Selon le rapport Validity 2025, seulement 83,5 % des emails atteignent la boite de réception à l’échelle mondiale, l’ecommerce présentant un taux de classement en spam de 6,11 %, parmi les plus élevés de toutes les industries mesurées. Pour les marchands Shopify, la cause la plus fréquente est un trou de configuration DNS précis que la documentation officielle mentionne sans l’expliquer entièrement. Shopify configure automatiquement SPF et DKIM via des enregistrements CNAME mais ne crée pas de politique DMARC pour votre domaine. Sans DMARC, Gmail, Yahoo et Microsoft ne peuvent pas valider que votre domaine est bien protégé. Depuis mai 2025, les rejets sont permanents (erreurs 550), pas seulement des reports temporaires.
Ce guide couvre l’intégralité du diagnostic : authentification DNS, gestion des ESPs tiers, IP reputation tier, complaint rate et seedlist. Dans l’ordre opérationnel.
Pourquoi Shopify ne résout pas tout l’authentification automatiquement
Les deux CNAME que Shopify vous demande d’ajouter délèguent l’authentification SPF et DKIM à ses serveurs. Ce que Shopify ne publie pas : l’enregistrement DMARC. Sans lui, même avec SPF et DKIM corrects, votre domaine reste invisible aux agrégateurs de réputation. Depuis février 2024, Google et Yahoo exigent au minimum p=none. Depuis mai 2025, les emails non conformes reçoivent des rejets 550 définitifs.
La vérification prend trente secondes :
dig TXT _dmarc.votredomaine.comSi la réponse est vide, vous n’avez pas de DMARC. Ajoutez cet enregistrement TXT comme point de départ :
_dmarc.votredomaine.com TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-ruf@votredomaine.com; fo=1"p=none n’applique aucune politique punitive mais active le reporting. Vous commencez à recevoir des rapports XML agrégés (RUA) qui montrent quels serveurs envoient au nom de votre domaine. C’est la donnée fondamentale avant de passer à p=quarantine ou p=reject.
Le problème SPF avec plusieurs ESPs tiers
La limite RFC 7208 est de 10 lookups DNS maximum par évaluation SPF. Chaque ESP ajouté consomme au moins 1 lookup, certains include: cascadent eux-mêmes d’autres includes. Un enregistrement Shopify + Klaviyo + SendGrid + Zendesk atteint facilement 12-14 lookups, résultat : PermError, échec d’authentification. Vérifiez votre comptage sur mxtoolbox.com/spf.aspx avant de toucher autre chose.
- Aplatir le SPF en remplaçant les include: par les plages IP directes de chaque ESP. Attention : les IPs des ESPs changent, cette approche demande une maintenance active.
- Déléguer à un service de macro SPF comme dmarcian ou AutoSPF, qui maintient dynamiquement un enregistrement aplati via un seul include.
- Consolider vos ESPs. Si vous utilisez Shopify Email, Klaviyo et un outil transactionnel séparé, évaluez si la séparation est justifiée. Chaque ESP supplémentaire ajoute un vecteur de misconfiguration.
À noter : le ~all (softfail) en fin d’enregistrement SPF est toléré par Gmail mais Microsoft Exchange le traite différemment de -all. Si vos taux d’inbox sont faibles sur Outlook et Hotmail spécifiquement, c’est un angle d’investigation pertinent.
Vérifier l’alignement DMARC, pas juste SPF et DKIM isolément
Un diagnostic courant consiste à vérifier SPF et DKIM indépendamment et à conclure que l’authentification est correcte. C’est un angle mort fréquent. Ce qui compte pour DMARC, c’est l’alignement : le domaine dans le header From: doit correspondre soit au domaine signataire DKIM, soit au domaine SPF MAIL FROM.
Shopify utilise un domaine d’envoi technique (*.myshopify.com ou un relais interne) qui peut ne pas correspondre à votre domaine personnalisé si la configuration CNAME est incomplète ou si vous envoyez via un sous-domaine non couvert. Pour vérifier l’alignement réel, envoyez un email test à une adresse Gmail et affichez les headers complets (icône … puis Afficher l’original). Cherchez les lignes :
Authentication-Results: mx.google.com;
dkim=pass header.d=votredomaine.com;
spf=pass smtp.mailfrom=votredomaine.com;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=votredomaine.comSi dmarc=fail ou dmarc=bestguesspass apparaît, l’alignement est insuffisant malgré des passes SPF/DKIM individuels. bestguesspass mérite une attention particulière : Google accorde un pass partiel quand aucune politique DMARC n’est publiée sur le domaine expéditeur mais il évalue quand même l’alignement à titre indicatif. Cette mention dans les headers signifie que si vous publiez un jour une politique p=reject, vos emails commenceront à être bloqués, parce que l’alignement sous-jacent échoue déjà. L’outil mail-tester.com génère un score détaillé et identifie l’écart d’alignement en clair, avec le domaine DKIM réellement utilisé et le domaine MAIL FROM.
IP reputation tier et warm-up Shopify
Shopify partage ses plages IP d’envoi entre des millions de marchands. Votre réputation d’IP dépend donc partiellement du comportement de vos voisins sur l’infrastructure, ce que les postmasters appellent l’IP reputation tier. Google Postmaster Tools (gratuit) permet de visualiser la réputation IP et la réputation de domaine séparément.
Pour les nouveaux domaines ou les domaines qui reprennent un envoi après une pause, le warm-up reste une nécessité technique. Les serveurs destinataires accumulent des données comportementales sur votre domaine avant d’accorder une place stable en boite de réception. Un calendrier de warm-up conservateur pour un domaine Shopify :
| Semaine | Volume quotidien max | Segment cible | Complaint rate cible |
|---|---|---|---|
| Semaine 1 | 50 emails/jour | Acheteurs actifs 90 jours | < 0,05 % |
| Semaine 2 | 200 emails/jour | Acheteurs actifs 180 jours | < 0,08 % |
| Semaine 3 | 1 000 emails/jour | Actifs 12 mois | < 0,08 % |
| Semaine 4+ | Volume normal | Liste complète hygienisée | < 0,10 % |
Le seuil de complaint rate recommandé par Google est 0,1 %, pas la limite d’enforcement à 0,3 %. En pratique, dépasser 0,1 % durablement commence à dégrader la réputation de domaine dans Google Postmaster Tools avant même que les rejets 550 apparaissent.
Si vous n’avez pas accès à un FBL (Feedback Loop) direct, Shopify ne l’expose pas nativement. Activez Google Postmaster Tools sur votre domaine et surveillez la rubrique Spam Rate à J+1 après chaque envoi significatif.
Hygiène de liste et emails transactionnels
Les emails transactionnels (confirmation de commande, expédition, mot de passe) partagent la réputation du même domaine que vos envois marketing. Un vecteur de contamination fréquent : les adresses collectées via checkout avec des fautes de frappe (gnail.com, hotmial.com) ou des adresses temporaires. Shopify valide le format mais ne vérifie pas l’existence de l’adresse. Sur 10 000 commandes, le taux d’invalides peut dépasser 2-4 %. Chaque hard bounce sur une confirmation de commande s’impute directement sur le score de réputation du domaine et les montées en charge rapides (Black Friday, lancements produit) amplifient cet effet.
Pour limiter le risque : validation en temps réel au checkout via NeverBounce, ZeroBounce ou Emailable ; suppression automatique des adresses ayant généré un hard bounce (Shopify le fait nativement pour les emails marketing, à vérifier côté ESP tiers) ; surveillance hebdomadaire du taux de bounce via les rapports Shopify Email. Un taux de bounce supérieur à 2 % sur les transactionnels est un signal d’alerte immédiat, indépendamment de votre taux sur les campaigns marketing.
Seedlist et diagnostic de placement avant envoi
La seedlist est l’outil de diagnostic que la plupart des guides marketing sur Shopify ne mentionnent jamais. C’est un ensemble d’adresses email de test couvrant les principaux fournisseurs, Gmail, Outlook, Yahoo, Apple Mail et Orange en France, sur lesquelles vous envoyez votre campagne en avance pour mesurer le placement réel : inbox primaire, onglet Promotions, spam ou absence.
Des outils comme GlockApps, Litmus ou Mailtrap permettent de configurer une seedlist et d’obtenir un rapport de placement en moins de dix minutes. Le résultat est directement interprétable. Si votre email atterrit en spam sur Microsoft mais pas sur Gmail, le problème est soit la réputation IP sur le réseau Microsoft (Outlook, Hotmail, Live), soit un enregistrement d’authentification spécifique non reconnu par leur MTA.
Le rapport Valimail 2026 sur l’état du DMARC indique que seulement 42 % des domaines ont DMARC en mode enforcement (p=quarantine ou p=reject), malgré une prise de conscience à 78 %. En Online Retail, ce chiffre monte à 72,73 %. Ce secteur a convergé vers des standards plus stricts et les domaines qui restent à p=none sans plan de progression s’exposent progressivement à des filtres plus agressifs des destinataires.
Un workflow de seedlist efficace pour Shopify :
- Configurer GlockApps ou Mailtrap avec au minimum 20 adresses couvrant Gmail, Outlook, Yahoo et Apple Mail
- Envoyer la campagne sur la seedlist 24h avant l’envoi réel
- Analyser le rapport : inbox rate, spam rate, catégorisation par onglet
- Si spam rate > 10 % sur un provider spécifique, vérifier les headers de l’email test pour identifier le vecteur (alignement DMARC, contenu, réputation IP)
- Corriger et re-tester avant l’envoi production
Passer DMARC de p=none à p=reject : le calendrier recommandé
Rester indéfiniment à p=none est une demi-mesure. La politique n’offre aucune protection contre l’usurpation de domaine et certains fournisseurs, dont Microsoft depuis mai 2025, commencent à traiter les domaines sans enforcement actif comme moins fiables.
Le passage progressif suit une logique simple : analysez les rapports RUA pendant deux à quatre semaines pour cartographier tous les flux légitimes qui envoient au nom de votre domaine (Shopify, Klaviyo, votre ESP transactionnel, vos outils de notification). Chaque flux non couvert par SPF ou DKIM échouera quand vous activez p=quarantine ou p=reject.
- Publier p=none avec rua= pointant vers une boite dédiée ou un agrégateur (dmarcian, Postmark DMARC, Valimail)
- Attendre 14 jours de rapports RUA. Identifier tous les include: SPF manquants et toutes les signatures DKIM absentes
- Corriger les flux non alignés : ajouter les includes SPF, configurer DKIM pour les ESPs manquants
- Passer à p=quarantine; pct=10, qui applique la politique à 10 % du trafic non aligné, limitant l’impact en cas de flux manqué
- Augmenter pct progressivement (25 %, 50 %, 100 %) sur deux à trois semaines en surveillant le spam rate dans Postmaster Tools
- Passer à p=reject; pct=100 une fois le spam rate stable sous 0,05 %
BIMI (Brand Indicators for Message Identification) devient disponible uniquement à p=reject avec un VMC (Verified Mark Certificate). L’adoption BIMI reste à 4 % selon Valimail 2026, ce qui en fait un différenciateur visible dans Gmail et Apple Mail pour les domaines qui complètent l’authentification.
Questions fréquentes sur les emails Shopify en spam
Mes emails de confirmation de commande finissent en spam. Est-ce que SPF et DKIM suffisent ?
SPF et DKIM sont nécessaires mais insuffisants si DMARC n’est pas publié. Les emails transactionnels peuvent aussi déclencher les filtres anti-spam pour des raisons indépendantes de l’authentification : rapport texte/lien trop déséquilibré, liens de tracking non sécurisés (HTTP) ou inclusion de domaines liés à des listes noires dans les URLs de l’email. Vérifiez l’alignement DMARC en analysant les headers complets avant d’investiguer le contenu.
Shopify Email et Klaviyo sur le même domaine : comment éviter les conflits SPF ?
Vous ne pouvez avoir qu’un seul enregistrement SPF par domaine. Combinez tous les includes en une seule ligne TXT, vérifiez le nombre de lookups DNS avec MXToolbox et passez à un aplatissement SPF si vous dépassez 10 lookups. Klaviyo recommande également de configurer une signature DKIM dédiée via leur interface pour que l’alignement DMARC soit assuré côté DKIM même si SPF ne couvre pas leur plage IP.
Mon domaine était sur Spamhaus. Comment demander le retrait ?
Le formulaire de retrait Spamhaus SBL (Spamhaus Block List) est accessible sur spamhaus.org/lookup. Le traitement prend généralement 24 à 72 heures. Avant de soumettre, identifiez et corrigez la source du listing : Spamhaus motive chaque entrée SBL avec un diagnostic. Soumettre sans avoir corrigé le problème source entraîne un re-listing rapide.
Pourquoi mes emails passent sur Gmail mais sont bloqués sur Outlook ?
Microsoft applique ses propres règles de réputation IP via le réseau Outlook/Hotmail/Live, distinctes de celles de Gmail. Les deux vecteurs les plus courants : un enregistrement PTR (reverse DNS) manquant sur l’IP d’envoi ou une présence sur les listes Spamhaus XBL ou PBL. Google Postmaster Tools ne couvre que Gmail ; pour Outlook, utilisez le portail SNDS (Smart Network Data Services) de Microsoft, qui affiche le statut de réputation par plage IP directement.
Les emails renvoyés (forwarded) perdent l’authentification. Que faire ?
C’est un cas classique avec les listes de diffusion et les redirections d’adresses. Quand un email est transféré par un serveur intermédiaire, la signature DKIM reste valide si le corps du message n’est pas modifié mais SPF échoue parce que l’IP d’envoi change. DMARC peut alors passer en échec, même si le message original était correctement authentifié. L’ARC (Authenticated Received Chain) est le mécanisme conçu pour ce cas : les serveurs intermédiaires qui ont adopté ARC préservent une trace d’authentification signée du message original. Gmail et Microsoft prennent ARC en charge depuis 2022 ; Shopify et la plupart des ESPs populaires l’ont déployé côté réception, mais pas forcément côté envoi sur les plans de base.
Si votre domaine passe tous ces contrôles et que les scores seedlist continuent de baisser, le contenu de l’email lui-même est la prochaine variable à examiner.
