Monitoring DMARC Badsender.com – Été 2021

Restez informé·e via les newsletters de Badsender

Chaque mois, nous publions une newsletter sur l’email marketing et une infolettre sur la sobriété et le marketing. En savoir plus.

Votre adresse email ne sera jamais communiquée à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

Après un été agité et sans temps de pose, je vous partage aujourd’hui nos données DMARC pour le mois de juillet & d’août 2021 !

Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.

Nous avons, à terme, deux objectifs pour 2021 :

  1. Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
  2. Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
  3. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !

Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Bonne lecture 🙂

Taux de conformité de juillet-août 2021

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).

Voici nos résultats pendant l’été 2021 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :

Badsender.comVolumesConformeNon ConformeNon Authentifié
Août 20211 71199,8%0,1%0,1%
Juillet 20212 12482,6%5,6%11,8%
Juin 20214 71799,6%0,2%0,2%
Mai 20213 90099,7%0,1%0,2%
Avril 20214 21499,4%0,1%0,5%
Mars 20213 54999,1%0,9%0,0%
Février 20215 22199,8%0,2%0,0%
Janvier 20214 84398,0%1,9%0,1%
Notre taux de conformité sur l’année 2021

Vous pourrez constater qu’en juillet, notre taux de conformité a été en dessous des 90%, faute à une petite vague de spam. En revanche, nous avons retrouvé un taux « normal » (quasi 100%) sur le mois d’août ! Comme quoi, les spammeurs ne prennent jamais de vacances 🙂

Authentification & alignement SPF & DKIM

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).

Taux d’authentification SPF pour badsender.com en 2021 - Monitoring DMARC
Taux d’authentification SPF pour badsender.com en 2021

Vous remarquerez que le mois de juillet a été mouvementé… C’est la première fois que notre taux d’authentification SPF passe sous la barre des 90% ! Et ce n’est pas de notre faute cette fois-ci 🙂

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Taux d’alignement SPF pour badsender.com en 2021 - Monitoring DMARC
Taux d’alignement SPF pour badsender.com en 2021

Quelques flux remontent un problème d’alignement mais ne méritent pas d’intervention de notre part. En revanche, quelques flux sont encore à optimiser de notre côté pour que SPF soit totalement aligné à DMARC.

Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).

Taux d’authentification DKIM pour badsender.com en 2021 - Monitoring DMARC
Taux d’authentification DKIM pour badsender.com en 2021

Avec la vague de spam de juillet, notre taux d’authentification DKIM fut en baisse. On a retrouvé un taux quasi parfait sur le mois d’août !

Besoin d'aide ?

Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.


En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Taux d’alignement DKIM pour badsender.com en 2021
Notre taux d’alignement DKIM pour l’année 2021

Tout comme l’alignement SPF, quelques flux remontent des problèmes d’authentification mais ne méritent pas d’intervention de notre part. En revanche, quelques flux sont encore à optimiser de notre côté pour que DKIM soit lui aussi totalement aligné à DMARC.

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

Notre taux d’e-mails non-signés avec DKIM pour l’année 2021

Vous remarquerez qu’en juillet notre taux d’e-mails non-signés a explosé… Ça vient exclusivement de cette fameuse vague de spam !

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontée comme « non-conformes » sur le mois de juin 2021 :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
USA.net*.mx.netWebmail11493.4%InconnuAucune action
Microsoft*.outlook.comWebmail21.7%InconnuAucune action
Google*.google.comWebmail21.7%InconnuAucune action
Sharpspring*.marketingautomation.servicesESP10.8%ConnuRendre conforme
Verizon Media*.yahoo.comWebmail10.8%InconnuAucune action
CCM Benchmark*.benchmark.frESP10.8%InconnuAucune action
CCM Benchmark*.ccmbg.comESP10.8%InconnuAucune action
Sources “non-conformes” entre juillet et août 2021

Nous avons eu beaucoup de remontées non-conformes de la part du sender rDNS « mx.net ». Seul le flux de Sharpspring devrait être conforme (donc devra l’étudier et le corriger).

Et la liste des « Sender rDNS » remontée comme « non-authentifiés » :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
USA.net*.mx.netWebmail24798.4%InconnuAucune action
Microsoft*.outlook.comWebmail20.8%InconnuAucune action
UnknownUnknown20.8%InconnuAucune action
Sources “non-authentifiées” entre juillet et août 2021

Idem pour les flux « non-authentifiés »… Nous avons eu beaucoup de remontées de la part du sender rDNS « mx.net ». En revanche, aucun des flux n’a besoin d’être étudié et corrigé.

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.

Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de juin 2021 :

Tendance des erreurs SPF les plus fréquentes

Tendance des échecs SPF sur les mois de juillet & août 2021
Tendance des échecs SPF sur les mois de juillet & août 2021

Durant l’été, 417 e-mails remontent un problème d’alignement SPF, 71 e-mails remontent SPF en échec et 263 e-mails remontent un problème d’authentification SPF.

Tendance des erreurs DKIM les plus fréquentes

Tendance des échecs DKIM sur les mois de juillet & août 2021
Tendance des échecs DKIM sur les mois de juillet & août 2021

Du côté des erreurs DKIM, 365 e-mails remontent un problème d’authentification DKIM, 75 e-mails remontent un problème d’alignement DKIM, 39 e-mails remontent DKIM en échec et 2 e-mails remontent une erreur permanente.

Notre feuille de route pour cette rentrée de septembre !

Pour la rentrée, les objectifs n’ont pas vraiment évolué par rapport à cet été :

  1. Finir notre migration d’infrastructure.
  2. Corriger les flux devant être conforme à DMARC.
  3. Repasser notre politique de sécurité DMARC à « quarantine » asap.

Conclusion

Après un été pas vraiment de tout repos, on va pouvoir reprendre notre conformité DMARC et se pencher sérieusement sur les flux à corriger. Quoique avant ça, on doit déjà finaliser notre migration d’infrastructure (qui prend plus de temps que prévu).

Nos autres contenus liés à DMARC (de près ou de loin) :

Soutenez l'initiative "Email Expiration Date"

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Partagez
L’auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *