous permet d’inspecter chacun de ces signaux à l’aide des mêmes outils gratuits que les fournisseurs de boîte de réception utilisent. La plupart des refus remontent à un ou deux éléments de cette liste de vérification.

​

J’ai fait l’auto-vérification et j’ai été refusé à nouveau. Quoi maintenant ?

Contactez support@onesignal.com avec un résumé de :

• Quels éléments de l’auto-vérification vous avez vérifiés, et quels outils vous avez utilisés (par ex. “MXToolbox montre que tous les enregistrements DNS passent, Spamhaus montre que mon domaine n’est pas listé”).
• Toutes les modifications que vous avez apportées entre les tentatives.
• Votre domaine d’envoi.

Le support peut examiner votre compte par rapport aux catégories générales de vérification et vous donner une direction sur quoi vous concentrer, même si nous ne pouvons pas partager les données de réputation sous-jacentes.

​

Combien de temps les changements DNS prennent-ils pour s’appliquer ?

Les changements DNS se propagent généralement en quelques heures mais peuvent prendre jusqu’à 24–48 heures pour s’appliquer globalement. Utilisez MXToolbox ou DNSChecker pour confirmer que vos enregistrements sont visibles avant de réessayer la vérification.

​

Quand puis-je réessayer la vérification ?

Vous pouvez demander une re-vérification une semaine après un refus initial. Effectuez d’abord les changements identifiés dans votre auto-vérification — réessayer sans changements produit généralement le même résultat.

​

Ai-je besoin d’un certificat SSL payant ?

Non. Les certificats gratuits de fournisseurs comme Let’s Encrypt sont pleinement acceptés tant qu’ils sont valides, à jour et émis pour le bon domaine.

​

Puis-je utiliser un domaine totalement nouveau ?

Oui, mais les domaines nouvellement enregistrés portent moins de confiance inhérente auprès des fournisseurs de boîte de réception. Si votre domaine est nouveau, complétez les étapes de configuration de ce guide et envisagez d’utiliser le Préchauffage e-mail pour construire progressivement la réputation d’envoi avant d’augmenter le volume.

---

​

Pages connexes