On va parler ici de DMARC et plus particulièrement des données à monitorer. D’ailleurs, vous saviez qu’on a publié un livre blanc sur le déploiement DMARC?
Dans cet article (que vous allez retrouver tous les mois), nous allons partager avec vous le monitoring DMARC que nous faisons sur notre domaine Badsender.com
Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur les FAI/Webmails capable d’interpréter DMARC.
Nous avons deux objectifs pour 2021 :
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Accrochez-vous On va procéder à la comparaison du monitoring entre octobre et novembre 2020.
Taux de conformité du mois Octobre / Novembre 2020 : comparaison du monitoring DMARC.
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné.
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Octobre | 3 772 | 95,8% | 4,1% | 0,1% |
| Novembre | 4 973 | 98,0% | 1,9% | 0,1% |
Ces taux de conformité sur octobre & novembre sont plutôt bons, notre moyenne sur l’année 2020 étant à 94,8%.
Pour améliorer dans un futur « très proche » notre taux de conformité, nous allons devoir corriger les problèmes liés aux e-mails non-conformes et surtout non-authentifiés !
Authentification & alignement SPF & DKIM
Authentification & alignement SPF
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP qui est utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path).
Notre moyenne entre janvier et septembre est de 95,6%… On progresse, on progresse
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique au domaine du FROM (ici le domaine de l’adresse expéditrice).
Notre moyenne entre janvier et septembre est de 86,6%… On progresse aussi de ce côté-là même si ce taux est encore perfectible !
Authentification & alignement DKIM
Pour un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (peu importe le domaine utilisé dans la déclaration du « d= »).
À titre comparatif, notre moyenne entre janvier et septembre est de 98,2%… On approche de la perfection
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique au domaine de FROM (domaine de l’adresse expéditrice).
À titre de comparaison, notre moyenne sur le taux d’alignement DKIM entre janvier et septembre est de 92,8%… De mieux s’en mieux !
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Entre janvier et septembre, notre moyenne d’e-mails non-signés DKIM est de 0,9%. Moins d’1% d’e-mails non-signés DKIM, c’est plutôt cool !
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois d’octobre et novembre 2020 :
On peut voir que certaines sources seront à étudier pour voir si nous devons les rendre conforme à DMARC (ou non). Par contre, quelques sources nous sont totalement inconnues… Simple transfert d’e-mail ou spam ??? L’avenir nous le dira !
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
Ici, nous sommes chanceux et n’avons que deux sources remontées que nous devrons rendre conforme ! Easy à priori…
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger. Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour les mois d’octobre et novembre 2020 :
La tendance des erreurs SPF les plus fréquentes
Et la tendance des erreurs DKIM les plus fréquentes
Finalement, on remarque que les problématiques viennent surtout des alignements SPF & DKIM puisque plus de 7 e-mails sur 10 remontent un problème d’alignement des domaines avec SPF & DKIM.
Notre feuille de route pour le mois de décembre 2020
Après une revue des différentes remontées « non-conformes » et « non-authentifiés » avec Jonathan, nous avons défini la feuille de route suivante :
- Sources « non-authentifiées »
- Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP (to do)
- SharpSpring : Ouvrir un ticket au Support (to do)
- Sources « non-conformes »
- Sendgrid : Ajouter un relay SMTP (done)
- Sharpspring : Ouvrir un ticket au Support (to do)
- Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 (to do)
Pour toutes les autres sources, aucune action sera à réaliser pour le moment. Certaines devront être étudiées (pour voir si nous devons les rendre conforme) et pour les autres… Osef puisque nous n’avons aucun intérêt derrière
Conclusion de cette comparaison de monitoring.
Je ne vous cache pas que c’est une gymnastique quasi quotidienne et qu’il nous faudra du temps pour rendre conforme les flux intéressants et pouvoir atteindre nos objectifs de 2021 !
Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
Contenus liés à DMARC :
- Notre Livre Blanc sur le déploiement de DMARC
- Tout savoir sur SPF en 3 articles :
- Tout savoir sur DKIM (1 article seulement) :
- Presque tout savoir sur ARC (1 article pour le moment) :
