Comme à chaque début de mois maintenant, nous allons vous partager dans cet article, nos résultats de conformité DMARC !
Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.
Nous avons, à terme, deux objectifs pour 2021 :
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de Avril 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats sur le mois d’Avril 2021 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Avril 2021 | 4 214 | 99,4% | 0,1% | 0,5% |
| Mars 2021 | 3 549 | 99,1% | 0,9% | 0,0% |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
| Décembre 2020 | 3 797 | 99,3% | 0,4% | 0,3% |
| Novembre 2020 | 4 973 | 98,0% | 1,9% | 0,1% |
| Octobre 2020 | 3 772 | 95,8% | 4,1% | 0,1% |
Encore un bon mois ! Plus de volumes, plus de conformité ! Seul bémol, on a eu un peu de trafic non-authentifié (certes 23 au total sur le mois), mais bon notre taux de conformité reste toutefois supérieur à 99%.
Notre politique de sécurité DMARC reste pour le moment à « none » depuis notre changement d’hébergeur. Aucune modification en vue avant au moins cet été.
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Notre taux de validité SPF repasse ce mois-ci au-dessus des 95%. Quand nous serons plus avancés dans notre politique DMARC, nous verrons s’il y a des optimisations à faire sur les 3% d’échec.
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Et ça remonte ! Après quelques corrections, nous revoilà avec un taux d’alignement au-dessus des 90%. Tout comme le taux de validité de SPF, nous verrons ultérieurement si nous avons la possibilité d’améliorer ce taux d’alignement afin d’avoir une configuration plus conforme à DMARC.
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS du côté du taux d’authentification DKIM, le taux de validité est quasi à 99% !
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS du côté de l’alignement DKIM, c’est meilleur que Mars (+96%) mais encore perfectible. Nous verrons ultérieurement si nous pouvons améliorer l’alignement DKIM.
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Sur ce mois d’Avril, nous avons eu la plus grosse remontée de trafic « non-authentifié » avec 23 rapports… Et on sait d’où ça vient en plus… Oups !
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois d’Avril 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Microsoft | *.outlook.com | Webmail | 3 | 100,00% | Connu | Aucune action |
Seulement 3 remontées pour ce mois d’Avril 2021. Aucune action ne devra être faite sur ce flux.
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Infomaniak | *.infomaniak.ch | Hébergement | 18 | 78% | Connu | Rendre conforme |
| ? | Unknown | Spammeur ? | 3 | 13% | Inconnu | Aucune action |
| ? | *.squirrelcanvas.ru | Spammeur ? | 1 | 4% | Inconnu | Aucune action |
| Microsoft | *.outlook.com | Webmail | 1 | 4% | Inconnu | Aucune action |
Il y a eu de l’activité ce mois-ci. Le flux « infomaniak.ch » doit être mis en conformité car il est légitime. Pour le reste, aucune action ne sera à faire dessus.
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois d’Avril 2021 :
Tendance des erreurs SPF les plus fréquentes
Du côté des erreurs SPF, 289 e-mails remontent un problème d’alignement SPF, 87 remontent SPF en échec, 26 remontent un problème d’authentification SPF et seulement 1 remontée avec une erreur temporaire !
Tendance des erreurs DKIM les plus fréquentes
Pour DKIM, 86 e-mails remontent un problème d’alignement DKIM, 32 remontent DKIM en échec, 22 remontent un problème d’authentification DKIM, 17 avec une erreur permanente et seulement 1 qui remontent une erreur temporaire.
Notre feuille de route pour le mois de Mai 2021 !
Il y aura une grosse optimisation à faire ce mois-ci :
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
- Sources « non-authentifiées »
- Infomaniak : Rendre Conforme le flux
2. Sources « non-conformes »
- RAS.
Conclusion
Ce mois d’Avril a été plutôt tranquille, un seul flux finalement doit rentrer en conformité, les autres flux restent comme ils sont !
Notre migration est quasi bouclée, nous allons pouvoir durant l’été être plus agressif sur notre politique DMARC… Je me prépare à un été brûlant 🙂
—–
Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider 🙂
—–
N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
—–
Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions des stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits, ou d’intervention en tant que force de production externalisée.
—–
Contenus liés à DMARC de près ou de loin :
— Monitoring DMARC de Mars 2021
— Monitoring DMARC de Février 2021
— Monitoring DMARC de Janvier 2021
— Monitoring DMARC de Décembre 2020
— Monitoring DMARC d’Octobre vs. Novembre 2020
— Tech 2021 #02 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
— Notre Livre Blanc sur le déploiement de DMARC
— Tout savoir sur SPF en 3 articles :
Qu’est-ce que SPF ? Configuration, vérification et monitoring
10 Conseils à mettre en place dans sa configuration SPF
Et si vous passiez votre enregistrement SPF au qualifieur -all ???
— Tout savoir sur DKIM (1 article seulement) :
Qu’est-ce que DKIM ? Configuration, vérification et monitoring
— Presque tout savoir sur ARC (1 article pour le moment) :
Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification
—–
Photo by Randy Tarampi on Unsplash
—–
