Quand les e-mails WordPress (formulaire de contact, réinitialisation de mot de passe) ou WooCommerce (commande, facture, statut) atterrissent en spam, le problème vient rarement du « contenu » seul. Le plus souvent, il s’agit d’authentification de domaine (SPF, DKIM, DMARC), d’alignement du domaine expéditeur, ou d’une émission via une méthode peu fiable. Les exigences Gmail et Yahoo ont renforcé ces points, en particulier pour les envois en volume.
La méthode ci-dessous s’applique à une PME en Suisse romande, que vos clients soient à Lausanne et Nyon (Vaud), Genève et Carouge (Genève), Fribourg et Bulle (Fribourg), Sion et Martigny (Valais), Neuchâtel et La Chaux-de-Fonds (Neuchâtel), Delémont et Porrentruy (Jura).
Sources officielles : Google (Email sender guidelines), Yahoo (Sender Best Practices), Gmail Postmaster Tools, IETF (RFC 7208 SPF), IETF (RFC 6376 DKIM), IETF (RFC 7489 DMARC), IETF (RFC 8058 One-click), WordPress (wp_mail).
1) Comprendre le trio SPF, DKIM, DMARC (en 60 secondes)
- SPF indique quels serveurs ont le droit d’envoyer des e-mails pour votre domaine (contrôle côté « MAIL FROM »).
- DKIM signe cryptographiquement vos messages (intégrité + responsabilité du domaine signataire).
- DMARC relie SPF/DKIM au domaine visible dans le champ From:, et définit une politique (surveillance, quarantaine, rejet).
Point clé : DMARC demande un alignement avec le domaine From:. Autrement dit, un SPF « OK » ou un DKIM « OK » n’est pas suffisant si ce n’est pas le bon domaine qui authentifie le From:.
2) Pourquoi WordPress envoie parfois des e-mails peu fiables
WordPress envoie des e-mails via wp_mail(). Un retour « true » signifie que l’envoi a été traité, pas que l’e-mail a bien été livré en boîte de réception. Selon le serveur, l’envoi peut partir sans authentification correcte, avec un From: générique, ou via une configuration SMTP non adaptée.
3) Méthode de correction en 5 étapes (sans se disperser)
Étape 1 : lister tous les expéditeurs (le piège le plus courant)
Avant de toucher au DNS, lister tout ce qui envoie au nom de votre domaine : site WordPress, WooCommerce, formulaire, outil newsletter, CRM, facturation, prestataire de paiement, etc. Un seul oubli (ex. newsletter) peut casser DMARC si la politique devient stricte.
Étape 2 : stabiliser le From: (même domaine, même identité)
Choisir une adresse expéditrice cohérente (ex. [email protected]) et éviter les adresses « wordpress@serveur » ou « no-reply » non maîtrisées. Le domaine du From: doit être celui que vous authentifiez via SPF/DKIM/DMARC.
Étape 3 : publier SPF (sans dépasser les limites)
SPF se publie en TXT. Il doit inclure les serveurs autorisés. Attention : un domaine doit avoir un seul SPF effectif (un seul enregistrement TXT SPF). Si plusieurs systèmes envoient, on regroupe via include: ou ip4/ip6 selon les consignes des prestataires.
# Exemple SPF (à adapter selon vos prestataires)
v=spf1 include:spf.exemple-prestataire.tld -allÉtape 4 : activer DKIM (et vérifier la signature)
DKIM se met en place via votre service d’envoi (serveur mail, ESP, etc.) qui vous fournit des enregistrements DNS (sélecteur + clé publique). Une fois publié, vérifier que les e-mails sortants portent bien une signature DKIM et qu’elle passe.
Étape 5 : démarrer DMARC en surveillance, puis durcir progressivement
DMARC se publie en TXT sur _dmarc.votre-domaine.ch. Démarrer avec p=none permet de collecter des rapports (rua) sans bloquer. Ensuite, passer à quarantine, puis éventuellement reject, quand tout est aligné.
# Exemple DMARC (à adapter)
v=DMARC1; p=none; rua=mailto:[email protected]; adkim=s; aspf=s; pct=100Astuce pratique : si plusieurs outils envoient, ne passez pas en reject avant d’avoir vu, via les rapports, que tout ce qui doit passer est correctement authentifié et aligné.
4) Gmail et Yahoo : ce qui compte en pratique (et comment le suivre)
- Authentification : Google et Yahoo recommandent SPF, DKIM et DMARC, avec alignement DMARC.
- Désinscription : pour certains volumes, Google demande la prise en charge du one-click unsubscribe (List-Unsubscribe + List-Unsubscribe-Post).
- Taux de spam : Google recommande de rester très bas et d’éviter d’atteindre des seuils élevés.
Pour suivre votre réputation et votre spam rate côté Gmail, Postmaster Tools fournit des tableaux de bord (spam rate, réputation, authentification). C’est utile avant une campagne locale (Vaud, Genève, Valais) ou une période de ventes (Noël, soldes), quand le volume monte.
5) Checklist rapide (30 minutes) pour un site WordPress ou une boutique WooCommerce
- Un seul domaine expéditeur principal (From:) et cohérent sur WordPress + WooCommerce.
- SPF publié (un seul enregistrement SPF effectif, incluant tous les expéditeurs).
- DKIM actif sur le service d’envoi et signatures présentes sur les e-mails sortants.
- DMARC publié (p=none au départ), puis durcissement progressif.
- Si envoi marketing en volume : one-click unsubscribe prêt.
- Suivi Gmail : Postmaster Tools activé sur le domaine.
FAQ Délivrabilité e-mails WordPress (Suisse romande)
Pourquoi mes e-mails WooCommerce arrivent en spam à Genève, Fribourg ou Neuchâtel ?
Le lieu n’est généralement pas la cause. Les raisons classiques sont : absence de DKIM, SPF incomplet, DMARC manquant, ou From: non aligné avec SPF/DKIM. Une correction DNS + un expéditeur stable règle souvent une grande partie du problème.
Dois-je installer un plugin SMTP sur WordPress ?
Souvent, oui, si l’envoi natif du serveur n’est pas fiable. L’important est surtout d’envoyer via un service capable de signer DKIM et de respecter l’alignement DMARC, puis de garder une configuration simple (un seul chemin d’envoi, pas de doublons).
Je veux activer DMARC en reject, est-ce risqué ?
Oui si vous n’avez pas inventorié tous les expéditeurs. Commencer par p=none (surveillance) est plus prudent. Une fois tous les flux alignés, durcir progressivement évite des blocages silencieux.
Le one-click unsubscribe concerne-t-il aussi des e-mails transactionnels ?
Il vise surtout les e-mails marketing et d’abonnement. Cela dit, garder une segmentation propre (transactionnel vs marketing) et respecter les recommandations des fournisseurs réduit les plaintes spam, ce qui protège aussi les e-mails transactionnels.
Besoin de fiabiliser vos e-mails WordPress et WooCommerce ?
Pour diagnostiquer SPF/DKIM/DMARC, stabiliser le From:, corriger l’alignement, et vérifier vos signaux Gmail (Postmaster Tools), contactez clickclick.ch.
