Authentification SPF, DKIM et DMARC

Marketing_Lite_Plus_Professional_Enterprise

Lorsque vous envoyez des e-mails, les fournisseurs de boîtes aux lettres (tels que Gmail, Outlook, AOL et Yahoo) doivent déterminer si le message est un e-mail légitime envoyé par le propriétaire ou l'adresse e-mail du nom de domaine ou un e-mail falsifié envoyé par un spammeur ou un hameçonneur. Les e-mails envoyés par ActiveCampaign en font partie.

Avant de vous pencher sur les méthodes d'authentification, assurez-vous que vous utilisez un domaine d'envoi valide (existant et reconnu) qui vous appartient : votre domaine doit avoir plus de 30 jours, avec un « enregistrement A » valide.

Il est également essentiel que ce domaine dispose d'un enregistrement MX : cet enregistrement indique le serveur d'e-mail responsable de l'acceptation des e-mails de la part du nom d'un domaine. 

Votre domaine d'envoi est-il valide et possède-t-il un enregistrement MX ? Il est temps de l'authentifier !

Il existe trois méthodes reconnues pour vérifier l'identité d'un expéditeur : SPF, DKIM et DMARC. Nous vous recommandons de mettre en place ces méthodes d'authentification des e-mails pour plusieurs raisons. En voici les plus courantes :

  • Renforcez votre image de marque
    Vous pouvez renforcer votre image de marque en supprimant l'en-tête « via… » de Gmail. La disparition de cet en-tête constitue une conséquence positive de la mise en place de l'authentification DKIM.
    Remove_the_
  • Bâtissez-vous une réputation d'expéditeur d'e-mails grâce à votre nom de domaine
    Envoyer des e-mails sans authentification, c'est comme rendre vos devoirs sans noter votre nom. Vous pouvez obtenir un excellent résultat, mais vous ne pouvez pas vous en attribuer le mérite si votre nom n'y figure pas. L'authentification DKIM, en particulier, contribue à établir votre réputation en tant qu'expéditeur d'e-mails.
  • Renforcez la sécurité de votre nom de domaine
    Les normes d'authentification telles que DMARC contribuent à protéger votre nom de domaine contre une utilisation potentiellement frauduleuse.

L'authentification des e-mails ne résout pas tous les problèmes de délivrabilité, comme le souhait du destinataire de recevoir ou non l'e-mail. Cependant, l'authentification résout le problème de l'identification de l'auteur de l'e-mail.

Un expéditeur qui suit les meilleures pratiques, comme l'envoi d'e-mails personnalisés de haute qualité à une liste d'opt-in et la réalisation d'une mise à jour régulière de la liste, constatera généralement une meilleure délivrabilité lorsqu'il utilise l'authentification des e-mails. Leur domaine se forgera une réputation de bon expéditeur auprès des destinataires qui souhaitent interagir avec leurs e-mails.

Un expéditeur qui ne suit pas les meilleures pratiques (qui utilise une liste louée ou achetée, qui ne précise pas clairement pendant le processus d'opt-in le type d'e-mails qui seront envoyés et leur fréquence d'envoi ou qui n'effectue jamais de mise à jour de la liste) constatera généralement une moins bonne délivrabilité avec l'authentification des e-mails. Son domaine peut se forger une réputation d'expéditeur d'e-mails indésirables.

L'authentification permet aux bons expéditeurs de consolider leur réputation et de protéger leur domaine contre les mauvais expéditeurs qui pourraient tenter de détourner leur domaine.

​​Comme expliqué ci-dessous, ActiveCampaign authentifie déjà tout son trafic avec SPF et DKIM. Cependant, il vous est toujours possible d'authentifier votre domaine d'envoi avec ces normes.

Bien que vous ne soyez pas obligé de le faire, nous vous encourageons vivement à configurer l'authentification sur votre domaine d'envoi.

SPF

Les enregistrements SPF (Sender Policy Framework) sont des enregistrements TXT sur votre domaine qui autorisent des serveurs spécifiques à envoyer des messages en utilisant votre nom de domaine. ActiveCampaign configure automatiquement SPF pour tous les clients. Ainsi, vous n'avez pas besoin de créer un enregistrement SPF ou de modifier un enregistrement existant pour travailler avec ActiveCampaign,même si vous utilisez un domaine personnalisé.

Si vous souhaitez toujours ajouter ActiveCampaign à votre enregistrement SPF existant (même si ce n'est pas nécessaire), vous pouvez ajouter « include:emsd1.com » à votre enregistrement SPF actuel. Par exemple, si vous envoyez des e-mails à la fois à partir de G Suite et d'ActiveCampaign, votre enregistrement SPF pourrait ressembler à ceci :

v=spf1 include:emsd1.com ~all


Vous ne pouvez créer qu'un seul enregistrement SPF pour votre nom de domaine. Si vous avez un enregistrement SPF existant, vous devrez modifier votre enregistrement actuel au lieu de créer un nouvel enregistrement SPF.

Pour en savoir plus, consultez ce guide SPF détaillé de notre équipe Postmark.

DKIM

DKIM (Domain Keys Identified Mail) est une signature que tout expéditeur peut utiliser pour ses e-mails. Cette signature indique clairement que l'expéditeur présumé du message en est bel et bien l'expéditeur. Vous pouvez utiliser n'importe quel domaine comme signature. Par exemple, une société appelée "Dog Bandanas" signera ses messages avec le domaine « dogbandanas.com » pour confirmer que le message a été envoyé par "Dog Bandanas".

Pour ce faire, il faut insérer une signature cryptographique cachée dans l'en-tête de votre e-mail (offre effectuée par ActiveCampaign) puis placer un jeton public sur votre site web pour vérifier l'authenticité de cette signature.

Tous les e-mails envoyés par ActiveCampaign utiliseront la signature DKIM d'ActiveCampaign par défaut. La signature DKIM d'ActiveCampaign a une excellente réputation et suffit pour la plupart des expéditeurs. Toutefois, il est facile de configurer DKIM pour votre domaine si vous le souhaitez.

Pour en savoir plus, consultez ce guide SPF détaillé de notre équipe Postmark.

Nous avons mis à jour notre processus DKIM en passant des enregistrements TXT aux enregistrements CNAME. Si vous avez configuré votre DKIM avant le 23 février 2023, vos enregistrements TXT fonctionneront toujours et resteront valides. Cependant, nous recommandons de configurer votre DKIM avec les instructions suivantes concernant les enregistrements CNAME, car elles sont plus sûres.

Pour configurer DKIM :

  1. Connectez-vous à votre compte ActiveCampaign en tant qu'utilisateur administrateur de votre compte.
  2. Cliquez sur "Paramètres" situé dans le menu de gauche.
  3. Cliquez sur l'onglet "Avancé".
  4. Cliquez sur l'option « Je gérerai ma propre authentification par e-mail ».
  5. Nous allons générer deux enregistrements CNAME. Veuillez configurer les deux enregistrements CNAME dans le fournisseur DNS pour votre domaine (c.-à-d. Godaddy).

    Les domaines que vous saisissez ne seront pas enregistrés sur cette page. Si vous choisissez "Je gérerai moi-même l'authentification de mon e-mail", tous les domaines vérifiés seront signés avec DKIM. Cliquez sur "Vérifier les DNS" pour vous assurer que tous vos domaines ont les bons DNS.

    Votre hébergeur DNS est généralement la société auprès de laquelle vous avez enregistré votre domaine ou qui héberge votre site web. Vous pouvez également utiliser cet outil pour confirmer qui est votre fournisseur de DNS. La plupart des hébergeurs DNS ont besoin des éléments suivants pour configurer votre enregistrement TXT :
    • Tapez
      Choisissez CNAME.
    • Nom ou hôte
      Copiez et collez le "nom" CNAME d'ActiveCampaign pour chaque enregistrement CNAME, comme acdkim1._domainkey (le plus courant), ou le "nom" CNAME complet comme acdkim1._domainkey.mydomain.com (moins courant). Votre choix dépend de l'ajout automatique ou non par votre fournisseur DNS du nom de domaine aux enregistrements DNS que vous créez. Si vous ne savez pas lequel utiliser, regardez le format des autres enregistrements DNS dans vos paramètres (incluent-ils le nom de domaine dans le champ Nom ou le champ Hébergeur ?) ou demandez à votre hébergeur DNS.
    • Valeur ou enregistrement
      Copiez et collez la "valeur" CNAME indiquée dans ActiveCampaign pour chaque CNAME.
    • TTL
      TTL signifie « Time To Live » (durée de vie). Utilisez le paramètre recommandé ou par défaut de votre hébergeur DNS. S'il n'y a pas de paramètre par défaut, nous recommandons 3600 (une heure).

      Cette procédure varie légèrement en fonction de votre hébergeur. Pour trouver des instructions spécifiques à votre hébergeur, utilisez votre moteur de recherche préféré pour rechercher « Ajouter un enregistrement TXT sur _____ », en remplaçant la ligne vide par votre fournisseur DNS. Pour des raisons pratiques, nous avons inclus ci-dessous quelques fournisseurs DNS courants :
  6. Une fois que vous avez configuré les deux enregistrements CNAME dans votre fournisseur DNS, retourner à ActiveCampaign et aller à Paramètres > Avancé. Ensuite, cliquez sur "Check DNS" pour vérifier que vous avez correctement configuré vos enregistrements DNS. Apprenez comment résoudre les messages d'erreur DKIM.

    Une fois terminé, vous pouvez utiliser notre outil d'authentification ou tester un e-mail en direct avec mail-tester.com pour vous assurer que DKIM fonctionne.

  7. Après avoir configuré correctement vos enregistrements DNS pour tous vos domaines d'adresse From, cliquez sur "Save paramètres" en haut de la page.

    Notez que l'envoi de e-mails à partir de plusieurs domaines nécessite de configurer chaque domaine avec les enregistrements DNS appropriés pour DKIM.

Regarder une vidéo

Voici une vidéo pas à pas rapide sur la configuration de DKIM :

 

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) est une norme qui s'appuie sur SPF et DKIM. Il permet au propriétaire du domaine de créer une politique qui indique aux fournisseurs de boîtes aux lettres (tels que Google ou Microsoft) ce qu'il faut faire si l'e-mail échoue les contrôles SPF et DKIM. 

DMARC prend en charge trois configurations principales de politique :

  • « Aucune »
    Indique que les e-mails doivent être traités normalement en cas d'échec de DMARC. comme si aucun enregistrement DMARC n'avait été configuré, mais vous pouvez toujours profiter des fonctionnalités de création de rapports de DMARC.
  • « Mise en quarantaine »
    Indique que les e-mails doivent être acheminés vers le dossier spam si la vérification DMARC échoue.
  • « Rejet »
    Indique que les e-mails doivent rebondir (ne pas être remis au destinataire) si la vérification DMARC échoue.

L'utilisation d'une politique DMARC de « Mise en quarantaine » ou de « Rejet » exigera que vous ayez un enregistrement DKIM approprié configuré pour votre domaine d'envoi, sans quoi tout votre courrier d'ActiveCampaign échouera le test DMARC. Cela permettra de le filtrer vers le dossier des spams (« Mise en quarantaine ») ou de le bloquer entièrement (« Rejet »). Veillez à configurer DKIM pour tous vos domaines d'envoi avant de configurer un enregistrement DMARC strict.

DMARC n'est pas un outil permettant d'améliorer la délivrabilité et vous n'êtes pas obligé de configurer DMARC pour envoyer des e-mails à partir d'ActiveCampaign. Cependant, vous devriez utiliser DMARC si :

  • Quelqu'un usurpe votre domaine, envoie des e-mails frauduleux et ternit votre réputation. DMARC vous permettrait d'identifier cette activité malveillante et d'y mettre un terme ;
  • Votre organisation a une politique de sécurité de l'e-mail qui exige une authentification DMARC, comme une entité gouvernementale ou une organisation financière ;
  • Vous voulez afficher un logo BIMI pour vos e-mails.

Pour commencer à utiliser DMARC, nous vous recommandons de commencer par une politique de type « Aucune » afin de ne pas compromettre votre délivrabilité en cas de mauvaise configuration. Vous pouvez ensuite surveiller vos rapports DMARC pour voir quel serait l'impact d'une politique plus stricte.

Vous trouverez ci-dessous la politique DMARC initiale que nous recommandons. Vous pouvez la configurer en créant un enregistrement TXT avec un hébergeur ou un nom de _dmarc chez votre fournisseur DNS et en saisissant la valeur ci-dessous pour la valeur ou l'enregistrement. Veillez à remplacer l'adresse e-mail ci-dessous par votre adresse e-mail :

v=DMARC1 ; p=aucune ; pct=100 ; rua=mailto:votree-mail@exemple.com


Si vous ne remplacez pas l'adresse e-mail dans l'exemple ci-dessus par votre adresse e-mail, vous ne recevrez pas de rapports DMARC. Toutefois, suivant le volume d'e-mails que vous envoyez, la boîte aux lettres de l'adresse e-mail indiquée pourrait être submergée et le quota rempli. De plus, comme les rapports DMARC sont envoyés au format XML, ils sont difficiles à lire. Nous recommandons donc vivement de travailler avec une solution de surveillance DMARC qui peut être configurée pour ingérer ces e-mails / rapports et fournir des résultats plus lisibles et exploitables. Consultez DMARC Digests, qui fait maintenant partie de la famille de produits ActiveCampaign.

DMARC_Digests_image.png

Veuillez également noter que la durée nécessaire pour enquêter et prendre les mesures appropriées peut être très courte ou très longue avant de pouvoir configurer DMARC en mode « Application ».

Si vous souhaitez sécuriser votre domaine de manière plus fiable, vous pouvez configurer un enregistrement DMARC plus strict en utilisant une politique de « Mise en quarantaine » ou de « Rejet ». Pour configurer un enregistrement DMARC strict, nous vous conseillons de consulter le site dmarc.org pour obtenir des recommandations sur la configuration correcte de l'enregistrement.

Méthodes d'authentification supplémentaires

BIMI

BIMI (Brand Indicators for Message Identification) est une nouvelle norme qui s'appuie sur DMARC. Elle permet aux propriétaires de domaines qui ont mis en œuvre DMARC en mode « Application » d'acheter un certificat VMC (Verified Mark Certificate) pour afficher un logo BIMI pour leur marque dans leurs e-mails. Les destinataires disposent ainsi d'un moyen facile d'identifier visuellement les messages de confiance.

Étant donné que BIMI est une nouvelle norme, elle n'est pas encore largement adoptée par les propriétaires de domaines ou les fournisseurs de boîtes aux lettres, et vous n'avez pas besoin de configurer BIMI. Toutefois, si vous souhaitez en savoir plus, vous pouvez consulter les sites suivants :

ID de l'expéditeur

L'ID de l'expéditeur est une norme d'authentification créée par Microsoft et destinée à remplacer SPF. Cependant, l'ID de l'expéditeur a depuis été déprécié et n'est plus utilisé ; par conséquent, vous n'avez pas besoin de le configurer.

Si vous avez des enregistrements d'ID de l'expéditeur actuellement définis dans DNS (enregistrement TXT commençant par spf2.0), vous devez les supprimer.

SPF (enregistrement commençant par v=spf1) est toujours la norme d'authentification du secteur recommandée et elle est largement prise en charge.

Lectures complémentaires

Dans cet article, nous n'avons pas tenté d'expliquer le processus technique du fonctionnement de SPF, DKIM et DMARC. Chacun de ces protocoles d'authentification possède un site web public décrivant les spécifications techniques en profondeur :

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 78 sur 94

Vous avez d'autres questions ? Soumettre une demande

Start free trial