Authentification SPF, DKIM et DMARC

Lorsque vous envoyez des e-mails, les fournisseurs de messagerie (comme Gmail, Outlook, AOL et Yahoo) doivent pouvoir identifier si le message est un e-mail légitime envoyé par le propriétaire du nom de domaine ou de l’adresse e-mail ou un e-mail falsifié envoyé par un spammeur ou un phisher. Cela inclut les e-mails envoyés depuis ActiveCampaign.

Il existe trois méthodes avérées pour vérifier l’identité d’un expéditeur. Il s’agit des méthodes SPF, DKIM et DMARC. Nous vous recommandons de mettre en place ces méthodes d’authentification des e-mails pour plusieurs raisons. Les raisons les plus courantes sont les suivantes :  

  • Supprimer l’en-tête « via... » de Gmail
    Procéder ainsi permet de renforcer l’image de marque (voir l’image ci-dessous). L’un des effets secondaires positifs de la configuration de l’authentification DKIM est la disparition de cet en-tête.
  • Construire une réputation en tant qu’expéditeur d’e-mails sur votre propre nom de domaine
    Lorsque vous envoyez un e-mail sans authentification, c’est comme si vous rendiez vos devoirs sans votre nom. Vous avez peut-être réussi l’exercice, mais vous ne pouvez pas vous en attribuer le mérite puisque votre nom n’y figure pas. L’authentification DKIM, en particulier, contribue à renforcer votre réputation en tant qu’expéditeur d’e-mails.
  • Appliquer une sécurité plus stricte à votre nom de domaine
    Les normes d’authentification comme DMARC aide à protéger votre nom de domaine de l’utilisation frauduleuse par les spammeurs et les phishers qui souhaitent porter atteinte à votre réputation ou escroquer vos clients.

L’authentification des e-mails n’est pas une solution miracle qui résoudra les problèmes de délivrabilité. L’authentification résout le problème de détermination de la provenance de l’e-mail, mais ne permet pas d’affirmer que votre destinataire attend votre e-mail.

Un expéditeur qui suit les bonnes pratiques, comme l’envoi d’e-mails personnalisés de haute qualité vers une liste opt-in et qui effectue un nettoyage régulier de la liste constatera généralement une délivrabilité plus élevée lors de l’utilisation de l’authentification des e-mails. Leur domaine se forgera une réputation de bon expéditeur auprès des destinataires qui veulent s’engager avec leurs e-mails.

Un expéditeur qui ne suit pas les bonnes pratiques, et qui, par exemple, utilise une liste qu’il loue ou qu’il a achetée, n’a pas de message clair pendant le processus d’opt-in sur le type d’e-mail qui sera envoyé et à quelle fréquence ou n’effectue jamais de nettoyage de liste, verra généralement sa délivrabilité réduite lors de l’authentification de l’e-mail. Leur domaine peut se forger une réputation d’expéditeur d’e-mails indésirables.

L’authentification permet aux bons expéditeurs de solidifier davantage leur réputation et de protéger leur domaine des mauvais expéditeurs qui pourraient tenter de le détourner.

Nous vous encourageons à configurer une authentification à cet effet, mais vous n’êtes pas obligé de le faire. 

SPF

Les enregistrements SPF (Sender Policy Framework) sont des enregistrements de type TXT sur votre domaine qui autorisent certains serveurs à envoyer des e-mails en utilisant votre nom de domaine. ActiveCampaign configure automatiquement le SPF pour tous les clients. Cela signifie que vous n’avez pas besoin d’un enregistrement SPF ou de modifier un enregistrement existant pour travailler avec ActiveCampaign. Cela s’applique même si vous utilisez un domaine personnalisé.

Si vous souhaitez toujours ajouter ActiveCampaign à votre enregistrement SPF existant (bien que cela ne soit pas nécessaire), vous pouvez le faire en ajoutant «include:emsd1.com» à votre enregistrement SPF existant ou en en créant un nouveau. Par exemple, si vous envoyez des e-mails à la fois depuis G Suite et depuis ActiveCampaign, voici ce à quoi votre enregistrement SPF pourrait ressembler :

v=spf1 include:emsd1.com include:_spf.google.com ~all

Vous ne pouvez créer qu’un seul enregistrement SPF pour votre nom de domaine. Si vous possédez déjà un enregistrement SPF, vous devrez modifier votre enregistrement existant au lieu d’en créer un nouveau.

DKIM

DKIM (Domain Keys Identified Mail) se résume essentiellement à une signature que tout expéditeur peut appliquer à ses e-mails. Cette signature indique clairement que le prétendu expéditeur du message en est vraiment l’expéditeur. Tout domaine peut être utilisé comme signature. Par exemple, une société qui a pour nom « Dog Bandanas » signera ses messages avec le domaine dogbandanas.com pour confirmer que le message a bien été envoyé par « Dog Bandanas ».

Pour ce faire, vous devez insérer une signature cryptographique masquée dans l’en-tête de votre e-mail (ActiveCampaign s’en charge pour vous), puis placer une clé publique sur votre site web qui vérifie l’authenticité de cette signature.

Tous les e-mails envoyés depuis ActiveCampaign utiliseront par défaut la signature DKIM d’ActiveCampaign. La signature DKIM d’ActiveCampaign possède une très bonne réputation et est suffisante pour la plupart des expéditeurs. Cependant, si vous le souhaitez, vous pouvez facilement configurer DKIM pour votre propre domaine.

Pour configurer DKIM :

1. Cliquez sur « Paramètres».

2. Cliquez sur « Avancé ».

3. Cliquez sur l’option « Je vais gérer ma propre authentification d’e-mail ».

sarahnicholaev

4. Saisissez votre domaine d’envoi dans le champ DomainKeys Identified Mail (DKIM), puis cliquez sur le bouton « Générer ».

sarahnicholaev

Nous allons générer un nom d’enregistrement et une valeur d’enregistrement TXT.

sarahnicholaev

Notez que les valeurs générées ici ne seront pas sauvegardées sur la page. Vous devrez utiliser ces valeurs pour configurer un enregistrement TXT sur votre hôte DNS.

Votre hôte DNS est généralement la société auprès de laquelle vous avez enregistré votre domaine ou sur laquelle votre site web est hébergé. La plupart des hôtes DNS auront besoin des éléments suivants pour configurer votre enregistrement TXT :

  • Type
    Choisir TXT.
  • Nom ou hôte
    Saisissez dk._domainkey (le plus courant), ou le nom complet de l’enregistrement TXT indiqué dans ActiveCampaign (moins courant). Votre choix dépend de l’ajout automatique du nom de domaine aux enregistrements DNS que vous créez par le fournisseur. Si vous ne savez pas lequel utiliser, regardez le format des autres enregistrements DNS dans vos paramètres (incluent-ils le nom de domaine dans le champ Nom ou Hôte ?) ou demandez à votre hôte DNS.
  • Valeur ou enregistrement
    Saisissez la valeur de l’enregistrement TXT indiquée dans ActiveCampaign.
  • TTL 
    Il s’agit de la « Durée de vie ». Utilisez le paramètre recommandé ou par défaut de votre hôte DNS. S’il n’y a pas de paramètre par défaut, nous vous recommandons d’indiquer 3 600 (une heure).

Pour trouver les instructions spécifiques à votre hôte, utilisez votre moteur de recherche préféré pour rechercher « Ajouter un enregistrement TXT à _____ », en remplaçant la ligne vide par le nom de votre fournisseur DNS. Pour des raisons de commodité, vous trouverez quelques fournisseurs de DNS communs ci-dessous :

Lorsque vous avez terminé, vous pouvez utiliser notre outil d’authentification ou tester un e-mail en direct avec mail-tester.com pour vous assurer que le DKIM fonctionne.

Voici un bref aperçu vidéo de la configuration de DKIM :

DMARC

DMARC (Domain-based Message Authentication, Reporting et Conformance) est une norme qui s’appuie sur SPF et sur DKIM. Elle permet au propriétaire du domaine de créer une politique qui dit aux fournisseurs de messagerie (comme Google ou Microsoft) que faire si un e-mail ne passe pas les validations SPF et DKIM. 

DMARC prend en charge trois configurations de politiques principales :

  • « None »
    indique que les e-mails doivent être traités normalement en cas d’échec de DMARC. Cela équivaut à ne pas avoir d’enregistrement DMARC du tout, même si vous pouvez toujours profiter des fonctionnalités de rapport DMARC.
  • « Quarantine »
    indique que les e-mails doivent être déplacés dans le dossier de courriers indésirables en cas d’échec de la validation DMARC.
  • « Reject »
    indique que les e-mails doivent être rejetés (et ne pas être livrés au destinataire) en cas d’échec de la validation DMARC.

L’utilisation d’une politique DMARC « Quarantine » ou « Reject » vous oblige à avoir votre propre configuration d’enregistrement DKIM pour votre domaine d’expédition. Dans le cas contraire, tous les e-mails d’ActiveCampaign échoueront au test DMARC. Les e-mails seront alors filtrés dans le dossier des spams (« Quarantine ») ou bloqués entièrement (« Reject »). Assurez-vous d’avoir configuré DKIM pour tous vos domaines d’expédition avant de configurer un enregistrement DMARC strict.

DMARC n’est pas un outil qui améliore la délivrabilité et vous n’êtes pas obligé de configurer DMARC pour envoyer des e-mails depuis ActiveCampaign. Cependant, nous vous conseillons d’utiliser DMARC si :

  • quelqu’un usurpe activement votre domaine, envoie des e-mails frauduleux et ternit votre réputation. DMARC vous permettrait d’identifier cette activité malveillante et d’y mettre un terme ;
  • votre organisation dispose d’une politique de sécurité en matière d’e-mails qui nécessite une authentification DMARC, par exemple si vous êtes une entité gouvernementale ou une organisation financière ;
  • vous souhaitez afficher un logo BIMI sur vos e-mails.

Si vous débutez avec DMARC, nous vous recommandons de commencer par une politique « None » afin que celle-ci n’ait pas de conséquences sur votre délivrabilité en cas de mauvaise configuration. Vous pouvez ensuite contrôler vos rapports DMARC pour voir l’impact qu’aurait l’utilisation d’une politique plus stricte.

Nous avons mis à votre disposition une politique DMARC initiale recommandée ci-dessous. Vous pouvez la configurer en créant un enregistrement TXT avec l’hôte ou le nom _dmarc comme fournisseur DNS et en saisissant la valeur ci-dessous comme Valeur ou Enregistrement. Veillez à remplacer l’adresse e-mail ci-dessous par votre propre adresse e-mail :

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com

Si vous ne remplacez pas l’adresse e-mail de l’exemple ci-dessus par votre propre adresse e-mail, vous ne recevrez pas les rapports DMARC.

Si vous souhaitez mettre en place une sécurité plus forte sur votre domaine, vous pouvez configurer un enregistrement DMARC plus strict à l’aide d’une politique « Quarantine » ou « Reject ». Pour mettre en place un enregistrement DMARC strict, nous vous conseillons de vous rendre sur dmarc.org pour obtenir des recommandations sur la manière de configurer correctement l’enregistrement.

Méthodes d’authentification supplémentaires

BIMI

BIMI (Brand Indicators for Message Identification) est une nouvelle norme expérimentale qui s’appuie sur DMARC. Elle permet aux propriétaires de domaine qui ont mis en place DMARC d’acheter un VMC (Verified Mark Certificate, certificat de marque vérifié) qui vous permettra d’afficher un logo BIMI de la marque dans les e-mails. Ainsi, les destinataires ont un moyen facile d’identifier les logos de confiance.

Comme BIMI est une toute nouvelle norme, elle n’a pas encore été adoptée largement par les propriétaires de domaine ou par les fournisseurs de service de messagerie et vous n’avez pas à configurer BIMI. Toutefois, si vous souhaitez en savoir plus, vous pouvez consulter les sites suivants :

SenderID

Sender ID est une norme d’authentification créée par Microsoft qui était destinée à remplacer SPF. Cependant, la norme Sender ID est depuis devenue obsolète et n’est plus utilisée par la majorité des services de messagerie et vous n’avez pas à configurer ce service.

Si vous envoyez des e-mails vers des systèmes de messagerie existants basés sur la norme Sender ID, alors nous vous recommandons de configurer un Sender ID vide afin d’éviter tout conflit potentiel avec SPF :

spf2.0/pra

Lectures complémentaires

Dans cet article, nous n’avons pas tenté de vous expliquer le processus technique derrière SPF, DKIM et DMARC. Chacun de ces protocoles d’authentification dispose d’un site web public sur lequel les spécifications techniques sont expliquées de manière plus approfondie :

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 9 sur 12
Vous avez d’autres questions ? Envoyer une demande