Sendinblue Blog

Choisissez une catégorie :

L’intĂ©rĂȘt de SPF, DKIM et DMARC pour la dĂ©livrabilitĂ© de vos emails

Vous avez sĂ»rement dĂ©jĂ  reçu un email frauduleux oĂč l’expĂ©diteur usurpait l’identitĂ© d’une sociĂ©tĂ© connue, souvent une banque, pour vous inviter Ă  cliquer sur un lien. C’est ce qu’on appelle le phishing. Pour usurper l’identitĂ© d’un tiers, nul besoin d’ĂȘtre un gĂ©nie de l’informatique. Le protocole d’envoi des emails (SMTP), ne prĂ©voit Ă  la base aucun mĂ©canisme d’authentification. On peut envoyer un email au nom de n’importe qui sans aucune difficultĂ©.
Enfin, c’était surtout vrai au dĂ©but des annĂ©es 2000. L’augmentation du nombre d’emails envoyĂ©s, en particulier les emails non dĂ©sirĂ©s, a incitĂ© les FAI Ă  mettre en place des normes de vĂ©rification comme SPF, DKIM et DMARC

SPF, DKIM et DMARC : définitions et objectifs

Le protocole SPF

SPF, pour Sender Policy Framework, est un moyen de limiter l’usurpation d’identitĂ© en publiant dans les DNS de votre nom de domaine la liste des serveurs, ou plus prĂ©cisĂ©ment des adresses IP, qui sont autorisĂ©s Ă  envoyer du courrier avec ce domaine.

ConcrĂštement, cela ne veut pas dire que tous vos mails passeront dĂ©sormais la barriĂšre des filtres anti-spams. SPF est loin d’ĂȘtre le seul critĂšre utilisĂ© par les filtres anti-spam. L’intĂ©rĂȘt est surtout d’éviter que son nom de domaine soit dĂ©tournĂ©. Un nom de domaine disposant d’un enregistrement SPF configurĂ© correctement sera plus difficile Ă  exploiter par les spammeurs. NĂ©anmoins, un email qui ne dispose pas d’une signature SPF ne sera pas pour autant considĂ©rĂ© comme un spam.

Prenons un exemple simple. Supposons que nous souhaitions publier un enregistrement TXT sur le serveur DNS du nom de domaine sendinblue.com. Voilà ce que ce cela donnerait :

sendinblue.com IN TXT  "v=spf1 a ip4:80.12.95.191 -all"

Quelques petites explications. Les serveurs ayant pour adresse IP 80.12.95.191 ont le droit d’envoyer des emails au nom de Sendinblue.com. Le “a” devant l’adresse UP signifie que toutes les adresses IP de l’enregistrement A ont Ă©galement  le droit d’envoyer des emails pour ce nom de domaine. Enfin, le “-all” signifie que toutes les autres IP doivent ĂȘtre rejetĂ©es. Pour gĂ©nĂ©rer l’enregistrement TXT Ă  saisir dans votre DNS, vous pouvez utiliser un gĂ©nĂ©rateur comme celui de Mailradar.

Pour vĂ©rifier que cela fonctionne correctement, assurez-vous de retrouver la mention « spf=pass » dans l’en-tĂȘte des emails que vous envoyez.

Délivrabilité SPF Pass

 

Le protocole DKIM

NĂ© de la fusion des protocoles DomainKeys (Yahoo) et Identified Internet Mail (Cisco), le protocole DKIM, DomainKeys Identified Mail, fait le lien entre le nom de domaine expĂ©diteur et le message. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas Ă©tĂ© usurpĂ©, mais que le message n’a pas Ă©tĂ© altĂ©rĂ© durant sa transmission.

Ce protocole repose sur une procédure cryptographique, avec une clé publique publiée dans le zone DNS du domaine émetteur, et une clé privée, utilisée pour encoder le message. Pour mettre en place une signature DKIM, vous devez :

  • CrĂ©er un couple clĂ© privĂ©e / clĂ© publique au format RSA 1024 bits
  • Publier dans les DNS de votre domaine la clĂ© publique
  • Configurer l’envoi de vos messages pour l’encodage avec la clĂ© privĂ©e

Si cela fonctionne bien, vous devriez retrouver le code suivant dans l’en-tĂȘte de votre email.

Délivrabilité DKIM Pass

Pour aller plus loin :

Et si vous preniez 2 minutes pour tester SendinBlue ?
SendinBlue est une solution email / SMS complĂšte.
Gestion de vos contacts, édition des emails, envoi des campagnes, scénarios automatisés, etc.
Gratuit jusqu'Ă  9000 emails / mois.

Tester SendinBlue

Le protocole DMARC

Mis en place en 2011 par un consortium de grandes sociĂ©tĂ©s d’Internet, comme Google, Yahoo ou Microsoft, DMARC est avant tout un complĂ©ment Ă  SPF et DKIM. En quelques mots, le protocole DMARC permet Ă  l’expĂ©diteur de recevoir les rĂ©sultats de l’authentification de ses envois auprĂšs des principaux opĂ©rateurs (Gmail, Hotmail, AOL, etc.), et Ă  la messagerie du destinataire de savoir comment il doit traiter les messages qui n’ont pas passĂ© le test de l’authentification. DMARC ne permet pas de savoir directement si un message est frauduleux ou non. DMARC nĂ©cessite que le message soit conforme aux validations SPF et DKIM, et par ailleurs que le message soit « aligné » (correspondance des noms de domaines).

Délivrabilité DMARC pass

 

Mise en place et vérifications

Mettre en place les protocoles SPF, DKIM et DMARC

Sendinblue propose naturellement les 3 protocoles, que vous soyez sur une IP mutualisĂ©e ou une IP dĂ©diĂ©e. Dans le cas oĂč vous disposez d’une IP mutualisĂ©e, vous n’avez rien Ă  faire ! Les signatures SPF, DKIM et DMARC sont gĂ©rĂ©es sur nos propres noms de domaine. Dans le cas d’une IP dĂ©diĂ©e, vous pouvez soit dĂ©lĂ©guer un sous domaine Ă  Sendinblue (cf. tutoriel de Sendinblue), auquel cas les protocoles SPF et DKIM sont automatiquement mis en place, soit rester sur votre propre serveur de DNS auquel cas vous devez mettre en place vous-mĂȘme les protocoles sur votre propre nom de domaine. SPF est relativement simple Ă  mettre en place (cf. tutoriel dĂ©taillĂ© de Sulimigeek ), les protocoles DKIM et DMARC sont un peu plus complexes.

VĂ©rifier que les signatures SPF, DKIM et DMARC fonctionnent

Pour vĂ©rifier si cela fonctionne, il suffit de regarder le code source d’un email que vous avez envoyĂ©. Comme souvent, Gmail simplifie les choses, et nous permet d’accĂ©der au code source de l’email en 2 clics. A partir du menu d’actions d’un email, choisissez « Afficher l’original ».

code source email

Il vous suffit ensuite de vĂ©rifier que les mentions « spf=pass », « dkim=pass », « dmarc=pass » sont bien prĂ©sentes. Tout cela peut paraitre un peu fastidieux et compliquĂ©, mais Ă  l’heure oĂč on estime le nombre de spam par jour Ă  260 milliards, il est vraiment indispensable de mettre en place ces protocoles, ou de choisir une solution comme Sendinblue qui fait le travail pour vous.

2 RĂ©ponses Ă  “L’intĂ©rĂȘt de SPF, DKIM et DMARC pour la dĂ©livrabilitĂ© de vos emails”

Laisser une réponse

Essayez notre plan gratuit jusqu'Ă  300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

L’intĂ©rĂȘt de SPF, DKIM et DMARC pour la dĂ©livrabilitĂ© de vos emails

Temps de lecture : 4 min