Comprendre DMARC, DKIM et SPF : Le trio indispensable pour la sécurité des emails

Vous pouvez avoir la meilleure campagne marketing par email, mais si vos emails n’atteignent pas la boîte de réception, tous vos efforts seront vains. Pour protéger votre domaine et garantir la délivrabilité de vos emails, trois protocoles d’authentification sont indispensables : SPF, DKIM et DMARC. Ces protocoles permettent d’authentifier vos emails et de les protéger contre l’usurpation d’identité (spoofing) et le phishing. Voyons comment ces trois mécanismes fonctionnent, comment les configurer et pourquoi ils sont indispensables ensemble pour une stratégie d’emailing sécurisée et efficace.

1. SPF (Sender Policy Framework) : le premier bouclier

1.1. Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un protocole qui permet de vérifier que les emails envoyés d’un domaine sont bien autorisés par le propriétaire de ce domaine. Il empêche les cybercriminels d’envoyer des emails frauduleux en usurpant votre nom de domaine.

1.2. Comment fonctionne SPF ?

1.2.1. La vérification de l’adresse IP

Lorsqu’un serveur de messagerie reçoit un email, il vérifie si l’adresse IP de l’expéditeur est autorisée à envoyer des emails pour le domaine en question. Cette vérification est réalisée grâce à une liste d’adresses IP spécifiée dans un enregistrement SPF.

1.2.2. Le rôle des enregistrements DNS

L’enregistrement SPF est une entrée DNS (Domain Name System) qui contient la liste des serveurs autorisés à envoyer des emails en votre nom. Il prend généralement la forme suivante :

v=spf1 include:mailprovider.com ~all

• v=spf1 : indique qu’il s’agit d’un enregistrement SPF.
• include:mailprovider.com : autorise un fournisseur tiers (ex : votre outil d’emailing).
• all : rejette tous les autres envois non autorisés.

1.3. Comment configurer un enregistrement SPF ?

Pour mettre en place SPF, suivez ces différentes étapes :

1. Identifiez tous les serveurs envoyant des emails pour votre domaine (Gmail, SendGrid, etc.).
2. Créez un enregistrement SPF avec ces serveurs.
3. Ajoutez l’enregistrement SPF dans les paramètres DNS de votre domaine.
4. Testez la configuration avec des outils comme MXToolbox.

1.3.1. Sur la version pro de Google workspace

1. Connectez-vous au tableau de bord DNS de votre fournisseur d'hébergement.
2. Localisez la section où vous pouvez gérer les enregistrements DNS (souvent appelée "Gestion DNS" ou "Zone DNS").
3. Choisissez le domaine pour lequel vous souhaitez configurer l'enregistrement SPF.
4. Recherchez un enregistrement TXT qui commence par v=spf1.

Si aucun SPF n'existe ➡️ Ajoutez un enregistrement TXT avec :

v=spf1 include:_spf.google.com ~all‍

Si un SPF existe déjà ➡️ Ajoutez include:_spf.google.com à la valeur existante.

1. Enregistrez les modifications dans votre tableau de bord DNS.
2. Attendez la propagation des modifications DNS, ce qui peut prendre jusqu'à 48 heures.

1.3.2. Sur la version pro de Outlook

1. Connectez-vous au site web de votre hébergeur DNS ou de votre registraire de domaine.
2. Naviguez vers la section dédiée à la gestion des enregistrements DNS. Cette section peut être intitulée "Gestion DNS", "Paramètres DNS" ou similaire.
3. Vérifiez l’existence d’un enregistrement SPF

Recherchez un enregistrement TXT commençant par v=spf1.

Si aucun enregistrement SPF n'existe, créez un nouvel enregistrement TXT avec les valeurs suivantes :

• Nom de l'hôte (Host) : @ ou laissez vide, selon les exigences de votre fournisseur DNS.
• Type : TXT
• Valeur : v=spf1 include:spf.protection.outlook.com ~all

Si un enregistrement SPF existe déjà, modifiez l'enregistrement existant pour inclure "include:spf.protection.outlook.com" avant le mécanisme de terminaison "~all".

4. Enregistrez et attendez la propagation. Les modifications peuvent prendre jusqu’à 48h pour être effectives.

1.4. Limites et faiblesses du SPF

SPF ne protège pas les emails transférés, car l'IP de l'expéditeur peut changer. Il ne garantit pas l'intégrité du contenu et doit être complété par DKIM et DMARC.

2. DKIM (DomainKeys Identified Mail) : L’authentification des messages

2.1. Qu’est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) est une méthode d’authentification qui permet d’attester qu’un email a bien été envoyé par un domaine légitime et qu’il n’a pas été modifié en cours de route.

2.2. Comment fonctionne DKIM ?

2.2.1. La signature cryptographique

Lorsqu’un email est envoyé, DKIM ajoute une signature cryptographique unique dans l’en-tête du message. Cette signature est générée à l’aide d’une clé privée stockée sur le serveur d’envoi.

2.2.2. La validation par les serveurs de réception

Le serveur de réception vérifie la signature DKIM en comparant la clé publique enregistrée dans les DNS du domaine avec la signature contenue dans l’email. Si la validation échoue, l’email peut être marqué comme suspect.

2.3. Comment configurer DKIM ?

1. Activez DKIM dans votre service d’email (ex: Google Workspace, Mailchimp, etc.).
2. Générez une paire de clés (publique et privée).
3. Ajoutez la clé publique dans vos enregistrements DNS sous la forme d’un enregistrement TXT.
4. Vérifiez votre configuration avec des outils comme DKIMValidator.

2.3.1. Sur version pro de Google workspace

Étape 1 : vérifier si DKIM est déjà configuré

1. Connectez-vous à la console d'administration Google Workspace avec un compte administrateur.
2. Naviguez vers Applications > Google Workspace > Gmail > Authentifier les emails.
3. Sélectionnez votre domaine dans le menu déroulant.
4. Si DKIM est déjà configuré, le statut indiquera "Authentification des emails avec DKIM activée". Sinon, poursuivez les étapes suivantes

Étape 2 : Générer une clé DKIM

1. Dans la console d'administration, allez à Applications > Google Workspace > Gmail > Authentifier les emails.
2. Sélectionnez votre domaine.
3. Cliquez sur Générer un nouvel enregistrement.
4. Choisissez la longueur de la clé : 2048 bits (recommandé pour une sécurité accrue) et 1024 bits (si votre fournisseur de domaine ne supporte pas 2048 bits)
5. Laissez le sélecteur de préfixe par défaut sur "google", sauf si ce préfixe est déjà utilisé.
6. Cliquez sur Générer.
7. Notez les valeurs fournies pour le nom d'hôte DNS (nom de l'enregistrement TXT) et la valeur de l'enregistrement TXT.

Étape 3 : Ajouter la clé DKIM aux enregistrements DNS de votre domaine

1. Connectez-vous au panneau de gestion DNS de votre fournisseur de domaine.
2. Ajoutez un nouvel enregistrement TXT avec les informations suivantes :

Nom d'hôte : le nom d'hôte DNS fourni (par exemple, "google._domainkey.votredomaine.com").

Valeur : la clé DKIM générée précédemment.

3. Enregistrez les modifications.

Étape 4 : Activer la signature DKIM dans Google Workspace

1. Retournez à la console d'administration Google Workspace.
2. Naviguez vers Applications > Google Workspace > Gmail > Authentifier les emails.
3. Sélectionnez votre domaine.
4. Cliquez sur Commencer l'authentification.
5. Le statut devrait changer pour "Authentification des emails avec DKIM activée".

2.3.2. Sur version pro Outlook

1. Connectez-vous avec un compte administrateur.
2. Dans le menu de gauche, cliquez sur “Email & collaboration”.
3. Allez dans “Policies & rules”, puis “Threat policies”.
4. Sélectionnez “Email authentication settings”.
5. Une fois dans les paramètres d’authentification des emails, cliquez sur DKIM.
6. Sélectionnez le domaine sur lequel vous souhaitez activer DKIM.
7. Dans la section DKIM du domaine choisi, basculez l’option “Sign messages for this domain with DKIM signatures” sur Activé.
8. Une boîte de dialogue s'affiche avec les valeurs des enregistrements CNAME à créer dans votre gestionnaire DNS.
9. Accédez au portail de votre fournisseur de domaine
10. Ajoutez les deux enregistrements CNAME suivants :

Nom : selector1._domainkey.votredomaine.com

Cible : selector1-votredomaine-com._domainkey.votredomaine.onmicrosoft.com

Nom : selector2._domainkey.votredomaine.com

Cible : selector2-votredomaine-com._domainkey.votredomaine.onmicrosoft.com

(Remplacez "votredomaine.com" par votre nom de domaine réel.)

11. Attendez quelques minutes (peut aller jusqu’à quelques heures selon le fournisseur DNS).

12. Retournez sur le portail Microsoft 365 et actualisez la page DKIM.

2.4. Les avantages de DKIM pour la sécurité des emails

DKIM présente trois avantages principaux :

• Il garantit que le message n’a pas été modifié en route.
• Il améliore votre réputation d’expéditeur et évite d’être marqué comme spam.
• Il protège contre le phishing et l’usurpation d’identité.

3. DMARC (Domain-based Message Authentication, Reporting & Conformance): la couche de contrôle

3.1. Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole qui permet aux propriétaires de domaine de définir des règles sur l’authentification des emails envoyés en leur nom.

3.2. Comment fonctionne DMARC ?

3.2.1. L’association avec SPF et DKIM

Il vérifie que l’email passe les tests SPF et DKIM. Il définit une action à appliquer en cas d’échec (surveillance, mise en spam, ou rejet) définie par le propriétaire du domaine.

3.2.2. Les politiques DMARC (none, quarantine, reject)

Vous pouvez choisir parmi 3 niveaux de protection :

⏹️ none : aucun impact, mais permet de surveiller les résultats.

🛡️ quarantine : les emails suspects sont placés en spam.

❌ reject : les emails non conformes sont rejetés.

3.3. Comment configurer un enregistrement DMARC ?

1. Créez un enregistrement DMARC dans vos DNS sous la forme :

v=DMARC1; p=quarantine; rua=mailto:rapport@votredomaine.com

2. Définissez votre politique (none, quarantine, reject).

3. Surveillez les rapports pour affiner la configuration.

4. Pourquoi DMARC, DKIM et SPF sont indispensables ensemble ?

4.1. Complémentarité des trois protocoles

SPF vérifie l’expéditeur, DKIM assure l’intégrité des messages et DMARC applique des règles de contrôle. Ensemble, ils offrent une protection optimale.

4.2. Impact sur la délivrabilité des emails

Une bonne configuration de ces trois protocoles améliore la réputation de votre domaine et réduit le risque que vos emails soient considérés comme du spam.

“Découvrez notre outil “Le Modus Operandi” qui vous donne accès à la checklist ultime pour mettre en place votre stratégie de cold emailing.

5. BIMI : Une identification visuelle des emails

BIMI (Brand Indicators for Message Identification) est un protocole plus récent que DMARC, DKIM et SPF. Il a été officiellement introduit en 2019 mais est devenu largement adopté à partir de 2021, notamment avec le support de Google et Yahoo. BIMI permet d’afficher le logo d’une entreprise à côté des emails authentifiés dans la boîte de réception des destinataires.

Le but est de renforcer la confiance des destinataires.

Cependant, sa mise en place est coûteuse car elle requiert l'achat d'un certificat Verified Mark Certificate (VMC), qui peut coûter plusieurs milliers d’euros.

En raison de son coût élevé et de son impact relativement faible sur la délivrabilité, BIMI est surtout adopté par de grandes entreprises ayant une forte présence de marque.

6. Tutoriels pour vérifier DMARC, DKIM et SPF sur Woodpecker et Lemlist

L' authentification est une étape incontournable. Par exemple, elle est inévitable lors d'un warm up d’une nouvelle adresse email. Avant de mettre en place vos campagnes d’email, des outils comme Woodpecker et Lemlist permettent de vérifier ces 3 protocoles d’authentification.

6.1. Vérifier SPF et DKIM sur Woodpecker

1. Connectez-vous à votre compte Woodpecker
2. Allez dans Settings > Email Accounts.
3. Cliquez sur l'engrenage à côté de votre adresse e-mail.
4. Dans le menu de gauche, cliquez sur “DOMAIN CHECK-UP” (ou Delivrability) et suivez les instructions.

Woodpecker propose également un SPF Checker.

‍

‍

6.2. Vérifier DMARC, DKIM et SPF sur Lemlist

1. Allez sur la page de l'outil de vérification de délivrabilité de Lemlist.
2. Entrez votre nom de domaine dans le champ prévu à cet effet.
3. Cliquez sur "Check domain setup" pour lancer la vérification
4. Obtenez et vérifiez vos résultats.

‍

‍

Conclusion

L’authentification des emails avec SPF, DKIM et DMARC est une nécessité en outbound marketing B2B. Une mise en place rigoureuse et un suivi régulier garantissent la protection de votre domaine et améliorent votre délivrabilité. Testez, surveillez et optimisez continuellement votre stratégie d’authentification.

‍