Que sont DKIM, SPF et DMARC ?

Publié: 2022-10-07

Vos e-mails sont-ils constamment bloqués par les filtres anti-spam de vos destinataires ? Pire encore, ne se présentent-ils tout simplement pas ?

La délivrabilité des e-mails est un problème pour de nombreuses entreprises - et résoudre le problème peut parfois être un peu un art sombre. Dans ce guide, nous discutons de trois solutions avancées pour améliorer la délivrabilité des e-mails : DKIM, SPF et DMARC.

La configuration de DKIM, SPF et DMARC pour votre domaine peut améliorer la délivrabilité des e-mails, tout en réduisant le risque que des escrocs et des usurpateurs envoient avec succès des e-mails prétendant provenir de votre organisation.

Que sont DKIM et SPF ?

DKIM et SPF sont deux méthodes numériques utilisées pour la validation des e-mails. Ils peuvent à la fois protéger l'expéditeur et le destinataire d'un e-mail contre l'usurpation d'identité, le phishing et l'usurpation d'identité.

Lorsque le compte de messagerie d'une personne reçoit un e-mail portant une signature DKIM ou SPF, ses filtres anti-spam vérifient le domaine de l'expéditeur pour s'assurer que l'e-mail est valide et non falsifié. Les e-mails qui réussissent le contrôle DKIM ou SPF sont éligibles pour être livrés ; les e-mails qui ne passent pas sont rejetés ou mis en quarantaine.

DKIM est utilisé pour valider les e-mails envoyés par un certain domaine, tandis que SPF valide également les e-mails envoyés par des tiers au nom du domaine « expéditeur ».

Qu'est-ce que DKIM ?

Parlons plus en détail de DKIM et SPF, en commençant par DKIM.

DKIM (DomainKeys Identified Mail) est un protocole de sécurité qui peut indiquer au compte de messagerie de quelqu'un si oui ou non un e-mail a vraiment été envoyé depuis le domaine à partir duquel il a été envoyé.

En 2005, avant le lancement de DKIM, l'usurpation d'adresses e-mail était particulièrement répandue. Cela a incité un groupe d'acteurs de haut niveau de l'industrie Internet, dont Yahoo!, Cisco et Microsoft, à proposer une solution : DKIM. Le groupe a identifié que l'association revendiquée entre un e-mail et un domaine pouvait être validée en ajoutant une clé de sécurité aux métadonnées de chaque e-mail. Cela permettrait aux domaines de prouver que leurs propres e-mails sont légitimes, tout en rendant plus difficile pour les escrocs de simuler une association entre leurs e-mails usurpés et le domaine de quelqu'un d'autre.

Lorsqu'un domaine a configuré DKIM et que ce domaine envoie un e-mail à un destinataire, le compte de messagerie du destinataire vérifie la signature DKIM dans l'e-mail par rapport aux enregistrements DNS du domaine. (Un enregistrement DNS est l'enregistrement en ligne du domaine de ses informations d'identification de base). Si la signature correspond, l'e-mail passe le contrôle DKIM et peut donc être livré.

Comment configurer DKIM sur votre domaine

La configuration de DKIM est un moyen important et accessible de réduire le risque d'usurpation d'e-mails, tout en améliorant la délivrabilité des e-mails.

Le processus de configuration DKIM varie en fonction du fournisseur de services de messagerie que vous utilisez. Par exemple, Gmail effectue automatiquement certaines étapes au nom du domaine. Si vous préférez passer par une configuration DKIM entièrement manuelle, les étapes suivantes seront nécessaires :

  1. Installer un package DKIM sur le serveur de messagerie du domaine
  2. Utiliser un outil DKIM Wizard pour créer une paire de clés DKIM publique et privée
  3. Charger un enregistrement TXT de la clé DKIM publique dans l'enregistrement DNS du domaine
  4. Stockez la clé DKIM privée en toute sécurité (là où le package DKIM indique qu'elle doit être stockée)
  5. Vérifiez si le fournisseur de messagerie nécessite une configuration DKIM supplémentaire et suivez les étapes supplémentaires appropriées

Agari.com propose des conseils détaillés sur chaque étape du processus de configuration DKIM.

Une fois DKIM configuré, le domaine doit être bien placé pour profiter des avantages d'une délivrabilité et d'une sécurité améliorées. Les filtres anti-spam auront désormais un signal clair que les e-mails du domaine sont légitimes, ce qui supprime l'une des raisons les plus probables pour lesquelles ces e-mails auraient pu être traités comme du spam.

De plus, si un expéditeur malveillant essaie d'envoyer des e-mails sous le couvert du domaine, les e-mails devraient être récupérés par les filtres anti-spam des destinataires, en raison de l'absence de clé DKIM correspondant à celle ajoutée au DNS du domaine.

Qu'est-ce que le FPS ?

SPF (Sender Policy Framework) est un moyen de valider toutes les parties qui envoient des e-mails au nom d'un domaine, des différents domaines d'envoi qui peuvent appartenir à l'expéditeur, aux outils d'email marketing comme MailChimp et Campaign Monitor.

SPF facilite cela en invitant le compte de messagerie du destinataire à vérifier une liste des détails d'envoi autorisés dans le registre de domaine de l'expéditeur. Si les détails du compte d'envoi correspondent aux détails répertoriés dans le registre, l'e-mail peut être livré ; si les détails ne correspondent pas, l'e-mail est rejeté ou mis en quarantaine.

Les idées et les technologies qui deviendront SPF ont été développées en collaboration par une large communauté d'experts de la messagerie au début des années 2000.

Comment configurer le FPS

La configuration du SPF pour un domaine est heureusement simple.

Tout d'abord, créez un enregistrement TXT répertoriant tous les domaines et serveurs approuvés pour l'envoi d'e-mails au nom d'un domaine. Cela peut inclure des serveurs Web, des serveurs de messagerie au bureau, des serveurs de messagerie ISP, des serveurs de messagerie d'utilisateur final et des serveurs de messagerie tiers qui sont utilisés pour envoyer des e-mails au nom du domaine. Ainsi, les actions que vous devez effectuer sont :

  1. Faites une liste des domaines et serveurs pertinents ;
  2. Créez un enregistrement TXT incluant les domaines et serveurs répertoriés dans ce format.

Ensuite, vous pouvez activer SPF en ajoutant un enregistrement SPF TXT au DNS de votre domaine. Google propose des conseils détaillés sur la configuration du SPF.

Une fois le SPF configuré, les comptes de messagerie auront un moyen de vérifier tous les e-mails légitimes envoyés au nom de votre domaine. Cela améliore la délivrabilité de vos e-mails, tout en maintenant la protection que les filtres anti-spam peuvent fournir contre les e-mails frauduleux prétendant provenir de votre domaine.

Un outil pour tester les signatures e-mail DKIM et SPF

Une fois que vous avez fini de configurer DKIM et SPF, vous devez tester pour vous assurer que les deux technologies fonctionnent correctement. Nous vous conseillons d'utiliser l'outil gratuit de mail-tester.com : Vérifiez vos clés SPF et DKIM.

Tester vos précautions DKIM et SPF est crucial, car une configuration incorrecte pourrait en fait nuire à la délivrabilité de vos e-mails.

Qu'est-ce que le DMARC ?

DMARC est un protocole de sécurité de messagerie avancé qui ajoute une fonctionnalité de création de rapports à la protection offerte par DKIM et SPF. Pour les domaines utilisant des e-mails à grande échelle, DMARC peut être un outil particulièrement puissant et efficace pour signaler les problèmes de délivrabilité et collecter des informations sur les e-mails problématiques associés au domaine.

Lorsque DKIM et SPF ont été lancés pour la première fois, on espérait que les technologies seraient une solution hermétique pour valider les e-mails. Malheureusement, DKIM et SPF ne se sont pas toujours avérés parfaitement efficaces pour empêcher les e-mails frauduleux, en particulier dans les cas où le propriétaire du domaine utilise les e-mails à grande échelle et avec plusieurs systèmes de messagerie.

En 2012, une coalition de géants de l'internet dont PayPal, Google, Microsoft et Yahoo! réunis pour travailler sur un moyen de consolider les faiblesses de DKIM et SPF. Ils ont mis au point un protocole de sécurité appelé DMARC, qui ajoute une fonctionnalité de rapport approfondie aux signatures DKIM et SPF existantes d'un compte de messagerie.

Avec DMARC, chaque e-mail est toujours transmis, rejeté ou mis en quarantaine en fonction de sa signature DKIM ou SPF ; la différence vient après. Chaque fois qu'un e-mail est rejeté ou mis en quarantaine, DMARC envoie un rapport d'échec au domaine. Et sur une base périodique, DMARC envoie au domaine un "rapport agrégé" qui rassemble des informations sur les e-mails transmis, rejetés et mis en quarantaine.

Les rapports DMARC fournissent des détails sur le nom de domaine de l'auteur, ainsi que des informations sur l'interaction entre l'expéditeur et le destinataire. Cela donne au propriétaire du domaine un aperçu très clair de la manière dont son canal de messagerie est utilisé et de qui l'utilise, y compris les fraudeurs potentiels.

Comment utiliser les rapports DMARC

Les rapports DMARC peuvent être un atout considérable en termes de délivrabilité des e-mails. Les échecs mis en évidence par les rapports aident les entreprises à identifier et à traiter les cas d'e-mails malveillants associés à leur domaine. Cela réduit le volume de signaux négatifs liés à un domaine qui sont captés par les fournisseurs de services de messagerie, ce qui peut avoir un effet positif sur la délivrabilité globale des e-mails du domaine.

Les services de messagerie tels que Gmail et Outlook peuvent générer des rapports DMARC détaillés couvrant tous les e-mails envoyés depuis un domaine, y compris des informations sur toutes les adresses IP qui ont utilisé le domaine pour envoyer un e-mail.

Afin d'activer les rapports DMARC, le propriétaire du domaine devra d'abord créer un enregistrement DMARC pour le domaine. Des erreurs dans l'enregistrement DMARC d'un domaine peuvent entraîner de graves problèmes de délivrabilité des e-mails. Nous recommandons donc toujours de faire appel à un entrepreneur ou à un service expert pour garantir le bon déroulement de la configuration DMARC.

Une fois que l'enregistrement DMARC d'un domaine est actif, il peut commencer à recevoir des rapports DMARC des fournisseurs de services de messagerie.

Les rapports DMARC sont difficiles à comprendre dans leur format brut, il est donc conseillé d'utiliser un logiciel d'analyse DMARC, tel que DMARC Analyzer, pour analyser efficacement chaque rapport à la recherche d'instances d'utilisation malveillante. Si le logiciel détecte quelque chose de phishy, ​​le propriétaire du domaine peut prendre les mesures appropriées, comme demander à Gmail et à d'autres services de messagerie de rejeter les expéditeurs malveillants à l'avenir.

L'acronyme DMARC signifie Domain-based Message Authentication Reporting and Conformance.

Nous tenons à répéter que si vous êtes intéressé par DMARC, notre conseil serait de faire configurer l'outil par un expert, qui peut surveiller les performances et faire des ajustements pour que votre politique DMARC soit parfaite.

DKIM, SPF et DMARC dans le cadre de l'hygiène de la délivrabilité des e-mails

DKIM, SPF et DMARC contribuent tous à la délivrabilité et à la sécurité des e-mails. Cependant, pour de meilleurs résultats, ils doivent être utilisés dans le cadre d'un régime d'hygiène des e-mails approfondi. Cela signifie que le domaine passe régulièrement par un ensemble de processus - y compris la gestion de DKIM, SPF et DMARC - pour assurer une délivrabilité optimale des e-mails.

Pour de nombreux spécialistes du marketing par e-mail, l'élément le plus important de l'hygiène des e-mails est de ranger votre liste de diffusion (AKA votre liste de diffusion). Cela peut impliquer de parcourir la liste pour identifier les destinataires qui n'ont pas ouvert d'e-mail depuis longtemps, puis de supprimer ces destinataires de la liste de diffusion. Vous pouvez également vérifier si votre liste de diffusion contient des « incohérences horizontales » - lorsqu'une des informations sur un destinataire, comme le nom, ne semble pas correspondre à l'adresse e-mail (par exemple, nom : Dr. Norman Whibley-Castle ; adresse e-mail : bikerchickmartha2001[at]gmail[point]com). Pour plus de conseils sur l'hygiène des e-mails, consultez l'article de tye.io, "10 meilleures pratiques essentielles d'hygiène des e-mails pour 2021".

Nous vous recommandons de suivre les étapes suivantes pour gérer DKIM, SPF et DMARC :

  • DKIM et SPF : testez régulièrement vos clés DKIM et SPF.
  • DMARC : si vous utilisez DMARC, demandez à un membre de l'équipe d'experts ou à un sous-traitant de vérifier régulièrement vos rapports DMARC et d'ajuster les paramètres du domaine si nécessaire.

Avec DKIM, SPF et éventuellement DMARC en place, votre domaine disposera d'une excellente base pour la délivrabilité et la sécurité des e-mails. N'oubliez pas de gérer ces technologies dans le cadre de votre régime d'hygiène des e-mails, car cela vous aidera à vous assurer qu'elles fonctionnent correctement.

Il y a beaucoup de travail à faire pour configurer ces technologies de sécurité des e-mails, mais en fin de compte, vous serez récompensé en voyant un pourcentage accru de vos e-mails atterrir dans la boîte de réception du destinataire.