Monito 2021 #01 | Monitoring DMARC Badsender.com – Décembre 2020

On va de nouveau parler de DMARC et de notre monitoring mensuel.

Dans cet article (que vous allez retrouver tous les mois), nous allons partager avec vous le monitoring DMARC que nous faisons sur notre domaine Badsender.com.

Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur les FAI/Webmails capable d’interpréter DMARC.

Nous avons deux objectifs pour 2021 :

1. Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
2. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Accrochez-vous 

Taux de conformité de Décembre 2020

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné. Voici nos résultats sur le mois de Décembre 2020 (j’ai volontairement gardé les 2 mois précédent pour comparer) :

J’ai volontairement gardé les mois d’octobre et novembre pour comparer. Et là, je dois dire que l’on est proche de la perfection en décembre ! 99,3% des e-mails sont conformes à DMARC, c’est-à-dire que l’on a seulement 14 e-mails qui sont remontés comme non-conforme et 12 e-mails qui sont remontés comme « non-authentifié ».

Pour améliorer de nouveau notre taux de conformité DMARC dans un futur « très proche », nous allons devoir corriger les problèmes liés aux e-mails non-conformes et surtout non-authentifiés !

Authentification & alignement SPF & DKIM

Authentification & alignement SPF

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path).

On est toujours au-delà des 97% sur décembre. À confirmer en 2021 !

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique au domaine du FROM (ici le domaine de l’adresse expéditrice).

Cool, on s’aligne mieux en décembre que le reste de l’année ! Toutefois, on peut encore faire mieux de ce côté-là…

Authentification & alignement DKIM

Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (peu importe le domaine utilisé dans la déclaration du « d= »).

Pas de grosse perte en décembre, plus de 99% de nos e-mails remontés via les rapports DMARC sont signés avec DKIM… Top !

En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique au domaine de FROM (domaine de l’adresse expéditrice).

On s’améliore sur l’alignement DKIM pour passer la barre des 99%… À maintenir en 2021 !

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

On a une légère augmentation en décembre mais on reste loin de la moyenne de 2020 (0 ,9%), on ne va pas faire les difficiles et travailler pour améliorer ça 🙂

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de décembre 2020 :

Pour Sellsy, le problème se situe sur les alignements SPF (mail.sellsy.com) & DKIM (sellsy.com). Une partie des sources d’Outlook sera à rendre conforme, les autres ne demanderont aucune action (comme pour OVH).

Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :

Dreamhost est en cours de conformité, cette ligne devrait disparaître en janvier ! Par contre, le domaine russe nous est totalement inconnu… donc lui, on ne fera aucune action de conformité dessus !

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.

Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de décembre 2020 :

La tendance des erreurs SPF les plus fréquentes

Et la tendance des erreurs DKIM les plus fréquentes

Du côté des erreurs SPF, les problèmes d’alignement remontent toujours majoritairement (plus de 6 e-mails sur 10 ne sont pas alignés SPF).

Par contre, pour DKIM, plus de 5 e-mails sur 10 remontent un problème d’authentification… À corriger au plus vite surtout si les e-mails en échec doivent être conformes.

Notre feuille de route pour le mois de janvier 2021 !

Après une revue des différentes remontées « non-conformes » et « non-authentifiés » avec Jonathan, nous avons défini la feuille de route suivante :

Sources « non-authentifiées »

• Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP (done)
• SharpSpring : Ouvrir un ticket au Support (done)

Sources « non-conformes »

• Sendgrid : Ajouter un relay SMTP (done)
• Sharpspring : Ouvrir un ticket au Support (done)
• Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 (to do)

Pour toutes les autres sources, aucune action sera à réaliser pour le moment. Certaines devront être étudiées (pour voir si nous devons les rendre conforme) et pour les autres… Osef puisque nous n’avons aucun intérêt derrière 

Conclusion pour ce monitoring DMARC.

Suite au monitoring d’octobre & novembre, nous n’avons pas chômé… Nous avons rendu plusieurs sources « conformes » à DMARC mais on ne va s’arrêter là, on doit s’occuper d’un gros chantier qui se prénomme « Sellsy » et qui va prendre un peu de temps… La suite au prochain numéro ! Et si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider J

N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!

Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions de stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits ou d’intervention en tant que force de production externalisée. 

Contenus liés à DMARC :

• Monitoring DMARC Badsender.com Octobre vs. Novembre 2020
• Notre Livre Blanc sur le déploiement de DMARC
• Tout savoir sur SPF en 3 articles :
  • Qu’est-ce que SPF ? Configuration, vérification et monitoring
  • 10 Conseils à mettre en place dans sa configuration SPF
  • Et si vous passiez votre enregistrement SPF au qualifieur -all ???
• Tout savoir sur DKIM (1 article seulement) :
  • Qu’est-ce que DKIM ? Configuration, vérification et monitoring
• Presque tout savoir sur ARC (1 article pour le moment) :
  • Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification