Le ticket HubSpot Support ne servira à rien. Le warning Unverified Sender qu’Outlook affiche sur vos emails HubSpot n’est pas un dysfonctionnement de la plateforme : c’est Outlook qui signale une insuffisance d’authentification dans votre propre zone DNS. Depuis le 5 mai 2025, Microsoft a durci ses règles : les emails qui échouent aux contrôles SPF, DKIM et DMARC ne tombent plus en Junk, ils sont rejetés avec le code 550 5.7.515. Avant d’écrire à votre ESP, voici comment localiser la cause en moins de 20 minutes.
Ce qu’Outlook vérifie exactement quand il affiche « Unverified Sender »
Outlook ne produit pas ce warning au hasard. Le filtre Microsoft analyse trois signaux dans cet ordre : est-ce que le domaine du champ From (5322.From) a un enregistrement SPF valide ? Est-ce que la signature DKIM est présente et alignée sur ce même domaine ? Est-ce qu’une politique DMARC publiée dit quoi faire en cas d’échec ?
Le point que beaucoup ratent : SPF seul ne suffit plus. Quand vous envoyez via HubSpot, l’enveloppe SMTP (5321.MailFrom) utilise un domaine HubSpot (bounces.hubspot.com ou similaire), pas votre domaine. SPF passe donc sur le domaine HubSpot, pas sur votre domaine. Pour que l’alignement DMARC soit satisfait, DKIM doit signer avec votre domaine. Ce qui ne se produit que si vous avez publié les deux enregistrements CNAME que HubSpot vous fournit dans votre DNS.
SPF « valide » en théorie, DKIM absent ou mal configuré, DMARC sans alignement à s’appuyer dessus. Outlook affiche le warning.
Les 5 causes du warning et comment les identifier
Avant tout diagnostic, ouvrez l’en-tête complet d’un email reçu dans Outlook (Fichier > Propriétés > En-têtes Internet). Les champs Authentication-Results vous indiquent exactement ce qui passe et ce qui échoue. Voici les 5 configurations défaillantes les plus courantes, avec leur signature dans les en-têtes.
| Cause | Signal dans Authentication-Results | Action DNS requise |
|---|---|---|
| CNAME DKIM manquants (non publiés) | dkim=none : aucune signature détectée |
Publier les 2 enregistrements CNAME fournis dans HubSpot > Settings > Domains & URLs > Connect a domain > Email sending |
| CNAME DKIM publiés mais non vérifiés dans HubSpot | dkim=fail ou dkim=temperror |
Attendre propagation DNS (jusqu’à 48h), puis cliquer « Verify » dans HubSpot. Vérifier l’absence de TTL trop élevé chez votre registrar. |
| Pas de politique DMARC publiée | dmarc=none ou absence de champ DMARC |
Publier un enregistrement TXT v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com sur _dmarc.votredomaine.com |
| Double enregistrement DMARC | dmarc=permerror |
Supprimer l’enregistrement DMARC en doublon. Un seul TXT commençant par v=DMARC1 doit exister. |
| Taux de plaintes > 0,3 % | Auth passe, warning persiste côté réputation | Consulter Microsoft SNDS (Smart Network Data Services) pour l’IP sortante HubSpot concernée. Nettoyer la liste, exclure les inactifs. |
Comment vérifier l’état de vos enregistrements en 5 minutes
Deux outils suffisent pour couvrir la majorité des cas.
MXToolbox : entrez votre domaine dans « Email Health » pour un audit SPF, DKIM et DMARC en un seul passage. L’outil signale les doublons DMARC et les syntaxes incorrectes dans SPF, comme un mécanisme +all qui invalide toute politique.
Pour DKIM spécifiquement, HubSpot utilise les sélecteurs hs1 et hs2. Vous pouvez vérifier leur présence avec une requête DNS directe : dig hs1._domainkey.votredomaine.com CNAME. Si la réponse est vide, les enregistrements n’ont pas été publiés côté registrar.
Mail-tester.com va plus loin : envoyez un vrai email depuis HubSpot vers l’adresse de test générée. Le rapport indique si SPF passe sur le bon domaine, si DKIM est signé et aligné et si DMARC peut s’appuyer sur l’un ou l’autre. C’est le seul outil qui teste le flux réel plutôt que les enregistrements en isolation.
Ce que les vérificateurs DNS seuls ne détectent pas : un timeout DNS côté Microsoft. Les serveurs de Microsoft effectuent la résolution CNAME vers TXT pour DKIM avec un délai très court. Un TTL élevé ou une zone DNS lente peut provoquer un dkim=temperror intermittent. Les enregistrements sont bons mais Microsoft abandonne la vérification avant d’obtenir la réponse. Réduire le TTL à 300 secondes chez votre registrar suffit souvent à stabiliser la situation.
La mention « via hubspot.com » et le warning Unverified Sender sont deux problèmes différents
La confusion est fréquente dans les forums. Le texte « via hubspot.com » qui apparaît dans le nom de l’expéditeur est un affichage cosmétique lié à l’absence d’alignement SPF : il disparaît quand DKIM est correctement configuré, parce qu’Outlook cesse alors de mentionner le domaine d’envoi réel. Le warning Unverified Sender répond à une logique distincte.
Le warning Unverified Sender apparaît quand Outlook ne peut valider l’identité de l’expéditeur via aucun des trois mécanismes. Les deux problèmes peuvent coexister mais leur correction n’est pas identique. Publier les CNAME DKIM résout généralement aussi le warning, sauf si le taux de plaintes est la cause sous-jacente.
Ce que les exigences Microsoft de mai 2025 changent concrètement
Avant mai 2025, un email qui échouait à l’authentification atterrissait dans le dossier Junk. Les destinataires pouvaient encore le recevoir. Depuis le 5 mai 2025, Microsoft a modifié ce comportement — initialement ciblant les expéditeurs de plus de 5 000 messages par jour, puis étendu à l’ensemble des expéditeurs : les emails non conformes sont rejetés en 550, pas filtrés. Les hard bounces augmentent, la réputation d’expéditeur se dégrade et HubSpot peut suspendre l’envoi si le taux de hardbounce dépasse son propre seuil.
La plainte récurrente dans les forums HubSpot Community, « mes emails fonctionnaient en mars, ils ne passent plus depuis mai », reflète exactement ce changement. Les paramètres DNS n’ont pas changé ; c’est Microsoft qui a durci l’application des règles.
EasyDMARC et PowerDMARC ont documenté ce changement en avril 2025 : le seuil de tolérance au spam communément cité complaint rate est fixé à 0,3 % maximum et Microsoft Postmaster Tools est l’outil de référence pour surveiller la réputation des IPs sortantes chez Outlook.
Quand ouvrir un ticket HubSpot (et quand ne pas le faire)
HubSpot Support peut intervenir sur deux points précis : vérifier si votre domaine est bien connecté côté HubSpot et confirmer si vos enregistrements CNAME sont détectés comme publiés dans leur système.
Tout ce qui concerne votre zone DNS (publication des enregistrements, TTL, doublons DMARC) relève de votre registrar ou de votre hébergeur DNS, pas de HubSpot. Tout ce qui concerne la réputation IP ou le seuil de plaintes relève de Microsoft SNDS ou de votre stratégie de nettoyage de liste. Ouvrir un ticket HubSpot pour un problème DNS ou de réputation IP allonge le délai de résolution de plusieurs jours sans rien débloquer.
Un test avec Mail-tester.com, une vérification MXToolbox et 15 minutes dans votre zone DNS résolvent 4 cas sur 5 avant même que le ticket soit attribué à un agent.
La prochaine contrainte à surveiller : Microsoft recommande MTA-STS (Mail Transfer Agent Strict Transport Security) comme couche de sécurité complémentaire pour les domaines d’envoi B2B, un protocole que SPF, DKIM et DMARC ne couvrent pas et que peu de guides de délivrabilité mentionnent encore.
