Comment configurer le SPF, DKIM et DMARC de tes e-mails ?
Si tu es arrivé jusqu’ici, c’est que tu as compris que la configuration technique de tes e-mails est la première étape essentielle pour que tes e-mails ne se fassent plus jamais arrêtés…
Si tu es arrivé jusqu’ici, c’est que tu as compris que la configuration technique de tes e-mails est la première étape essentielle pour que tes e-mails ne se fassent plus jamais arrêtés… Autrement dit, qu’ils ne tombent plus jamais tomber en SPAM.
Dans le monde réel, comme dans le monde virtuel, il est souvent nécessaire de prouver notre identité. Que ce soit pour assurer que l’on est la bonne personne, que l’on a le permis pour un véhicule spécifique, ou encore l’âge légal pour rentrer en soirée par exemple.🕺
Imagine un peu que tu veuilles sortir en boîte avec tes potes et tu n’as pas ton ID, si videur a un doute sur ton âge, il te dira : NO WAYYY!
Dans le monde des e-mails, cela fonctionne de la même manière. Si tu veux franchir les filtres Anti-spams, tu vas devoir prouver que tu es un expéditeur légitime et que ton identité est bien valide.
C’est exactement à cela que sert le SPF, DKIM et DMARC. Ils vont t’aider à rentrer en boîte de nuit, éliminer le videur au passage pour que tu puisses passer la meilleure soirée de ta vie !🍾
En résumé pour protéger la réputation de ton domaine, booster ta délivrabilité et d’augmenter tes chances de réponses, il est essentiel de configurer ces 3 éléments : SPF, DKIM et DMARC.
SPF, DKA…Quoi ?
On est d’accord, les abréviations des normes ne sont pas des plus sexy, mais les comprendre te sera bien utile!
J’imagine que tu es impatient de savoir ce qu’elles veulent réellement dire, alors lançons-nous dans le vif du sujet sans plus attendre :
SPF
Le SPF, plus précisément Sender Policy Framework, assure que ton e-mail est bien parti d’une adresse IP liée à ton nom de domaine et donc qu’il provient bien de toi. Cela permet de vérifier que l’e-mail entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine. On parle alors d’un enregistrement SPF, ce dernier spécifie quelles adresses IP sont autorisées à envoyer des messages depuis ce domaine.
Pour résumer, le SPF est donc une norme permettant d’assurer que tu es bien l’expéditeur et que tu es autorisé à envoyer des messages depuis ton domaine.
Tu te demandes sûrement pourquoi cela est important ? Imagine qu’un spammeur essaye d’envoyer des e-mails en se faisant passer pour toi (aussi appelé phishing), et bien, grâce à une authentification SPF, il n’y arrivera pas.
DKIM
Le DKIM (DomainKeys Identified Mail) est une signature cryptée (avec une clé publique et une clé privée), qui permet d’assurer que le message que tu envoies ne soit ni intercepté ni modifié lors de sa livraison et que celui-ci provient bien du destinataire (l’en-tête “From:” qui renseigne l’expéditeur de l’e-mail).
En résumé, le DKIM est un protocole permettant de protéger ton message pendant son trajet, pour assurer que celui-ci ne soit pas altéré en chemin.
🥊 SPF vs DKIMSi le SPF assure que l’e-mail vient bien de toi, le DKIM assure que ton destinataire reçoive le message de la même forme que ce que tu as envoyé.
DMARC
Le DMARC (Domain-based Message Authetification, Reporting & Conformance) quant à lui, authentifie les e-mails pour s’assurer et confirmer qu’ils répondent aux normes de vérification. Le DMARC est un système construit sur les deux précédents (DKIM et SPF).
Si l'e-mail passe l'authentification, il sera livré et cela assure sa sécurité (en termes de destinataire et d’authentification). Mais si l'e-mail échoue la vérification (s’il ne répond pas eux exigences SPF ou DKIM), en fonction des instructions contenues dans l'enregistrement DMARC, il pourra être remis, mis en quarantaine ou rejeté.
Pour résumer, le DMARC est un protocole qui se construit sur les deux précédents, qui donne l’instruction à ton serveur mail sur la manière de gérer l’e-mail en fonction de ses authentifications.
Maintenant que tu es devenu un as de la technologie sous-jacente, on arrive à la partie la plus intéressante pour toi! Tu vas pouvoir mettre en place tous ces enregistrements abordés plus haut!
Comment configurer ces 3 éléments dans ta zone DNS ?
La zone DNS (Domain Name System), c'est ce qui organise les différentes zones de ton domaine, c’est donc une zone que tu retrouveras sur le service où tu as enregistré ton nom de domaine (taboite.com). En fonction de là où tu as enregistré le tien, cela peut être sur OVH, GoDaddy, Namecheap, Google, etc.
Une fois connecté, je t’invite à te diriger vers la zone DNS de ton domaine.
Nous te donnons l’exemple ici pour gérer tes enregistrements via la console Google, mais les étapes seront majoritairement identiques quel que soit le fournisseur de domaine :
SPF
1️⃣ Connecte-toi à ton compte de domaine sur le site de ton hôte de domaine (pas ta console d'administration Google). Cela peut être GoDaddy, Squarespace, Namecheap, etc.
2️⃣ Va sur la page de mise à jour des enregistrements DNS de ton domaine.
Gestion des DNS, gestion des serveurs de noms ou paramètres avancés.
3️⃣ Trouve tes enregistrements TXT et vérifie si ton domaine a un enregistrement SPF existant. L'enregistrement SPF commence par "v=spf1...".
4️⃣ Si ton domaine possède déjà un enregistrement SPF, supprime-le.
5️⃣ Crée un enregistrement TXT avec ces valeurs :
- Nom/Hôte/Alias - Entre @ ou laisse vide.
- D'autres enregistrements DNS pour ton domaine pourraient indiquer l'entrée correcte.
- Time to Live (TTL) - Entre 3600 ou laisse la valeur par défaut.
- Valeur/Réponse/Destination - Entrez “v=spf1 include:_spf.google.com ~all “
Note que si ton domaine n’est pas connecté à la console Google, tu devras rechercher l’enregistrement exact en fonction du système qui gère l’envoi de tes e-mails.
Dans le cas d’e-mails gérés depuis OVH, la valeur cible est la suivante:
"v=spf1 include:mx.ovh.com ~all"
L’ensemble des champs précédents sont quant à eux identiques.
DKIM
1️⃣ Connecte-toi à Google Admin : admin.google.com
2️⃣Dans la console d'administration, accède au menu ➡️ Apps ➡️ Google Workspace ➡️ Gmail.
3️⃣ Génère une clé DKIM.
4️⃣ Crée un enregistrement TXT DNS avec la clé DKIM générée à l'étape précédente.
Pour cela, tu dois te rendre chez ton fournisseur de domaine, par exemple GoDaddy, Squarespace, Namecheap, etc.
5️⃣ Après avoir créé l'enregistrement DNS TXT dans ton domaine avec la clé DKIM, tu peux commencer à t’authentifier.
Note pour OVH: malheureusement OVH est un système assez archaïque au niveau de la gestion des e-mails, qui ne te permet pas de gérer les DKIM. Il ne sera donc pas possible de faire cette étape en restant chez OVH. Nous te conseillons de passer tes e-mails sur Google Workspace pour une configuration optimale.
DMARC
1️⃣ Rends-toi sur le site de ton administrateur de domaine. Trouve la gestion ou les paramètres DNS.
2️⃣ Ajoute cet enregistrement TXT à ton DNS :
Nom d'hôte : _dmarc
VALEUR (avec email) : v=DMARC1 ; p=quarantine ; rua=mailto:example@example.com ; pct=90 ; sp=none
OU
La VALEUR minimale est : v=DMARC1 ; p=none ; rua=mailto:example@example.com ;
OU
VALEUR (sans email) : v=DMARC1 ; p=quarantine ; pct=90 ; sp=none
Les valeurs renseignées dans l’enregistrement DMARC donneront comme indication la manière dont les e-mails entrants devront être gérés par ton serveur mail en fonction de la qualité de leur identification. Pour plus d’informations sur les champs d’enregistrement DMARC, et comprendre chacune des valeurs, je t’invite à lire cet article: https://dmarcian.com/fr/pct-tag/
⚠️ N’oublie pas de toujours remplacer les exemples d'e-mails (example@example.com) par un e-mail qui existe réellement et qui t’appartient pour pouvoir recevoir les rapports DMARC. Si tu ne souhaites pas recevoir de rapport par e-mail, il suffit de ne pas mettre le champ rua=mailto:example@example.com ⚠️
Si tu as besoin d’aide complémentaire, voici quelques tutoriels Google bonus afin de t’aider à configurer chacun de ces éléments :
- SPF : Tutoriel Google : https://support.google.com/a/answer/10684623?hl=en
- DKIM : Tutoriel Google : https://support.google.com/a/answer/180504?hl=en
- DMARC : Tutoriel Google : https://support.google.com/a/answer/2466563?hl=en
Tu as maintenant toutes les clés en main pour un setup technique digne d’un vrai pro de l’informatique, aka the hackerman !
