Authentification email : SPF, DKIM et DMARC expliques

Définition

L'authentification email est un ensemble de protocoles qui verifient l'identite de l'expediteur d'un message email. Les trois principales methodes d'authentification sont SPF, DKIM et DMARC, qui travaillent ensemble pour prouver que les emails proviennent reellement de votre domaine et n'ont pas ete falsifies pendant le transit.

Cas d'utilisation

Proteger votre domaine contre l'usurpation d'email et les attaques de phishing

Ameliorer les taux de placement en boite de reception pour les emails marketing et transactionnels

Repondre aux exigences des grands fournisseurs de messagerie comme Gmail et Yahoo

Batir la reputation d'expediteur aupres des fournisseurs de services email

Gagner en visibilite sur l'utilisation non autorisee de votre domaine grace aux rapports DMARC

Soutenir la conformite reglementaire pour les industries necessitant des communications securisees

Pourquoi c'est important

L'authentification email impacte directement votre delivrabilite et la protection de votre marque. Sans authentification appropriee, les fournisseurs de messagerie comme Gmail et Outlook sont plus susceptibles de marquer vos messages comme spam ou de les rejeter entierement. Les grands fournisseurs de messagerie exigent maintenant l'authentification pour les expediteurs en masse - Google et Yahoo ont rendu obligatoires SPF, DKIM et DMARC pour les expediteurs de plus de 5 000 emails quotidiens a partir de fevrier 2024. L'authentification empeche egalement les acteurs malveillants d'usurper votre domaine pour envoyer des emails de phishing qui nuisent a la reputation de votre marque.

Comment fonctionne

L'authentification email utilise des enregistrements DNS pour verifier l'identite de l'expediteur. SPF (Sender Policy Framework) specifie quels serveurs de messagerie peuvent envoyer des emails au nom de votre domaine. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique a chaque email que les serveurs recepteurs peuvent verifier contre une cle publique dans votre DNS. DMARC (Domain-based Message Authentication, Reporting and Conformance) lie SPF et DKIM ensemble et indique aux serveurs recepteurs quoi faire lorsque l'authentification echoue - mettre le message en quarantaine, le rejeter ou le laisser passer. Lorsque les trois protocoles sont alignes, les serveurs recepteurs peuvent faire confiance a la legitimite de vos emails.

Bonnes pratiques

Implementez les trois protocoles d'authentification (SPF, DKIM, DMARC) ensemble

Evitez les enregistrements SPF multiples - combinez tous les expediteurs autorises en un seul enregistrement

Commencez avec une politique DMARC de p=none pour surveiller avant d'appliquer

Examinez les rapports DMARC chaque semaine pour identifier les expediteurs legitimes que vous avez pu manquer

Mettez a jour les enregistrements DNS chaque fois que vous ajoutez ou supprimez des services d'envoi d'email

Utilisez des cles de 2048 bits pour DKIM afin d'assurer une securite cryptographique forte

Testez l'authentification avec des outils comme MXToolbox ou EmailVerify avant d'envoyer des campagnes

Passez progressivement a des politiques DMARC plus strictes (quarantaine, puis rejet) au fil du temps

Questions fréquentes

Ai-je besoin des trois methodes d'authentification (SPF, DKIM, DMARC) ?

Oui, implementer les trois fournit la protection la plus forte. SPF et DKIM verifient differents aspects de l'authenticite de l'email, tandis que DMARC fournit l'application des politiques et les rapports. Les grands fournisseurs de messagerie comme Gmail exigent maintenant les trois pour les expediteurs en masse.

Que se passe-t-il si mon authentification email echoue ?

Lorsque l'authentification echoue, les serveurs recepteurs peuvent rejeter votre email, l'envoyer dans le spam ou l'accepter avec des avertissements selon votre politique DMARC et la configuration du serveur recepteur. Les echecs d'authentification nuisent a votre reputation d'expediteur au fil du temps.

Comment corriger l'erreur d'enregistrements SPF multiples ?

Le DNS n'autorise qu'un seul enregistrement SPF par domaine. Si vous avez plusieurs services envoyant des emails, combinez tous les expediteurs autorises en un seul enregistrement SPF utilisant des declarations include. Par exemple : v=spf1 include:_spf.google.com include:sendgrid.net -all

Combien de temps faut-il pour que les changements d'authentification prennent effet ?

Les changements DNS se propagent generalement en 24 a 48 heures, bien que de nombreux serveurs se mettent a jour plus rapidement. Utilisez des valeurs TTL basses lors des changements pour que les mises a jour se propagent rapidement. Testez toujours votre authentification avant d'envoyer de grandes campagnes.

Authentification email

Tous les termes email que vous devez maîtriser pour le marketing par email et la délivrabilité, expliqués clairement et simplement.