Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.
Nous avons, à terme, trois objectifs pour 2021 :
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de Mars 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats sur le mois de Mars 2021 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Mars 2021 | 3 549 | 99,1% | 0,9% | 0,0% |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
| Décembre 2020 | 3 797 | 99,3% | 0,4% | 0,3% |
| Novembre 2020 | 4 973 | 98,0% | 1,9% | 0,1% |
| Octobre 2020 | 3 772 | 95,8% | 4,1% | 0,1% |
Quasi parfait ! Notre taux de conformité reste supérieur à 99% pour ce mois de mars malgré un souci avec SPF lors de la migration de notre infrastructure.
Depuis ce changement d’hébergeur, nous avons passé notre politique de sécurité DMARC à « none » pour assurer une migration en toute tranquillité. Nous devrions remettre une politique de sécurité restrictive dans les prochaines semaines voire mois.
Authentification & alignement SPF & DKIM
Malgré notre petit couac avec notre enregistrement SPF pendant la migration du nom de domaine, nous avons tout de même un taux de validité SPF supérieur à 93% ! Il devrait remonter au-delà des 97% à partir d’avril 🙂
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
C’est un mois de transition, ce qui explique ce taux un peu plus bas qu’à l’habitude mais pas d’inquiétude, ça va remonter !
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS du côté du taux d’authentification DKIM, avec un taux exceptionnel en mars de 99,99% !
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS du côté de l’alignement DKIM, une baisse notable – due à des e-mails transférés – par rapport à Février 2021 mais avec un taux d’alignement à 94% tout de même !
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Idem que pour le mois de Février 2021, aucun rapport d’échec d’authentification est remonté ce mois-ci ! Pourvu que ça dur 🙂
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de Mars 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Sharpspring | *.marketingautomation.services | ESP | 19 | 61,31% | Connu | Rendre Conforme |
| Microsoft | *.outlook.com | Webmail | 2 | 6,45% | Connu | À étudier |
| ? | *.lintapps.com | ? | 2 | 6,45% | Inconnu | Aucune action |
| ? | *.guestsread.com | ? | 2 | 6,45% | Inconnu | Aucune action |
| OVH | *.ovh.net | Hébergeur | 2 | 6,45% | Connu | Aucune action |
| ? | *.treatedrent.net | ? | 2 | 6,45% | Inconnu | Aucune action |
| ? | *.sapphireamp.com | ? | 1 | 3,22% | Inconnu | Aucune action |
| ? | *.supplyword.net | ? | 1 | 3,22% | Inconnu | Aucune action |
31 remontées ce mois de Mars 2021 dont un flux qui devrait être conforme.
Nous allons devoir analyser et corriger le flux « Sharpspring » pour le rendre conforme à DMARC. Le flux « Microsoft » devra être étudié pour voir s’il doit être rendu conforme à DMARC ou non.
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
RAS et tant mieux 🙂
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de Mars 2021 :
Tendance des erreurs SPF les plus fréquentes
Tendance des erreurs DKIM les plus fréquentes
Du côté des erreurs SPF, 309 e-mails remontent un problème d’alignement SPF, 149 remontent un problème avec SPF, 52 remontent un problème d’authentification SPF et seulement 5 remontent aucun enregistrement SPF !
Pour DKIM, 210 e-mails ont remonté un problème d’alignement DKIM contre 18 qui remontent un problème d’authentification.
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Notre feuille de route pour le mois d’Avril 2021 !
Lors de la réunion du 11 février avec Jonathan, nous en avons conclu que la migration de toute notre infrastructure était prioritaire sur la montée de notre politique de sécurité DMARC et donc, on va encore attendre quelques mois avant de s’attaquer à ce chantier. Nous allons principalement sur Avril corriger les quelques flux à rendre conforme et continuer tranquillement notre monitoring avant de repasser sur une politique DMARC restrictive :
Sources « non-authentifiées »
RAS.
Sources « non-conformes »
- Sharpspring : Rendre Conforme
- Microsoft : Étudier les flux pour voir si certains doivent être rendus conformes.
Conclusion
Ce mois de Mars n’est pas si mauvais que cela. Nous n’aurions pas eu ce souci avec l’enregistrement SPF, les données auraient été bien meilleures.
Une fois cette migration achevée, nous pourrons reprendre une mise en conformité DMARC plus agressive, d’ici-là patience !
—–
Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider 🙂
—–
N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
—–
Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions des stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits, ou d’intervention en tant que force de production externalisée.
—–
Contenus liés à DMARC de près ou de loin :
— Monitoring DMARC de Février 2021
— Monitoring DMARC de Janvier 2021
— Monitoring DMARC de Décembre 2020
— Monitoring DMARC d’Octobre vs. Novembre 2020
— Tech 2021 #02 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
— Notre Livre Blanc sur le déploiement de DMARC
— Tout savoir sur SPF en 3 articles :
Qu’est-ce que SPF ? Configuration, vérification et monitoring
10 Conseils à mettre en place dans sa configuration SPF
Et si vous passiez votre enregistrement SPF au qualifieur -all ???
— Tout savoir sur DKIM (1 article seulement) :
Qu’est-ce que DKIM ? Configuration, vérification et monitoring
— Presque tout savoir sur ARC (1 article pour le moment) :
Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification
—–
Photo by Randy Tarampi on Unsplash
—–
