Résumé
L'authentification des emails est un élément essentiel de la sécurité et de la fiabilité de l'emailing comme canal de communication. SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont deux protocoles clés qui permettent de vérifier la légitimité de vos emails, d'empêcher l'usurpation d'identité et d'augmenter les taux de délivrabilité. Ce guide vous expliquera tout ce que vous devez savoir sur l'authentification de vos domaines avec SPF et DKIM en utilisant Mailjet.
Pourquoi authentifier votre domaine ?
L'authentification des emails remplit deux fonctions essentielles :
- Protéger votre marque : en vérifiant que vos emails proviennent de serveurs autorisés, SPF et DKIM empêchent les expéditeurs non autorisés d'usurper l'identité de votre domaine. Cela permet de protéger votre marque contre les attaques par hameçonnage et l'usurpation de domaine, en rendant les emails illégitimes plus faciles à identifier.
- Améliorer la délivrabilité des emails : les fournisseurs d'accès à Internet (FAI) utilisent SPF et DKIM pour vérifier les courriers électroniques entrants. En mettant en place ces protocoles, vos emails ont plus de chances d'arriver dans la boîte de réception du destinataire au lieu d'être marqués comme spam.
Qu'est-ce que SPF ?
SPF est un protocole d'authentification des emails qui permet aux propriétaires de domaines de spécifier les serveurs de messagerie autorisés à envoyer des courriers électroniques au nom de leur domaine. Il fonctionne en publiant un enregistrement SPF, un type spécifique d'enregistrement DNS TXT, dans les paramètres DNS du domaine.
Comment fonctionne SPF ?
Lorsqu'un email est envoyé, le serveur destinataire vérifie l'enregistrement SPF pour s'assurer que l'email a été envoyé à partir d'une adresse IP ou d'un nom d'hôte autorisé. Si le serveur d'envoi correspond à une adresse IP ou à un nom d'hôte figurant dans l'enregistrement SPF, le courrier électronique est considéré comme authentique.
Configuration de SPF avec Mailjet
Pour configurer SPF pour votre domaine avec Mailjet, suivez ces étapes :
- Connectez-vous aux paramètres DNS de votre fournisseur de domaine.
-
Ajoutez un nouvel enregistrement TXT avec la valeur suivante :
-
Nom/Hôte : utilisez
@
ou laissez le champ vide pour l'appliquer au domaine racine. -
Valeur :
v=spf1 include:spf.mailjet.com ~all
-
Nom/Hôte : utilisez
La directive include:spf.mailjet.com
indique aux serveurs destinataires que les serveurs de Mailjet sont autorisés à envoyer des emails au nom de votre domaine. Le ~all
final signifie que tout serveur ne figurant pas dans l'enregistrement SPF doit être considéré comme suspect.
Si vous avez besoin de plusieurs enregistrements SPF pour un domaine, vous devez les regrouper en un seul enregistrement pour garantir leur bon fonctionnement. Voici un exemple pour y procéder :
Enregistrements SPF originaux :
v=spf1 include:spf.example1.com ~all
v=spf1 include:spf.mailjet.com ~all
Vous devez conserver une seule entrée TXT pour ce domaine et supprimer les autres entrées. L'enregistrement TXT consolidé devrait ressembler à ceci :
Après la fusion :
v=spf1 include:spf.example1.com include:spf.mailjet.com ~all
Qu'est-ce que DKIM ?
DKIM est une technique d'authentification des emails qui ajoute une signature numérique à vos messages électroniques. Cette signature permet au serveur de messagerie de vérifier que le contenu n'a pas été modifié et qu'il a été envoyé par un domaine autorisé.
Fonctionnement de DKIM
DKIM utilise le chiffrement par clé publique-privée. Lorsque vous envoyez un email, Mailjet le signe avec une clé privée, et le serveur du destinataire le vérifie à l'aide de la clé publique correspondante, qui est publiée dans les enregistrements DNS de votre domaine. Si les signatures correspondent, cela confirme que l'email est légitime et qu'il n'a pas été altéré pendant le transport.
Configuration de DKIM avec Mailjet
Pour configurer DKIM pour votre domaine avec Mailjet :
- Connectez-vous aux paramètres DNS de votre fournisseur de domaine.
-
Ajoutez un nouvel enregistrement TXT avec la valeur suivante :
-
Nom/Hôte :
mailjet._domainkey.yourdomain.com.
(remplacezyourdomain.com
par votre nom de domaine actuel). -
Valeur/Cible :
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD
....
(Saisissez la clé DKIM fournie par Mailjet. Cette clé se trouve dans votre compte Mailjet sous la section Authentification SPF/DKIM).
-
Nom/Hôte :
Cette configuration garantit que tous les emails sortants sont signés avec la clé DKIM de Mailjet, ce qui donne une assurance supplémentaire aux serveurs de réception quant à la légitimité de vos messages.
N'oubliez pas que certains fournisseurs de domaines exigent que l'ensemble de la valeur TXT soit placé entre guillemets. En cas de doute, il est préférable de consulter l'équipe d'assistance de votre fournisseur pour obtenir des conseils.
Par ailleurs, certains fournisseurs peuvent ajouter automatiquement le nom de domaine à la fin de la valeur du texte dans le champ Hôte. Assurez-vous de vérifier le texte dans le champ Hôte après avoir sauvegardé l’enregistrement.
Considérations relatives au débit binaire de DKIM
Le débit binaire d'une clé DKIM (DomainKeys Identified Mail) fait référence à la force du cryptage utilisé pour l'authentification du courrier électronique. En règle générale, les clés DKIM sont générées avec différents débits binaires, comme par exemple :
- 1024 bits : il s'agit du débit binaire le plus courant pour les clés DKIM et il est considéré comme sûr dans la plupart des cas. Il offre un bon équilibre entre sécurité et performance et est largement accepté par les fournisseurs de services de messagerie.
- 2048 bits : ce débit binaire offre un chiffrement plus fort et une sécurité accrue par rapport aux clés de 1024 bits. De nombreuses organisations utilisent désormais des clés de 2048 bits pour renforcer la sécurité de leurs emails contre d'éventuelles avancées cryptographiques.
- 4096 bits : il s'agit d'un débit encore plus élevé, mais il est moins courant en raison de son impact potentiel sur les performances et des limites de taille du DNS. La plupart des fournisseurs de domaines prennent en charge les clés DKIM de 1024 et 2048 bits, mais les clés de 4096 bits peuvent nécessiter une attention particulière et pourraient être excessives pour la plupart des cas d'utilisation.
Recommandation : il est généralement recommandé d'utiliser une clé DKIM de 2048 bits pour renforcer la sécurité, notamment en raison de la sophistication croissante des cybermenaces. Assurez-vous que votre fournisseur de domaine prend en charge les clés de 2048 bits et mettez régulièrement à jour votre clé DKIM pour maintenir la sécurité.
Toutefois, les domaines authentifiés existants ne seront pas affectés automatiquement. Les utilisateurs intéressés par une mise à niveau vers des clés de 2048/4096 bits doivent regénérer leur enregistrements DKIM et mettre à jour les paramètres DNS sur leurs domaines en conséquence. Cela vous assurera que leur trafic email reste digne de confiance pour les services et clients de messagerie.
Mise à jour du débit binaire de DKIM
- Naviguer vers Compte > Domaines et adresses d'expéditeur > Authentification SPF/DKIM > Configurer l'authentification SPF/DKIM.
- Cliquez sur Régénérer la clé dans la section DKIM et choisissez la taille de clé souhaitée.
- Confirmez la modification et cliquez à nouveau sur Régénérer la clé pour continuer.
Vérification des enregistrements SPF et DKIM
Après avoir ajouté les enregistrements SPF et DKIM, il est important de vérifier qu'ils sont correctement configurés. Vous pouvez le faire à partir de votre compte Mailjet :
- Connectez-vous à Mailjet et accédez à Paramètres du compte > Domaines et adresses d'expédition.
- Sélectionnez votre domaine et vous verrez si les enregistrements SPF et DKIM sont correctement configurés.
Si votre domaine est correctement authentifié, vous verrez une marque verte à côté de SPF et DKIM.
Authentification SPF et DKIM entre différents fournisseurs
Gandi
Étape 1 : Identifiez-vous sur Gandi.net
- Ouvrez un nouvel onglet dans votre navigateur web et connectez-vous à votre compte Gandi.
- Dans le panneau de gauche, sélectionnez Domaines.
- Sélectionnez le domaine que vous souhaitez authentifier pour l'envoi avec Mailjet.
- Allez dans l'onglet Enregistrements DNS.
Étape 2 : validez votre domaine dans Maljet
- Dans votre compte Mailjet, rendez-vous sur la page Domaines et expéditeurs (dans Paramètres du compte).
- Sous Domaines et adresses d'expéditeur, vous verrez une liste de tous vos domaines d'envoi avec leur statut. Chaque fois que vous ajoutez une nouvelle adresse email ou un nouveau domaine, il apparaîtra automatiquement sur la page Authentification du domaine d'envoi.
- Pour valider un domaine spécifique, il suffit de cliquer sur l'icône d'engrenage située à côté et de choisir « Valider ».
- Gardez votre fenêtre ouverte car vous devrez copier ces informations dans vos enregistrements DNS.
- Retournez sur votre compte Gandi et sélectionnez Ajouter un enregistrement.
- Dans la liste déroulante Type, choisissez TXT.
- Sur Mailjet, copiez la valeur (nous utiliserons la deuxième option dans l'exemple) du champ Hôte et collez-la dans le champ Nom sur Gandi.
- Copiez la valeur du champ Valeur de Mailjet et collez-la dans le champ Valeur texte de Gandi.
- Cliquez sur Créer pour ajouter l'enregistrement.
- De retour dans Mailjet, cliquez sur Valider mon domaine.
Étape 3 : authentifier votre domaine avec les enregistrements SPF et DKIM
Vous devez ajouter des enregistrements SPF et DKIM pour authentifier votre domaine :
Créez un enregistrement SPF
- Dans Gandi, cliquez sur Ajouter un enregistrement et sélectionnez TXT comme type d'enregistrement.
- Dans le champ Nom, saisissez @ (ou le nom du sous-domaine si vous authentifiez un sous-domaine).
- Copiez la valeur SPF de Mailjet et collez-la dans le champ Valeur de l'enregistrement TXT.
- Cliquez sur Créer pour ajouter l'enregistrement SPF.
Créez un enregistrement DKIM
- Dans Gandi, cliquez sur Ajouter un enregistrement et sélectionnez TXT comme type d'enregistrement.
- Copiez la valeur du champ Nom de Mailjet et collez-la dans le champ Nom de Gandi.
- Copiez le champ Valeur de Mailjet et collez-le dans le champ Valeur texte de Gandi.
- Cliquez sur Créer pour ajouter l'enregistrement DKIM.
Étape 4 : actualisation et vérification des enregistrements DNS
Après avoir ajouté les deux enregistrements, rafraîchissez vos paramètres DNS pour valider votre domaine :
Lorsque les deux enregistrements sont correctement configurés, des marques d'état vertes s'affichent pour chacun d'entre eux. Une fois que vous voyez ces bannières vertes, votre domaine est prêt pour les envois.
Bonnes pratiques pour SPF et DKIM
-
Utilisation d'un mécanisme SoftFail (
~all
), HardFail (-all
) ou Neutral (?all
) : un mécanisme~all
signifie que les serveurs non autorisés sont marqués comme suspects mais toujours acceptés, tandis que-all
rejette purement et simplement les emails non autorisés. Le mécanisme?all
spécifie que les serveurs non répertoriés doivent être traités de manière neutre, ce qui signifie qu'aucun biais positif ou négatif n'est appliqué. Choisissez en fonction de votre tolérance au risque et du niveau de rigueur que vous souhaitez appliquer. -
Combinaison avec DMARC : l'ajout d'un enregistrement DMARC (Domain-based Message Authentication, Reporting & Conformance) en conjonction avec SPF et DKIM renforce la protection de votre domaine contre l'usurpation d'identité et le phishing. DMARC vous aide à définir des politiques sur la manière de traiter les emails qui ne satisfont pas aux contrôles SPF ou DKIM, ce qui ajoute une couche de protection supplémentaire.
Découvrez-en plus sur DMARC en consultant notre guide détaillé : Comprendre DMARC.
- Surveillez régulièrement les rapports : utilisez les rapports DMARC pour obtenir des informations sur les échecs des contrôles SPF ou DKIM et comprendre toute utilisation non autorisée de votre domaine. L'analyse de ces rapports vous aidera à identifier les abus potentiels et à prendre les mesures qui s'imposent.
- Veillez à la cohérence des enregistrements DNS : assurez-vous que tous les domaines utilisés pour l'envoi de vos emails disposent d'enregistrements SPF, DKIM et DMARC cohérents. Des enregistrements incohérents peuvent entraîner une baisse des taux de délivrabilité et même provoquer le signalement de vos emails comme spams.
Résolution des problèmes courants
- Temps de propagation : les modifications de DNS peuvent prendre de quelques minutes à 48 heures pour se propager. Vérifiez votre configuration SPF et DKIM après un délai suffisant.
-
Résolution des problèmes SPF : il est essentiel d'identifier et de rectifier les mauvaises configurations ou les erreurs dans les enregistrements SPF pour éviter les problèmes de livraison. Le guide suivant vous aidera à résoudre les problèmes les plus courants de configuration SPF.
- L'enregistrement SPF est un enregistrementTXT : à ne pas confondre avec le type SPF. Bien que le type SPF puisse être utilisé, cela n’est pas recommandé par notre industrie.
-
Enregistrements SPF multiples : vous ne pouvez avoir qu'un seul enregistrement SPF pour un domaine. Si votre domaine possède déjà un enregistrement SPF, modifiez-le pour inclure Mailjet
(include:spf.mailjet.com
) au lieu d'ajouter un enregistrement séparé. -
Enregistrement SPF trop long (limite de 10 entrées SPF) : parfois, les enregistrements SPF peuvent devenir trop longs si vous avez plusieurs services de messagerie. Pour résoudre ce problème, il peut être nécessaire de consolider les enregistrements ou d'utiliser des sous-domaines pour différents services.
La limite de 10 consultations SPF pose un problème lorsque les requêtes DNS atteignent ce seuil, ce qui entraîne des erreurs permanentes SPF telles qu'untrop grand nombre de consultations DNS
ou unepermerror
. Notez que la requête DNS pour l'enregistrement de a politique SPF ne contribue pas à cette limite. Les validateurs du côté du destinataire évaluent séquentiellement la politique SPF, et le processus d’évaluation s’arrête dès la découverte d’une correspondance avec l’adresse IP de l’expéditeur. Selon l’expéditeur, un validateur peut ne pas atteindre la limite de 10 recherches SPF, même si la stratégie exige plus de 10 recherches SPF pour une évaluation approfondie. Cette complexité s’ajoute au défi d’identifier les problèmes de délivrabilité des emails associés aux limites d'enregistrement SPF.
- DKIM ne s'authentifie pas : assurez-vous que l'enregistrement TXT est configuré exactement comme fourni par Mailjet, sans espaces ou erreurs supplémentaires.
- L'enregistrement DKIM est un enregistrement TXT : il est publié dans le DNS (Domain Name System) en tant qu'enregistrement TXT et contient la clé publique utilisée pour vérifier qu'un message électronique a bien été autorisé par le propriétaire du domaine.
- Email rejeté malgré une configuration correcte : certains serveurs de réception utilisent des contrôles d'authentification supplémentaires. Envisagez de combiner SPF, DKIM et DMARC pour une approche d'authentification plus complète.
Mesures de sécurité supplémentaires
Outre SPF et DKIM, pensez à mettre en œuvre les mesures de sécurité suivantes :
- DMARC : l'ajout d'un enregistrement DMARC vous permet de définir des règles pour le traitement des emails qui n'ont pas été vérifiés par SPF ou DKIM. DMARC fournit des rapports précieux qui peuvent vous aider à surveiller votre activité d'emailing et à identifier les problèmes potentiels liés à l'usurpation de nom de domaine. SPF et DKIM sont importants pour déterminer si un email provient réellement d'une source fiable, mais seul DMARC peut mettre en œuvre des actions qui empêchent la livraison d'emails usurpés. Pour protéger pleinement votre domaine et vos destinataires contre l'usurpation d'adresse électronique, les trois protocoles doivent être déployés, DMARC jouant le rôle de mécanisme de contrôle qui permet d'appliquer les politiques de sécurité.
Conclusion
La mise en place de l'authentification SPF et DKIM est cruciale pour la protection de votre domaine et l'amélioration de la délivrabilité de vos emails. En suivant les étapes décrites ci-dessus, vous pouvez envoyer en toute confiance des emails par l'intermédiaire de Mailjet, en sachant qu'ils risqueront moins d'être signalés comme spam et qu'ils auront plus de chances d'être acceptés par vos destinataires.
Pour renforcer encore la sécurité des emails envoyés via votre domaine, pensez à mettre en place le protocole DMARC. Ce protocole fonctionne en tandem avec SPF et DKIM pour fournir un cadre complet d'authentification et de sécurité de votre courrier électronique.
Pour plus d'informations, veuillez consulter la documentation détaillée de Mailjet ou contacter notre équipe support pour obtenir de l'aide.