Délivrabilité
Protocoles SPF, DKIM et DMARC : pourquoi et comment les configurer ?
Saviez-vous qu’il existe un moyen efficace de lutter contre les tentatives d'hameçonnage et d’usurpation d’identité, tout en améliorant votre délivrabilité ? Les protocoles SPF, DKIM et DMARC vous garantissent des envois plus sûrs et de meilleurs résultats.
Les attaques basées sur l’envoi d’emails sont de plus en plus nombreuses et de plus en plus ciblées. Le phishing, ou hameçonnage, désigne une technique utilisée par des escrocs pour obtenir des informations personnelles. Les phishers envoient un email en se faisant passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon…), dans le but de récupérer des données confidentielles.
Selon les données récoltées (informations bancaires, identifiants de connexion…), ces escrocs peuvent par exemple réaliser des virements sur leurs comptes ou se connecter à un site pour envoyer du spam.
Afin d’éviter que des personnes malveillantes usurpent votre identité en utilisant le même nom de domaine, il existe des solutions. C’est là que les protocoles d’authentification SPF, DKIM et DMARC entrent en jeu. De la définition de ces termes jusqu’aux étapes à suivre pour définir Mailjet comme expéditeur légitime, on vous explique tout dans cet article.
Table des matières
Protocole SPF
Protocole DKIM
Protocole DMARC
Les changements de Gmail et Yahoo depuis février 2024
Configuration d’un enregistrement DNS pour l’authentification SPF
Configuration d’un enregistrement DNS pour l’authentification DKIM
Configuration d’un enregistrement DNS pour l’authentification DMARC
Définition de SPF, DKIM et DMARC
Vous le savez sûrement, le monde de l’emailing aime les acronymes et les sigles. SMTP, RGPD, ESP, CCPA… On en perd parfois un peu la tête. Mais dans cette forêt de termes techniques se cachent 3 protocoles essentiels pour votre délivrabilité. Il s’agit des protocoles SPF, DKIM et DMARC. Si vous ne deviez retenir que 3 sigles, ce serait eux. Passons-les rapidement en revue.
Protocole SPF
La Sender Policy Framework, ou SPF, est une méthode d’authentification permettant de faire le lien entre un nom de domaine et une adresse d’expéditeur. Elle consiste à définir le ou les expéditeurs autorisés à envoyer des courriers électroniques avec un domaine donné. Elle permet ainsi aux clients de messagerie et opérateurs (Gmail pour Google, Outlook pour Microsoft…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.
Si l'adresse IP qui envoie un email n'est pas répertoriée dans l'enregistrement SPF du domaine, il ne pourra être authentifié, et échouera.
Protocole DKIM
Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.
Protocole DMARC
Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. L’enregistrement DMARC permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsque des messages sortants signés de leur domaine ne sont pas formellement identifiés par les normes SPF ou DKIM.
Pourquoi utiliser les protocoles SPF, DKIM et DMARC ?
Il s’agit des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.
Il existe un autre avantage, et non des moindres. En effet, la mise en place de ces protocoles permet d’améliorer la délivrabilité des emails envoyés, puisque vous serez mieux identifié par les FAI (Fournisseurs d’Accès à Internet) et clients de messagerie de vos destinataires. Vous optimisez alors vos chances que vos emails arrivent bien dans la boîte de réception de vos destinataires et non dans le dossier « spams » ou « courriers indésirables ».
Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email.
Les changements de Gmail et Yahoo depuis février 2024
Depuis le début de l’année 2024, l’implémentation de ces protocoles est devenue encore plus importante après que Google et Yahoo ont annoncé qu’à partir du premier février 2024, les expéditeurs envoyant plus de 5 000 emails par jour vers leurs messageries devraient obligatoirement utiliser SPF et DKIM pour arriver en boîte de réception. Cette annonce entre dans le cadre plus important d’une série de mesures mises en place par ces deux géants de la messagerie électronique pour rendre les communications par email toujours plus sûres pour leurs utilisateurs et utilisatrices.
Pour l’instant, seuls SPF et DKIM sont obligatoires, mais nous saurions trop vous recommander de mettre également en place DMARC. En outre, il est fort probable que d’autres acteurs de l’emailing côté destinataires (comprendre par-là les webmails et FAI) emboîtent le pas de Gmail et Yahoo Mail, et exigent également que les emails envoyés par les expéditeurs de masse soient identifiés avec ces protocoles.
Limites des protocoles SPF et DKIM
SPF a ses limites. Par exemple, si les courriels sont transférés, la vérification peut ne pas avoir lieu, puisque l’adresse émettant les messages transférés ne sera pas forcément comprise dans la liste des adresses validées par SPF. Il faut donc être le plus exhaustif possible lors de l’ajout de nouvelles adresses à votre enregistrement SPF.
En tant qu’expéditeur, la signature DKIM ne vous empêchera pas d’être considéré comme spammeur si vous n’appliquez pas les bonnes pratiques emailing. Il faudra donc veiller à respecter ces bonnes pratiques lors de la conception du contenu de vos emails : faire attention au ratio texte/image, éviter d’utiliser les mots repérés par les filtres anti-spam comme étant à risque, etc.
Autre point, SPF et DKIM ne spécifient pas l’action à appliquer en cas d’échec de la vérification. C’est là qu’intervient le protocole DMARC en indiquant au serveur de messagerie du destinataire, via des rapports DMARC, comment il doit agir si les processus d’authentification de l’expéditeur échouent.
Authentifiez vos domaines avec SPF, DKIM et DMARC
Pour configurer les paramètres d’authentification SPF, DKIM et DMARC de votre domaine, il vous faut accéder aux enregistrements DNS de votre compte d’hébergement (OVH, 1&1, HostGator...). Si vous ne les trouvez pas ou n’y avez pas accès, votre fournisseur d’hébergement peut vous aider.
Configuration d’un enregistrement DNS pour l’authentification SPF
Deux choses sont à retenir à propos des enregistrements SPF :
Un enregistrement SPF est un enregistrement de type TXT – à ne pas confondre avec le type SPF (utilisable, mais déconseillé).
Il ne doit y avoir qu’un seul enregistrement SPF par domaine. Si vous avez plusieurs enregistrements DNS SPF, les opérateurs de messagerie ne sauront pas lequel utiliser, ce qui pourrait causer des problèmes d’authentification.
Consultez vos enregistrements DNS depuis votre compte d’hébergement : vous ne voyez aucun enregistrement SPF ? Alors créez-en un. Sinon, vous modifierez l’enregistrement SPF existant.
Configuration d’un enregistrement DNS pour l’authentification DKIM
Pour bénéficier de l’authentification DKIM, vous devez créer un nouvel enregistrement DKIM. Contrairement à l’authentification SPF, votre domaine peut comprendre plusieurs enregistrements DNS DKIM sans que cela ne pose problème. Depuis votre compte d’hébergement, créez un nouvel enregistrement DNS de type TXT.
Configuration d’un enregistrement DNS pour l’authentification DMARC
Avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr(e) que SPF et DKIM soient correctement implémentés. Comme indiqué précédemment, DMARC définit la politique à appliquer en cas d’échec de SPF et DKIM, et ce via un enregistrement DNS dédié. Cela requiert une correspondance entre les noms de domaine SPF et DKIM et l’en-tête « From ». DMARC permet ensuite de choisir parmi 3 politiques à appliquer en cas de non-correspondance. La politique DMARC que vous choisirez aura un impact sur la façon dont seront traités les emails :
None : aucune action, appliquer la politique locale.
Quarantine : marquage comme spam.
Reject : rejet du message.
À noter pour SPF, DKIM et DMARC : Selon votre hébergeur, vous devrez peut-être insérer des guillemets autour des valeurs dans les enregistrements TXT. Par exemple "v=DMARC1;”. Si vous ne savez pas s’il faut ajouter des guillemets, vous pouvez contacter votre fournisseur d’hébergement.
Avec Mailjet
Pour définir Mailjet comme expéditeur légitime, vous devez configurer les paramètres d’authentification SPF et DKIM pour chacun de vos domaines et sous-domaines d’envoi.
Le paramétrage de SPF est très simple, dès lors que vous êtes bien le propriétaire du nom de domaine que vous souhaitez ajouter (ce qui exclut les adresses de clients de messagerie tels que gmail.com ou hotmail.fr). Dans votre compte Mailjet, nous mettons à votre disposition des clés spécifiques que vous devrez intégrer à vos enregistrements DNS, chez votre hébergeur. Voici un exemple d’enregistrement SPF configuré :
Le paramétrage de DKIM avec Mailjet est tout aussi simple. Mailjet vous met à disposition la clé publique à enregistrer via l’interface de l’hébergeur de votre site. Là, vous pourrez intégrer la clé publique à votre zone d’enregistrement, qui sera utilisée par les serveurs de destination pour voir si vous avez bien utilisé la bonne clé privée. Voici un exemple d’enregistrement DKIM configuré :
Vous trouverez toutes les informations nécessaires et la démarche à suivre étape par étape dans notre documentation. Pour plus de facilité, nous vous proposons même des guides d’aide pour chacun des grands acteurs de l’hébergement (OVH, Gandi, Cloudfare, Hostgator…)
Concernant DMARC, afin de bénéficier de ce niveau supplémentaire de sécurité et de protection de votre nom de domaine, nous vous invitons à contacter notre équipe support. Elle sera la plus à même de vous accompagner dans la configuration et la mise en place du protocole.
Ceci est une mise à jour de l’article original écrit par Julie Paci, publié sur le blog de Mailjet le 21 mars 2019.
Lectures associées
Articles populaires
Marketing
8 min
Que sont les KPI, et comment les intégrer à votre marketing ?
En savoir plus
Délivrabilité
9 min
3 bonnes raisons de dire non au noreply
En savoir plus
Bonnes pratiques emailing
16 min
Comment concevoir un objet d’email accrocheur
En savoir plus