L’authentification des e-mails HubSpot peut sembler saine à l’intérieur de la plateforme tout en montrant des échecs d’alignement SPF dans les rapports DMARC.

C’est l’un des angles morts les plus courants pour les organisations utilisant HubSpot pour le marketing, l’automatisation des ventes, la communication CRM, l’intégration client et les campagnes de cycle de vie.

Un domaine peut apparaître connecté, vérifié ou authentifié dans HubSpot. DKIM peut être configuré. DMARC peut passer pour la plupart des messages. La délivrabilité peut sembler stable.

Mais lorsque le propriétaire du domaine examine les rapports agrégés DMARC, le flux HubSpot peut montrer une image différente :

  • SPF peut passer techniquement mais échouer l’alignement DMARC
  • L’alignement SPF peut être très faible sur le trafic HubSpot
  • DMARC peut passer principalement via DKIM
  • DKIM peut être le seul chemin d’authentification fiable
  • Un petit pourcentage de messages HubSpot peut échouer DMARC lorsque DKIM échoue ou n’est pas appliqué correctement

Cela ne signifie pas toujours que HubSpot échoue largement.

Cela signifie que l’organisation doit comprendre comment fonctionne l’authentification HubSpot dans les données réelles côté récepteur, pas seulement à l’intérieur de l’interface HubSpot.

I. Le problème central : HubSpot peut passer DMARC via DKIM, pas SPF

Schéma en cinq étapes illustrant le processus d’authentification des e-mails HubSpot, de l’envoi jusqu’à la validation DMARC via DKIM.

DMARC ne nécessite pas que SPF et DKIM passent tous les deux.

DMARC passe lorsqu’au moins une méthode d’authentification passe et s’aligne avec le domaine From visible :

  • SPF passe et s’aligne
  • DKIM passe et s’aligne

Si HubSpot signe l’e-mail avec un DKIM aligné, DMARC peut passer même lorsque SPF ne s’aligne pas.

C’est pourquoi de nombreuses organisations voient le trafic HubSpot passer DMARC globalement tout en montrant un alignement SPF faible.

Le problème apparaît lorsque DKIM ne tient pas.

Si DKIM échoue et que SPF n’est pas aligné, DMARC n’a pas de méthode d’authentification de secours. Ce message spécifique peut échouer DMARC.

C’est pourquoi un faible taux d’échec peut toujours être important.

Un domaine peut montrer seulement 0,31% de trafic HubSpot échoué, mais cet échec peut révéler une dépendance plus profonde : l’e-mail HubSpot passe principalement via DKIM, tandis que SPF n’agit pas comme une sauvegarde fiable.

II. Le passage SPF n’est pas la même chose que l’alignement SPF

Tableau comparatif de la vérification technique de réussite SPF et de l’exigence d’alignement SPF de DMARC selon quatre critères.

SPF vérifie si le serveur d’envoi est autorisé à envoyer pour le domaine return-path.

DMARC fait quelque chose de plus spécifique.

Pour que SPF aide DMARC à passer, le domaine return-path authentifié par SPF doit s’aligner avec le domaine From visible.

Cette différence compte.

Un exemple HubSpot simplifié :

From visible : [email protected]
Return-Path : [email protected]
Résultat SPF : pass
Alignement SPF avec exemple.com : fail
Résultat DKIM : pass avec d=exemple.com
Résultat DMARC : pass via DKIM

Dans ce cas, SPF peut passer techniquement, mais il n’aide pas DMARC car le domaine SPF ne s’aligne pas avec le domaine From visible.

DKIM porte le résultat DMARC.

Cela peut être acceptable si DKIM est stable, mais cela crée une dépendance.

III. Pourquoi de nombreux clients HubSpot manquent cela

De nombreux clients HubSpot ne savent pas que l’authentification de la plateforme et l’alignement DMARC ne sont pas la même chose.

À l’intérieur de HubSpot, le domaine d’envoi peut apparaître authentifié. Cela peut créer l’impression que SPF, DKIM et DMARC sont tous entièrement alignés dans tous les scénarios d’envoi.

Mais les rapports DMARC peuvent montrer une réalité plus détaillée.

Les clients supposent souvent :

  • HubSpot dit que le domaine est authentifié, donc SPF et DKIM sont tous deux alignés
  • Un domaine d’envoi connecté signifie que tout le trafic HubSpot est protégé
  • Un faible volume d’échec DMARC signifie qu’il n’y a pas de risque
  • Les échecs SPF n’ont pas d’importance si DMARC passe
  • L’infrastructure partagée n’a aucun impact sur la visibilité de l’authentification
  • Une IP dédiée résout automatiquement tous les problèmes d’authentification
  • Le passage DKIM signifie qu’il n’est pas nécessaire de surveiller l’alignement SPF

Ces hypothèses peuvent être fausses.

Un domaine HubSpot peut apparaître authentifié tandis que les rapports DMARC montrent encore que SPF n’est pas aligné pour une grande partie du flux d’envoi réel.

IV. Pourquoi cela peut avoir des répercussions sur l’envoi

Carte statistique affichant un taux d’échec DMARC HubSpot de 0,31 %, avec un taux de réussite de 100 % via DKIM et un faible niveau d’alignement SPF.

Un faible alignement SPF ne signifie pas automatiquement que l’e-mail HubSpot échouera à la livraison.

Mais cela peut créer un risque d’envoi.

Le risque apparaît lorsque les messages HubSpot reposent presque entièrement sur DKIM pour passer DMARC. Si DKIM reste sain, les messages passent. Si DKIM échoue, se casse ou est manquant sur un flux spécifique, il peut ne pas y avoir de résultat SPF aligné pour maintenir DMARC passant.

Cela peut conduire à :

  • Des taux d’échec DMARC plus élevés sur des campagnes HubSpot spécifiques
  • Un filtrage ou un rejet lorsque le domaine est à [p=quarantine]ou p=reject
  • Une résilience réduite lors du transfert ou de la modification de messages
  • Un dépannage plus difficile car HubSpot peut sembler authentifié tandis que les rapports côté récepteur montrent des échecs
  • Une confusion entre le statut d’authentification de domaine de HubSpot et les résultats d’alignement DMARC réels
  • Des messages destinés aux clients traités différemment par les fournisseurs de boîtes aux lettres réceptrices

Cela compte particulièrement pour :

  • Les campagnes de nurturing de prospects
  • L’automatisation des ventes
  • Les e-mails d’intégration client
  • Les rappels de facturation
  • Les communications de support
  • Les confirmations de webinaires
  • Les mises à jour de produits
  • Les notifications de sécurité ou de compte

Le problème n’est pas que HubSpot ne peut pas envoyer.

Le problème est que de nombreux clients ne réalisent pas que leur résultat de passage DMARC HubSpot peut dépendre principalement de DKIM tandis que SPF ne fournit pas un chemin de secours fiable.

V. Comment fonctionne l’authentification des e-mails HubSpot

HubSpot permet aux organisations de connecter un domaine d’envoi d’e-mails et de configurer des enregistrements d’authentification pour l’envoi d’e-mails.

Dans le flux d’authentification de HubSpot, les organisations peuvent configurer des enregistrements pour DKIM, SPF et DMARC selon leur configuration.

DKIM est souvent le chemin de passage DMARC le plus important pour HubSpot car DKIM peut signer les messages avec le domaine d’envoi du client.

HubSpot documente également la configuration de return-path personnalisé pour les domaines d’envoi d’e-mails. Un return-path personnalisé peut prendre en charge l’alignement SPF car DMARC vérifie si le domaine return-path s’aligne avec le domaine From visible.

Cela signifie que l’alignement SPF de HubSpot peut dépendre de la configuration du return-path, de la façon dont le domaine d’envoi est configuré et de si la configuration d’envoi d’e-mails du compte prend en charge le comportement return-path requis.

Le point à retenir pratique :

Ne demandez pas seulement si HubSpot est authentifié.

Demandez si HubSpot est aligné dans les rapports DMARC.

VI. Schémas courants d’échec SPF de HubSpot

VII. 1. SPF passe mais ne s’aligne pas

C’est le schéma le plus courant.

SPF peut passer pour le domaine d’infrastructure de HubSpot, mais le domaine return-path ne s’aligne pas avec le domaine From visible.

Résultat :

  • SPF : pass
  • Alignement SPF : fail
  • DKIM : pass
  • DMARC : pass via DKIM

Ce n’est pas un échec d’authentification total, mais cela signifie que SPF n’aide pas DMARC.

VIII. 2. DKIM passe et porte DMARC

Dans de nombreuses configurations HubSpot, DKIM est la principale raison pour laquelle DMARC passe.

Cela signifie que l’organisation doit surveiller DKIM de près.

Si DKIM est stable et aligné, le trafic HubSpot peut être sain.

Mais si DKIM se casse, le manque d’alignement SPF devient visible.

IX. 3. DKIM échoue et SPF n’est pas aligné

C’est là que les échecs DMARC apparaissent.

Résultat :

  • SPF : pass ou fail
  • Alignement SPF : fail
  • DKIM : fail
  • DMARC : fail

Cela peut n’affecter qu’un petit pourcentage du trafic, mais ces échecs peuvent être importants si le flux est destiné aux clients ou critique pour l’entreprise.

X. 4. HubSpot affiche authentifié, mais tous les flux ne se comportent pas de la même façon

Une entreprise peut authentifier un domaine d’envoi dans HubSpot, puis ajouter ultérieurement :

  • De nouvelles campagnes
  • De nouveaux workflows d’automatisation
  • De nouveaux sous-domaines
  • De nouveaux domaines connectés
  • De nouvelles équipes ou unités commerciales
  • De nouvelles intégrations
  • De nouveaux formulaires ou flux de prospects

Chaque flux ne doit pas être supposé sain parce que le domaine principal est connecté.

Les rapports DMARC doivent être utilisés pour vérifier ce qui se passe réellement.

XI. 5. Le Return-Path personnalisé est manquant ou mal configuré

Un return-path personnalisé peut aider l’alignement SPF lorsqu’il est configuré correctement.

S’il est manquant, mal configuré ou non disponible pour la configuration spécifique, SPF peut ne pas s’aligner même si DKIM passe.

Cela ne casse pas automatiquement DMARC, mais cela supprime SPF comme chemin de secours fiable.

XII. 6. L’IP dédiée est traitée comme une solution complète

Une IP dédiée peut fournir plus de contrôle sur la réputation d’envoi et le comportement return-path.

Mais une IP dédiée seule ne garantit pas l’alignement DMARC.

L’organisation a toujours besoin de :

  • Autorisation SPF correcte
  • Alignement return-path
  • Signature DKIM
  • Alignement DKIM
  • Politique DMARC
  • Enregistrements DNS
  • Surveillance

Une IP dédiée améliore le contrôle. Elle ne remplace pas la surveillance de l’authentification.

XIII. Pools d’IP partagées et comportement de réputation

HubSpot fonctionne généralement via une infrastructure d’e-mails partagée.

L’infrastructure partagée ne signifie pas automatiquement une mauvaise réputation.

Les grandes plateformes d’e-mails peuvent maintenir des pools d’envoi partagés avec des contrôles d’abus, une surveillance, une limitation et une gestion de réputation. Cependant, l’infrastructure partagée signifie que les expéditeurs ne contrôlent pas tous les signaux attachés à l’environnement d’envoi.

Cela compte lors de l’examen de l’authentification et de la délivrabilité.

L’envoi partagé introduit des considérations telles que :

  • Comportement de réputation d’IP partagée
  • Gestion des abus au niveau de la plateforme
  • Réputation de domaine spécifique à l’expéditeur
  • Qualité d’alignement DKIM
  • Qualité d’alignement SPF
  • Taux de plaintes
  • Signaux d’engagement
  • Contenu de campagne
  • Qualité de liste
  • Séparation de flux entre marketing et communication critique

L’objectif n’est pas toujours d’éviter l’infrastructure partagée.

L’objectif est de comprendre quels flux l’utilisent, s’ils s’authentifient correctement et si l’organisation a besoin de plus de contrôle pour les cas d’utilisation d’envoi critiques.

XIV. Pourquoi un faible taux d’échec compte toujours

Un faible taux d’échec DMARC HubSpot peut ne pas indiquer une panne majeure.

Par exemple, si le trafic échoué est d’environ 0,31%, l’image d’authentification globale peut toujours être stable.

Mais un faible pourcentage ne signifie pas toujours une faible importance.

Les messages échoués peuvent inclure :

  • Des communications clients de grande valeur
  • Des e-mails d’opportunité de vente
  • Des réponses de support
  • Des rappels liés à la facturation
  • Des confirmations d’événements
  • Des campagnes liées aux revenus
  • Des messages d’un sous-domaine spécifique
  • Des e-mails affectés par un problème de workflow ou de modèle

À grande échelle, un petit pourcentage peut représenter un volume significatif.

Plus important encore, de petits pourcentages d’échec peuvent révéler une dépendance structurelle.

Si la plupart du trafic HubSpot passe via DKIM et que SPF n’est pas aligné, alors l’organisation devrait traiter l’échec DKIM comme un problème prioritaire.

La bonne question n’est pas seulement :

« HubSpot passe-t-il DMARC ? »

La meilleure question est :

« Si DKIM échoue, HubSpot a-t-il une solution de secours SPF alignée ? »

Si la réponse est non, l’organisation devrait surveiller ce risque.

XV. Comment enquêter sur les échecs SPF de HubSpot

Six cartes numérotées présentant les étapes d’investigation SPF de HubSpot, de l’isolation du trafic jusqu’à l’examen de la politique DMARC.

XVI. Étape 1 : Séparer le trafic HubSpot des autres expéditeurs

N’évaluez pas l’ensemble du domaine comme un seul bloc.

Séparez le trafic HubSpot des autres expéditeurs tels que :

  • Google Workspace
  • Microsoft 365
  • Amazon SES
  • Salesforce
  • Zendesk
  • Mailchimp
  • SendGrid
  • Postmark
  • Applications personnalisées
  • Serveurs hérités

Cela empêche le comportement spécifique à HubSpot d’être caché dans la moyenne du domaine.

XVII. Étape 2 : Vérifier le passage SPF vs l’alignement SPF

Pour le trafic HubSpot, examinez :

  • SPF a-t-il passé ?
  • Quel domaine a passé SPF ?
  • Le domaine SPF s’est-il aligné avec le domaine From visible ?
  • L’alignement était-il souple ou strict ?
  • DMARC est-il passé via SPF ou DKIM ?

Le passage de SPF seul ne suffit pas.

Si SPF passe mais ne s’aligne pas, SPF n’aide pas DMARC.

XVIII. Étape 3 : Confirmer que DKIM passe et est aligné

Vérifiez si DKIM de HubSpot fait le travail DMARC.

Confirmez :

  • DKIM est présent
  • DKIM passe
  • DKIM d= s’aligne avec le domaine From visible
  • Le sélecteur correspond à la configuration HubSpot attendue
  • Tous les flux HubSpot pertinents sont couverts

Si DKIM est le principal chemin de passage DMARC, il doit être surveillé en continu.

XIX. Étape 4 : Examiner la configuration Return-Path

Examinez si HubSpot utilise un domaine return-path qui s’aligne avec le domaine From.

Si un return-path personnalisé est disponible et approprié pour le compte, configurez-le soigneusement et vérifiez les enregistrements DNS.

Un return-path personnalisé peut améliorer l’alignement SPF car DMARC évalue l’alignement SPF par rapport au domaine return-path.

XX. Étape 5 : Rechercher des échecs spécifiques au flux

Une fois le flux HubSpot principal compris, enquêtez sur le petit pourcentage d’échec.

Recherchez des schémas par :

  • Campagne
  • Sous-domaine
  • Workflow
  • IP d’envoi
  • Sélecteur DKIM
  • Type de message
  • Date et heure
  • Route de transfert
  • Domaine destinataire

Cela aide à déterminer si le problème est large, isolé ou lié à une configuration spécifique.

Étape 6 : Examiner la politique DMARC avant l’application

Si le domaine est toujours à p=none, les échecs HubSpot peuvent être visibles mais pas activement appliqués.

Si le domaine passe à p=quarantine ou p=reject, les messages mal alignés ou échoués peuvent être filtrés ou rejetés selon le fournisseur récepteur.

Avant de passer à l’application, vérifiez que HubSpot et tous les autres expéditeurs légitimes ont au moins un chemin d’authentification aligné.

Évitez de vous fier au déploiement basé sur le pourcentage comme stratégie principale. Les programmes actuels compatibles DMARC devraient échelonner l’application par domaine, sous-domaine, groupe d’expéditeurs et fonction commerciale.

Que dire aux clients sur les échecs SPF de HubSpot

La bonne explication doit être équilibrée.

Ne présentez pas le faible alignement SPF comme un échec total de HubSpot si le volume total échoué est faible.

Mais ne le rejetez pas non plus.

Une explication claire orientée client est :

Le trafic HubSpot passe principalement DMARC via DKIM. L’alignement SPF est faible sur une grande partie du flux HubSpot, ce qui signifie que SPF n’agit pas comme une solution de secours fiable. Tant que DKIM reste valide et aligné, DMARC passe. Cependant, si DKIM échoue sur un sous-ensemble de messages HubSpot, ces messages peuvent échouer DMARC car SPF n’est pas aligné. Le volume actuellement échoué peut être faible, mais l’écart d’alignement SPF doit être traité comme une préoccupation de résilience et de surveillance.

Ce libellé explique le problème sans créer d’alarme inutile.

Comment Skysnag Protect aide à identifier les échecs SPF de HubSpot

Skysnag Protect aide les organisations à comprendre comment HubSpot et d’autres expéditeurs SaaS s’authentifient réellement dans les données côté récepteur.

Au lieu de vérifier uniquement si les enregistrements DNS existent, Skysnag montre si chaque expéditeur passe SPF, DKIM et DMARC avec alignement.

Pour HubSpot, Skysnag Protect peut aider à identifier :

  • Si HubSpot passe DMARC via DKIM ou SPF
  • Si SPF passe techniquement mais échoue l’alignement
  • Quels flux HubSpot échouent DKIM
  • Si des campagnes ou sous-domaines spécifiques causent des échecs
  • Si l’alignement return-path est configuré correctement
  • Si des sources non autorisées utilisent le domaine
  • Si le comportement de l’infrastructure partagée affecte la visibilité
  • Si le domaine est prêt pour une application DMARC plus stricte

Cela compte car HubSpot peut afficher le domaine comme authentifié tandis que les rapports DMARC révèlent encore des écarts d’alignement.

Utilisez Skysnag Protect pour surveiller les échecs SPF de HubSpot, l’alignement DKIM, le comportement return-path et la préparation à l’application DMARC :

Points clés à retenir

Les échecs SPF de HubSpot ne signifient pas toujours que l’envoi d’emails HubSpot échoue globalement.

Dans de nombreux cas, le trafic HubSpot passe DMARC grâce à un DKIM aligné tandis que l’alignement SPF reste faible.

De nombreux clients manquent cela car HubSpot peut afficher le domaine comme authentifié même si les rapports DMARC montrent que SPF n’est pas aligné.

Cela peut avoir des répercussions sur l’envoi si DKIM échoue, si les messages sont modifiés, ou si le domaine évolue vers p=quarantine ou p=reject.

La réussite SPF n’est pas la même chose que l’alignement SPF. Pour que SPF aide à passer DMARC, le domaine return-path doit s’aligner avec le domaine From visible.

Un return-path personnalisé peut améliorer l’alignement SPF lorsqu’il est configuré correctement.

Une IP dédiée peut offrir plus de contrôle sur l’envoi, mais elle ne résout pas automatiquement les problèmes d’authentification ou d’alignement.

L’approche la plus sûre consiste à surveiller HubSpot via les rapports agrégés DMARC, vérifier l’alignement DKIM, examiner la configuration du return-path et identifier le faible pourcentage de messages qui échouent.

Skysnag Protect aide les organisations à détecter les échecs SPF de HubSpot, surveiller la dépendance DKIM et comprendre si le trafic HubSpot est prêt pour une application DMARC plus stricte.