Comme tous les mois maintenant, je vous partage aujourd’hui nos données DMARC pour le mois d’octobre 2021 !
Pour résumé : Aujourd’hui, suite à notre migration de messagerie électronique, nous avons passé notre politique de sécurité DMARC de « quarantine » à « none » pour être sûr qu’aucun flux e-mail ne soit impacté. Par la suite, nous repasserons au niveau « quarantine » pour protéger un minimum notre nom de domaine.
Nous avons, à terme, trois deux objectifs pour 2021 :
- Passer notre politique de sécurité à « reject » : nous demanderions alors à tout organisme interprétant DMARC de rejeter les e-mails ayant une mauvaise authentification/alignement SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité d’octobre 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats depuis le début de l’année 2021 :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Octobre 2021 | 4 929 | 99,8% | 0,1% | 0,1% |
| Septembre 2021 | 4 912 | 99,8% | 0,2% | 0,0% |
| Août 2021 | 1 711 | 99,8% | 0,1% | 0,1% |
| Juillet 2021 | 2 124 | 82,6% | 5,6% | 11,8% |
| Juin 2021 | 4 717 | 99,6% | 0,2% | 0,2% |
| Mai 2021 | 3 900 | 99,7% | 0,1% | 0,2% |
| Avril 2021 | 4 214 | 99,4% | 0,1% | 0,5% |
| Mars 2021 | 3 549 | 99,1% | 0,9% | 0,0% |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
Dans la continuité de septembre, le taux de conformité remonté sur le mois d’octobre atteint les 99,8%. Seulement 7 e-mails remontent non-conformes et 7 e-mails non-authentifiés.
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Après un très bon résultat en septembre, on remet ça en octobre avec un taux d’authentification SPF à 98,5% !
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Notre taux d’alignement SPF sur octobre est en forte baisse. On a identifié la cause – un flux Mailjet avec un MailFrom non personnalisé – et on va la corriger asap.
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS. Le mois d’octobre remonte un très bon taux d’authentification DKIM, on est à 99,5% !
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS. Le taux d’alignement DKIM sur le mois d’octobre reste très bon, avec un taux à 98% !
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
RAS. Le taux d’e-mails non signés avec DKIM reste très faible et on ne va pas s’en plaindre !
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois d’octobre 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Sharpspring | *.marketingautomation.services | ESP | 3 | 42% | Connu | À étudier |
| Microsoft | *.outlook.com | Webmail | 2 | 29% | Inconnu | Aucune action |
| OVH | *.ovh.net | Hosting | 2 | 29% | Inconnu | Aucune action |
Seul le flux Sharpspring doit être étudié pour savoir s’il doit être mis en conformité ! Pour le reste, osef !
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Microsoft | *.outlook.com | Webmail | 6 | 86% | Connu | Aucune action |
| ? | *.kolesa.ru | ? | 1 | 14% | Inconnu | Aucune action |
Pour les flux « non-authentifiés », le flux « Outlook » est un résidu de notre ancien système de messagerie donc pas besoin de rendre conforme ces flux.
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois d’octobre 2021 :
Tendance des erreurs SPF les plus fréquentes
Sur le mois d’octobre, 1 068 e-mails remontent un problème d’alignement SPF, 52 e-mails remontent SPF en échec, 5 e-mails remontent aucun enregistrement SPF et 5 e-mails remontent une erreur temporaire avec SPF.
Tendance des erreurs DKIM les plus fréquentes
Du côté des erreurs DKIM sur le mois d’octobre, 75 e-mails remontent un problème d’alignement avec DKIM, 18 e-mails remontent un problème d’authentification DKIM, 12 e-mails remontent un problème temporaire avec DKIM, 6 e-mails avec une erreur permanente et 3 e-mails remontent aucun enregistrement DKIM.
Notre feuille de route pour la fin de l’année !
Comme nous avons enfin terminé notre migration de messagerie d’Outlook vers Infomaniak, je vais pouvoir me concentrer sur notre conformité DMARC sur la fin de l’année, ce qui amène les objectifs suivants :
- Voir avec Jonathan si le flux Sharpspring remonté comme « non-conforme » doit être mis en conformité.
- Corriger les flux devant être conforme à DMARC : ceux avec SPF non-conforme ou DKIM non-conforme.
- Passer notre politique de sécurité DMARC de « none » à « quarantine » avant la fin de l’année.
Conclusion
Le mois de septembre était plutôt très bon, ce mois d’octobre ne remonte pas de très mauvaises surprises. Seul le flux via Mailjet doit être optimisé pour améliorer nettement notre taux d’alignement SPF.
Nos autres contenus liés à DMARC (de près ou de loin) :
- Monitoring DMARC de Septembre 2021
- Monitoring DMARC de Juillet-août 2021
- Monitoring DMARC de Juin 2021
- Monitoring DMARC de Mai 2021
- Monitoring DMARC de Avril 2021
- Monitoring DMARC de Mars 2021
- Monitoring DMARC de Février 2021
- Monitoring DMARC de Janvier 2021
- Monitoring DMARC de Décembre 2020
- Monitoring DMARC d’Octobre vs. Novembre 2020
- Tech 2021 #02 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
- Notre Livre Blanc sur le déploiement de DMARC
- Tout savoir sur SPF en 3 articles :
- Tout savoir sur DKIM (1 article seulement) :
- Presque tout savoir sur ARC (1 article pour le moment) :
