L’email reste, en 2026, le canal principal de communication professionnelle et transactionnelle. Pourtant, beaucoup d’organisations négligent l’infrastructure qui le porte — au point que leurs messages finissent en spam, que des escrocs usurpent facilement leur domaine, ou que leurs campagnes marketing voient leur taux d’ouverture s’effondrer sans qu’on en comprenne la cause. Notre rôle de partenaire technique sur ce sujet est de mettre en place avec vous une infrastructure email solide, authentifiée et monitorée, adaptée à vos vrais usages.
Comment on collabore
Une mission infrastructure email démarre par un audit complet de l’existant. Nous regardons votre configuration DNS (MX, SPF, DKIM, DMARC, MTA-STS, TLS-RPT), nous testons votre délivrabilité depuis plusieurs providers (Gmail, Outlook, Yahoo, ProtonMail), nous analysons votre historique d’envoi sur les outils utilisés, et nous collectons quelques rapports DMARC si déjà configurés. Cet audit révèle systématiquement entre cinq et quinze points à corriger.
Nous cartographions ensuite tous les expéditeurs légitimes de votre domaine. C’est l’étape la plus longue et la plus importante : un domaine est typiquement utilisé pour envoyer depuis votre boîte Google Workspace ou Microsoft 365, votre CRM (HubSpot, Pipedrive), votre outil de facturation (Stripe, Pennylane), votre outil de signature électronique, vos campagnes marketing (Brevo, Mailchimp), votre plateforme de support (Zendesk, Intercom), parfois votre ERP, et plusieurs autres. Tous doivent être authentifiés correctement avant d’activer DMARC en mode strict.
Ce qu’on construit ensemble
SPF d’abord : déclarer qui a le droit d’envoyer pour votre domaine. Cela consiste à lister dans un enregistrement DNS tous les serveurs et services autorisés. Attention au piège classique : SPF limite à 10 lookups DNS, et beaucoup de configurations dépassent silencieusement cette limite — résultat, plus rien ne valide. Nous optimisons avec des techniques comme le flattening si nécessaire.
DKIM ensuite : chaque email part avec une signature cryptographique liée à votre domaine, vérifiable par le destinataire. Nous activons DKIM sur tous vos expéditeurs (Google Workspace propose ça nativement, comme la plupart des services), avec rotation régulière des clés sur les sujets sensibles.
DMARC enfin : la politique qui dit aux destinataires quoi faire
des emails qui ne passent ni SPF ni DKIM. Nous démarrons toujours en
mode p=none avec rapports activés (rua=mailto:...), puis nous
agrégeons les rapports pendant 4 à 8 semaines pour identifier les
sources légitimes manquantes. Une fois la cartographie complète,
nous passons en quarantine puis reject. Cette progression évite
les ruptures de service email.
Selon les enjeux, nous activons aussi BIMI (affichage du logo dans Gmail, Yahoo, Apple Mail), avec certificat VMC pour les marques qui peuvent l’investir, et MTA-STS (forcer TLS sur les MX entrants). Sur le volet outils, nous orientons selon le profil d’envoi : Postmark ou Resend pour le transactionnel ultra-fiable, Mailgun ou SendGrid pour les volumes importants, Brevo ou Mailjet pour les structures préférant la souveraineté française, Amazon SES pour les coûts plancher avec exigence technique.
Notre approche partenaire
Nous restons pragmatiques sur le choix des outils. Pas de préférence dogmatique pour un éditeur particulier — nous comparons ce qui est pertinent dans votre contexte (volume, profil transactionnel ou marketing, intégrations existantes, contraintes de localisation des données). Pour la plupart des PME et scale-ups, un mix Google Workspace ou Microsoft 365 pour les boîtes humaines + Postmark ou Resend pour le transactionnel + Brevo pour le marketing fonctionne très bien.
Côté monitoring, nous mettons en place un outil de lecture des rapports DMARC (dmarcian, Postmark DMARC Digest, EasyDMARC, ou un parser maison si vous préférez). Ces rapports remontent en continu les tentatives d’usurpation de votre domaine et les expéditeurs défaillants — c’est la seule vraie boussole de santé email. Sans ça, on configure à l’aveugle.
Sur la réputation IP, nous orientons par défaut vers des passerelles mutualisées de qualité (Postmark, Resend) plutôt que vers de l’IP dédiée. Une IP dédiée demande un warm-up patient et une discipline d’envoi régulière pour rester réputée. Pour la plupart des structures, l’IP partagée d’un acteur sérieux est plus performante.
Quelques réalisations
- Caneva — mise en place complète de l’infrastructure email d’une plateforme métier interne, alignement SPF / DKIM / DMARC sur l’ensemble des expéditeurs.
- Maison Stuart — infrastructure email d’une maison de marque, avec exigences fortes sur la délivrabilité transactionnelle et marketing.
- Playstables — infrastructure email d’une plateforme communautaire, transactionnels et notifications cadrés sur la réputation IP.
- MyEscapeBoard — configuration email d’un SaaS B2B avec alignement DMARC progressif et monitoring continu.
- Bigoudice — mise en place de l’email associatif avec un budget contraint et une équipe bénévole.
- Angelaw — email d’une plateforme juridique en ligne, confidentialité, traçabilité et signature électronique intégrées.
Au-delà de ces missions, l’infrastructure email est un sujet qu’on règle pour la plupart de nos clients SaaS et e-commerce — parfois en amont du lancement, parfois en correction après des problèmes de délivrabilité. Cas récurrents : SPF dépassant les 10 lookups, DMARC absent ou en mode none oublié, expéditeurs marketing non alignés, signatures DKIM faibles, certificats TLS sur MX entrants manquants. Une mission de quelques jours suffit généralement à remettre les choses en ordre, puis quelques heures par trimestre pour le suivi.
Et après la mise en place
L’infrastructure email se maintient. De nouveaux outils sont intégrés à votre stack au fil du temps, et chacun doit être authentifié avant de pouvoir envoyer pour votre compte. Les standards évoluent aussi (MTA-STS récent, ARC en montée). Nous proposons un suivi trimestriel léger pour intégrer les nouveaux expéditeurs au SPF et au DKIM, surveiller les rapports DMARC, ajuster les politiques selon les évolutions Google / Microsoft (comme les exigences renforcées de février 2024), et valider que la délivrabilité reste haute sur les principaux providers.