DocumentationGuide des bonnes pratiques en matière de délivrabilité

Authentification

Dernière mise à jour : 16 juillet 2024

Créé pour :

  • {"id":"e8ccd51f-da0d-4e3b-939b-e30d5ebb1ea5"}
  • {"id":"b69b2659-1057-424e-8fc5-ed9e016dc554"},{"id":"f8a45b24-4be7-4f1b-909b-60d06b483a20"}

SPF spf

SPF (Sender Policy Framework) est une norme d’authentification d’email qui permet au propriétaire d’un domaine de spécifier les serveurs de messagerie autorisés à envoyer des emails pour le compte de ce domaine. Cette norme utilise le domaine indiqué dans l’en-tête « Return-Path » de l’e-mail (également appelé adresse « Envelope From »).

NOTE
Vous pouvez utiliser cet outil externe pour vérifier un enregistrement SPF.

Le SPF est une technique qui, dans une certaine mesure, permet de s’assurer que le nom de domaine utilisé dans un e-mail n’est pas falsifié. Lorsqu’un message provient d’un domaine, le serveur DNS du domaine est interrogé. Il répond par un enregistrement court (enregistrement SPF) détaillant les serveurs autorisés à envoyer des emails depuis ce domaine. Si nous supposons que seul le propriétaire du domaine a les moyens de modifier cet enregistrement, nous pouvons considérer que cette technique ne permet pas de falsifier l’adresse de l’expéditeur, du moins pas la partie située à droite du « @ ».

Dans la dernière spécification RFC 4408, deux éléments du message sont utilisés pour déterminer le domaine considéré comme l’expéditeur : le domaine spécifié par la commande SMTP « HELO » (ou « EHLO ») et le domaine spécifié par l’adresse de l’en-tête « Return-Path » (ou « MAIL FROM »), qui est également l’adresse de rebond. Différentes considérations permettent de ne prendre en compte que l’une de ces valeurs ; nous vous recommandons de vous assurer que les deux sources spécifient le même domaine.

La vérification SPF produit une évaluation de la validité du domaine expéditeur :

  • Aucune : aucune évaluation n’a pu être effectuée.
  • Neutre : le domaine interrogé ne permet pas d’évaluer.
  • Pass : le domaine est considéré comme authentique.
  • Échec : le domaine est falsifié et le message doit être rejeté.
  • SoftFail : le domaine est probablement falsifié, mais le message ne doit pas être rejeté sur la seule base de ce résultat.
  • TempError : une erreur temporaire a interrompu l’évaluation. Le message peut être rejeté.
  • PermError : les enregistrements SPF du domaine sont incorrects.

Il est à noter que les enregistrements effectués au niveau des serveurs DNS peuvent prendre jusqu’à 48 heures pour être pris en compte. Ce délai dépend de la fréquence d’actualisation des caches DNS des serveurs de réception.

DKIM dkim

L’authentification DKIM (DomainKeys Identified Mail) succède à SPF. Il utilise une cryptographie à clé publique qui permet au serveur de messagerie de réception de vérifier qu’un message a bien été envoyé par la personne ou l’entité par laquelle il prétend avoir été envoyé, et si le contenu du message a été modifié entre le moment où il a été initialement envoyé (et le moment où DKIM a « signé ») et le moment où il a été reçu. Cette norme utilise généralement le domaine dans l’en-tête « From » ou « Sender ».

DKIM provient d’une combinaison des DomainKeys, Yahoo ! et les principes d’authentification Cisco Identified Internet Mail et est utilisé pour vérifier l’authenticité du domaine de l’expéditeur et garantir l’intégrité du message.

DKIM a remplacé l’authentification DomainKeys.

L’utilisation de DKIM nécessite quelques prérequis :

  • Sécurité : le chiffrement est un élément essentiel du DKIM. Pour garantir le niveau de sécurité du DKIM, 1024b est la taille de chiffrement recommandée. Les clés DKIM inférieures ne sont pas considérées comme valides par la majorité des fournisseurs d’accès.
  • Réputation : la réputation dépend de l’adresse IP et/ou du domaine, mais le sélecteur DKIM le moins transparent est également un élément essentiel à prendre en compte. Le choix du sélecteur est important : évitez de conserver celui par défaut qui peut être utilisé par n’importe qui et qui a donc une mauvaise réputation. Vous devez implémenter un sélecteur différent pour les communications rétention vs acquisition et pour l’authentification.

En savoir plus sur les conditions préalables requises pour DKIM lors de l’utilisation de Campaign Classic dans cette section.

DMARC dmarc

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la forme la plus récente d’authentification des emails. Le processus s’appuie simultanément sur l’authentification SPF et DKIM pour déterminer si un email sera diffusé avec succès ou non. DMARC est unique et puissant de deux manières importantes :

  • Conformité : elle permet à l’expéditeur d’indiquer aux FAI comment traiter un message dont l’authentification a échoué (par exemple, ne pas l’accepter).
  • Reporting : il fournit à l’expéditeur un rapport détaillé indiquant tous les messages qui ont échoué lors de l’authentification DMARC, ainsi que le domaine « From » et l’adresse IP utilisée pour chacun d’eux. Cela permet à une entreprise d’identifier les e-mails légitimes qui ne parviennent pas à s’authentifier et qui ont besoin d’un certain type de « correctif » (par exemple, l’ajout d’adresses IP à leur enregistrement SPF), ainsi que les sources et la prévalence des tentatives d’hameçonnage sur leurs domaines de messagerie.
NOTE
DMARC peut utiliser les rapports générés par 250ok.
recommendation-more-help
deliverability-learn-help-deliverabilty-main