Après un été agité et sans temps de pose, je vous partage aujourd’hui nos données DMARC pour le mois de juillet & d’août 2021 !
Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.
Nous avons, à terme, deux objectifs pour 2021 :
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de juillet-août 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats pendant l’été 2021 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Août 2021 | 1 711 | 99,8% | 0,1% | 0,1% |
| Juillet 2021 | 2 124 | 82,6% | 5,6% | 11,8% |
| Juin 2021 | 4 717 | 99,6% | 0,2% | 0,2% |
| Mai 2021 | 3 900 | 99,7% | 0,1% | 0,2% |
| Avril 2021 | 4 214 | 99,4% | 0,1% | 0,5% |
| Mars 2021 | 3 549 | 99,1% | 0,9% | 0,0% |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
Vous pourrez constater qu’en juillet, notre taux de conformité a été en dessous des 90%, faute à une petite vague de spam. En revanche, nous avons retrouvé un taux « normal » (quasi 100%) sur le mois d’août ! Comme quoi, les spammeurs ne prennent jamais de vacances 🙂
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Vous remarquerez que le mois de juillet a été mouvementé… C’est la première fois que notre taux d’authentification SPF passe sous la barre des 90% ! Et ce n’est pas de notre faute cette fois-ci 🙂
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Quelques flux remontent un problème d’alignement mais ne méritent pas d’intervention de notre part. En revanche, quelques flux sont encore à optimiser de notre côté pour que SPF soit totalement aligné à DMARC.
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
Avec la vague de spam de juillet, notre taux d’authentification DKIM fut en baisse. On a retrouvé un taux quasi parfait sur le mois d’août !
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Tout comme l’alignement SPF, quelques flux remontent des problèmes d’authentification mais ne méritent pas d’intervention de notre part. En revanche, quelques flux sont encore à optimiser de notre côté pour que DKIM soit lui aussi totalement aligné à DMARC.
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Vous remarquerez qu’en juillet notre taux d’e-mails non-signés a explosé… Ça vient exclusivement de cette fameuse vague de spam !
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontée comme « non-conformes » sur le mois de juin 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| USA.net | *.mx.net | Webmail | 114 | 93.4% | Inconnu | Aucune action |
| Microsoft | *.outlook.com | Webmail | 2 | 1.7% | Inconnu | Aucune action |
| *.google.com | Webmail | 2 | 1.7% | Inconnu | Aucune action | |
| Sharpspring | *.marketingautomation.services | ESP | 1 | 0.8% | Connu | Rendre conforme |
| Verizon Media | *.yahoo.com | Webmail | 1 | 0.8% | Inconnu | Aucune action |
| CCM Benchmark | *.benchmark.fr | ESP | 1 | 0.8% | Inconnu | Aucune action |
| CCM Benchmark | *.ccmbg.com | ESP | 1 | 0.8% | Inconnu | Aucune action |
Nous avons eu beaucoup de remontées non-conformes de la part du sender rDNS « mx.net ». Seul le flux de Sharpspring devrait être conforme (donc devra l’étudier et le corriger).
Et la liste des « Sender rDNS » remontée comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| USA.net | *.mx.net | Webmail | 247 | 98.4% | Inconnu | Aucune action |
| Microsoft | *.outlook.com | Webmail | 2 | 0.8% | Inconnu | Aucune action |
| Unknown | Unknown | – | 2 | 0.8% | Inconnu | Aucune action |
Idem pour les flux « non-authentifiés »… Nous avons eu beaucoup de remontées de la part du sender rDNS « mx.net ». En revanche, aucun des flux n’a besoin d’être étudié et corrigé.
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de juin 2021 :
Tendance des erreurs SPF les plus fréquentes
Durant l’été, 417 e-mails remontent un problème d’alignement SPF, 71 e-mails remontent SPF en échec et 263 e-mails remontent un problème d’authentification SPF.
Tendance des erreurs DKIM les plus fréquentes
Du côté des erreurs DKIM, 365 e-mails remontent un problème d’authentification DKIM, 75 e-mails remontent un problème d’alignement DKIM, 39 e-mails remontent DKIM en échec et 2 e-mails remontent une erreur permanente.
Notre feuille de route pour cette rentrée de septembre !
Pour la rentrée, les objectifs n’ont pas vraiment évolué par rapport à cet été :
- Finir notre migration d’infrastructure.
- Corriger les flux devant être conforme à DMARC.
- Repasser notre politique de sécurité DMARC à « quarantine » asap.
Conclusion
Après un été pas vraiment de tout repos, on va pouvoir reprendre notre conformité DMARC et se pencher sérieusement sur les flux à corriger. Quoique avant ça, on doit déjà finaliser notre migration d’infrastructure (qui prend plus de temps que prévu).
Nos autres contenus liés à DMARC (de près ou de loin) :
- Monitoring DMARC de Juin 2021
- Monitoring DMARC de Mai 2021
- Monitoring DMARC de Avril 2021
- Monitoring DMARC de Mars 2021
- Monitoring DMARC de Février 2021
- Monitoring DMARC de Janvier 2021
- Monitoring DMARC de Décembre 2020
- Monitoring DMARC d’Octobre vs. Novembre 2020
- Tech 2021 #02 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
- Notre Livre Blanc sur le déploiement de DMARC
- Tout savoir sur SPF en 3 articles :
- Tout savoir sur DKIM (1 article seulement) :
- Presque tout savoir sur ARC (1 article pour le moment) :
