Comment configurer SPF, DKIM & DMARC dans FirstSales
Authentifiez votre domaine d'envoi avec SPF, DKIM et DMARC pour que votre cold email soit fiable, atteigne la boîte de réception et ne soit pas rejeté comme usurpé.
- 1
Ouvrir l'onglet Technical
Ouvrez votre boîte mail d'envoi sur la page Connectors et allez dans l'onglet Technical. C'est ici que FirstSales vérifie les trois enregistrements DNS qui prouvent que vous êtes autorisé à envoyer depuis votre domaine : SPF, DKIM et DMARC.
Sans eux, les fournisseurs de messagerie traitent votre mail comme suspect — l'alerte "Email authentication not set up" avertit que les emails "may land in spam or be rejected." C'est le réglage de délivrabilité au plus fort effet de levier.

- 2
Ajouter les trois enregistrements à votre DNS
L'onglet liste un enregistrement pour chaque protocole à ajouter chez l'hébergeur DNS de votre domaine :
- SPF — Sender Policy Framework : "Declares which servers may send mail for your domain."
- DKIM — DomainKeys Identified Mail : signe cryptographiquement le mail sortant pour empêcher la falsification.
- DMARC — Domain-based Message Authentication : "Tells receivers what to do when SPF or DKIM fail."
Copiez chaque enregistrement chez votre fournisseur DNS (GoDaddy, Namecheap, Cloudflare, etc.). Une barre de score pondéré suit votre progression — SPF 34%, DKIM 33%, DMARC 33% — pour voir où vous en êtes.
- 3
Sur Cloudflare ? Ajoutez les enregistrements en un clic
Si FirstSales détecte que votre domaine est sur Cloudflare, l'onglet affiche "This domain is on Cloudflare" et un bouton Add to Cloudflare qui écrit les enregistrements pour vous après autorisation — sans copier-coller manuel.
Pour les connecteurs password/relay, il existe aussi Managed DKIM (Enable Managed DKIM), où FirstSales gère la clé de signature DKIM.
- 4
Vérifier que les enregistrements sont en ligne
Après avoir ajouté les enregistrements, faites défiler jusqu'à Verify DNS Records — "After adding the records above, click below to confirm they are live." Cliquez sur Check DNS Records. Chaque protocole affiche réussite ou échec ; quand les trois passent, vous verrez "All checks passed!"
Si quelque chose échoue, ne paniquez pas — "DNS changes can take up to 48 hours to propagate." Attendez et utilisez Re-check DNS Records.
- 5
Volume élevé ? L'authentification est obligatoire
Si une boîte mail envoie plus de 5 000 emails/jour, l'onglet affiche une bannière rouge : l'authentification est "Required for senders over 5,000 emails/day." Gmail et Yahoo rejetteront le mail en masse non authentifié avec l'erreur
550-5.7.26.En dessous de ce seuil, c'est "Strongly recommended for all senders" — autrement dit : faites-le quand même. La prospection à froid vit ou meurt sur la délivrabilité, et ces trois enregistrements en sont le fondement.
Astuces de pro
Des raccourcis chèrement acquis pour garder le préchauffage sur la bonne voie.
Les trois, pas un seul
SPF, DKIM et DMARC comptent chacun pour un tiers du score, et ce n'est pas un hasard — les fournisseurs veulent les trois. Une authentification partielle vous fait quand même filtrer ; complétez l'ensemble.
Laissez le temps au DNS avant de revérifier
Un échec juste après l'ajout des enregistrements signifie généralement la propagation. Les changements peuvent prendre jusqu'à 48 heures — attendez, puis relancez Re-check, avant de conclure que l'enregistrement est faux.
Cloudflare en un clic évite le copier-coller
Si votre domaine est sur Cloudflare, utilisez « Add to Cloudflare » — il écrit tous les enregistrements pour vous et supprime la source de fautes de frappe la plus courante.
Plus de 5k/jour rend cela non négociable
Gmail et Yahoo rejettent le mail en masse non authentifié (550-5.7.26). Si vous envoyez en volume, l'authentification n'est pas optionnelle — configurez-la avant de passer à l'échelle.
Questions fréquentes
Où configurer SPF, DKIM et DMARC ?
Dans l'onglet Technical du connecteur. Il liste les enregistrements SPF, DKIM et DMARC exacts à ajouter chez l'hébergeur DNS de votre domaine, puis vérifie qu'ils sont en ligne.
Que fait chaque enregistrement ?
SPF déclare quels serveurs peuvent envoyer pour votre domaine ; DKIM signe cryptographiquement votre mail pour empêcher la falsification ; DMARC indique aux destinataires quoi faire quand SPF ou DKIM échoue. Ensemble, ils prouvent que votre mail est légitime.
Comment le score d'authentification est-il calculé ?
Il est pondéré : SPF 34%, DKIM 33%, DMARC 33%. Une authentification complète (les trois validés) atteint 100% ; l'onglet Details étiquette les paliers 'Fully Authenticated', 'Partially Protected' et 'Not Secured'.
J'ai ajouté les enregistrements mais la vérification échoue — pourquoi ?
Le plus souvent, le DNS n'a pas encore propagé : les changements peuvent prendre jusqu'à 48 heures. Attendez, puis cliquez sur Re-check DNS Records. Si ça échoue encore après, recopiez l'enregistrement exactement comme affiché.
Mon domaine est sur Cloudflare — y a-t-il un raccourci ?
Oui. Quand FirstSales détecte Cloudflare, utilisez le bouton Add to Cloudflare pour écrire les enregistrements automatiquement après autorisation, au lieu de les ajouter à la main.
Qu'est-ce que Managed DKIM ?
Pour les connecteurs password/relay, Enable Managed DKIM permet à FirstSales de gérer la clé de signature DKIM pour vous plutôt que de gérer l'enregistrement DKIM manuellement.
L'authentification est-elle obligatoire ?
Pour les expéditeurs de plus de 5 000 emails/jour, oui — Gmail et Yahoo rejettent le mail en masse non authentifié avec 550-5.7.26. En dessous, c'est fortement recommandé pour tout le monde ; l'omettre envoie votre mail en spam.
Une configuration non vérifiée m'empêche-t-elle d'envoyer ?
Non — la vérification est consultative et ne vous empêche jamais de quitter la page ou d'envoyer. Mais le mail non authentifié atterrit en spam ou est rejeté, donc traitez-le comme obligatoire en pratique.
Prêt à passer à la pratique ?
Démarrez votre essai FirstSales et lancez une boîte mail préchauffée et authentifiée en quelques minutes.
Commencer pour 1 $