Authentification SPF, DKIM et DMARC

Lorsque vous envoyez des e-mails, les fournisseurs de boîtes de messagerie (tels que Gmail, Outlook, AOL et Yahoo) doivent déterminer si le message est un e-mail légitime envoyé par le propriétaire ou l’adresse e-mail du nom de domaine ou un faux e-mail envoyé par un spammeur ou un hameçonneur. Cela inclut les e-mails envoyés par ActiveCampaign.

Avant d’entrer dans le vif des méthodes d’authentification, assurez-vous que vous utilisez un domaine d’envoi valide (existant et établi) dont vous êtes le propriétaire : votre domaine doit avoir plus de 30 jours et diriger vers un site web valide, et non vers une page blanche.

Il est également essentiel que ce domaine dispose d’un enregistrement MX : cet enregistrement indique le serveur d’e-mail chargé d’accepter les e-mails au nom d’un nom de domaine. 

Votre domaine d'envoi est-il valide et possède-t-il un enregistrement MX ? Il est temps de l'authentifier !

Il existe trois méthodes établies pour vérifier l’identité de l’expéditeur. Il s’agit de SPF, DKIM et DMARC. À partir de février 2024, Gmail et Yahoo exigeront DKIM et DMARC pour les utilisateurs qui envoient plus de 5 000 e-mails par jour. Cependant, ActiveCampaign recommande vivement à tous les expéditeurs de mettre en place DKIM et DMARC. Outre cette exigence forte, il existe de nombreux avantages supplémentaires

• Renforcez votre image de marque
  Vous pouvez renforcer votre image de marque en supprimant l’en-tête « via... » de Gmail. La mise en place de l’authentification DKIM a pour effet positif de faire disparaître cet en-tête.
  
  
• Construire une réputation d’expéditeur d’e-mails avec votre nom de domaine
  Envoyer des e-mails sans authentification, c’est comme rendre un devoir sans votre nom. Vous avez peut-être réussi le travail, mais vous ne pouvez pas vous en attribuer le mérite si votre nom n’y figure pas. L'authentification DKIM, en particulier, contribue à établir votre réputation en tant qu'expéditeur d'email.
• Renforcer la sécurité de votre nom de domaine
  Les normes d’authentification telles que DMARC permettent de protéger votre nom de domaine contre une utilisation potentiellement frauduleuse.

L’authentification de l’e-mail ne résout pas tous les problèmes de délivrabilité, comme le fait que le destinataire veuille ou non recevoir l’e-mail. Cependant, l’authentification résout le problème de la détermination de l’identité de l’expéditeur de l’e-mail.

Un expéditeur qui respecte les meilleures pratiques, telles que l’envoi d’e-mails personnalisés de haute qualité à une liste opt-in et la mise en place d’une hygiène régulière de la liste, obtiendra généralement un taux de délivrabilité plus élevé lorsqu’il utilise l’authentification des e-mails. Leur domaine se forgera une réputation de bon expéditeur auprès des destinataires qui souhaitent s’engager dans leurs e-mails.

Un expéditeur qui ne suit pas les meilleures pratiques, comme l’utilisation d’une liste louée ou achetée, qui n’envoie pas de messages clairs pendant la procédure opt-in sur le type d’e-mails qui seront envoyés et à quelle fréquence, ou qui n’effectue jamais d’hygiène de la liste, verra généralement son taux de délivrabilité diminuer avec l’authentification des e-mails. Leur domaine peut se construire une réputation d’expéditeur d’e-mails indésirables.

L’authentification permet aux bons expéditeurs de consolider leur réputation et de protéger leur domaine contre les mauvais expéditeurs qui pourraient essayer de le détourner.

SPF

Les enregistrements SPF (Sender Policy Framework) sont des enregistrements TXT sur votre domaine qui autorisent des serveurs spécifiques à envoyer des e-mails en utilisant votre nom de domaine. ActiveCampaign configure automatiquement SPF pour tous les clients. Cela signifie que vous n’avez pas besoin de créer un enregistrement SPF ou de modifier un enregistrement existant pour travailler avec ActiveCampaign. Cela s’applique même si vous utilisez un domaine personnalisé.

Si vous souhaitez toujours ajouter ActiveCampaign à votre enregistrement SPF existant (même si ce n'est pas nécessaire), vous pouvez ajouter « include:emsd1.com » à votre enregistrement SPF actuel. Par exemple, si vous envoyez des e-mails à partir de G Suite et d’ActiveCampaign, votre enregistrement SPF pourrait ressembler à ceci :

v=spf1 include:emsd1.com include:_spf.google.com ~all

Vous ne pouvez créer qu'un seul enregistrement SPF pour votre nom de domaine. Si vous disposez déjà d’un enregistrement SPF, vous devrez le modifier au lieu d’en créer un nouveau.

Pour en savoir plus, consultez ce guide SPF détaillé de notre équipe Postmark.

DKIM

DKIM (Domain Keys Identified Mail) est une signature que tout expéditeur peut appliquer à ses e-mails. Cette signature indique clairement que l’expéditeur présumé de l’e-mail en est bien l’expéditeur. Vous pouvez utiliser n'importe quel domaine comme signature. Par exemple, une entreprise appelée « Dog Bandanas » signera ses e-mails avec le domaine « dogbandanas.com » pour confirmer que l’e-mail a été envoyé par « Dog Bandanas ».

Pour ce faire, une signature cryptographique cachée est insérée dans l’en-tête de votre e-mail (ActiveCampaign s’en charge), puis une clé publique est placée sur votre site web pour vérifier l’authenticité de cette signature.

Tous les e-mails envoyés par ActiveCampaign utiliseront par défaut la signature DKIM d’ActiveCampaign. La signature DKIM d’ActiveCampaign jouit d’une excellente réputation et est suffisante pour la plupart des expéditeurs. Cependant, il est facile de configurer DKIM pour votre domaine si vous le souhaitez.

Pour en savoir plus sur DKIM, vous pouvez consulter le guide DKIM détaillé de notre équipe Postmark.

Nous avons mis à jour notre processus DKIM en passant des enregistrements TXT aux enregistrements CNAME. Si vous avez configuré votre DKIM avant le 23 février 2023, vos enregistrements TXT fonctionneront toujours et resteront valides. Cependant, nous recommandons de configurer votre DKIM avec les instructions suivantes concernant les enregistrements CNAME, car elles sont plus sûres.

Pour configurer DKIM :

1. Connectez-vous à votre compte ActiveCampaign en tant qu’admin principal.
2. Cliquez sur Paramètres situés dans le menu de gauche.
3. Cliquez sur l’onglet Avancé.
4. Cliquez sur l’option « Je gérerai moi-même l’authentification de mon e-mail ».
5. Nous allons générer deux enregistrements CNAME. Veuillez configurer les deux enregistrements CNAME dans le fournisseur DNS pour votre domaine (p.ex. Godaddy).
   
   

     Les domaines que vous saisissez ne seront pas enregistrés sur cette page. Si vous choisissez « Je gérerai moi-même l’authentification de mon e-mail », tous les domaines vérifiés seront signés avec DKIM. Cliquez sur « Vérifier les DNS » pour vous assurer que tous vos domaines ont les bons DNS.

   Votre hébergeur DNS est généralement la société auprès de laquelle vous avez enregistré votre domaine ou qui héberge votre site web, par exemple Godaddy. Vous pouvez également utiliser cet outil pour confirmer qui est votre fournisseur de DNS. La plupart des hôtes DNS ont besoin des éléments suivants pour configurer vos enregistrements CNAME :
   
   • Saisissez
     Choisir CNAME.
   • Nom ou Hôte
     Copiez et collez le « nom » CNAME d’ActiveCampaign pour chaque enregistrement CNAME, comme acdkim1._domainkey (le plus courant), ou le « nom » CNAME complet comme acdkim1._domainkey.mydomain.com (moins courant). Celui que vous devez utiliser dépend du fait que votre fournisseur DNS ajoute automatiquement le nom de domaine aux enregistrements DNS que vous créez. Si vous ne savez pas lequel utiliser, regardez le format des autres enregistrements DNS dans vos paramètres (incluent-ils le nom de domaine dans le champ Nom ou Hôte ?) ou demandez à votre fournisseur DNS.
   • Valeur ou Enregistrement
     Copiez et collez la « valeur » CNAME indiquée dans ActiveCampaign pour chaque CNAME.
   • TTL
     TTL signifie « Time Till Live ». Utilisez le paramètre recommandé ou par défaut de votre hôte DNS. S’il n’y a pas de réglage par défaut, nous recommandons le réglage 300 (5 minutes).
     
     Cette procédure varie légèrement en fonction de votre hébergeur. Pour trouver des instructions spécifiques à votre hébergeur, utilisez votre moteur de recherche préféré et cherchez « Add CNAME record at _____ », en remplaçant la ligne vide par votre fournisseur DNS. Pour plus de commodité, nous avons inclus ci-dessous quelques fournisseurs de DNS courants :
     • GoDaddy
     • Cloudflare
     • Amazon Route 53
6. Une fois que vous avez configuré les deux enregistrements CNAME dans votre fournisseur DNS, retournez sur ActiveCampaign et allez dans Paramètres > Avancé. Ensuite, cliquez sur « Check DNS » pour vérifier que vous avez correctement configuré vos enregistrements DNS. Apprenez comment résoudre les messages d’erreur DKIM.
   
   En outre, vous pouvez tester un e-mail en direct avec mail-tester.com pour vous assurer que DKIM fonctionne.
   
   
7. Après avoir configuré correctement vos enregistrements DNS pour tous vos domaines d’adresse e-mail From, cliquez sur « Enregistrer paramètres » en haut de la page.
   
   Notez que l’envoi d’e-mails à partir de plusieurs domaines nécessite de configurer chaque domaine avec les enregistrements DNS appropriés pour DKIM.

Regarder une vidéo

Voici une vidéo rapide sur la configuration de DKIM :

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) est une norme qui s’appuie sur SPF et DKIM. Il permet au propriétaire du domaine de créer une politique qui indique aux fournisseurs de boîtes de messagerie (tels que Google ou Microsoft) ce qu’il convient de faire si l’e-mail échoue aux contrôles SPF et DKIM. 

DMARC prend en charge trois politiques principales :

• « Aucune »
  Indique que les e-mails doivent être traités normalement en cas d’échec de DMARC. Cela équivaut à ne pas avoir d’enregistrement DMARC, bien que vous puissiez toujours profiter des fonctions de rapport de DMARC.
• « Quarantaine »
  Indique que les e-mails doivent être envoyés dans le dossier spam si la vérification DMARC échoue.
• « Rejet »
  Indique que les e-mails doivent être rejetés (non délivrés au destinataire) si la vérification DMARC échoue.

L’utilisation d’une politique DMARC de « Quarantaine » ou de « Rejet » nécessitera que vous ayez un enregistrement DKIM correct pour votre domaine d’envoi, sinon tous vos e-mails provenant d’ActiveCampaign échoueront au test DMARC. Cela permet de les filtrer vers le dossier spam (« Quarantaine ») ou de le bloquer complètement (« Rejet »). Veillez à configurer DKIM pour tous vos domaines d’envoi avant de configurer un enregistrement DMARC strict.

Voici quelques-uns des nombreux avantages de la mise en place de DMARC :

• Les enregistrements DMARC empêchent l’usurpation de votre domaine
• DMARC est nécessaire pour la mise en place de BIMI. Consultez ce guide BIMI détaillé de notre équipe Postmark
• DMARC est une exigence pour la livraison de base à de nombreux fournisseurs d’e-mails tels que Gmail et Yahoo

Pour commencer à utiliser DMARC, nous vous recommandons d’adopter une politique « Aucune » afin de ne pas compromettre votre capacité de livraison en cas de mauvaise configuration. Vous pouvez ensuite surveiller vos rapports DMARC pour voir quel serait l’impact d’une politique plus stricte.

Vous trouverez ci-dessous une politique DMARC initiale recommandée. Vous pouvez le mettre en place en créant un enregistrement TXT avec un hôte ou un nom de _dmarc auprès de votre fournisseur DNS et en saisissant la valeur ci-dessous pour la valeur ou l’enregistrement. Veillez à remplacer l'adresse e-mail ci-dessous par votre adresse e-mail :

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com

Si vous ne remplacez pas l’adresse e-mail dans l’exemple ci-dessus par votre adresse e-mail, vous ne recevrez pas de rapports DMARC. Toutefois, en fonction du volume d’e-mails que vous envoyez, la boîte de messagerie de l’adresse e-mail spécifiée pourrait être saturée et remplie jusqu’au quota. De plus, les rapports DMARC étant envoyés au format XML, ils sont difficiles à lire. C’est pourquoi nous recommandons vivement de travailler avec une solution de surveillance DMARC qui peut être configurée pour ingérer ces e-mails / rapports et fournir des résultats plus lisibles et exploitables. Consultez DMARC Digests, qui fait désormais partie de la famille de produits ActiveCampaign.

Veuillez également noter que le temps nécessaire pour enquêter et prendre les mesures adéquates peut être très court ou très long, avant de pouvoir configurer DMARC en mode « Application ».

Si vous souhaitez mettre en place une sécurité plus solide sur votre domaine, vous pouvez configurer un enregistrement DMARC plus strict en utilisant une politique de « Quarantaine » ou de « Rejet ». Pour configurer un enregistrement DMARC strict, nous vous conseillons de consulter le site dmarc.org pour obtenir des recommandations sur la configuration correcte de l’enregistrement.

Méthodes d'authentification supplémentaires

BIMI

BIMI (Brand Indicators for Message Identification) est une nouvelle norme qui s'appuie sur DMARC. Il permet aux propriétaires de domaines qui ont mis en œuvre DMARC en mode « Application » d’acheter un certificat de marque vérifiée (VMC) afin d’afficher un logo BIMI pour leur marque dans les e-mails. Les destinataires disposent ainsi d’un moyen facile d’identifier visuellement les messages fiables.

BIMI étant une norme récente, elle n’est pas encore largement adoptée par les propriétaires de domaines ou les fournisseurs de boîtes de messagerie, et vous ne devez pas configurer BIMI. Toutefois, si vous souhaitez en savoir plus, vous pouvez consulter les sites suivants :

• BIMI
• Digests DMARC
• Indicateurs de marque pour l’identification des messages

SenderID

SenderID est une norme d’authentification créée par Microsoft et destinée à remplacer SPF. Cependant, Sender ID est devenu obsolète et n’est plus utilisé ; il n’est donc pas nécessaire de le configurer.

Si vous avez des enregistrements Sender-ID actuellement définis dans le DNS (enregistrement TXT commençant par spf2.0), vous devez les supprimer.

SPF (enregistrement commençant par v=spf1) est toujours la norme d’authentification largement prise en charge et recommandée par l’industrie.

Lectures complémentaires

Dans cet article, nous n'avons pas tenté d'expliquer le processus technique du fonctionnement de SPF, DKIM et DMARC. Chacun de ces protocoles d’authentification dispose d’un site web public où la spécification technique est expliquée en détail :

• SPF
• DKIM
• DMARC
• BIMI
• SPF vs. SenderID