📍 Article principal : Mailcow vs Mailu vs Stalwart pour PME. Ce tutoriel détaille la configuration complète SPF, DKIM, DMARC, MTA-STS, ARC et BIMI pour atteindre une délivrabilité maximale auprès de Gmail et Microsoft.
La délivrabilité est l’enjeu décisif d’un serveur email auto-hébergé. Sans configuration soignée des protocoles d’authentification, les courriels professionnels finissent silencieusement en spam chez Gmail (60 % du marché mondial) et Microsoft 365 (20 %). Le client ne reçoit jamais le devis, ne valide jamais la commande, ne lit jamais la réponse à sa demande. La PME perd du chiffre d’affaires sans même comprendre pourquoi. Ce tutoriel détaille les six protocoles d’authentification et de réputation à configurer correctement, dans l’ordre optimal, avec validation à chaque étape.
Prérequis
- Serveur Mailcow déjà déployé (voir tutoriel déploiement)
- Domaine principal et accès aux DNS
- Reverse DNS correctement configuré côté hébergeur
- Compte Postmaster Tools Google et Microsoft SNDS pour le suivi
- Niveau : intermédiaire
- Temps estimé : 3 à 4 heures + 2 à 4 semaines pour le warmup
Étape 1 — SPF (Sender Policy Framework)
SPF déclare quelles adresses IP sont autorisées à envoyer du courriel au nom du domaine. La syntaxe est concise mais structurante. La configuration recommandée pour Mailcow : v=spf1 mx ~all. Le mécanisme mx autorise tous les serveurs déclarés en MX du domaine — typiquement le serveur Mailcow lui-même. Le qualificateur ~all signale que tout autre source devrait échouer en soft-fail (le destinataire peut choisir de quarantiner mais pas rejeter automatiquement).
Pour les PME qui utilisent aussi des services tiers (Brevo, Mailjet pour les newsletters), inclure leurs SPF dans la chaîne : v=spf1 mx include:spf.brevo.com ~all. Attention au DNS lookup limit de SPF qui plafonne à 10 — chaque include compte. Si la chaîne devient trop longue, utiliser SPF flattening qui résout les includes en IPs directes. Plusieurs services en ligne (DNSStuff, MXToolbox) automatisent ce processus.
Vérifier la publication SPF avec dig TXT masociete.sn et avec mail-tester.com qui valide la syntaxe. Toute erreur dans le SPF se traduit immédiatement en perte de délivrabilité — soigner la précision.
Étape 2 — DKIM (DomainKeys Identified Mail)
DKIM signe cryptographiquement chaque courriel sortant pour prouver qu’il vient bien du domaine déclaré et qu’il n’a pas été modifié en transit. Mailcow génère automatiquement la paire de clés (privée stockée en interne, publique à publier dans le DNS) lors de l’ajout d’un domaine. Récupérer la clé publique dans Configuration → Domaines → DKIM, copier la valeur complète, créer un enregistrement DNS de type TXT avec le nom dkim._domainkey.masociete.sn.
Choisir une longueur de clé de 2048 bits (par défaut Mailcow) plutôt que 1024 — meilleure sécurité cryptographique, mieux acceptée par les filtres modernes. Le sélecteur par défaut dkim peut être renommé pour la rotation périodique de clés (par exemple dkim2026), bonne pratique pour la sécurité long terme. La rotation annuelle des clés DKIM se fait depuis l’interface Mailcow en quelques clics et améliore la posture de sécurité globale.
Vérifier la signature DKIM en envoyant un courriel test vers une adresse Gmail puis en consultant l’en-tête source. La ligne Authentication-Results doit afficher dkim=pass. En cas d’échec, vérifier l’enregistrement DNS, les permissions sur la clé privée Mailcow, et l’absence de proxy intermédiaire qui modifierait le contenu.
Étape 3 — DMARC (Domain-based Message Authentication)
DMARC s’appuie sur SPF et DKIM pour définir une politique en cas d’échec d’authentification. Trois modes possibles. Premier : none — monitoring uniquement, aucun rejet, parfait pour démarrer et collecter des rapports sans risque. Deuxième : quarantine — les destinataires placent en spam les messages qui échouent DMARC. Troisième : reject — les messages échouant sont totalement rejetés.
; Démarrer toujours par none _dmarc.masociete.sn. TXT "v=DMARC1; p=none; rua=mailto:dmarc@masociete.sn; ruf=mailto:dmarc@masociete.sn; pct=100; aspf=r; adkim=r"
L’adresse rua reçoit les rapports agrégés (un par jour par destinataire). L’adresse ruf reçoit les rapports forensiques par message (à utiliser uniquement temporairement pour debug, sinon volume énorme). Démarrer en none pendant deux semaines minimum, lire les rapports via un parser comme dmarcian.com ou parsedmarc auto-hébergé, identifier les sources légitimes oubliées (newsletter, services tiers, applications transactionnelles).
Une fois les rapports stables et propres, basculer en quarantine avec pct=10 pour appliquer la politique sur 10 % du trafic seulement. Surveiller les rapports pendant deux semaines, monter à 50 %, puis 100 %. Enfin, basculer en reject pour la protection maximale. Cette progression sur deux à trois mois évite les blocages massifs en cas de configuration oubliée.
Étape 4 — MTA-STS (Mail Transfer Agent Strict Transport Security)
MTA-STS impose le chiffrement TLS aux serveurs distants qui envoient des courriels vers le domaine — protection contre les attaques de downgrade qui forcent le SMTP en clair. Configurer en deux étapes. Premier : publier un fichier de politique sur https://mta-sts.masociete.sn/.well-known/mta-sts.txt avec le contenu :
version: STSv1 mode: enforce mx: mail.masociete.sn max_age: 604800
Deuxième étape : publier l’enregistrement DNS qui pointe vers ce fichier : _mta-sts.masociete.sn. TXT "v=STSv1; id=2026042901". L’identifiant change à chaque modification de la politique, force le re-cache côté destinataires. Activer aussi TLS-RPT pour recevoir les rapports d’échec TLS : _smtp._tls.masociete.sn. TXT "v=TLSRPTv1; rua=mailto:tlsrpt@masociete.sn". Mailcow supporte nativement MTA-STS — l’activer dans Configuration → Domaines → MTA-STS.
Étape 5 — ARC (Authenticated Received Chain)
ARC préserve les résultats d’authentification SPF/DKIM/DMARC quand un courriel transite par plusieurs serveurs intermédiaires (forwards, listes de diffusion). Sans ARC, un courriel forwardé peut perdre son authentification originale et finir en spam au destinataire final. Mailcow active ARC automatiquement depuis la version 2024 — vérifier dans la configuration Postfix qu’ARC est bien activé.
L’impact d’ARC reste modéré pour la majorité des PME mais devient significatif pour les services qui forwardent beaucoup (alias multiples, listes de diffusion internes). Pour ces cas, la configuration ARC sauve la délivrabilité quand l’authentification originale échoue à cause des modifications de transit (ajout de footer, modification de Subject par certains forwards).
Étape 6 — BIMI (Brand Indicators for Message Identification)
BIMI affiche le logo de la PME à côté du courriel chez le destinataire (Gmail, Yahoo, principalement). Cette amélioration visuelle augmente la confiance et le taux d’ouverture. Configuration en trois étapes. Premier : avoir DMARC en quarantine ou reject minimum (pré-requis BIMI). Deuxième : créer un logo SVG carré conforme aux spécifications BIMI (Tiny SVG profile, fond opaque, dimensions 1:1). Troisième : publier l’enregistrement DNS : default._bimi.masociete.sn. TXT "v=BIMI1; l=https://masociete.sn/logo-bimi.svg".
Pour bénéficier pleinement de BIMI chez Gmail (qui demande VMC, Verified Mark Certificate), il faut acheter un certificat délivré par DigiCert ou Entrust autour de 1 500 USD par an. Investissement justifié uniquement pour les PME qui envoient beaucoup de courriels marketing ou qui veulent démarquer leur marque. Sans VMC, BIMI fonctionne quand même chez Yahoo et certains autres opérateurs — gain marketing modéré mais sans coût.
Étape 7 — Warmup IP et réputation
Une nouvelle IP n’a aucune réputation chez les filtres antispam. Envoyer 1 000 courriels le premier jour signe le spam à coup sûr. La pratique du warmup : démarrer doucement avec 50 à 100 courriels par jour la première semaine, doubler chaque semaine pendant un mois pour atteindre le volume cible. Cette montée progressive bâtit une réputation positive auprès de Gmail et Microsoft.
Surveiller la réputation via les outils dédiés. Google Postmaster Tools (gratuit, demande la vérification du domaine) affiche le taux de spam, l’authentification, la réputation IP et domaine côté Gmail. Microsoft SNDS (Smart Network Data Services) fournit l’équivalent côté Microsoft. Les outils tiers MXToolbox, Spamhaus, SenderScore consolidant la réputation auprès de multiples filtres. Surveiller ces outils chaque semaine pendant le warmup, mensuellement après stabilisation.
Diagnostic des rapports DMARC
Les rapports DMARC arrivent quotidiennement dans la boîte rua au format XML compressé. Lire ces rapports manuellement est fastidieux — utiliser un parser pour les exploiter pleinement. Trois options. dmarcian.com propose un service en ligne avec un quota gratuit suffisant pour la plupart des PME — uploader les rapports XML et obtenir un dashboard visuel des sources d’envoi, taux de pass-through, sources non autorisées. parsedmarc est l’alternative open source auto-hébergée — déployer dans Coolify avec Elasticsearch et Kibana pour avoir une vue locale complète. postmark et valimail proposent des services commerciaux plus complets pour les organisations qui ont besoin de fonctionnalités avancées.
Que cherche-t-on dans ces rapports ? Premier : les sources d’envoi inattendues. Si un service tiers utilisé par le marketing apparaît avec un taux de pass-through faible, c’est qu’il faut configurer SPF/DKIM côté ce service. Deuxième : les tentatives de spoofing — quelqu’un qui usurpe le domaine pour envoyer des courriels frauduleux. La transition vers DMARC reject bloque ces attaques. Troisième : les anomalies temporelles, baisses brutales du volume légitime ou pics suspects qui révèlent un problème opérationnel.
Authentification multifacteur côté DNS
Au-delà des protocoles email standards, deux protections DNS renforcent la posture sécuritaire. DNSSEC signe cryptographiquement les enregistrements DNS du domaine — protection contre les attaques de type DNS poisoning qui pourraient rediriger les courriels vers un serveur malveillant. La configuration se fait au niveau du registrar et demande la coordination avec l’hébergeur DNS. Quelques registrars Sénégal et Côte d’Ivoire supportent DNSSEC en 2026, vérifier auprès du sien.
DANE (DNS-based Authentication of Named Entities) ajoute une vérification cryptographique du certificat TLS du serveur via le DNS, en complément des autorités de certification classiques. DANE protège contre les attaques de man-in-the-middle même en cas de compromission d’une CA. Configuration via un enregistrement TLSA pointant vers le hash du certificat. Mailcow supporte DANE nativement — l’activer dans la configuration TLS si le domaine bénéficie de DNSSEC.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| SPF en -all sans test | Politique trop stricte dès le départ | Démarrer en ~all, basculer en -all après deux semaines |
| DKIM signature absente | Mauvaise clé publiée ou Mailcow mal configuré | Re-générer la clé Mailcow, republier le DNS, attendre la propagation |
| DMARC reject dès le début | Pas de phase monitoring préalable | Démarrer toujours par p=none pendant deux semaines minimum |
| Reverse DNS générique | Hébergeur n’a pas configuré le PTR | Configurer manuellement dans le panel Hetzner |
| Warmup ignoré | Envoi massif dès le premier jour | Volume progressif sur 4 semaines minimum |
Adaptation au contexte ouest-africain
Pour les PME ouest-africaines hébergées chez Hetzner, vérifier que la plage IP attribuée n’est pas blacklistée par défaut. Spamhaus et SORBS sont les blacklists les plus impactantes — un check rapide via MXToolbox confirme la situation. En cas de blacklist, demander à Hetzner une nouvelle IP en plage propre — l’opération est gratuite et prend quelques heures. Pour les hébergements souverains au Sénégal ou en Côte d’Ivoire, la situation est généralement meilleure car les plages locales reçoivent moins de spam global.
Stratégie long terme de réputation
La réputation email se construit sur la durée mais peut s’effondrer en quelques heures. Quatre comportements à éviter absolument. Premier : envoyer à des listes non vérifiées qui contiennent beaucoup d’adresses invalides — le hard bounce rate doit rester sous 5 %, idéalement sous 2 %. Utiliser un service de validation (NeverBounce, ZeroBounce) avant tout envoi marketing massif.
Deuxième : utiliser des contenus trop commerciaux ou des phrases déclencheuses (urgent, cliquez ici, gratuit, gagnez). Les filtres antispam analysent le contenu autant que l’authentification. Troisième : oublier le lien de désabonnement obligatoire pour tout email marketing — Gmail et Microsoft pénalisent fortement les expéditeurs sans List-Unsubscribe. Quatrième : envoyer aux mêmes destinataires qui marquent comme spam ou n’ouvrent jamais. Nettoyer régulièrement les listes des comptes inactifs depuis plus de six mois protège la réputation globale du domaine.
Cas pratique de remontée de réputation
Que faire si la réputation chute après un incident — campagne mal ciblée, compte compromis qui a envoyé du spam, ajout récent dans une blacklist ? La récupération demande méthode et patience. Premier réflexe : identifier la cause via Postmaster Tools et MXToolbox, isoler la source du problème, désactiver les comptes ou processus à l’origine. Deuxième : réduire drastiquement le volume d’envoi pendant deux à quatre semaines, le temps que les filtres réajustent leur perception.
Troisième : demander la sortie des blacklists via les formulaires officiels (Spamhaus, SORBS, Barracuda). Le processus prend quelques jours et exige généralement de prouver la résolution du problème. Quatrième : relancer doucement comme un nouveau warmup. Cette procédure de remontée prend typiquement un à deux mois — une raison de plus pour soigner la prévention plutôt que de subir la cure.
L’investissement dans une posture de délivrabilité saine paie des dividendes commerciaux concrets en taux d’ouverture, taux de clic et taux de conversion qui se transforment chaque mois en chiffre d’affaires additionnel mesurable.
Pour aller plus loin
🔝 Retour à l’article principal : Mailcow vs Mailu vs Stalwart pour PME. Tutoriel précédent : déployer Mailcow sur Hetzner.
Outils de validation : mail-tester.com, mxtoolbox.com, postmaster.google.com. La délivrabilité est un travail de durée : la configuration initiale pose les bases, mais la surveillance continue maintient la qualité face aux évolutions des filtres antispam. Une PME qui investit deux à trois heures par mois dans ce suivi conserve une délivrabilité optimale pendant des années, ce qui se traduit directement en taux de conversion commerciale et en image professionnelle auprès des clients institutionnels exigeants.