Que sont DKIM, SPF et DMARC ? Et comment ils contribuent à la délivrabilité des e-mails

Publié: 2021-08-07

Vos e-mails sont-ils constamment bloqués par les filtres anti-spam de vos destinataires ? Pire encore, ne se présentent-ils tout simplement pas du tout ?

La délivrabilité des e-mails est un problème pour de nombreuses entreprises – et la résolution du problème peut parfois être un peu un art sombre. Dans ce guide, nous discutons de trois solutions ci-dessus pour améliorer la délivrabilité des e-mails : DKIM, SPF et DMARC.

La configuration de DKIM, SPF et DMARC pour votre domaine peut améliorer la délivrabilité des e-mails, tout en réduisant le risque que les escrocs et les usurpateurs envoient avec succès des e-mails prétendant provenir de votre organisation.

Que sont DKIM et SPF ?

DKIM et SPF sont deux méthodes numériques utilisées pour la validation des e-mails. Ils peuvent à la fois protéger l'expéditeur et le destinataire d'un e-mail contre l'usurpation d'identité, le phishing et l'usurpation d'identité.

Lorsque le compte de messagerie d'une personne reçoit un e-mail avec une signature DKIM ou SPF, ses filtres anti-spam vérifient le domaine de l'expéditeur pour s'assurer que l'e-mail est valide et non falsifié. Les e-mails qui passent le contrôle DKIM ou SPF sont éligibles pour être livrés ; les e-mails qui ne passent pas sont rejetés ou mis en quarantaine.

DKIM est utilisé pour valider les e-mails envoyés par un certain domaine, tandis que SPF valide également les e-mails envoyés par des tiers au nom du domaine « expéditeur ».

Qu'est-ce que DKIM ?

Parlons plus en détail de DKIM et SPF, en commençant par DKIM.

DKIM (DomainKeys Identified Mail) est un protocole de sécurité qui peut indiquer au compte de messagerie de quelqu'un si un e-mail a vraiment été envoyé à partir du domaine à partir duquel il a été envoyé.

En 2005, avant le lancement de DKIM, l'usurpation d'email était particulièrement répandue. Cela a incité un groupe de participants de l'industrie Internet de haut niveau, dont Yahoo!, Cisco et Microsoft, à proposer une solution : DKIM. Le groupe a identifié que l'association revendiquée entre un e-mail et un domaine pouvait être validée en ajoutant une clé de sécurité aux métadonnées de chaque e-mail. Cela fournirait aux domaines un moyen de prouver que leurs propres e-mails sont légitimes, tout en rendant plus difficile pour les escrocs de feindre une association entre leurs e-mails falsifiés et le domaine de quelqu'un d'autre.

Lorsqu'un domaine a configuré DKIM et que ce domaine envoie un e-mail à un destinataire, le compte de messagerie du destinataire vérifie la signature DKIM dans l'e-mail par rapport aux enregistrements DNS du domaine. (Un enregistrement DNS est l'enregistrement en ligne du domaine de ses informations d'identification de base). Si la signature correspond, l'e-mail passe le contrôle DKIM et peut donc être délivré.

Comment configurer DKIM sur votre domaine

La configuration de DKIM est un moyen important et accessible de réduire le risque d'usurpation d'e-mail, tout en améliorant la délivrabilité des e-mails.

Le processus de configuration de DKIM varie en fonction du fournisseur de services de messagerie que vous utilisez. Par exemple, Gmail effectue automatiquement certaines étapes au nom du domaine. Si vous préférez passer par une configuration DKIM entièrement manuelle, les étapes suivantes seront nécessaires :

  1. Installer un package DKIM sur le serveur de messagerie du domaine
  2. Utilisez un outil d'assistant DKIM pour créer une paire de clés DKIM publique et privée
  3. Téléchargez un enregistrement TXT de la clé DKIM publique dans l'enregistrement DNS du domaine
  4. Stockez la clé DKIM privée en toute sécurité (là où le package DKIM indique qu'elle doit être stockée)
  5. Vérifiez si le fournisseur de messagerie nécessite une configuration DKIM supplémentaire et suivez les étapes supplémentaires appropriées.

Agari.com offre des conseils détaillés sur chaque étape du processus de configuration DKIM.

Une fois DKIM configuré, le domaine doit être bien placé pour profiter des avantages d'une délivrabilité et d'une sécurité améliorées. Les filtres anti-spam indiqueront désormais clairement que les e-mails du domaine sont légitimes, ce qui supprime l'une des raisons les plus probables pour lesquelles ces e-mails ont pu être traités comme du spam.

De plus, si un expéditeur malveillant essaie d'envoyer des e-mails sous le couvert du domaine, les e-mails devraient être récupérés par les filtres anti-spam des destinataires, en raison de l'absence de clé DKIM correspondant à celle ajoutée au DNS du domaine.

Qu'est-ce que le SPF ?

SPF (Sender Policy Framework) est un moyen de valider toutes les parties qui envoient des e-mails au nom d'un domaine, des différents domaines d'envoi pouvant appartenir à l'expéditeur, aux outils de marketing par e-mail tels que MailChimp et Campaign Monitor.

SPF facilite cela en invitant le compte de messagerie du destinataire à vérifier une liste des détails d'envoi autorisés dans le registre de domaine de l'expéditeur. Si les détails du compte d'envoi correspondent aux détails répertoriés dans le registre, l'e-mail peut être livré ; si les détails ne correspondent pas, l'e-mail est rejeté ou mis en quarantaine.

Les idées et les technologies qui allaient devenir SPF ont été développées en collaboration par une large communauté d'experts en e-mail au début des années 2000.

Comment configurer SPF

La configuration de SPF pour un domaine est heureusement simple.

Tout d'abord, créez un enregistrement TXT répertoriant tous les domaines et serveurs approuvés pour l'envoi d'e-mails au nom d'un domaine. Cela peut inclure des serveurs Web, des serveurs de messagerie internes, des serveurs de messagerie ISP, des serveurs de boîtes aux lettres d'utilisateurs finaux et des serveurs de messagerie tiers qui sont utilisés pour envoyer des e-mails au nom du domaine. Ainsi, les actions que vous devez effectuer sont :

  1. Faites une liste des domaines et serveurs pertinents ;
  2. Créez un enregistrement TXT comprenant les domaines et serveurs répertoriés dans ce format.

Ensuite, vous pouvez activer SPF en ajoutant un enregistrement SPF TXT au DNS de votre domaine. Google a des conseils détaillés sur la façon de configurer SPF.

Une fois SPF configuré, les comptes de messagerie auront un moyen de vérifier tous les e-mails légitimes envoyés au nom de votre domaine. Cela améliore la délivrabilité de vos e-mails, tout en maintenant la protection que les filtres anti-spam peuvent fournir contre les e-mails frauduleux prétendant provenir de votre domaine.

Un outil pour tester les signatures email DKIM et SPF

Une fois que vous avez terminé de configurer DKIM et SPF, vous devez tester pour vous assurer que les deux technologies fonctionnent correctement. Nous vous recommandons d'utiliser l'outil gratuit de mail-tester.com : Vérifiez vos clés SPF et DKIM.

Tester vos précautions DKIM et SPF est crucial, car une configuration incorrecte pourrait en réalité nuire à la délivrabilité de vos e-mails.

Qu'est-ce que le DMARC ?

DMARC est un protocole de sécurité de messagerie avancé qui ajoute une fonctionnalité de rapport à la protection offerte par DKIM et SPF. Pour les domaines utilisant le courrier électronique à grande échelle, DMARC peut être un outil particulièrement puissant et efficace pour signaler les problèmes de délivrabilité et collecter des informations sur les courriers électroniques problématiques associés au domaine.

Lorsque DKIM et SPF ont été lancés pour la première fois, on espérait que les technologies seraient une solution étanche pour valider les e-mails. Malheureusement, DKIM et SPF ne se sont pas toujours avérés parfaitement efficaces pour empêcher les e-mails frauduleux, en particulier dans les cas où le propriétaire du domaine utilise les e-mails à grande échelle et avec plusieurs systèmes de messagerie.

En 2012, une coalition de géants de l'Internet dont PayPal, Google, Microsoft et Yahoo! réunis pour travailler sur un moyen de consolider les faiblesses de DKIM et SPF. Ils ont mis au point un protocole de sécurité appelé DMARC, qui ajoute une fonctionnalité de rapport détaillé aux signatures DKIM et SPF existantes d'un compte de messagerie.

Avec DMARC, chaque e-mail est toujours transmis, rejeté ou mis en quarantaine en fonction de sa signature DKIM ou SPF ; la différence vient après. Chaque fois qu'un e-mail est rejeté ou mis en quarantaine, DMARC envoie un rapport d'échec au domaine. Et périodiquement, DMARC envoie au domaine un « rapport global » qui rassemble des informations sur les e-mails transmis, rejetés et mis en quarantaine.

Les rapports DMARC fournissent des détails sur le nom de domaine de l'auteur, ainsi que des informations sur l'interaction entre l'expéditeur et le destinataire. Cela donne au propriétaire du domaine un aperçu très clair de la façon dont son canal de messagerie est utilisé et qui l'utilise, y compris les fraudeurs potentiels.

Comment utiliser les rapports DMARC

Les rapports DMARC peuvent être un atout considérable en termes de délivrabilité des e-mails. Les échecs mis en évidence par les rapports aident les entreprises à identifier et à traiter les cas d'e-mails malveillants associés à leur domaine. Cela réduit le volume de signaux négatifs liés à un domaine qui sont récupérés par les fournisseurs de services de messagerie, ce qui peut avoir un effet positif sur la délivrabilité globale des e-mails du domaine.

Les services de messagerie tels que Gmail et Outlook peuvent générer des rapports DMARC détaillés couvrant tous les e-mails envoyés depuis un domaine, y compris des informations sur toutes les adresses IP qui ont utilisé le domaine pour envoyer un e-mail.

Afin d'activer les rapports DMARC, le propriétaire du domaine devra d'abord créer un enregistrement DMARC pour le domaine. Des erreurs dans l'enregistrement DMARC d'un domaine peuvent entraîner de graves problèmes de délivrabilité des e-mails. Nous vous recommandons donc toujours de faire appel à un entrepreneur ou à un service expert pour garantir le bon déroulement de la configuration DMARC.

Une fois que l'enregistrement DMARC d'un domaine est actif, il peut commencer à recevoir des rapports DMARC des fournisseurs de services de messagerie.

Les rapports DMARC sont difficiles à comprendre dans leur format brut, il est donc conseillé d'utiliser un logiciel d'analyse DMARC, tel que DMARC Analyzer, pour analyser efficacement chaque rapport à la recherche d'instances d'utilisation malveillante. Si le logiciel détecte quelque chose de hameçon, le propriétaire du domaine peut prendre les mesures appropriées, telles que demander à Gmail et à d'autres services de messagerie de rejeter les expéditeurs malveillants à l'avenir.

L'acronyme DMARC signifie Domain-based Message Authentication Reporting and Conformance.

Nous tenons à réitérer que si vous êtes intéressé par DMARC, notre conseil serait de faire configurer l'outil par un expert, qui peut surveiller les performances et apporter des ajustements pour obtenir votre politique DMARC juste.

DKIM, SPF et DMARC dans le cadre de l'hygiène de la délivrabilité des e-mails

DKIM, SPF et DMARC contribuent tous à la délivrabilité et à la sécurité des e-mails. Cependant, pour de meilleurs résultats, ils doivent être utilisés dans le cadre d'un régime d'hygiène complet des e-mails. Cela signifie que le domaine passe régulièrement par un ensemble de processus - y compris la gestion de DKIM, SPF et DMARC - pour assurer une délivrabilité optimale des e-mails.

Pour de nombreux spécialistes du marketing par e-mail, l'élément le plus important de l'hygiène des e-mails est de ranger votre liste de diffusion (AKA votre liste de diffusion). Cela peut impliquer de parcourir la liste pour identifier les destinataires qui n'ont pas ouvert d'e-mail depuis longtemps, puis de supprimer ces destinataires de la liste de diffusion. Vous pouvez également vérifier votre liste de diffusion pour les « incohérences horizontales » - où l'une des informations sur un destinataire, comme le nom, ne semble pas correspondre à l'adresse e-mail (par exemple, le nom : Dr. Norman Whibley-Castle ; adresse e-mail : bikerchickmartha2001[at]gmail[dot]com). Pour plus de conseils sur l'hygiène des e-mails, consultez l'article de tye.io, « 10 meilleures pratiques essentielles en matière d'hygiène des e-mails pour 2021 ».

Nous vous recommandons de suivre les étapes suivantes pour gérer DKIM, SPF et DMARC :

  • DKIM et SPF : testez régulièrement vos clés DKIM et SPF.
  • DMARC : si vous utilisez DMARC, demandez à un membre de l'équipe d'experts ou à un sous-traitant de vérifier régulièrement vos rapports DMARC et d'ajuster les paramètres du domaine si nécessaire.

Avec DKIM, SPF et éventuellement DMARC en place, votre domaine disposera d'une excellente base pour la délivrabilité et la sécurité des e-mails. N'oubliez pas de gérer ces technologies dans le cadre de votre programme d'hygiène de la messagerie, car cela contribuera à garantir leur bon fonctionnement.

La mise en place de ces technologies de sécurité des e-mails nécessite beaucoup de travail, mais en fin de compte, vous serez récompensé en voyant un pourcentage accru de vos e-mails atterrir dans la boîte de réception du destinataire.