C’est sérieux. Il s’agit de la délivrabilité de vos courriels. Je sais par expérience que ces acronymes peuvent vous sembler peu familiers, effrayants et totalement inintéressants. Ou peut-être qu’ils vous semblent familiers, mais que vous ne vous êtes jamais suffisamment intéressé à leur signification.
Quoi qu’il en soit, il est temps d’en apprendre un peu plus sur ce que sont SPF, DKIM et DMARC et sur la manière de les mettre en place dans votre enregistrements DNS pour votre serveur de messagerie, si vous souhaitez mieux contrôler la délivrabilité de vos courriels. Je vous montrerai également où, dans Woodpecker, vous pouvez vérifier qu’ils sont correctement configurés.
Je ferai de mon mieux pour expliquer cela avec des mots simples, qui ne seront pas seulement compris par les programmeurs.
Qu’est-ce que SPF? Comment fonctionne le SPF?
En termes simples, Sender Policy Framework (SPF) est un mécanisme de sécurité créé pour empêcher les malfaiteurs d’envoyer des courriels en votre nom. Ce mécanisme repose sur la communication entre les serveurs DNS… et c’est là que tout commence à faire peur ! Mais pas de panique. Je vais essayer d’être le plus simple possible.
Supposons que vous ayez envoyé un courriel à Bob. Mais comment le serveur DNS de Bob peut-il savoir que ce courriel a bien été envoyé par vous ? Le problème est qu’il ne le sait pas vraiment. À moins que votre serveur DNS ne soit configuré pour SPF.
SPF définit quelles adresses IP peuvent être utilisées pour envoyer des courriels à partir de votre domaine. Imaginons donc deux “conversations” de serveur possibles. Pour faciliter les choses, supposons que vous vous appelez Mike.
Scénario 1 – Vous n’avez pas configuré SPF.
Serveur de Mike: Salut, serveur de Bob. J’ai reçu un nouveau message de Mike.
Serveur de Bob: Salut, serveur de Mike. Quel est votre SPF?.
Le serveur de Mike: Oui, à propos du SPF… On s’en fiche, vraiment. Je n’en ai pas. Croyez-moi, c’est de la part de Mike.
Le serveur de Bob : Si vous n’avez pas SPF, je ne peux pas être sûr que c’est Mike qui a envoyé ça. Donnez-moi les adresses IP autorisées de Mike, afin que je puisse les comparer aux vôtres.
Serveur de Mike: Je n’ai pas la liste des IP autorisées de Mike.
Serveur de Bob: Alors je ne veux pas de votre message. Livraison refusée. Désolé, mon pote…
Scénario 2 – Vous avez configuré SPF.
Serveur de Mike: Salut, serveur de Bob. J’ai reçu un nouveau message de Mike.
Serveur de Bob: Salut, serveur de Mike. Quel est votre SPF?.
Serveur de Mike: Voici mon SPF. Il y a toute une liste d’adresses IP que Mike lui-même a déclarées comme étant celles qui peuvent être utilisées en son nom.
Serveur de Bob: Ok, let me see… Et le message que vous avez pour moi est envoyé depuis l’IP 64.233.160.19. Ok, c’est sur la liste. Tout va bien. Donnez-moi le message, je le montrerai à Bob. Merci!
Je présente mes excuses à tous les lecteurs de ce blog qui s’y connaissent en technologie pour cette simplification ignorante. Veuillez nous pardonner, nous les nuls, et gardez à l’esprit que nous vous envions vos esprits super-analytiques.
Quoi qu’il en soit, la morale de ces deux courts dialogues est la suivante : réglez votre SPF. Si vous ne le faites pas, vous risquez de voir votre email piraté ou usurpé, vous risquez de passer pour un méchant, et tous vos emails ne seront pas délivrés.
Quelles sont les applications à inclure dans votre SPF?
L’idée générale est de s’assurer que toutes les applications qui envoient des courriels en votre nom (et qui utilisent leur propre SMTP, et non le vôtre) sont incluses dans votre SPF. Par exemple, si vous utilisez Google Apps pour envoyer des courriels depuis votre domaine, vous devez inclure Google dans votre SPF. Voici les instructions de Google sur la manière de procéder.
Mais il est important de s’en assurer si Google est la seule application que vous devez “autoriser” dans votre SPF. Par exemple, nous utilisons HelpScout logiciel de service à la clientèle pour gérer nos courriels d’assistance et MailChimp pour envoyer nos lettres d’information. Nous les incluons tous deux dans notre SPF.
Devriez-vous inclure Woodpecker dans mon SPF également?
Non.
Non. Comme je l’ai mentionné, vous devez penser à inclure dans votre enregistrement SPF les applications qui envoient des courriels en votre nom, mais qui utilisent leur propre SMTP. Woodpecker utilise votre SMTP pour envoyer vos courriels, il s’agit donc plus d’un client de messagerie en ligne doté de super-pouvoirs que d’une application d’envoi massif de courriels.
Cela dit, la délivrabilité des emails envoyés depuis Woodpecker dépend de la réputation de votre domaine. Configurer SPF et DKIM vous aidera à protéger la bonne réputation de votre domaine, et donc à améliorer la délivrabilité de vos courriels.
Comment configurer l’enregistrement SPF sur votre serveur étape par étape?
La première étape consiste à vérifier quel est votre enregistrement SPF actuel. Vous pouvez le faire à l’aide d’outils tels que :
Lorsque vous tapez votre domaine (par exemple, je tape woodpecker.co), les outils effectuent quelques tests et vous montrent votre SPF actuel, ou une notification indiquant qu’il n’a pas encore été défini.
Quelles sont les étapes suivantes ?
Les étapes varient en fonction de l’hébergeur de votre domaine. En gros, il s’agit de coller une ligne de texte correctement structurée au bon endroit dans la console.
Par exemple, si vous utilisez Google Apps pour envoyer tous les courriels depuis votre domaine, la ligne devrait ressembler à ceci :
“v=spf1 include:_spf.google.com ~all”
La partie “v=spf1” de l’enregistrement est appelée version, et les parties suivantes sont appelées mécanismes.
Voyons maintenant ce que chaque partie signifie exactement.
- v=spf1 cet élément identifie l’enregistrement comme un SPF
- include:_spf.google.com ce mécanisme inclut les serveurs de messagerie qui sont des serveurs autorisés
- ~all ce mécanisme indique que si un courriel est reçu d’un serveur non autorisé (non listé dans le mécanisme “include :”), il est marqué comme soft fail, ce qui signifie qu’il peut être laissé passer, mais qu’il pourrait être marqué comme spam ou suspect.
Mais si vous utilisez plus d’applications que cela (par exemple, quelque chose pour envoyer votre lettre d’information, quelque chose pour envoyer vos messages d’assistance, etc.), la ligne sera un peu plus longue, car vous devrez y inclure toutes les autres applications. Si vous n’utilisez pas Google Apps mais un serveur d’un autre hébergeur, par exemple GoDaddy, la ligne sera différente.
Voici comment configurer SPF pour les hébergeurs de domaines les plus courants :
Vous pouvez également regarder ce guide étape par étape dans lequel notre responsable de l’assistance, Julia, explique comment procéder :
Si vous utilisez ou testez actuellement Woodpecker et que vous n’êtes pas sûr que votre SPF est correctement configuré, vous pouvez le vérifier directement dans l’application : allez dans SETTINGS > ; EMAIL ACCOUNTS > ; cliquez sur l’engrenage à côté de votre email > ; DOMAIN CHECK-UP (sur le côté gauche) ou contactez-nous à [email protected] pour obtenir de l’aide individuelle.
Qu’est-ce que DKIM?
La norme DomainKeys Identified Mail (DKIM) a été créée pour la même raison que SPF : empêcher les malfaiteurs de se faire passer pour un expéditeur de courrier électronique. Il s’agit d’un moyen de signer vos courriels d’une manière qui permettra au serveur du destinataire de vérifier si l’expéditeur était vraiment vous ou non.
En configurant DKIM sur votre serveur DNS, vous ajoutez un moyen supplémentaire de dire à vos destinataires “oui, c’est bien moi qui envoie ce message”.
  ;
L’idée repose sur le cryptage et le décryptage de la signature supplémentaire, placée dans le header de votre message. Pour ce faire, vous devez disposer de deux clés :
- la clef privée (qui est unique à votre domaine et disponible exclusivement pour vous. Elle vous permet de crypter votre signature dans l’en-tête de vos messages.)
- la clé publique (que vous ajoutez à vos enregistrements DNS en utilisant la norme DKIM, afin de permettre au serveur de votre destinataire de la récupérer et de décrypter votre signature cachée dans l’en-tête de votre message).
Prenez Game of Thrones pour vous faire une idée plus précise de la norme DKIM. Ned Stark envoie un corbeau avec un message au roi Robert. Tout le monde pourrait prendre un morceau de papier, écrire un message et le signer Ned Stark. Mais il existe un moyen d’authentifier le message – le sceau. Tout le monde sait que le sceau de Ned est un loup-garou (c’est la clé publique). Mais seul Ned possède le sceau original et peut l’apposer sur ses messages (c’est la clé privée).
La configuration de DKIM consiste simplement à ajouter les informations relatives à la clé publique dans les enregistrements de votre serveur. Il s’agit également d’un enregistrement txt qui doit être placé au bon endroit.
Une fois que vous avez configuré cela, chaque fois que quelqu’un reçoit un courriel de votre part, le serveur du destinataire essaiera de décrypter votre signature cachée à l’aide de la clé publique. S’il y parvient, votre message sera en outre authentifié, ce qui augmentera le taux de distribution de tous vos courriels.
Comment configurer l’enregistrement DKIM sur votre serveur, étape par étape?
Tout d’abord, vous devez générer la clé publique. Pour ce faire, vous devez vous connecter à la console d’administration de votre fournisseur de messagerie. Les étapes suivantes peuvent varier en fonction de votre fournisseur de messagerie.
Si vous utilisez Google Apps pour envoyer vos courriels, voici une instruction étape par étape. Pour les utilisateurs de Google Apps, sachez que les signatures DKIM sont désactivées par défaut et que vous devez donc les activer manuellement dans votre console d’administration Google.
Lorsque vous avez la clé publique, vous prenez l’enregistrement txt généré et le collez au bon endroit dans vos enregistrements DNS.
Enfin, vous devez activer la signature des courriels pour commencer à envoyer des courriels contenant votre signature cryptée avec votre clé privée. Voici comment procéder, si vous utilisez Google Apps pour envoyer vos courriels.
Voici comment configurer DKIM dans certains autres hôtes de domaine :
Pour plus de détails, regardez un guide vidéo qui explique comment procéder :
Si vous utilisez actuellement Woodpecker et que vous n’avez pas d’informaticien à qui demander de l’aide pour les paramètres SPF et DKIM, vous pouvez nous contacter à l’adresse [email protected] pour obtenir une aide personnalisée.
Si vous souhaitez vérifier si vos paramètres SPF et DKIM sont correctement configurés, vous pouvez le faire dans l’application. Après vous être connecté à Woodpecker, allez dans PARAMÈTRES > ; COMPTES DE COURRIEL > ; cliquez sur l’engrenage à côté de votre courriel > ; VÉRIFICATION DU DOMAINE (sur le côté gauche).
Sélectionnez SPF & DKIM et améliorez votre délivrabilité
Si vous envoyez beaucoup d’e-mails, que ce soit à des fins de marketing ou pour des ventes entrantes ou sortantes, la réputation de votre domaine est cruciale et vous devez en prendre grand soin. Vous ne voulez pas que votre domaine figure sur une liste noire et que vos courriels finissent dans le spam. Configurer correctement les enregistrements SPF et DKIM sur votre serveur DNS est une étape nécessaire à la sécurité de votre domaine et à la haute délivrabilité de vos messages.
La mise en place de ces enregistrements peut sembler compliquée, mais le jeu en vaut la chandelle. Si j’étais vous, j’irais sur mon compte Woodpecker et je vérifierais si mes SPF et DKIM sont correctement configurés dès maintenant ou je demanderais à mes informaticiens de le faire (si vous n’êtes pas un utilisateur de Woodpecker). Et s’il s’avère que la réponse est “non”, je leur demanderais de m’aider. Et je ne les laisserais pas m’ignorer. Pas avec celui-ci.
Consultez également ces quatre articles sur la délivrabilité des courriels :
- Qu’est-ce qu’on peut faire pour améliorer la délivrabilité de nos e-mails froids ?
- Pourquoi créer une boîte aux lettres distincte pour les campagnes d’envoi ?
- Réponses à 8 questions fréquemment posées sur la délivrabilité des e-mails >>
- 14 contrôles de délivrabilité à effectuer avant d’envoyer votre campagne d’email froid >>
Qu’est-ce que DMARC?
En bref, il s’agit d’une mesure de sécurité qui protège votre domaine contre l’utilisation par les méchants et vous permet de mieux contrôler la délivrabilité de votre courrier électronique. Il est basé sur les mécanismes SPF et DKIM.
Cet acronyme bizarre signifie Domain-based Message Authentication, Reporting and Conformance (authentification, notification et conformité des messages basés sur le domaine). Mais qu’est-ce que cela signifie ?
DMARC vous permet de déterminer si un email que vous avez reçu a été légitimement envoyé par la personne qui prétend l’avoir envoyé. C’est la partie authentification.
Si le email ne passe pas le test DMARC, il sera traité conformément à la politique DMARC définie par le destinataire (je la décris en détail plus loin dans l’article). C’est la partie conformité.
DMARC permet également au destinataire d’envoyer des rapports à l’expéditeur, décrivant la manière dont le message a été traité : a-t-il été transmis à la boîte de réception principale, a-t-il atterri dans un dossier de spam ou a-t-il été rejeté ? Il s’agit là de la partie “reporting”.
Dans l’ensemble, DMARC permet aux récepteurs de courrier électronique de vérifier si le courrier électronique entrant correspond à ce qu’ils savent au sujet de l’expéditeur. Si ce n’est pas le cas, il indique aux serveurs des destinataires ce qu’ils doivent faire avec un tel message.
Il n’est pas configuré par défaut – vous devez le faire vous-même si vous souhaitez ajouter une mesure de sécurité supplémentaire à vos mécanismes SPF et DKIM.
Mais pourquoi est-ce important ?
Pourquoi DMARC est-il important?
Il y a trois raisons pour lesquelles DMARC est si important pour les utilisateurs de la messagerie électronique :
1. C’est une mesure de sécurité.
Du côté de l’expéditeur, cela protège votre domaine contre une utilisation non autorisée, par exemple par des hameçonneurs qui essaient de voler vos informations personnelles de cette manière. Du côté du destinataire, il est plus difficile pour les courriers électroniques frauduleux de parvenir jusqu’à votre boîte de réception principale.
DMARC protège contre l’usurpation de domaine, c’est-à-dire lorsque quelqu’un qui n’est pas autorisé à utiliser votre domaine essaie de se faire passer pour vous ou de faire croire qu’il travaille dans votre entreprise pour tromper quelqu’un en lui faisant croire qu’il est vous. Ils le font pour voler des données personnelles, telles que des données de connexion ou un numéro de carte de crédit.
2. Mieux contrôler votre délivrance de courrier électronique.
Un autre avantage de l’utilisation de DMARC est que vous pourrez mieux contrôler le nombre de vos emails qui sont considérés comme légitimes et qui arrivent dans les boîtes de réception principales de vos destinataires. Et si quelqu’un essaie de se faire passer pour vous et d’envoyer des emails en votre nom, mais j’y reviendrai dans un instant.
3. il protège la réputation de votre marque
Si quelqu’un se fait passer pour vous et essaie d’inciter les gens à lui donner de l’argent ou des informations personnelles, cela donne une mauvaise image de votre marque. DMARC permet d’éviter cela.
DMARC est publié dans le DNS par le propriétaire du domaine, avec SPF et DKIM. Il s’agit d’un simple enregistrement d’une ligne.
En voici un exemple :
v=DMARC1 ; p=none ; rua=mailto:[email protected] ;
Comment fonctionne DMARC?
DMARC spécifie ce qui doit se passer pour que le message soit transmis à la boîte de réception et ce qui se passera si les conditions ne sont pas remplies.
Lorsqu’un courriel est testé par DMARC, 4 choses peuvent (ou doivent) se produire :
- DKIM pass – la signature supplémentaire placée dans l’en-tête doit être validée : la clé privée correspond à la clé publique publiée dans le DNS.
- Alignement DKIM – le domaine parent correspond au domaine Header From.
- Passation SPF – le serveur de réception prend le domaine inclus dans l’adresse “Enveloppe From” et vérifie s’il existe un enregistrement SPF (et il vérifie si l’adresse IP est incluse dans l’enregistrement SPF).
- Alignement SPF – le domaine de l’enveloppe From correspond au domaine de l’en-tête From de l’e-mail.
Un message échoue à DMARC s’il échoue à la fois à SPF et à DKIM.
Gardez toutefois à l’esprit que si vous transférez un message, seul le DKIM reste aligné.
Attendez, mais SPF et DKIM ne sont-ils pas déjà utilisés pour protéger le courrier électronique?
Les mécanismes SPF et DKIM protègent tous deux contre les utilisations non autorisées. Le problème est qu’ils fonctionnent de manière isolée. Il n’existe pas de loi universelle indiquant ce que le destinataire doit faire en cas d’échec. Chaque destinataire traite différemment les messages qui échouent. Par exemple, un destinataire peut le rediriger directement vers le dossier des courriers indésirables, tandis qu’un autre le soumettra à des tests supplémentaires pour déterminer où il doit aller.
Sans parler du fait que le propriétaire du domaine ne reçoit jamais d’informations sur ses courriels et ne sait pas s’ils ont atteint la boîte de réception principale du destinataire.
DMARC nous permet de définir nos propres règles sur la manière de traiter un courriel qui n’est pas conforme, réduisant ainsi le risque que notre domaine soit usurpé.
Il nous permet également de faire un rapport à l’expéditeur.
L’ajout d’un enregistrement DMARC au DNS vous permettra de définir des règles pour les courriels entrants : doivent-ils être mis en quarantaine, rejetés ou laissés passer ?
Politiques DMARC et rapports
Il existe trois politiques DMARC possibles :
- None
- Quarantaine
- Rejeter
Dans le cas du courrier électronique, cela signifie qu’avec une politique “none”, tous les courriers électroniques sont acceptés, même s’ils ne passent pas le test SPF et/ou DKIM. Avec une politique de “quarantaine”, ceux qui ne passent pas le test seront redirigés vers le dossier spam. Et avec une politique de “rejet”, ils rebondiront.
Quelques jours après avoir publié un enregistrement DMARC dans le DNS, vous commencerez à recevoir des rapports des FAI. Ces rapports contiendront des statistiques sur tous les courriels envoyés à partir de votre domaine (y compris ceux qui prétendent provenir de votre domaine).
Si vous voyez plus d’e-mails que vous n’en avez réellement envoyés, cela signifie que quelqu’un d’autre que vous utilise votre domaine. Le rapport vous donnera un aperçu clair de l’origine des courriels et vous indiquera s’ils peuvent être bloqués par une politique de “quarantaine” ou de “rejet”.
Ces rapports vous permettront d’évaluer la santé de vos messages sortants. Quels sont les éléments qu’ils contiennent ? La manière dont les messages ont été traités (conformément aux politiques DMARC mises en place), les adresses IP qui ont utilisé votre domaine pour envoyer des courriels (ainsi que le nombre de messages envoyés), et les résultats SPF et DKIM.
Les rapports peuvent être lus à l’aide d’un outil tel que Postmark ou dmarcian.
Comment configurer DMARC?
- Configurer SPF et DKIM
Tout d’abord, vous devez vous assurer que vos enregistrements SPF et DKIM sont configurés. Si vous avez déjà réfléchi à votre délivrabilité, il y a de fortes chances que vous ayez déjà rayé cette étape de votre liste. - Générez un enregistrement DMARC, par exemple ici.
Pour l’instant, choisissez la politique “none” pour tous les courriels. - Ajoutez votre enregistrement DMARC au DNS
- Modifiez la politique en fonction des données au fur et à mesure
Analysez plusieurs rapports que vous obtenez et, une fois que vous savez comment manœuvrer à travers les politiques DMARC, passez de “aucun” à “quarantaine”, et plus tard à “rejet”.
À vous de jouer
La combinaison de SPF, DKIM et DMARC est considérée comme le trio d’or de l’authentification des messages électroniques. SPF et DKIM sont mieux connus et plus largement utilisés. À l’heure actuelle, DMARC est plus un atout qu’une nécessité, mais cela changera probablement à l’avenir, car de plus en plus de gens l’installent pour mieux protéger leur domaine contre l’usurpation d’identité et le hameçonnage.