Authentification SPF, DKIM et DMARC

Lorsque vous envoyez des emails, les fournisseurs de boîtes aux lettres (tels que Gmail, Outlook, AOL et Yahoo) doivent déterminer si le message est un email légitime envoyé par le propriétaire ou l'adresse email du nom de domaine ou un email falsifié envoyé par un spammeur ou un hameçonneur. Les emails envoyés par ActiveCampaign en font partie.

Avant de vous pencher sur les méthodes d'authentification, assurez-vous que vous utilisez un domaine d'envoi valide (existant et reconnu) qui vous appartient : votre domaine doit avoir plus de 30 jours, avec un « enregistrement A » valide.

Il est également essentiel que ce domaine dispose d'un enregistrement MX : cet enregistrement indique le serveur d'email responsable de l'acceptation des emails de la part du nom d'un domaine. 

Votre domaine d'envoi est-il valide et possède-t-il un enregistrement MX ? Il est temps de l'authentifier !

Il existe trois méthodes reconnues pour vérifier l'identité d'un expéditeur : SPF, DKIM et DMARC. Nous vous recommandons de mettre en place ces méthodes d'authentification des emails pour plusieurs raisons. En voici les plus courantes :

  • Renforcez votre image de marque
    Vous pouvez renforcer votre image de marque en supprimant l'en-tête « via… » de Gmail. La disparition de cet en-tête constitue une conséquence positive de la mise en place de l'authentification DKIM.
    Retirer_l_
  • Bâtissez-vous une réputation d'expéditeur d'emails grâce à votre nom de domaine
    Envoyer des emails sans authentification, c'est comme rendre vos devoirs sans noter votre nom. Vous pouvez obtenir un excellent résultat, mais vous ne pouvez pas vous en attribuer le mérite si votre nom n'y figure pas. L'authentification DKIM, en particulier, contribue à établir votre réputation en tant qu'expéditeur d'emails.
  • Renforcez la sécurité de votre nom de domaine
    Les normes d'authentification telles que DMARC contribuent à protéger votre nom de domaine contre une utilisation potentiellement frauduleuse.

L'authentification des emails ne résout pas tous les problèmes de délivrabilité, comme le souhait du destinataire de recevoir ou non l'email. Cependant, l'authentification résout le problème de l'identification de l'auteur de l'email.

Un expéditeur qui suit les meilleures pratiques, comme l'envoi d'emails personnalisés de haute qualité à une liste d'opt-in et la réalisation d'une mise à jour régulière de la liste, constatera généralement une meilleure délivrabilité lorsqu'il utilise l'authentification des emails. Leur domaine se forgera une réputation de bon expéditeur auprès des destinataires qui souhaitent interagir avec leurs emails.

Un expéditeur qui ne suit pas les meilleures pratiques (qui utilise une liste louée ou achetée, qui ne précise pas clairement pendant le processus d'opt-in le type d'emails qui seront envoyés et leur fréquence d'envoi ou qui n'effectue jamais de mise à jour de la liste) constatera généralement une moins bonne délivrabilité avec l'authentification des emails. Son domaine peut se forger une réputation d'expéditeur d'emails indésirables.

L'authentification permet aux bons expéditeurs de consolider leur réputation et de protéger leur domaine contre les mauvais expéditeurs qui pourraient tenter de détourner leur domaine.

​​Comme expliqué ci-dessous, ActiveCampaign authentifie déjà tout son trafic avec SPF et DKIM. Cependant, il vous est toujours possible d'authentifier votre domaine d'envoi avec ces normes.

Bien que vous ne soyez pas obligé de le faire, nous vous encourageons vivement à configurer l'authentification sur votre domaine d'envoi.

SPF

Les enregistrements SPF (Sender Policy Framework) sont des enregistrements TXT sur votre domaine qui autorisent des serveurs spécifiques à envoyer des messages en utilisant votre nom de domaine. ActiveCampaign configure automatiquement SPF pour tous les clients. Ainsi, vous n'avez pas besoin de créer un enregistrement SPF ou de modifier un enregistrement existant pour travailler avec ActiveCampaign,même si vous utilisez un domaine personnalisé.

Si vous souhaitez toujours ajouter ActiveCampaign à votre enregistrement SPF existant (même si ce n'est pas nécessaire), vous pouvez ajouter « include:emsd1.com » à votre enregistrement SPF actuel. Par exemple, si vous envoyez des emails à la fois à partir de G Suite et d'ActiveCampaign, votre enregistrement SPF pourrait ressembler à ceci :

v=spf1 include:emsd1.com include:_spf.google.com ~all


Vous ne pouvez créer qu'un seul enregistrement SPF pour votre nom de domaine. Si vous avez un enregistrement SPF existant, vous devrez modifier votre enregistrement actuel au lieu de créer un nouvel enregistrement SPF.

Pour en savoir plus, consultez ce guide SPF détaillé de notre équipe Postmark.

DKIM

DKIM (Domain Keys Identified Mail) est une signature que tout expéditeur peut utiliser pour ses emails. Cette signature indique clairement que l'expéditeur présumé du message en est bel et bien l'expéditeur. Vous pouvez utiliser n'importe quel domaine comme signature. Par exemple, une société appelée "Dog Bandanas" signera ses messages avec le domaine « dogbandanas.com » pour confirmer que le message a été envoyé par "Dog Bandanas".

Pour ce faire, il faut insérer une signature cryptographique cachée dans l'en-tête de votre email (opération effectuée par ActiveCampaign) puis placer un jeton public sur votre site web pour vérifier l'authenticité de cette signature.

Tous les emails envoyés par ActiveCampaign utiliseront la signature DKIM d'ActiveCampaign par défaut. La signature DKIM d'ActiveCampaign a une excellente réputation et suffit pour la plupart des expéditeurs. Toutefois, il est facile de configurer DKIM pour votre domaine si vous le souhaitez.

Pour configurer DKIM :

  1. Connectez-vous à votre compte ActiveCampaign en tant qu'utilisateur admin de votre compte.
  2. Cliquez sur « Paramètres » dans le menu de gauche.
  3. Cliquez sur l'onglet « Avancé ».
  4. Cliquez sur l'option « Je gérerai ma propre authentification par email ».
  5. Saisissez votre domaine d'envoi dans le champ DomainKeys Identified Mail (DKIM) puis cliquez sur le bouton « Générer ».
    DKIM_setup_example_image.png

Nous générerons un nom d'enregistrement TXT et une valeur d'enregistrement TXT.

  Les valeurs générées ici ne seront pas enregistrées sur la page. Vous devrez utiliser ces valeurs pour configurer un enregistrement TXT sur votre hébergeur DNS.

Votre hébergeur DNS est généralement la société auprès de laquelle vous avez enregistré votre domaine ou qui héberge votre site web. La plupart des hébergeurs DNS ont besoin des éléments suivants pour configurer votre enregistrement TXT :

  • Type
    Choisissez TXT.
  • Nom ou hébergeur
    Saisissez dk._domainkey (très commun) ou le nom complet de l'enregistrement TXT montré dans ActiveCampaign (moins commun). Votre choix dépend de l'ajout automatique ou non par votre fournisseur DNS du nom de domaine aux enregistrements DNS que vous créez. Si vous ne savez pas lequel utiliser, regardez le format des autres enregistrements DNS dans vos paramètres (incluent-ils le nom de domaine dans le champ Nom ou le champ Hébergeur ?) ou demandez à votre hébergeur DNS.
  • Valeur ou enregistrement
    Entrez la valeur de l'enregistrement TXT qui apparaît dans ActiveCampaign.
  • TTL
    TTL signifie « Time To Live » (durée de vie). Utilisez le paramètre recommandé ou par défaut de votre hébergeur DNS. S'il n'y a pas de paramètre par défaut, nous recommandons 3600 (une heure).

Pour trouver des instructions spécifiques à votre hébergeur, utilisez votre moteur de recherche préféré pour rechercher « Ajouter un enregistrement TXT sur _____ », en remplaçant la ligne vide par votre fournisseur DNS. Pour des raisons pratiques, nous avons inclus ci-dessous quelques fournisseurs DNS courants :

Une fois terminé, vous pouvez utiliser notre outil d'authentification ou tester un email en direct avec mail-tester.com pour vous assurer que DKIM fonctionne.

Regarder une vidéo

Voici une vidéo pas à pas rapide sur la configuration de DKIM :

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) est une norme qui s'appuie sur SPF et DKIM. Il permet au propriétaire du domaine de créer une politique qui indique aux fournisseurs de boîtes aux lettres (tels que Google ou Microsoft) ce qu'il faut faire si l'email échoue les contrôles SPF et DKIM. 

DMARC prend en charge trois configurations principales de politique :

  • « Aucune »
    Indique que les emails doivent être traités normalement en cas d'échec de DMARC. comme si aucun enregistrement DMARC n'avait été configuré, mais vous pouvez toujours profiter des fonctionnalités de création de rapports de DMARC.
  • « Mise en quarantaine »
    Indique que les emails doivent être acheminés vers le dossier spam si la vérification DMARC échoue.
  • « Rejet »
    Indique que les courriels doivent rebondir (ne pas être remis au destinataire) si la vérification DMARC échoue.

L'utilisation d'une politique DMARC de « Mise en quarantaine » ou de « Rejet » exigera que vous ayez un enregistrement DKIM approprié configuré pour votre domaine d'envoi, sans quoi tout votre courrier d'ActiveCampaign échouera le test DMARC. Cela permettra de le filtrer vers le dossier des spams (« Mise en quarantaine ») ou de le bloquer entièrement (« Rejet »). Veillez à configurer DKIM pour tous vos domaines d'envoi avant de configurer un enregistrement DMARC strict.

DMARC n'est pas un outil permettant d'améliorer la délivrabilité et vous n'êtes pas obligé de configurer DMARC pour envoyer des emails à partir d'ActiveCampaign. Cependant, vous devriez utiliser DMARC si :

  • Quelqu'un usurpe votre domaine, envoie des emails frauduleux et ternit votre réputation. DMARC vous permettrait d'identifier cette activité malveillante et d'y mettre un terme ;
  • Votre organisation a une politique de sécurité de l'email qui exige une authentification DMARC, comme une entité gouvernementale ou une organisation financière ;
  • Vous voulez afficher un logo BIMI pour vos emails.

Pour commencer à utiliser DMARC, nous vous recommandons de commencer par une politique de type « Aucune » afin de ne pas compromettre votre délivrabilité en cas de mauvaise configuration. Vous pouvez ensuite surveiller vos rapports DMARC pour voir quel serait l'impact d'une politique plus stricte.

Vous trouverez ci-dessous la politique DMARC initiale que nous recommandons. Vous pouvez la configurer en créant un enregistrement TXT avec un hébergeur ou un nom de _dmarc chez votre fournisseur DNS et en saisissant la valeur ci-dessous pour la valeur ou l'enregistrement. Veillez à remplacer l'adresse email ci-dessous par votre adresse email :

v=DMARC1 ; p=aucune ; pct=100 ; rua=mailto:votreemail@exemple.com


Si vous ne remplacez pas l'adresse email dans l'exemple ci-dessus par votre adresse email, vous ne recevrez pas de rapports DMARC. Toutefois, suivant le volume d'emails que vous envoyez, la boîte aux lettres de l'adresse email indiquée pourrait être submergée et le quota rempli. De plus, comme les rapports DMARC sont envoyés au format XML, ils sont difficiles à lire. Nous recommandons donc vivement de travailler avec une solution de surveillance DMARC qui peut être configurée pour ingérer ces emails / rapports et fournir des résultats plus lisibles et exploitables. Consultez DMARC Digests, qui fait maintenant partie de la famille de produits ActiveCampaign.

DMARC_Digests_image.png

Veuillez également noter que la durée nécessaire pour enquêter et prendre les mesures appropriées peut être très courte ou très longue avant de pouvoir configurer DMARC en mode « Application ».

Si vous souhaitez sécuriser votre domaine de manière plus fiable, vous pouvez configurer un enregistrement DMARC plus strict en utilisant une politique de « Mise en quarantaine » ou de « Rejet ». Pour configurer un enregistrement DMARC strict, nous vous conseillons de consulter le site dmarc.org pour obtenir des recommandations sur la configuration correcte de l'enregistrement.

Méthodes d'authentification supplémentaires

BIMI

BIMI (Brand Indicators for Message Identification) est une nouvelle norme qui s'appuie sur DMARC. Elle permet aux propriétaires de domaines qui ont mis en œuvre DMARC en mode « Application » d'acheter un certificat VMC (Verified Mark Certificate) pour afficher un logo BIMI pour leur marque dans leurs emails. Les destinataires disposent ainsi d'un moyen facile d'identifier visuellement les messages de confiance.

Étant donné que BIMI est une nouvelle norme, elle n'est pas encore largement adoptée par les propriétaires de domaines ou les fournisseurs de boîtes aux lettres, et vous n'avez pas besoin de configurer BIMI. Toutefois, si vous souhaitez en savoir plus, vous pouvez consulter les sites suivants :

ID de l'expéditeur

L'ID de l'expéditeur est une norme d'authentification créée par Microsoft et destinée à remplacer SPF. Cependant, l'ID de l'expéditeur a depuis été déprécié et n'est plus utilisé ; par conséquent, vous n'avez pas besoin de le configurer.

Si vous avez des enregistrements d'ID de l'expéditeur actuellement définis dans DNS (enregistrement TXT commençant par spf2.0), vous devez les supprimer.

SPF (enregistrement commençant par v=spf1) est toujours la norme d'authentification du secteur recommandée et elle est largement prise en charge.

Lectures complémentaires

Dans cet article, nous n'avons pas tenté d'expliquer le processus technique du fonctionnement de SPF, DKIM et DMARC. Chacun de ces protocoles d'authentification possède un site web public décrivant les spécifications techniques en profondeur :

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 55 sur 67

Have more questions? Submit a request

Start free trial