Les trois plus grandes marques d’e-mail grand public d’Allemagne viennent de déplacer la barre pour quiconque envoie du courrier depuis son propre domaine. Le 6 mai 2026, les spécialistes de la délivrabilité ont signalé que 1&1 Mail & Media — la société derrière GMX, WEB.DE et mail.com — active l’application DMARC en entrée. Un courrier provenant d’un domaine qui dit « rejette-moi si j’échoue à l’authentification » sera désormais pris au mot, et renvoyé dès la porte.
Ce qui change concrètement
GMX, WEB.DE et mail.com respectent désormais la politique DMARC du domaine expéditeur. Si votre domaine publie p=reject et qu’un message se réclamant de vous échoue à la fois aux contrôles SPF et DKIM, les trois fournisseurs le rejettent pendant la transaction SMTP avec l’erreur 554 Transaction failed Reject due to domain’s DMARC policy. Auparavant, ce courrier pouvait glisser en spam, voire en boîte de réception. Désormais il n’arrive plus du tout. (Source : Spam Resource, 6 mai 2026.)
Le changement est un déploiement progressif sur les semaines suivant l’annonce de début mai, et non un interrupteur unique. Il aligne le groupe GMX sur Gmail et Yahoo, qui ont commencé à appliquer leurs règles d’expéditeur en février 2024, sur Microsoft en mai 2025 et sur La Poste en septembre 2025. Respecter p=reject est la dernière pièce — le fournisseur de boîte fait enfin ce que le domaine expéditeur a explicitement demandé.
Pourquoi c’est important pour votre boîte
Si vous lisez votre courrier sur GMX, WEB.DE ou mail.com, c’est une mise à niveau de sécurité discrète : les messages de phishing qui usurpent un domaine protégé — une banque, un service de livraison, un employeur — sont stoppés avant de vous atteindre. Si vous envoyez depuis votre propre domaine personnalisé, c’est une échéance ferme. Une politique p=reject avec une signature DKIM cassée signifie désormais que votre message vers un contact GMX ou WEB.DE se transforme silencieusement en rebond.
GMX est particulièrement strict sur ce qui compte comme authentifié. Une signature DKIM valide est obligatoire, et le domaine DKIM doit être aligné avec votre adresse d’expéditeur visible, au minimum en mode « relaxed ». SPF seul ne suffit pas — GMX déclare sans détour que « SPF seul ne suffit pas ». (Source : GMX Postmaster, consulté le 14 mai 2026.) Le scénario d’échec ici est donc précis : les domaines passés en p=reject pour le badge de sécurité sans jamais avoir fait fonctionner correctement la signature DKIM.
Ce qu’il faut faire cette semaine
Vérifiez l’enregistrement DMARC de votre domaine. S’il indique p=reject, confirmez que DKIM signe chaque message et que le domaine de signature est aligné avec votre adresse d’expéditeur — envoyez un e-mail test vers une adresse GMX ou WEB.DE et lisez les en-têtes. Si DKIM n’est pas encore solide, repassez votre politique en p=none ou p=quarantine plutôt que de laisser p=reject sur une configuration cassée.
Pour la plupart des lecteurs de ce site, vous envoyez depuis une boîte Gmail, Outlook ou GMX classique et il n’y a rien à faire — votre fournisseur authentifie vos messages pour vous. Les personnes concernées sont celles qui gèrent un domaine personnalisé : indépendants, petites entreprises, auteurs de newsletters, toute personne ayant configuré vous@votrenom.com. Si vos e-mails vers des contacts allemands commencent à disparaître, c’est la première chose à vérifier. Et si votre propre boîte a déjà rejeté du courrier entrant, notre guide sur que faire quand le stockage Gmail est plein couvre la version « réception » du même problème de rebond.
Le signal de fond est clair : en 2026, publier une politique DMARC stricte que vous ne pouvez pas réellement assumer n’est plus une exagération sans conséquence. Les fournisseurs de boîtes commencent à vous croire.
Alexis Dollé, expert e-mail depuis plus de 10 ans. Fondateur d’Email Tools. Je teste moi-même chaque client e-mail et chaque outil, puis j’en parle comme je l’expliquerais à un ami — sans blabla marketing, sans classement sponsorisé, chaque affirmation sourcée.
LinkedInQuestions fréquentes
Qu’ont annoncé GMX, WEB.DE et mail.com ? — l’application DMARC en entrée, respectant p=reject
Leur maison mère, 1&1 Mail & Media GmbH, active l’application DMARC en entrée. Si un domaine expéditeur publie une politique DMARC en p=reject et qu’un message de ce domaine échoue à l’authentification, GMX, WEB.DE et mail.com rejettent désormais le message pendant la transaction SMTP, au lieu de le livrer ou de le classer en spam.
Cela affecte-t-il les e-mails que j’envoie à des proches sur GMX ou WEB.DE ? — seulement avec votre propre domaine mal configuré
Uniquement si vous envoyez depuis votre propre domaine et que ce domaine publie p=reject alors que votre SPF ou DKIM est mal configuré. Les e-mails envoyés depuis une boîte GMX, Gmail ou Outlook classique ne sont pas concernés — ces fournisseurs authentifient vos messages pour vous.
Quel est le message de rejet exact ? — 554 Transaction failed Reject due to domain’s DMARC policy
Les e-mails non conformes sont renvoyés avec l’erreur SMTP « 554 Transaction failed Reject due to domain’s DMARC policy ». Le rebond revient à l’expéditeur, qui apprend ainsi que son message n’est pas arrivé.
Qu’exige GMX pour passer ? — une signature DKIM obligatoire et alignée
GMX rend obligatoire une signature DKIM valide, et le domaine DKIM doit être aligné avec l’adresse d’expéditeur visible, au minimum en mode « relaxed ». SPF est recommandé mais, selon GMX, « SPF seul ne suffit pas ». DMARC lui-même est recommandé pour tout propriétaire de domaine.
Est-ce une bonne ou une mauvaise nouvelle pour moi ? — protectrice en réception, une échéance en envoi
Si vous ne faites que recevoir du courrier sur GMX, WEB.DE ou mail.com, c’est une bonne nouvelle — moins de messages usurpés se faisant passer pour votre banque arriveront. Si vous envoyez depuis votre propre domaine, c’est une échéance : corrigez votre authentification maintenant, sinon vos e-mails vers ces boîtes rebondiront.
Quand l’application commence-t-elle ? — un déploiement progressif déjà en cours
1&1 décrit un déploiement progressif sur les semaines suivant l’annonce de début mai 2026, plutôt qu’une date de bascule unique. Considérez que c’est déjà en cours et vérifiez votre configuration dès maintenant.