Côté authentification précisément, SPF et DKIM sont obligatoires. Ce n'est plus une situation soit/ou : SPF spécifie quels serveurs peuvent envoyer en votre nom, tandis que DKIM ajoute une signature numérique pour prouver que l'email provient de votre domaine et n'a pas été modifié.

Un piège courant de conformité est l'échec de l'alignement DMARC. SPF et DKIM peuvent chacun réussir indépendamment, mais s'ils authentifient un domaine différent de l'adresse « From » visible, DMARC échoue quand même. Cet désalignement seul suffit à déclencher un rejet.

Les seuils de taux de spam sont tout aussi stricts. Google s'attend à ce que les expéditeurs maintiennent leur taux de spam en dessous de 0,1 %. Si votre taux atteint 0,3 %, vous perdez l'accès au support d'atténuation de Gmail jusqu'à ce que vous mainteniez les taux en dessous de ce seuil pendant sept jours consécutifs.

Postmaster Tools v2 : La réputation ne suffit plus

En octobre 2025, Google a retiré le tableau de bord Postmaster Tools hérité et a lancé Postmaster Tools v2, décalant l'accent de la « Réputation » du domaine vers le « Statut de conformité ». Les anciens scores de réputation Élevé/Moyen/Faible ne vous protègent plus. Si votre statut de conformité affiche Échec, vos messages courent un risque réel de rejet.

Auparavant, la réputation de l'expéditeur était le facteur de délivrabilité clé. Maintenant, la conformité technique est le nouveau gardien. Un domaine avec des années d'historique d'envoi de bonne qualité mais un enregistrement DMARC mal configuré verra ses messages rejetés.

Google intègre désormais les détails de rejet SMTP dans les rapports d'agrégation DMARC, ce qui signifie que vous pouvez examiner les défaillances de livraison au niveau organisationnel sans parcourir les flux de journaux SMTP individuels. Cette visibilité rend le diagnostic des lacunes de conformité plus rapide, mais seulement si vous les surveillez activement.

Gmail n'agit pas seul

Ce n'est pas une mesure politique isolée. Yahoo et Apple ont annoncé des exigences d'authentification similaires aux côtés de Google en février 2024. Microsoft s'est joint au mouvement de contrôle en mai 2025, annonçant que les emails non conformes vers les comptes Outlook.com, live.com et hotmail.com seraient rejetés activement plutôt que filtrés dans les spams.

Ces quatre fournisseurs servent collectivement environ 90 % des utilisateurs de courrier électronique grand public et professionnel au niveau mondial. Respecter les exigences de Gmail maintenant signifie respecter la norme de base pour tout l'écosystème de courrier électronique commercial.

Comme le note Valimail, l'alignement entre les fournisseurs contribue à égaliser les règles du jeu : les mauvais acteurs et les expéditeurs négligents sont plus susceptibles d'être filtrés, tandis que les expéditeurs légitimes et authentifiés sont plus susceptibles de voir une meilleure livraison en boîte de réception. L'authentification, DMARC et les bonnes pratiques d'envoi ne sont plus facultatifs.

Ce qu'il faut faire maintenant

Pour les propriétaires d'entreprises et les équipes marketing, la liste de contrôle d'audit est simple :

1. Vérifiez que SPF et DKIM sont configurés pour chaque domaine d'envoi, y compris tous les outils tiers comme votre CRM ou fournisseur de services d'email.
2. Vérifiez l'alignement DMARC : confirmez que le domaine dans votre en-tête « From » correspond à votre domaine authentifié SPF ou DKIM. Votre politique DMARC doit être au minimum p=none, avec une progression vers p=quarantine ou p=reject.
3. Confirmez des enregistrements PTR valides afin que votre IP d'envoi se résout vers le nom d'hôte correct.
4. Auditez votre flux de désinscription : la fonctionnalité de désinscription en un clic doit respecter les exigences RFC 8058, et les demandes de désinscription doivent être traitées dans les 48 heures.
5. Surveillez Postmaster Tools v2 quotidiennement : le tableau de bord Statut de conformité donne aux expéditeurs en masse une visibilité en temps réel sur la façon dont ils se mesurent par rapport aux exigences de Gmail.

Les organisations qui ont traité les conseils de 2024 comme facultatifs subissent désormais les conséquences. Le calendrier était public, les exigences étaient claires, et le contrôle a rattrapé son retard. Pour toute équipe dont les revenus dépendent de la livraison des emails dans les boîtes de réception Gmail, la fenêtre pour traiter l'authentification comme un élément du carnet de commandes est fermée.

Côté authentification précisément, SPF et DKIM sont obligatoires. Ce n'est plus une situation soit/ou : SPF spécifie quels serveurs peuvent envoyer en votre nom, tandis que DKIM ajoute une signature numérique pour prouver que l'email provient de votre domaine et n'a pas été modifié.

Un piège courant de conformité est l'échec de l'alignement DMARC. SPF et DKIM peuvent chacun réussir indépendamment, mais s'ils authentifient un domaine différent de l'adresse « From » visible, DMARC échoue quand même. Cet désalignement seul suffit à déclencher un rejet.

Les seuils de taux de spam sont tout aussi stricts. Google s'attend à ce que les expéditeurs maintiennent leur taux de spam en dessous de 0,1 %. Si votre taux atteint 0,3 %, vous perdez l'accès au support d'atténuation de Gmail jusqu'à ce que vous mainteniez les taux en dessous de ce seuil pendant sept jours consécutifs.

Postmaster Tools v2 : La réputation ne suffit plus

En octobre 2025, Google a retiré le tableau de bord Postmaster Tools hérité et a lancé Postmaster Tools v2, décalant l'accent de la « Réputation » du domaine vers le « Statut de conformité ». Les anciens scores de réputation Élevé/Moyen/Faible ne vous protègent plus. Si votre statut de conformité affiche Échec, vos messages courent un risque réel de rejet.

Auparavant, la réputation de l'expéditeur était le facteur de délivrabilité clé. Maintenant, la conformité technique est le nouveau gardien. Un domaine avec des années d'historique d'envoi de bonne qualité mais un enregistrement DMARC mal configuré verra ses messages rejetés.

Google intègre désormais les détails de rejet SMTP dans les rapports d'agrégation DMARC, ce qui signifie que vous pouvez examiner les défaillances de livraison au niveau organisationnel sans parcourir les flux de journaux SMTP individuels. Cette visibilité rend le diagnostic des lacunes de conformité plus rapide, mais seulement si vous les surveillez activement.

Gmail n'agit pas seul

Ce n'est pas une mesure politique isolée. Yahoo et Apple ont annoncé des exigences d'authentification similaires aux côtés de Google en février 2024. Microsoft s'est joint au mouvement de contrôle en mai 2025, annonçant que les emails non conformes vers les comptes Outlook.com, live.com et hotmail.com seraient rejetés activement plutôt que filtrés dans les spams.

Ces quatre fournisseurs servent collectivement environ 90 % des utilisateurs de courrier électronique grand public et professionnel au niveau mondial. Respecter les exigences de Gmail maintenant signifie respecter la norme de base pour tout l'écosystème de courrier électronique commercial.

Comme le note Valimail, l'alignement entre les fournisseurs contribue à égaliser les règles du jeu : les mauvais acteurs et les expéditeurs négligents sont plus susceptibles d'être filtrés, tandis que les expéditeurs légitimes et authentifiés sont plus susceptibles de voir une meilleure livraison en boîte de réception. L'authentification, DMARC et les bonnes pratiques d'envoi ne sont plus facultatifs.

Ce qu'il faut faire maintenant

Pour les propriétaires d'entreprises et les équipes marketing, la liste de contrôle d'audit est simple :

1. Vérifiez que SPF et DKIM sont configurés pour chaque domaine d'envoi, y compris tous les outils tiers comme votre CRM ou fournisseur de services d'email.
2. Vérifiez l'alignement DMARC : confirmez que le domaine dans votre en-tête « From » correspond à votre domaine authentifié SPF ou DKIM. Votre politique DMARC doit être au minimum p=none, avec une progression vers p=quarantine ou p=reject.
3. Confirmez des enregistrements PTR valides afin que votre IP d'envoi se résout vers le nom d'hôte correct.
4. Auditez votre flux de désinscription : la fonctionnalité de désinscription en un clic doit respecter les exigences RFC 8058, et les demandes de désinscription doivent être traitées dans les 48 heures.
5. Surveillez Postmaster Tools v2 quotidiennement : le tableau de bord Statut de conformité donne aux expéditeurs en masse une visibilité en temps réel sur la façon dont ils se mesurent par rapport aux exigences de Gmail.

Les organisations qui ont traité les conseils de 2024 comme facultatifs subissent désormais les conséquences. Le calendrier était public, les exigences étaient claires, et le contrôle a rattrapé son retard. Pour toute équipe dont les revenus dépendent de la livraison des emails dans les boîtes de réception Gmail, la fenêtre pour traiter l'authentification comme un élément du carnet de commandes est fermée.