Pour améliorer votre réputation et votre délivrabilité, l'authentification SPF et DKIM est essentielle. Cela nous permettra de signer vos e-mails sortants et d'informer les services de messagerie de vos contacts que nous sommes autorisés à envoyer vos e-mails.
En plus de ces deux mesures, il existe également la politique DMARC qui permet, dans le cas où une authentification SPF / DKIM échoue, d’indiquer aux services qui reçoivent vos emails quoi faire.
À partir du premier trimestre 2024, Gmail et Yahoo impose aux expéditeurs “groupés” (plus de 5000 emails par jour) la mise en place de ces 3 mécanismes de sécurité.
La mise en place de ce système d’authentification se fait en plusieurs étapes, décrites ci-dessous.
Avant d’aller plus loin, nous vous suggérons de lire les documents suivants :
Configuration
Rendez-vous sur la page de configuration dans votre backoffice SPREAD.
Avant de commencer
Pour faire cette configuration, vous devez avoir accès à l'interface de gestion de votre nom de domaine, car vous devez ajouter des enregistrements DNS.
Nous vous recommandons de demander à votre équipe technique, à votre hébergeur ou à votre agence de vous aider dans cette étape.
La configuration se fait en 2 étapes :
- Enregistrement et vérification de l'adresse e-mail et du nom de domaine que vous utiliserez pour envoyer des e-mails (via l'enregistrement DNS ou le dépôt de fichiers FTP).
- Configuration et vérification des enregistrements DNS pour l'authentification SPF / DKIM / DMARC.
1. Renseigner l’adresse d’expéditeur
Pour commencer, vous devez nous indiquer l’adresse email avec laquelle vous souhaitez envoyer des emails. Pour l’exemple, nous partons du principe que vous souhaitez envoyer vos emails avec l’adresse d’expéditeur newsletter@monservice.fr.
2. Vérification du domaine
Une fois cette adresse indiquée, nous devons nous assurer que vous êtes le propriétaire légitime du nom de domaine de l’adresse renseignée (monservice.fr).
Nous vous proposons deux méthodes pour le faire :
- l’hébergement temporaire d'un fichier sur votre site web
Dans le cas où vous avez accès à l'hébergement de votre site, vous pouvez simplement créer un fichier texte vide portant le nom indiqué, à la racine de votre site, pour le temps de la vérification.
- créer un enregistrement DNS sur votre domaine
Si vous avez accès à l'administration de votre nom de domaine, vous pouvez créer un nouvel enregistrement TXT avec les noms et valeurs indiquées.
3. Configuration SPF / DKIM / DMARC
Une fois que nous avons vérifié que vous êtes le propriétaire légitime du nom de domaine de votre adresse d’expéditeur, nous pouvons passer à la configuration des 3 mécanismes de sécurité.
Ces 3 configurations se font via des enregistrements DNS : il est donc impératif d’avoir accès à la gestion de votre nom de domaine. Nous vous recommandons de demander à votre équipe technique, à votre hébergeur ou à votre agence de vous aider dans cette étape.
SPF
Le SPF permet d’indiquer quels sont les services et serveurs qui sont autorisés à envoyer des emails en votre nom. Il s’agit d’une simple liste. En savoir plus
Il existe 3 cas :
- vous n’avez pas d’enregistrement SPF. Il faudra donc créer un nouvel enregistrement DNS dans votre interface de gestion de votre nom de domaine, à l’aide des informations indiqués dans votre backoffice SPREAD.
- vous avez un enregistrement SPF qui ne nous autorise pas. Il faudra donc mettre à jour l’enregistrement existant dans votre interface de gestion de votre nom de domaine, pour autoriser SPREAD à envoyer vos mails.
Votre backoffice SPREAD vous indique la valeur à ajouter et vous suggère une valeur en se basant sur les informations existantes.
- vous avez un enregistrement SPF qui nous autorise déjà : vous n’avez rien à faire !
DKIM
Cet enregistrement contient une clé publique, utilisée par les services de messagerie pour vérifier que les emails proviennent d'un expéditeur autorisé. En savoir plus.
Il existe 2 cas :
- vous n’avez pas d’enregistrement DKIM pour SPREAD ou vous avez un enregistrement incorrect. Vous devez donc créer un nouvel enregistrement dans votre interface de gestion de votre nom de domaine, avec les informations disponibles sur votre backoffice SPREAD.
- vous avez un enregistrement DKIM correct et valide : vous n’avez rien à faire !
DMARC
Le protocole DMARC est une méthode d'authentification conçue pour bloquer les tentatives d'usurpation d'identité de domaines lors de l'envoi d’emails.
Une politique DMARC permet à l'expéditeur d'indiquer que ses courriers électroniques sont protégés par SPF et/ou DKIM et indique au service destinataire ce qu'il doit faire en cas d'échec de ces méthodes d'authentification.
DMARC vient en complément de SPF et DKIM. Si un email arrive à un service avec un domaine pour lequel le service en question ne trouve pas d’enregistrement SPF et / ou DKIM correctement configuré, le DMARC vient donner des instructions au service sur ce qu’il doit faire de cet email. Il y a 3 possibilités :
- soit le service ne fait rien et distribue le message
- soit le service met le mail en SPAM
- soit le service rejette l’email
Le choix de la politique à appliquer est propre à vous. Votre backoffice vous suggère la valeur minimum nécessaire pour que l’enregistrement puisse être considéré comme valide.
Pensez à remplacer, dans l’exemple donné sur votre backoffice, l’adresse report@example.com par une adresse email valide à laquelle vous avez accès. Nous vous conseillons de créer une boite email dédiée que vous consulterez régulièrement.
Le site dmarcian possède un outil de création d’instructions DMARC gratuit et simple d’utilisation : voir l’outil.
Côté configuration, il existe 2 cas :
- Nous n’avons pas trouvé de configuration DMARC chez votre gestionnaire de nom de domaine : vous devez donc créer un nouvel enregistrement dans votre interface de gestion de votre nom de domaine, avec les informations disponibles sur votre backoffice SPREAD.
- une configuration DMARC a été trouvée. Vous pouvez vérifier son paramétrage à l’aide d’un outil tel que MXToolBox.
Powered by