adresses IP autorisées

Envoyez des e-mails sans avoir à vous soucier de l'authentification des utilisateurs.

Nous mettons à votre disposition un port ouvert pour le transit,
en vérifiant uniquement les adresses IP de votre connexion.

Il vous suffit d'indiquer les adresses IP à partir desquelles vous vous connectez
et vous êtes prêt à envoyer vos e-mails.

messages signés numériquement

Pour se prémunir contre les abus par e-mail, de plus en plus de serveurs de messagerie
vérifient l'identité de l'expéditeur avant de transmettre le message.

Si vous envoyez des e-mails sans RealSender, vos destinataires ne peuvent pas être sûrs
que le message reçu a bien été envoyé par vous.

Lorsque vous envoyez des e-mails via RealSender, tous les messages que vous envoyez à l'adresse
sont signés numériquement, ce qui permet aux destinataires de s'assurer de leur authenticité.

Il existe deux normes permettant de vérifier l'identité de l'expéditeur : SPF et DKIM.
RealSender propose ces deux normes:

• Le SPF indique quels sont les serveurs SMTP autorisés pour un domaine donné
• DKIM signe numériquement chaque message envoyé depuis un domaine donné et son serveur SMTP associé
  Toutes les informations utilisées pour vérifier les messages signés DKIM
  sont enregistrées et verrouillées dans les paramètres DNS du domaine

adresse IP dédiée

L'« adresse IP » (
) est comparable à un numéro de téléphone fixe ou mobile.

Il s'agit d'informations permettant d'identifier une personne, qui sont automatiquement enregistrées
par un autre ordinateur dès qu'une connexion est établie sur Internet.
Aucun autre appareil connecté à Internet ne possède la même adresse IP.
Ceci est nécessaire pour permettre à un appareil de communiquer avec un autre.

Les adresses IP « dédiées » sont importantes pour l'envoi de courriels
car leur réputation a une forte incidence sur leur acceptation ou leur rejet.

Utiliser des adresses IP « partagées » pour les communications professionnelles
revient à envoyer à chaque fois un commercial différent chez le même client.
Ne le connaissant pas, le destinataire le traitera avec méfiance.
Dans les cas extrêmes, si ce même vendeur propose chaque jour des produits différents,
il y a fort à parier qu’il ne sera plus accepté la prochaine fois qu’il frappera à la porte.

La plupart des services SMTP sur Internet fournissent des adresses IP « partagées » à leurs clients.
À chaque fois que vous envoyez un e-mail, une adresse IP différente vous est attribuée.
Il en va de même pour les fournisseurs d'hébergement cloud, qui proposent des services facturés « à la minute ».
Dans ce cas, ils attribuent une ou plusieurs adresses IP « attribuées temporairement ».

Depuis sa création en 2009, RealSender a choisi de ne proposer que des serveurs SMTP dotés d'adresses IP « dédiées ».
Cela signifie que chaque client se voit attribuer une adresse IP qui restera inchangée au fil du temps.
En l'associant au nom de domaine de l'entreprise via l'authentification par e-mail, on renforce la crédibilité des deux.

Si vos communications sont cohérentes et conformes aux attentes,
elles seront peu à peu reconnues par leurs destinataires, qui leur accorderont une meilleure réputation.
Cette confiance peut atteindre des niveaux élevés, de sorte que toutes les communications que vous transmettez
seront automatiquement acceptées et considérées comme importantes ou hautement prioritaires.

paramètres de sécurité

Passez de votre serveur de messagerie actuel à l'environnement sécurisé de RealSender.

Vous pouvez utiliser les mêmes identifiants d'authentification
ainsi que le nom d'hôte SMTP, à condition qu'il relève de votre nom de domaine.

Vous pouvez envoyer des e-mails en toute sécurité, même sans authentification.

Thèmes abordés dans ce domaine :

paramètres du client de messagerie

Pour commencer à utiliser RealSender :

1. Demandez un compte d'essai gratuit
   
   
2. Modifiez les paramètres du serveur de courrier sortant (SMTP) dans votre client de messagerie :
   Outlook - Outlook 2007 - Outlook 2013 2016 - Mac OS/X Mail - Thunderbird - Zimbra Desktop
   
   Votre logiciel ne figure pas dans la liste ci-dessus ? Contactez-nous!
   
   Rendez-vous dans la section« Serveur de messagerie »si vous utilisez un système de messagerie centralisé.
   Consultez notre rubrique «Logiciels de newsletter »si vous prévoyez d'envoyer des mailings de masse.
   
   
3. Modifiez les paramètres de votre domaine pour authentifier les messages envoyés à l'aide du protocole SPF
   (cette opération s'effectue généralement après la période d'essai)
   
   

• Pourquoi ? Si vous souhaitez que les e-mails provenant de votre domaine soient acheminés via un service tiers,
  vous devez configurer votre enregistrement SPF afin d'autoriser l'envoi depuis les adresses IP du fournisseur de services.
  Si vous ne le faites pas, vous risquez que les destinataires rejettent tous les e-mails envoyés depuis votre domaine.
  
  
• La configuration de l'enregistrement SPF RealSender est très simple :
  Il vous suffit d'ajouter « include:spf.realsender.com » à votre enregistrement SPF, et le tour est joué.

Nous signons automatiquement nos e-mails avec DKIM ; vous n'avez donc rien d'autre à faire.

Des questions ? Contactez-nous!

paramètres du serveur de messagerie

Pour commencer à utiliser RealSender :

1. Demandez un compte d'essai gratuit
   
   
2. Modifiez les paramètres du serveur de courrier sortant (SMTP) sur votre serveur de messagerie :
   Microsoft Exchange Server - Microsoft Office 365 - Zimbra Collaboration
   
   Votre serveur ne figure pas dans la liste ci-dessus ? Contactez-nous!
   
   Rendez-vous sur la page« Client de messagerie »si vous utilisez des clients de messagerie configurés individuellement.
   Consultez notre rubrique «Logiciel de newsletter »si vous prévoyez d'envoyer des mailings en masse.
   
   
3. Modifiez les paramètres de votre domaine pour authentifier les messages envoyés à l'aide du protocole SPF
   (cette opération s'effectue généralement après la période d'essai)
   
   

• Pourquoi ? Si vous souhaitez que les e-mails provenant de votre domaine soient acheminés via un service tiers,
  vous devez configurer votre enregistrement SPF afin d'autoriser l'envoi depuis les adresses IP du fournisseur de services.
  Si vous ne le faites pas, vous risquez que les destinataires rejettent tous les e-mails envoyés depuis votre domaine.
  
  
• La configuration de l'enregistrement SPF RealSender est très simple :
  Il vous suffit d'ajouter « include:spf.realsender.com » à votre enregistrement SPF, et le tour est joué.

Nous signons automatiquement nos e-mails avec DKIM ; vous n'avez donc rien d'autre à faire.

Des questions ? Contactez-nous!

application inxbox

L'application « inxbox » de RealSender est un serveur de messagerie prêt à l'emploi,
qui reçoit tous les messages envoyés au domaine autorisé.
Elle devient immédiatement opérationnelle dès que l'enregistrement MX pointe vers elle.

Il est souvent utilisé comme serveur de messagerie de secours.

Si votre service de messagerie habituel tombe en panne,
Inxbox prendra immédiatement en charge tous les messages qui lui sont envoyés.
Aucune configuration particulière n'est requise,
telle que la spécification des adresses e-mail individuelles des utilisateurs.

Lorsqu'il est configuré comme archive historique des e-mails,
un processus automatique enregistre les messages
par destinataire, mois et année.

Caractéristiques principales :

application SpamStop

Le courrier électronique est le principal vecteur des cyberattaques.

L'usurpation d'adresse d'expéditeur peut être détectée grâce aux informations d'authentification des e-mails.

L'application « spamstop » de RealSender affiche les résultats des contrôles d'authenticité
directement dans l'objet des messages reçus.

Il s'agit d'une solution anti-spam efficace lorsqu'elle est associée à un filtre
qui trie les messages en fonction des expéditeurs qui ne figurent PAS dans votre carnet d'adresses.

Cette fonctionnalité peut être activée pour l'ensemble du domaine ou seulement pour quelques adresses e-mail.

Caractéristiques principales :

paramètres du logiciel de newsletter

Pour commencer à utiliser RealSender :

1. Demandez un compte d'essai gratuit
   
   
2. Modifiez les paramètres de la messagerie sortante (SMTP) dans votre logiciel de newsletter :
   GroupMail - Inxmail Professional - Joomla AcyMailing - MaxBulk Mailer - phplist
   SendBlaster - Sendy - WordPress MailPoet 3 - WordPress MailPoet 2 - WordPress Mailster
   
   Votre logiciel ne figure pas dans la liste ci-dessus ? Contactez-nous!
   Vous pouvez également évaluer l'option« copymail app »!
   
   Rendez-vous sur la page «Client de messagerie »si vous utilisez des clients de messagerie configurés individuellement.
   Rendez-vous dans la section «Serveur de messagerie »si vous utilisez un système de messagerie centralisé.
   
   
3. Modifiez les paramètres de votre domaine pour authentifier les messages envoyés à l'aide du protocole SPF
   (cette opération s'effectue généralement après la période d'essai)
   
   

• Pourquoi ? Si vous souhaitez que les e-mails provenant de votre domaine soient acheminés via un service tiers,
  vous devez configurer votre enregistrement SPF afin d'autoriser l'envoi depuis les adresses IP du fournisseur de services.
  Si vous ne le faites pas, vous risquez que les destinataires rejettent tous les e-mails envoyés depuis votre domaine.
  
  
• La configuration de l'enregistrement SPF RealSender est très simple :
  Il vous suffit d'ajouter « include:spf.realsender.com » à votre enregistrement SPF, et le tour est joué.

Nous signons automatiquement nos e-mails avec DKIM ; vous n'avez donc rien d'autre à faire.

Des questions ? Contactez-nous!

faciliter la désinscription

Veillez à toujours offrir aux destinataires un moyen simple de se désabonner de vos messages. 
Permettre aux destinataires de se désabonner de vos messages peut améliorer les taux d'ouverture, 
les taux de clics et l'efficacité de l'envoi. 

Important : si vous envoyez plus de 5 000 messages par jour, 
vos messages marketing et vos messages d'abonnement doivent permettre un désabonnement en un clic.

-- Gmail, Consignes à l'intention des expéditeurs d'e-mails, 2024

Pour en savoir plus sur les en-têtes « List-Unsubscribe: », consultez les RFC 2369 et RFC 8058.

Après avoir constaté que la plupart de nos clients n'utilisaient PAS les en-têtes « List-Unsubscribe: » dans leurs messages envoyés,
nous avons décidé de les ajouter automatiquement à chaque message, uniquement si ces en-têtes n'y figuraient pas déjà.

Les demandes d'annulation DOIVENT ÊTRE TRAITÉES dans un délai de deux jours.
Vous ne devez EN AUCUN CAS répondre par une demande de désabonnement par tout autre moyen.

Un e-mail sera généré automatiquement par Gmail et d'autres fournisseurs.
Il sera envoyé à l'adresse e-mail que vous nous aurez communiquée (même s'il y en a plusieurs).

Vous pouvez également accéder, à l'adresse suivante : rsXXX-realsender.com/unsubs
à toutes les demandes de désabonnement reçues au cours des sept derniers jours,
au format JSON, comme le montre l'exemple ci-dessous :

  {
    "mailbox": "rsXXX",
    "id": "20241107T001800-0000",
    "from": "<john.doe@gmail.com>",
    "to": [
      "<abuse@rsXXX-realsender.com>"
    ],
    "subject": "RealSender :: rsXXX Nov-7 4A6NDqsl008203 :: please UNSUBSCRIBE me ::",
    "date": "2024-11-07T00:18:00.938050657+01:00",
    "posix-millis": 1730935080938,
    "size": 4350,
    "seen": false
  },

application Bouncehandler

L'envoi répété de messages à des destinataires erronés ou inactifs est considéré comme un « comportement de spammeur ».
Ces dernières années, de plus en plus de serveurs SMTP ont été mis sur liste noire pour cette raison.

L'erreur la plus fréquente survient lorsque la boîte aux lettres associée à l'adresse Mail-From/Return-Path,
celle qui reçoit les messages rejetés, est pleine ou n'existe pas.
En envoyant des milliers de messages, si 20 % d'entre eux sont rejetés, même une grande boîte de réception peut se remplir en quelques minutes.

Le fait de recevoir tous les messages rejetés sans les lire pourrait être considéré comme un petit défaut.
Vous continuez d'envoyer des e-mails à des adresses qui renvoient des messages d'erreur, avec des détails qui n'intéressent personne.

Dans les deux cas, cela a pour conséquence que le serveur SMTP est mis sur liste noire. Ainsi,
non seulement les messages ne seront pas remis aux destinataires invalides, mais les destinataires valides les recevront également comme du spam.

Pour résoudre ce premier problème, nous proposons depuis longtempsdes « boîtes aux lettres pour newsletters ».
L'analyse des messages rejetés est plus complexe et nécessite un outil particulièrement performant.

Nous avons choisi« Sisimai : Mail Analyzing Interface », anciennement connu sous le nom de bounceHammer 4 : un outil d'analyse des e-mails d'erreur.
Il s'agit d'un logiciel open source qui analyse les e-mails de rebond conformes à la norme RFC 5322 et génère des données structurées au format JSON.

Pour avoir un aperçu de tous les codes d'erreur que Sisimai analyse, consultez «The SMTP Field Manual »,
un recueil des codes d'erreur SMTP bruts renvoyés par les principaux fournisseurs de services de messagerie.

La liste noire automatique

La mise en œuvre du gestionnaire de rebonds dans RealSender est simple.

1. activer la «boîtede réception dela newsletter »
2. configurez votre application d'envoi pour qu'elle utilise la nouvelle adresse Return-Path
3. demander à vérifier la configuration et à activer le « gestionnaire de rebonds »

L'application « bouncehandler » commence à analyser les messages rejetés.
Deux listes de blocage sont activées :

1. La liste noire des rebonds définitifs
   contient toutes les adresses e-mail ayant généré une erreur permanente,
   telles que « utilisateur inconnu » ou « hôte inaccessible »
   
   Le journal hebdomadaire des rebonds définitifs est disponible à l'adresse suivante :
   https://…hardbounces.email.weekly

2. La liste noire des retours temporaires
   contient toutes les adresses e-mail ayant généré au moins trois erreurs temporaires,
   telles que « boîte de réception pleine », espacées d'au moins une semaine
   
   Le journal hebdomadaire des retours temporaires est disponible à l'adresse suivante :
   https://…softbounces.email.weekly

L'envoi de messages à un destinataire figurant sur la liste noire générera une erreur du type suivant :

Gérez vos blocs de manière indépendante

Nous mettons à votre disposition les fichiers suivants,
sous forme d'adresses Web, protégés par mot de passe ou par adresse IP :

https://…bounces.json
the details of the bounces received in the last seven days, in JSON format, such as:

  {
    "feedbacktype": "",
    "addresser": "info@circuitocinemascuole.com",
    "diagnostictype": "SMTP",
    "timezoneoffset": "+0200",
    "lhost": "linp.arubabusiness.it",
    "destination": "gmail.com",
    "timestamp": 1635536166,
    "senderdomain": "circuitocinemascuole.com",
    "deliverystatus": "5.1.1",
    "token": "daad8f8fc89cef70e1406a9d2b38be6c35326e03",
    "recipient": "...@gmail.com",
    "subject": "Prenotazioni aperte_Giornata Internazionale dei Diritti dell'Infanzia e dell'Adolescenza_Film FIGLI DEL SOLE",
    "origin": "/home/rs109-bounce/Maildir/new/1635528969.21113_0.rsbox.realsender.com",
    "rhost": "gmail-smtp-in.l.google.com",
    "reason": "userunknown",
    "diagnosticcode": "550-5.1.1 The email account that you tried to reach does not exist. Please try double-checking the recipient's email address for typos or unnecessary spaces. Learn more at https://support.google.com/mail/?p=NoSuchUser z3si7494964ybg.507 - gsmtp 503 5.5.1 RCPT first. z3si7494964ybg.507 - gsmtp",
    "messageid": "McuPi4DjtlyhvlSMVNB4wTXsUKQeIy6XwlKoAZuJ4@www.circuitocinemascuole.com",
    "listid": "",
    "action": "failed",
    "softbounce": 0,
    "replycode": "550",
    "catch": null,
    "alias": "",
    "smtpagent": "Sendmail",
    "smtpcommand": "DATA"
  },

https://…hardbounces.json
the details of the hard bounces ¹ received in the last seven days, in JSON format

https://…hardbounces.email
the list of email addresses that generated a hard bounce ¹ in the last seven days

¹ = critères de sélection : softbounce == 0

https://…softbounces.json
the details of the soft bounces ² received in the last seven days, in JSON format

https://…softbounces.email
the list of email addresses that generated a soft bounce ² in the last seven days

² = critères de sélection : softbounce == 1

Ce sont les mêmes fichiers que ceux utilisés par la liste noire automatique :

https://…hardbouncesfull.email
the list of all email addresses that generated two or more hard bounces
at least one week away from each other

https://…softbouncesfull.email
the list of all email addresses that generated three or more soft bounces
at least one week away from each other

application Copymail

L'application « copymail » de RealSender vous permet d'envoyer des mailings en masse,
à des milliers de destinataires, directement depuis votre client de messagerie.

En trois étapes simples :

1. téléchargez votre liste de destinataires
2. Envoyez le message que vous souhaitez diffuser à l'adresse e-mail « list-post » que nous vous communiquerons
3. valider le message pour lancer la livraison

Chaque destinataire recevra le message comme s'il lui était adressé personnellement,
avec votre adresse e-mail comme expéditeur.

Caractéristiques principales :

• Liste des membres
• Abonnements groupés
• Messages en attente (en attente de validation)

Liste des membres

Retour en haut de la page

Abonnements groupés

Retour en haut de la page

Messages en attente (en attente de validation)

Retour en haut de la page

SMTP sans authentification

Il arrive parfois que certains logiciels obsolètes ou certaines applications très simples
ne permettent pas d'effectuer une authentification sécurisée, comme l'exige RealSender.

La solution consiste à ouvrir un port pour passer par le serveur SMTP
, en vérifiant uniquement l'adresse IP de la connexion et l'adresse e-mail de l'expéditeur.

Vous pourrez ainsi envoyer vos e-mails sans authentification,
mais vous aurez toujours la possibilité de vous authentifier lorsque cela est possible.

Les partenaires de RealSender et les grandes entreprises
peuvent mettre à jour de manière autonome la liste des adresses IP autorisées.

SMTP avec un nom d'hôte dédié

Le nom d'hôte SMTP de l'entreprise est utilisé dans les paramètres de nombreuses applications.
Le modifier est une opération fastidieuse qui comporte un risque d'erreur.

RealSender vous permet de définir votre sous-domaine, par exemple :

smtp.votredomaineemail.com

Nous nous occupons de tout, y compris des certificats SSL
nécessaires à l'authentification SMTP sécurisée.

Cette configuration vous garantira une tranquillité d'esprit totale,
puisque vous saurez que le nom d'hôte SMTP est sous votre contrôle.

Votre équipe informatique n'aura plus besoin de se souvenir de l'emplacement de la configuration
puisqu'il ne sera plus nécessaire de la modifier.

Remarque : la configuration spéciale requise
entraîne un coût annuel supplémentaire
qui sera précisé lors de la phase d'offre.

envoi via l'API

Thèmes abordés dans ce domaine :

envoi via une requête HTTP

Thèmes abordés dans ce domaine :

envoi via le générateur de formulaires

Il peut être compliqué d'obtenir des informations claires et structurées via Internet.
Cela nécessite une interface utilisateur à remplir et une application serveur qui envoie les données.

Le « générateur de formulaires » de RealSender vous permet de créer des formulaires simples et adaptatifs,
donc également utilisables sur les tablettes et les smartphones dotés de petits écrans,
qui enverront les données directement à votre adresse e-mail.

Quelques composants de type « glisser-déposer » vous aideront à structurer vos questions :

Le code source est disponible au téléchargement sous la forme d'un fichier « form.html » prêt à l'emploi :

Vous pouvez essayer vous-même le « générateur de formulaires » à l'adresse suivante :
» formmail.realsender.com/form_builder

• Ajoutez un champ « Saisie de texte » et un « Bouton » (dans l'onglet « Boutons ») qui vous permettront d'envoyer le formulaire
• Cliquez sur le bouton « Télécharger » (dans l'onglet « Rendu ») pour enregistrer le fichier localement
• Ouvrez le fichier form.html, saisissez du texte, puis cliquez sur le bouton pour envoyer le contenu
  (REMARQUE : comme il n'est pas publié en ligne, la page de remerciement sera rudimentaire)

Le message est reçu par le service de «messagerie temporaire »de RealSender : inxbox.realsender.com

REMARQUE : dans le fichier form.html, trois paramètres peuvent être modifiés :
- recipient = le code associé à l'adresse e-mail du destinataire
  pour éviter tout abus, l'adresse e-mail est pré-encodée dans le script d'envoi
  en laissant « 0 », le message est reçu dans l'« adresse e-mail temporaire » de RealSender
- email = l'adresse e-mail de la personne qui remplit le formulaire (ID=email)
  il n'est utilisé que s'il n'y a PAS de champ « email » dans le formulaire
- subject = l'objet du message e-mail

Demandez un essai gratuit si vous souhaitez publier le fichier HTML en ligne.
Vous obtiendrez ainsi une fenêtre contextuelle de confirmation élégante, comme celle ci-dessous.
Les données saisies vous seront envoyées directement par e-mail.

envoi via Link Builder

Vous pouvez essayer le « générateur de liens » à l'adresse suivante :
» flashmail.realsender.com/link_builder

Quelques exemples

Pour plus d'informations sur la promotion de ce mois-ci, cliquez ici :  
https://click.youremaildomain.com/s/flash.pl?promo=yes

Si vous souhaitez participer à l'événement, cliquez ici :  
https://click.youremaildomain.com/s/flash.pl?event=yes

Pour commander ce nouveau produit, cliquez ici : 
https://click.youremaildomain.com/s/flash.pl?newproduct=yes

Si vous ajoutez l'adresse e-mail à la fin du lien, comme indiqué ci-dessous,
le champ « Répondre à » sera renseigné, et la réponse sera envoyée à l'adresse e-mail de la personne qui a cliqué :

&email=name@example.com

Pour définir la « page de destination » qui s'affiche après l'envoi des données,
ajoutez le paramètre « rdir » à la fin du lien, comme indiqué ci-dessous :

&dir=/ok

Vous pouvez également indiquer l'adresse de votre site web, par exemple :

&dir=www.example.com/thankyou

Configuration

Pour éviter que les liens inclus dans vos communications
ne soient considérés comme une « tentative de phishing »,
un sous-domaine du domaine d'origine doit être configuré, par exemple :

click.votredomaineemail.com     CNAME    click.realsender.com

Le destinataire de la notification, voire plusieurs, est défini dans le script.
Vous nous l'indiquerez lors de la phase de configuration.

Webmail

Dans les exemples ci-dessus, les notifications sont envoyées à
, notre adresse e-mail temporaire, accessible à l'adresse suivante :
https://inxbox.realsender.com/monitor

application usercode

Un « code utilisateur » est un code alphanumérique que l'utilisateur saisit lorsqu'il se connecte à un système sécurisé.

L'application « usercode » de RealSender génère automatiquement toutes les heures un code utilisateur unique,
qui est envoyé sur simple demande à l'adresse e-mail associée.

Seules les adresses e-mail pré-autorisées peuvent demander le code utilisateur.
La longueur et la complexité du code utilisateur sont définies lors de la configuration du système.

Par exemple, voici le contenu du courriel qui envoie le code à l'utilisateur :

Votre code utilisateur est : 665407

!! Le code utilisateur expire toutes les heures à 03

L'intégration à votre système sécurisé est simple :

1. nous configurons l'adresse IP autorisée à récupérer le code utilisateur
2. vous configurez une tâche cron* qui met automatiquement à jour le mot de passe en fonction du code utilisateur récupéré
   (la mise à jour doit être effectuée pour chaque utilisateur autorisé à accéder au système)
   * = un planificateur de tâches basé sur le temps, utilisé pour exécuter automatiquement des commandes à des intervalles spécifiques

Pour renforcer la sécurité, nous vous recommandons d'activer la protection « fail2ban »,
qui bloque les visiteurs après un certain nombre de tentatives de connexion infructueuses.

Vous pouvez le découvrir en activant un compte d'essai RealSender.
En plus des informations nécessaires à l'envoi d'e-mails, vous recevrez les instructions pour accéder à votre espace utilisateur.

Voici, par exemple, le contenu de l'e-mail contenant les instructions
pour accéder à l'espace utilisateur et à l'espace web RealSender :

Lien d'accès à votre espace utilisateur :
https://username:usercode@rsXXX.realsender.com/reserved.area/

Lien d'accès à votre espace web :
https://username:usercode@rsXXX.realsender.com/view/

!! Les liens d'accès expirent toutes les heures à 03 minutes

Dans ce cas, le « usercode » est utilisé dans un système d'accès en ligne protégé par une « authentification de base ».
Les paramètres « username » et « usercode » sont tous deux renseignés automatiquement,
garantissant ainsi à l'utilisateur un accès simple et immédiat.

application de proxy inverse

Le serveur proxy de messagerie vous permet de :

• améliorer la sécurité, les performances et l'évolutivité de votre serveur SMTP
• se connecter à des fournisseurs de messagerie certifiés en toute simplicité
• simplifier les communications par e-mail en une seule ligne
• envoyer des notifications à l'application ntfy (disponible sur Android et iPhone)
• communiquer avec les destinataires dont on ne connaît que le numéro de téléphone portable

Caractéristiques principales :

À propos de nous

Entre 2006 et 2009, après avoir distribué pendant plus de dix ans
, une plateforme allemande de marketing par e-mail,
, nous avons pris conscience de l'importance de la réputation du serveur SMTP.

Il n'y avait qu'un seul moyen de le garantir :
un serveur SMTP dédié, avec une adresse IP dédiée, pour chaque client.

C'était notre première étape vers la mise à disposition de solutions innovantes,
dans un environnement fiable et surveillé en permanence.

Notre mission est la suivante : « pour optimiser vos e-mails ».
Nous y travaillons dur chaque jour.

Vous offrant un contrôle total et une visibilité sur les e-mails sortants,
afin que les destinataires reçoivent vos messages et leur accordent leur confiance.

contacts

Pour toute question commerciale ou technique :

1. Obtenez un lien pour discuter avec un expert

2. Remplir un formulaire en ligne

3. E-mail : contact@mx.realsender.com

4. Téléphone : +41 61 5000365

5. SMS : +41 79 6276163

Nos bureaux sont ouverts du lundi au vendredi, de 9 h à 19 h (heure d'Europe centrale).

Comment nous joindre :

• Park+Rail à la gare d'
  6855 Stabio - Suisse
  
  
• Milan Malpensa (MXP)
  aéroport international
  
  

N° d'identification TVA/TVA intracommunautaire : IT02457460125

offres et tarifs

	RealSender serveur SMTP dédié unique capable d'envoyer jusqu'à 10 000 e-mails par semaine (généralement utilisé pour les e-mails individuels / transactionnels)
	HighSender : une passerelle de messagerie vers plusieurs serveurs SMTP dédiés : relaie entre 2 et 100 serveurs, avec répartition automatique de la charge : peut envoyer jusqu'à 1 000 000 d'e-mails par semaine (généralement utilisé pour les newsletters et les envois en masse)
	Les services désignés sous le nom d'« applications » entraînent des frais supplémentaires . Veuillez nous contacter pour plus d'informations.

conditions d'utilisation

RealSender applique une politique de tolérance zéro envers le spam (courriels publicitaires non sollicités). Les clients qui envoient des courriels commerciaux non sollicités, de la publicité interdite ou tout autre contenu harcelant ou illégal par courriel s'exposent à une résiliation immédiate de leur compte, sans aucun remboursement. L'envoi répété de courriels à des destinataires erronés et le non-respect de la limite hebdomadaire sont considérés comme un « comportement de spammeur ».

Les « adresses d'expédition » associées à chaque compte RealSender doivent relever d'un ou plusieurs noms de domaine enregistrés par la même entreprise. Chaque serveur peut envoyer jusqu'à 10 000 e-mails par semaine. Le nombre de destinataires par e-mail est limité à 100. Le service RealSender est réservé à un usage professionnel : une adresse postale complète et un numéro d'identification fiscale sont obligatoires.

RealSender se contente de transmettre les courriels et n'en vérifie pas le contenu, que ce soit sur le plan juridique, factuel ou autre. RealSender n'est en outre pas responsable du contenu des courriels qu'il transmet.

Le Client s'engage à indemniser RealSender de toute responsabilité découlant de toute utilisation de son compte. En outre, le Client s'engage à indemniser et à dégager RealSender de toute responsabilité en cas de réclamations et de frais, y compris les honoraires d'avocat raisonnables, liés à une violation du Contrat de service par le Client ou à un préjudice direct ou indirect causé par le Client à un tiers.

Le client accepte expressément que l'utilisation du service de RealSender se fasse à ses propres risques. Ni RealSender, ni aucun de ses fournisseurs d'informations, concédants de licence, employés ou agents ne garantissent que le service sera ininterrompu ou exempt d'erreurs ; de même, ni RealSender, ni aucun de ses fournisseurs d'informations, concédants de licence, employés ou agents ne donnent de garantie quant aux résultats pouvant être obtenus par l'utilisation du service. Le service est fourni « tel quel », sans garantie d'aucune sorte, expresse ou implicite, y compris, mais sans s'y limiter, les garanties de titre ou les garanties implicites de qualité marchande ou d'adéquation à un usage particulier ou autre, à l'exception des garanties qui sont implicites et ne peuvent faire l'objet d'une exclusion, d'une restriction ou d'une modification en vertu des lois applicables au présent contrat de service. Ni RealSender ni aucune autre personne impliquée dans la création, la production ou la fourniture du service ne saurait être tenue responsable des dommages directs, indirects, accessoires, spéciaux ou consécutifs résultant de l'utilisation du service, de l'impossibilité d'utiliser le service ou de toute violation de garantie. Le client reconnaît expressément que les dispositions du présent paragraphe s'appliquent également à tout contenu tiers et à tout autre contenu disponible via le service.

Après en avoir informé le Client par écrit, par télécopie ou par courrier électronique, RealSender peut modifier le présent Contrat de service ou les tarifs, et peut, à sa seule discrétion et sans préavis, interrompre ou modifier tout ou partie du Service.

RealSender et Inxbox sont des marques déposées dans l'Union européenne.

limites de notre offre

• Pour chaque client, un serveur SMTP dédié est mis en place, optimisé et maintenu opérationnel 24 heures sur 24, 7 jours sur 7.
  Cette solution présente un coût minimal que vous ne retrouverez pas dans les environnements SMTP partagés,
  qui, en revanche, offrent très peu de garanties et comportent des risques élevés pour leurs utilisateurs.

• Nous n'avons aucun contrôle sur le contenu des messages envoyés ; ceux-ci peuvent être redirigés vers le dossier « Spam » ou « Courrier indésirable ».

• Certains fournisseurs de messagerie gratuite acheminent par défaut les messages provenant d'expéditeurs inconnus vers le dossier des courriers indésirables.
  
  Leur système antispam apprend en fonction de ce que leurs utilisateurs font des messages qu'ils reçoivent.
  Si un destinataire signale une fois un message reçu comme n'étant PAS un spam, le système apprendra qu'il s'agit de messages valides
  et commencera à les acheminer vers le dossier « Boîte de réception » plutôt que vers le dossier « Courrier indésirable ».
  
  Sinon, l'expéditeur doit figurer dans le carnet d'adresses du destinataire ou avoir déjà échangé des e-mails avec lui.
  
  Notre équipe technique vous aidera à identifier ces cas et à mettre en place une stratégie de distribution efficace.

politique de confidentialité

RealSender se contente de transmettre les e-mails pour le compte de ses clients et ne surveille ni n'archive leur contenu.

Nous conservons les journaux des 7 derniers jours ainsi que les statistiques relatives au trafic généré, qui sont mises à la disposition des clients comme décrit ici :
Journaux et envoi
Statistiques

L'utilisation du service est soumise à l'acceptation des Conditions générales par nos clients.

En cas d'abus, nous intervenons rapidement grâce au système de surveillance automatique des listes noires.

La page d'accueil de tous nos serveurs indique l'adresse e-mail à laquelle signaler les courriers publicitaires non sollicités envoyés par nos clients : [abuse@realsender.com] (mailto: abuse@realsender.com)

Vous pouvez contacter le délégué à la protection des données en remplissant ce formulaire.

glossaire

• Marketing en boucle fermée
  le processus par lequel les données clients peuvent alimenter vos campagnes marketing et améliorer vos résultats commerciaux.

• DomainKeys Identified Mail (DKIM)
  DKIM est un protocole d'authentification des e-mails qui permet à l'expéditeur d'utiliser la cryptographie à clé publique pour signer les e-mails sortants de manière à ce que le destinataire puisse en vérifier l'authenticité. La spécification DKIM s'appuie sur les protocoles antérieurs Domain Keys et Identified Internet Mail. DKIM est défini dans la RFC 4871 de l'IETF. La norme DKIM est déjà adoptée par Gmail et d'autres grandes entreprises afin d'éliminer complètement le phishing et l'usurpation d'identité dans la messagerie Internet.

• Authentification des e-mails Technologie permettant de vérifier si un e-mail provient bien du nom de domaine à partir duquel il prétend avoir été envoyé [2]. S'assurer de la validité de l'identité d'un e-mail est devenu une première étape essentielle pour lutter contre le spam, la falsification, la fraude et même des délits plus graves [3].

• Internet Engineering Task Force (IETF)
  L'Internet Engineering Task Force est une vaste communauté internationale ouverte, composée de concepteurs de réseaux, d'opérateurs, de fournisseurs et de chercheurs, qui s'intéresse à l'évolution de l'architecture d'Internet et à son bon fonctionnement. Elle est ouverte à toute personne intéressée. L'objectif de l'IETF est d'améliorer le fonctionnement d'Internet.

• 
  d'un agent de transfert de messages (MTA) Tout système exécutant un logiciel de routage SMTP capable de recevoir un message, de le traiter, de rechercher les informations de destination dans le DNS (ou une autre table de routage) et de le transmettre au système destinataire prévu. Les MTA sont généralement des applications serveur telles que Sendmail, Microsoft Exchange, Postfix, Lotus Domino, qmail, PowerMTA, etc.

• SMTP sécurisé
  Extension du service SMTP permettant à un serveur et à un client SMTP d'utiliser le protocole TLS (Transport Layer Security) afin d'assurer une communication privée et authentifiée sur Internet. [1]

• Sender Policy Framework (SPF)
  Le SPF est un protocole d'authentification des e-mails basé sur le chemin d'accès qui permet aux destinataires de déterminer si l'expéditeur est autorisé à utiliser les domaines figurant dans l'en-tête du message, en évaluant l'adresse IP du MTA sortant de l'expéditeur à partir des informations publiées par ce dernier dans les enregistrements TXT du DNS. Le SPF est défini dans la RFC 4408 de l'IETF.

• Le protocole SMTP (Simple Mail Transfer Protocol)
  est une norme Internet pour la transmission du courrier électronique (e-mail) sur les réseaux IP (Internet Protocol). Le SMTP a été défini pour la première fois par Jonathan Postel dans la RFC 821 de l'IETF (1982), puis mis à jour pour la dernière fois par la RFC 5321 de l'IETF (2008), qui inclut les ajouts du SMTP étendu (ESMTP), et c'est le protocole le plus largement utilisé aujourd'hui. Le SMTP est spécifié pour le transport du courrier sortant et utilise le port 25.

• 
  sur la sécurité de la couche de transport (TLS) Le protocole TLS assure la sécurité des communications sur Internet. Ce protocole permet aux applications client-serveur de communiquer de manière à empêcher l'écoute clandestine, la falsification ou la contrefaçon de messages. TLS est un protocole en cours de normalisation par l'IETF, dont la dernière mise à jour figure dans la RFC 5246.

Références :

[1] RFC 3207 - Extension du protocole SMTP pour un SMTP sécurisé via Transport Layer Security
[2] Rapport 2008 d'OTA sur l'état de l'authentification des e-mails
[3] L'authentification des e-mails, par David MacQuigg

Les bases de l'authentification par e-mail

Thèmes abordés dans ce domaine :

Authentification avancée des e-mails

Thèmes abordés dans ce domaine :

analyse de la délivrabilité des e-mails

Thèmes abordés dans ce domaine :

page d'état du système

Afin de vérifier le bon fonctionnement du service
, nous avons mis en place un environnement de contrôle automatique.

Une application externe se connecte à chaque serveur SMTP toutes les dix minutes
et envoie un véritable message. La réussite de l'envoi de cet e-mail nous permet de garantir
la disponibilité et le bon fonctionnement du système.

Le résultat est publié sur la « page d'état » de votre serveur RealSender,
librement accessible à l'adresse Web suivante : rsXXX-realsender.com/status

Les données s'affichent en temps réel, comme le montrent les exemples ci-dessous.
Les informations affichées concernent les dernières vingt-quatre heures.

11/09/2024 06:25:26 UTC        
rsXXX - Vérification de disponibilité toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 06:16:18 UTC        
rsXXX - Vérification de disponibilité toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 06:05:56 UTC        
rsXXX- VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:55:41 UTC        
rsXXX- VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:45:57 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:35:58 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:25:27 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:16:30 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 05:05:57 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

11/09/2024 04:55:36 UTC        
rsXXX - VÉRIFICATION DE DISPONIBILITÉ toutes les dix minutes (un e-mail a été envoyé avec succès) - OK

Outil de suivi des liens click.it

Cette page génère des liens de suivi qui transmettront les données suivantes :
» clickit.realsender.com

La version gratuite est entièrement fonctionnelle, mais comporte certaines restrictions :

• les e-mails sont envoyés vers la boîte aux lettres temporaire de démonstration « inxbox » et y sont conservés pendant sept jours
• Une fois que vous aurez cliqué, le navigateur affichera une page de remerciement standard
• le domaine de suivi est « click.it »

La version payante est personnalisée et vous permet de :

• envoyer les messages à votre adresse e-mail, par exemple : test@example.com
• Indiquez votre propre page d'accueil, par exemple : www.example.com/thankyou
• utilisez votre sous-domaine de suivi, par exemple : https://click.example.com

email.locker

email.locker est un service permettant de stocker des e-mails et de les récupérer en cas de besoin.
Au bout de sept jours, les e-mails sont automatiquement supprimés.

Essayez-le dès maintenant :

1. envoyer un message à : any.word@email.locker
2. Accédez à la boîte à l'adresse suivante : https://email.locker/any.word

Les boîtes email.locker sont créées à la volée en leur envoyant un e-mail.
Comme aucune inscription n'est requise, l'adresse email.locker fait office de mot de passe,
choisissez donc un mot de passe difficile à deviner.

Si vous recevez des informations sensibles, pensez à réserver une boîte de messagerie et à en restreindre l'accès
ou à créer une boîte de messagerie dédiée de type « @locker.votreentreprise.com ». Contactez-nous pour plus de détails.

Tous les messages reçus par email.locker sont analysés à l'aide des contrôles d'authentification RealSender,
ce qui vous permet de vérifier si l'adresse de l'expéditeur est authentique ou fausse.

Un préfixe est ajouté à l'objet de chaque e-mail reçu,
en vous indiquant si le domaine de l'expéditeur est correctement authentifié auprès de SPF et DKIM.
Une finale || OK || est ajouté lorsque vous pouvez être sûr à 100 % de l'authenticité du domaine de l'expéditeur.

Enigma Secure Email

Le courrier électronique n'est ni confidentiel ni sécurisé. Il n'a pas été conçu dans un souci de confidentialité ou de sécurité.
Toute personne qui traite votre courrier électronique pendant son acheminement peut le lire,
qu'il s'agisse de votre FAI, d'un pirate informatique ou de la NSA (Agence nationale de sécurité américaine).

Le chiffrement de bout en bout (e2ee) pour les e-mails permet de garantir
que seuls l'expéditeur et le destinataire d'un message puissent en lire le contenu.
PGP est la meilleure solution pour communiquer en toute sécurité avec un partenaire qui
l'utilise déjà. Il peut être difficile de demander à votre interlocuteur de commencer à utiliser PGP.

Enigma est une application basée sur le projet open source SnapPass.
Elle vous permet de partager des secrets de manière sécurisée et éphémère.
Saisissez un secret sur une ou plusieurs lignes, sa durée de validité, puis cliquez sur « Générer l'URL ».
Partagez cette URL à usage unique avec le destinataire de votre choix.

Essayez-le :
enigma.realsender.com

Service SMTP/API factice inxsend

inxsend est un service SMTP/API fictif

permettant de tester facilement les e-mails dans les applications
en acheminant tous les messages vers un seul serveur de messagerie

Paramètres du serveur SMTP

Configurez le serveur SMTP avec les paramètres suivants :

Nom du serveur : inxsend.realsender.com  
Port :        25 |ou| 2525 |ou| 587 (+TLS) |ou| 465 (+SSL)  
Nom d'utilisateur :   CDED54  
Mot de passe :    478DED

Paramètres du serveur API

Utilisez l'accès à l'API comme indiqué dans les instructions «Envoi via l'API », en utilisant les paramètres suivants :

Adresse du serveur : (https://) inxsend-api.realsender.com/mail/send
Identifiant API : CDED54  
Mot de passe API : 478DED

Envoyer un message test

Envoyez un message à :
[votrenom]@inxbox.realsender.com

!! Tous les messages reçus sont visibles par tout le monde !!
(les autres destinataires seront refusés)

N'hésitez pas à nous faire savoir si vous rencontrez un problème.

Vérifier la réception

Ouvrez https://inxbox.realsender.com/monitor et vérifiez la réception
(utilisez le navigateur Google Chrome > Nouvelle fenêtre de navigation privée ou le navigateur Microsoft Edge)

Pour plus d'informations sur cette boîte de réception, rendez-vous sur : inxbox demo temporary email.

outil de test pour SPF et DKIM

RealSender propose un outil de vérification en ligne gratuit
pour valider vos paramètres SPF et DKIM lors de l'envoi d'un e-mail :

1. envoyer un e-mail à spf@tester.realsender.com
2. Consultez en ligne les résultats de la validation SPF sur tester.realsender.com/spf
   (le chargement peut prendre une minute)

Lors de la vérification, un préfixe est ajouté à l'adresse
si le message n'est pas authentifié correctement.

Details on how it works
are located in the “email authentication basics” area of the website:
email authentication basics :: <spf> check online

Directives relatives à l'authentification par e-mail

!! ATTENTION !! Ce document a été traduit automatiquement de l'italien

Lignes directrices

Configuration du service de messagerie pour l'authentification

L'Agence nationale italienne pour la cybersécurité a publié des lignes directrices relatives à la configuration du service de messagerie électronique en matière d'authentification, dans le but de renforcer la fiabilité de ce service pour toutes les organisations concernées et d'améliorer son niveau global de sécurité.

Contrôle de version

INDEX

1. Introduction

1.1. Prémisse

Le courrier électronique représente aujourd'hui l'un des services les plus essentiels dans le contexte numérique, car il figure parmi les principaux canaux utilisés par les organisations et les utilisateurs pour communiquer et échanger des informations¹.

Le fonctionnement du service de messagerie électronique, et en particulier la transmission des messages, repose sur le protocole SMTP qui, toutefois, ne dispose pas en soi de mécanismes suffisants pour l'authentification de l'expéditeur ni pour la protection de la confidentialité et de l'intégrité des messages. Ces failles l'exposent à des risques d'attaques telles que l'usurpation d'identité, le phishing, la falsification et l'interception de messages pendant leur transit.

Afin de pallier les faiblesses du protocole SMTP et, par conséquent, de réduire les risques liés aux attaques susmentionnées, des mécanismes d'authentification de l'expéditeur et de protection de l'intégrité des messages ont été mis au point au fil du temps, tels que le SPF (Sender Policy Framework), le DKIM (DomainKeys Identified Mail) et le DMARC (Domain-based Message Authentication, Reporting and Conformance).

Ces directives illustrent ces mécanismes dans le but de renforcer la fiabilité du service de messagerie électronique et d'améliorer son niveau global de sécurité, en particulier au regard des menaces décrites au chapitre 4.

Les mesures et protocoles nécessaires à la protection de la confidentialité des messages électroniques (tels que S/MIME et OpenPGP, qui concernent le chiffrement des messages) ne font pas l'objet des présentes lignes directrices.

1.2. Réglementations de référence

1.3. Documents de référence

» Retour en haut de la page

2. Cadre réglementaire

Afin de protéger les ressources numériques du pays, notamment les services de messagerie électronique et les infrastructures qui les hébergent, un ensemble complet de mesures de sécurité, fondées sur la législation en vigueur, a été mis en place et fait l'objet d'une mise à jour constante.

Le niveau de protection le plus élevé pour les services les plus critiques du pays, liés à la protection de la sécurité nationale, est assuré par le périmètre national de cybersécurité, institué par le décret-loi n° 105 du 21 septembre 2019, converti avec modifications par la loi n° 133 du 18 novembre 2019. Celui-ci prévoit des mesures de sécurité offrant des niveaux de protection particulièrement élevés, détaillées à l'annexe B du décret du Premier ministre du 14 avril 2021, n° 81, qui s’appliquent aux réseaux, aux systèmes d’information et aux services informatiques des entités publiques et privées dont dépend l’exercice d’une fonction essentielle de l’État ou la fourniture d’un service essentiel au maintien des activités civiles, sociales ou économiques fondamentales pour les intérêts de l’État, et dont la compromission pourrait porter atteinte à la sécurité nationale.

En outre, les services de messagerie électronique, à l'instar de tous les services numériques de l'administration publique, sont soumis aux dispositions du « règlement sur le cloud », adopté en vertu de l'article 33-septies du décret-loi n° 179 du 18 octobre 2012 et mis à jour par l'Agence nationale de cybersécurité (ACN) par le décret n° 21007 du 27 juin 2024. En vertu du règlement susmentionné, toutes les administrations publiques sont tenues de classer leurs données et services numériques en trois catégories : ordinaires, critiques ou stratégiques, selon le modèle élaboré par l’ACN. Cette activité vise à garantir que les données et services numériques de l’administration publique soient traités et fournis par le biais d’infrastructures numériques et de services cloud répondant aux exigences, y compris en matière de sécurité, adaptées aux risques associés au niveau de classification correspondant, comme le précise le règlement.

Le décret législatif n° 138 du 4 septembre 2024 (dit «décret NIS»), transposant la directive (UE) 2022/2555, a également défini – par le biais des annexes 1 et 2 de la décision ACN n° 379907/2025 – les mesures de sécurité de base que les entités essentielles et importantes doivent adopter aux fins des obligations prévues aux articles 23 et 24 du décret NIS, définissant un cadre de sécurité visant à renforcer la protection des réseaux et des systèmes d'information, y compris les services de messagerie électronique.

» Retour en haut de la page

3. Architecture du service de messagerie électronique

Comme indiqué dans l'introduction, le fonctionnement du service de messagerie repose sur le protocole SMTP, qui régit la transmission des messages électroniques de l'expéditeur au destinataire.

Le protocole SMTP a été défini pour la première fois en 1982² comme un protocole de stockage et de retransmission, dans lequel l'expéditeur génère un message via son client de messagerie, appelé dans le jargon Mail User Agent (MUA), qui l'envoie au serveur de messagerie de l'expéditeur. Celui-ci, via un composant appelé Mail Transfer Agent (MTA), transfère le message, éventuellement via un ou plusieurs MTA intermédiaires, pour le livrer au MTA du serveur de messagerie de destination. L'utilisateur destinataire accède au message via son client de messagerie (MUA)[1].

Le MTA est donc un composant du service de messagerie électronique qui gère la transmission des messages électroniques de l'expéditeur au destinataire. Des composants MTA sont présents sur les serveurs de messagerie de l'expéditeur et du destinataire, et il est également possible de configurer des MTA intermédiaires, par exemple pour gérer des listes de diffusion.

Bien que le terme MTA désigne un composant spécifique des serveurs de messagerie³, étant donné que, dans le cadre du présent document, il est fait référence à ces derniers principalement dans leur fonction de MTA, et qu’il n’y a pas d’ambiguïté, par souci de simplicité d’exposé, le terme « serveur de messagerie » sera souvent utilisé à la place du terme plus spécifique « MTA ».

Dans ce guide, nous nous concentrons sur la configuration des protocoles SPF, DKIM et DMARC afin de permettre aux serveurs de messagerie de vérifier l'authenticité et l'intégrité des e-mails.

» Retour en haut de la page

4. Menaces

Le protocole SMTP présenté dans le chapitre précédent avait initialement été conçu pour fonctionner au sein d'un réseau universitaire de taille relativement modeste et ne tenait pas compte des aspects liés à la sécurité des messages transmis ni à l'authentification de l'expéditeur [1].

La généralisation croissante du courrier électronique et les faiblesses intrinsèques du protocole SMTP ont favorisé, au fil du temps, l'apparition d'attaques dont les principaux types sont brièvement présentés dans les paragraphes suivants.

4.1. Usurpation d'identité de l'expéditeur

L'usurpation d'identité est une technique de cyberattaque qui consiste à falsifier l'adresse de l'expéditeur d'un message afin de faire croire que celui-ci provient d'une source fiable (comme, par exemple, celle d'un collègue, d'une connaissance ou de sa propre banque), dans le but d'inciter le destinataire à effectuer des actions potentiellement dangereuses, telles que l'ouverture d'une pièce jointe ou le clic sur des liens contenus dans le message.

Ce type d'attaque est relativement simple à mettre en œuvre, car le protocole SMTP ne prévoit pas de mécanismes d'authentification de l'expéditeur ; il est donc possible, via le client de messagerie, de configurer n'importe quelle adresse d'expéditeur lors de la création du message.

Adresse e-mail de l'expéditeur : envelope-from et message-from

Le format des e-mails prévoit deux champs distincts pour indiquer l'adresse e-mail de l'expéditeur. Ces champs sont appelés « envelope-from » et « message-from »: le premier (également appelé « return-path » car il spécifie l'adresse e-mail à laquelle doivent être envoyés les messages d'erreur générés lorsqu'un e-mail n'atteint pas son destinataire) est l'adresse utilisée pour acheminer correctement le message, tandis que le second est l'adresse qui s'affiche dans l'en-tête du message reçu par le destinataire.

Si l'on fait une analogie avec l'envoi d'une lettre dans une enveloppe par la poste traditionnelle, le champ « envelope-from » correspond à l'adresse de l'expéditeur figurant sur l'enveloppe, tandis que le champ « message-from » correspond à l'en-tête de la lettre qui indique qui s'est adressé au destinataire.

Il est important de noter que ces deux adresses ne coïncident pas nécessairement. Cette distinction permet de gérer des situations telles que, par exemple, le transfert de messages provenant de services tiers, la diffusion via des listes de diffusion ou les réponses automatiques par e-mail.

Il est en effet possible d'indiquer n'importe quel expéditeur, tant au niveau « message-from » (adresse e-mail de l'expéditeur telle qu'elle apparaît pour le destinataire dans l'en-tête du message reçu) qu'au niveau « envelope-from » (adresse e-mail de l'expéditeur utilisée pour la transmission du message).

Pour faire face à ces menaces, il est donc essentiel de mettre en place des mécanismes permettant d'authentifier de manière fiable l'expéditeur et de vérifier que la personne qui a envoyé le message est bien habilitée à le faire.

4.2. Hameçonnage

Le phishing est une technique de cyberattaque visant à obtenir frauduleusement des informations (telles que, par exemple, des identifiants de connexion, des numéros de carte de crédit ou d'autres données sensibles), généralement en envoyant des messages trompeurs qui semblent provenir d'expéditeurs fiables³.

L'usurpation d'identité, abordée dans le paragraphe précédent, fait partie des principales techniques utilisées par un pirate pour falsifier l'identité de l'expéditeur et faire croire que le message provient d'un utilisateur ou d'un domaine légitime.

Il est également possible d'utiliser une adresse ou un domaine d'expéditeur similaire à celui que le destinataire est susceptible de reconnaître, en modifiant, par exemple, ce qu'on appelle le « nom d'affichage »⁴ afin de renforcer l'authenticité apparente du message.

Pour envoyer des messages de hameçonnage, il est également possible d'utiliser des comptes légitimes qui ont déjà été piratés par le cybercriminel.

Un message de phishing contient généralement un contenu conçu pour susciter un sentiment d'urgence, d'inquiétude ou d'intérêt financier chez le destinataire, créant ainsi des situations qui l'incitent à réagir de manière impulsive et à effectuer des actions spécifiques, telles que l'ouverture de pièces jointes malveillantes ou le clic sur des liens redirigeant vers des sites web apparemment légitimes, mais qui, en réalité, ont été créés par le pirate dans le but de voler des informations et/ou d'installer des logiciels malveillants.

En général, les attaques par hameçonnage consistent à envoyer le même message électronique à un grand nombre de victimes, sans adapter le texte au profil spécifique de chacune d'entre elles.

Une variante du phishing est ce qu'on appelle le « spear phishing », dans lequel le pirate connaît le profil de la victime et la cible spécifiquement.

Contrairement à un e-mail de phishing classique, un message de spear phishing utilise des informations contextuelles plus précises pour convaincre l'utilisateur qu'il est en contact avec un expéditeur fiable [2].

4.3. Falsification de messages

Le contenu d'un e-mail, comme toute autre communication transitant par le réseau Internet qui n'utilise pas de techniques de chiffrement de bout en bout (E2EE), peut être intercepté et modifié pendant son acheminement entre l'expéditeur et le destinataire (un type de menace communément appelé « attaque de l'homme du milieu »).

Par conséquent, outre la perte de confidentialité, le message reçu pourrait ne pas correspondre à celui rédigé à l'origine par l'expéditeur.

Un pirate pourrait, par exemple, manipuler le contenu du message pour le faire passer pour provenant d'un expéditeur de confiance, modifier le texte ou les liens et/ou pièces jointes présents dans le message, ou encore y insérer du code malveillant.

Le destinataire, convaincu de l'authenticité apparente du message, peut ainsi être amené à effectuer des actions potentiellement dangereuses, telles que communiquer ses identifiants de connexion, autoriser des paiements ou ouvrir des fichiers malveillants.

Pour faire face à ces menaces, il est donc essentiel de mettre en place des mécanismes garantissant l'intégrité et l'authenticité du message, afin de s'assurer que le contenu reçu n'a pas été modifié et que l'expéditeur est bien celui qu'il prétend être.

» Retour en haut de la page

5. Mesures de lutte

Le chapitre 2 a rappelé les dispositions réglementaires qui prévoient des mesures de sécurité visant également à protéger les services de messagerie électronique. Le présent document a pour objectif principal de fournir un guide pour la mise en œuvre des mesures de sécurité prévues par ces réglementations et présentées à l'annexe A, qui s'appliquent également à la configuration des services de messagerie électronique, afin d'atténuer les risques liés aux menaces évoquées au chapitre 4. Il convient toutefois de noter que les indications contenues dans ces lignes directrices sont également recommandées aux entités qui ne sont pas soumises aux réglementations susmentionnées.

Les mesures de sécurité en question ne font pas explicitement référence à la configuration du service de messagerie électronique, mais – selon la réglementation considérée – à la configuration des systèmes informatiques et des systèmes de contrôle industriel (PSNC et règlement sur le cloud) ou des systèmes d'information et de réseau (NIS2). Les services de messagerie électronique, qui font l'objet des présentes lignes directrices, relèvent de ces deux types de systèmes.

Les protocoles SPF, DKIM et DMARC, présentés ci-dessous, constituent notamment des mécanismes de sécurité conçus pour renforcer la sécurité globale du service de messagerie électronique, et plus particulièrement l'authentification de l'expéditeur et le contrôle de l'intégrité des messages.

5.1. SPF

SPF (Sender Policy Framework) est un protocole d'authentification, défini par la norme RFC 7208, qui permet au propriétaire d'un domaine de spécifier quelles adresses IP sont autorisées à envoyer des e-mails en son nom et de définir les règles que le destinataire doit appliquer si l'adresse IP associée au domaine⁵ de l'adresse e-mail de l'expéditeur ne figure pas parmi celles explicitement autorisées.

Les adresses IP autorisées sont répertoriées dans un enregistrement DNS de type TXT associé au domaine de l'expéditeur, appelé enregistrement SPF, et présenté dans la section suivante de ce paragraphe.

De cette manière, le serveur de messagerie du destinataire⁶ , lorsqu’il reçoit un message provenant d’un domaine donné, peut interroger l’enregistrement SPF correspondant et authentifier son origine en vérifiant que l’adresse IP d’où provient le message figure parmi celles autorisées à envoyer des messages au nom de ce domaine.

Il est important de noter que le domaine vérifié au niveau du SPF est celui associé au champ « envelope-from » ; par conséquent, l'adoption du protocole SPF à elle seule ne suffit pas à contrer l'usurpation d'identité, car ce type d'attaque pourrait être mené au niveau du champ « message-from »⁷.

Si une organisation externalise, en tout ou en partie, son service de messagerie électronique à un tiers, tel qu'un fournisseur de services cloud, elle doit s'assurer que les messages envoyés par ces fournisseurs satisfont aux vérifications SPF. À cette fin, l'organisation doit inclure dans son enregistrement SPF les adresses IP à partir desquelles les fournisseurs envoient des e-mails au nom du domaine de l'organisation.

Dans le cas du transfert automatique d'e-mails, les messages étant généralement redirigés par un serveur intermédiaire, l'adresse IP effectuant la livraison finale ne correspond plus à celle initialement autorisée par le domaine de l'expéditeur. Dans ces cas, afin d'éviter l'échec de la vérification SPF, il est nécessaire d'autoriser également tous les serveurs de transfert intermédiaires, ou de recourir à des mécanismes tels que le SRS (Sender Rewriting Scheme) ou l'ARC (Authenticated Received Chain), qui peuvent s'avérer plus efficaces, en particulier en présence de nombreux serveurs de transfert intermédiaires.

Il convient de souligner que, pour que le SPF soit réellement efficace, il doit être correctement configuré non seulement par l'expéditeur, mais aussi par le destinataire. En particulier :

• l'expéditeur doit publier l'enregistrement SPF sur le serveur DNS correspondant, en indiquant les adresses autorisées à envoyer des e-mails en son nom ;
• le destinataire doit configurer son propre serveur de messagerie de manière à ce qu'il effectue une vérification SPF sur les messages reçus et applique de manière cohérente les politiques qui en découlent.

5.1.1. Enregistrement SPF

Un enregistrement SPF est un enregistrement DNS de type TXT dont le nom correspond au domaine de l'expéditeur et dont le contenu est constitué⁸ par la partie indiquant la version⁹ et d’une série de directives qui indiquent le comportement du serveur de messagerie du destinataire lorsqu’il y a une correspondance entre l’adresse IP du domaine de l’expéditeur et une directive.

Les directives sont constituées d'un mécanisme précédé d'un qualificatif. Les principaux mécanismes utilisés dans les enregistrements SPF sont les suivants [2]:

• ip4, répertorie les adresses IPv4 autorisées ;
• ip6, répertorie les adresses IPv6 autorisées ;
• a) autorise les adresses IP figurant dans l'enregistrement A du domaine ;
• mx, autorise les adresses IP associées aux enregistrements MX du domaine ;
• inclut, autorise les adresses IP présentes dans l'enregistrement SPF d'un autre domaine ;
• en somme, désigne toutes les adresses IP qui n'ont pas été explicitement autorisées par le biais des autres mécanismes.

En particulier, le tout Ce mécanisme permet de définir des règles pour les messages provenant d'adresses IP qui n'ont pas été déclarées par les mécanismes précédents.

De plus, SPF propose les qualificatifs suivants à associer aux mécanismes :

• + (autoriser) indique que les adresses IP correspondant au mécanisme associé sont autorisées. Il s'agit du qualificateur par défaut si aucun autre n'est spécifié ;
• - (échec) indique que les adresses IP correspondant au mécanisme associé ne sont pas autorisées ;
• ~ (softfail) indique que les adresses IP correspondant au mécanisme associé ne sont probablement pas autorisées. Il s'agit d'une déclaration plus incertaine que la précédente. Dans ces cas, le message doit être accepté mais marqué pour une analyse plus approfondie ; cette indication est utilisée, par exemple, lors du débogage ou lorsqu'il est prévisible que la vérification SPF risque d'échouer ;
• ? (neutre) indique qu'aucune indication n'est fournie pour les adresses IP correspondant au mécanisme associé. Par défaut, le message est accepté.

Il convient de souligner qu'en pratique, l'enregistrement SPF est configuré pour spécifier les adresses IP autorisées, en recourant ensuite à la directive -tout pour préciser que toutes les autres adresses ne sont pas autorisées (à ce sujet, veuillez vous reporter aux exemples ci-dessous). Il s'agit de la configuration recommandée, car elle permet d'indiquer explicitement les adresses IP autorisées et d'exclure toutes les autres.

Dans tous les cas, il est recommandé de ne jamais utiliser la directive +tout (ou l'équivalent tout) car cela reviendrait à autoriser toutes les adresses IP.

Exemples d'enregistrements SPF

Autoriser une adresse IP spécifique

v=spf1 ip4:203.0.113.0 -all

L'enregistrement SPF ci-dessus utilise la version 1 du protocole SPF et autorise l'accès via le ip4 mécanisme de l'adresse IP 203.0.113.0 (en effet, comme aucun qualificatif n'est spécifié pour le ip4 mécanisme, la valeur par défaut + est utilisé implicitement). Le -tout directive élaborée par le tout mécanisme et le - Le qualificatif « (fail) » indique que toutes les autres adresses ne sont pas autorisées.

Autoriser un espace d'adresses IP spécifique

v=spf1 ip4:203.0.113.0/24 -all

L'enregistrement SPF ci-dessus est similaire au précédent, mais autorise toutes les adresses IP du 203.0.113.0/24 espace d'adressage.

Autoriser plusieurs adresses IP

v=spf1 ip4:203.0.113.22 ip4:203.0.113.44 -all

L'enregistrement SPF ci-dessus autorise exclusivement les adresses IPv4 203.0.113.22 et 203.0.113.44.

Autoriser les adresses des enregistrements MX et un domaine spécifique

v=spf1 mx include:spf.emailprovider.it -all

L'enregistrement SPF ci-dessus autorise exclusivement les adresses IP des enregistrements MX du même domaine que celui de l'enregistrement SPF, ainsi que celles autorisées pour ce domaine. spf.emailprovider.it (par exemple, le nom de domaine d'un fournisseur de messagerie électronique).

5.1.2. Processus d'authentification

S'il est correctement configuré pour effectuer la vérification SPF, le serveur de messagerie du destinataire, dès qu'il reçoit un nouveau message électronique, récupère l'enregistrement SPF du domaine de l'expéditeur en interrogeant le serveur DNS qui héberge les enregistrements de ce domaine, tel qu'il ressort de l'adresse indiquée dans le champ « envelope-from ». Par exemple, si l'adresse indiquée dans le champ « envelope-from » est alice@example.com, le serveur de messagerie du destinataire récupère l'enregistrement SPF du domaine exemple.com.

Le serveur de messagerie du destinataire procède alors à la vérification SPF, en analysant l'enregistrement SPF afin de déterminer si l'adresse IP à partir de laquelle il a reçu le message est autorisée à envoyer des e-mails pour le exemple.com domaine. Si le message électronique passe la vérification SPF, il est remis au destinataire.

Par exemple, si l'enregistrement SPF du exemple.com le domaine était v=spf1 ip4:203.0.113.22 -all la vérification ne serait validée que si l'adresse IP du serveur expéditeur était 203.0.113.22, alors qu'il échouerait pour toute autre adresse.

» Retour en haut de la page

5.2. DKIM

DKIM (DomainKeys Identified Mail) est un protocole d'authentification, défini par la norme RFC 6376, qui permet au propriétaire d'un domaine de garantir l'authenticité des messages électroniques envoyés en y apposant une signature numérique (signature DKIM) générée par le serveur de messagerie à l'aide d'algorithmes de cryptographie à clé publique, puis insérée dans les en-têtes du message à transmettre.

Afin de permettre au destinataire de vérifier que le message n'a pas été modifié pendant la transmission, la clé publique associée à la signature DKIM est enregistrée dans un enregistrement TXT du DNS public du domaine de l'expéditeur, appelé « enregistrement DKIM », que le serveur de messagerie du destinataire interroge à la réception du message.

La signature DKIM et l'enregistrement correspondant sont présentés dans les sections suivantes de ce paragraphe.

Tout comme pour le SPF, le DKIM doit également être correctement configuré par l'expéditeur et le destinataire, notamment :

• l'expéditeur doit configurer son serveur de messagerie pour générer des signatures DKIM et publier l'enregistrement DKIM sur le serveur DNS correspondant ;
• le destinataire doit configurer son serveur de messagerie de manière à ce qu'il effectue une vérification DKIM sur les messages reçus.

5.2.1. Signature DKIM

La signature DKIM est générée à partir d'éléments spécifiques du corps et des en-têtes du message et se compose d'une série de paires clé-valeur qui spécifient divers éléments, parmi lesquels :

• v: version du protocole¹⁰;
• a: algorithme de chiffrement utilisé¹¹;
• d: signature du domaine attestant de l'authenticité du message¹²;
• s: sélecteur indiquant quelle clé publique DKIM rechercher dans l'enregistrement DNS¹³;
• h: liste des en-têtes d'e-mail inclus dans la signature¹⁴;
• bh: hachage du corps du message encodé au format Base64¹⁵;
• b: signature numérique effective générée à l'aide de la clé privée et encodée au format Base64¹⁶;
• x: date de validité de la signature ;
• c: type de canonicalisation.

La canonisation est le processus qui consiste à normaliser les éléments d'un message avant sa signature numérique afin de réduire l'impact des petites modifications pouvant survenir pendant le transit, telles que les espaces répétés ou les sauts de ligne. Il existe deux types de canonisation : la canonisation simple, qui exige une correspondance exacte entre le message d'origine et le message reçu, et la canonisation assouplie, qui applique des normalisations telles que la suppression des espaces, la conversion des majuscules en minuscules dans les en-têtes et la réduction des lignes vides consécutives dans le corps du message.

5.2.2. Enregistrement DKIM

L'enregistrement DKIM est stocké dans un enregistrement DNS de type TXT dont le nom suit la structure suivante selector._domainkey.domain, où _domainkey est une balise utilisée pour indiquer que l'enregistrement DNS est bien un enregistrement DKIM. Le contenu de l'enregistrement DKIM se compose d'une série de paires clé-valeur spécifiant divers éléments, parmi lesquels :

• v: version du protocole ;
• k: type de clé, qui est par défaut RSA ;
• p: clé publique encodée au format Base64.

Exemple d'enregistrement DKIM

Nom : s1._domainkey.example.com
Valeur : v=DKIM1 ; k=rsa ; p=Y2hpYXZ1cHViYmxpY2FkaWVzZW1waW8h...

L'exemple d'enregistrement DKIM est associé au sélecteur s1 de la exemple.com domaine, utilise la version 1 et contient la clé publique RSA encodée au format base64 (Y2hpYXZ1cHViYmxpY2FkaWVzZW1waW8h...).

5.2.3. Processus d'authentification

Si le protocole DKIM est correctement configuré à la fois sur le serveur de messagerie de l'expéditeur et sur celui du destinataire, le fonctionnement du processus d'authentification et de vérification DKIM prévoit que le serveur de messagerie de l'expéditeur génère la signature DKIM du message, comme décrit au paragraphe 5.2.1, laquelle est ajoutée au message lui-même. En particulier, la signature DKIM contient dans le d indiquer le domaine de signature¹⁷ et dans le b insérer la signature numérique du message générée à l'aide de la clé privée du domaine signataire.

À la réception d'un message, le serveur de messagerie destinataire récupère l'enregistrement DKIM du domaine signataire (d champ de la signature DKIM) provenant du serveur DNS contenant les enregistrements de ce domaine. Il utilise ensuite la clé publique contenue dans l'enregistrement DKIM pour vérifier la signature numérique (b (champ) contenu dans la signature DKIM. Si la vérification aboutit, le message est remis au destinataire.

5.2.4. Aspects cryptographiques

En matière de cryptographie, le protocole DKIM a toujours utilisé l'algorithme RSA, notamment dans sa variante rsa-sha256, considérée comme la norme depuis 2007. La nouvelle alternative, introduite par la RFC 8463, est Ed25519-SHA256, une forme moderne de signature numérique basée sur les courbes elliptiques qui garantit une plus grande efficacité et des clés bien plus compactes.

Sur le plan technique, le RSA, avec une longueur de clé de 2048 bits, reste la norme universelle, mais les clés sont longues et les signatures relativement volumineuses, tandis qu’Ed25519 propose des clés neuf fois plus courtes et des signatures quatre fois plus petites, avec des performances de signature jusqu’à trente fois supérieures à celles du RSA 2048. Malgré ces avantages, la prise en charge dans la pratique est limitée : en 2026, Ed25519 n'est vérifié que par quelques fournisseurs, tandis que certains opérateurs majeurs ne prennent en charge de manière fiable ni la signature ni la vérification, ce qui le rend inadapté en tant que solution unique en production.

C'est pourquoi, bien qu'il soit techniquement supérieur, au moment de la rédaction du présent document, l'utilisation d'Ed25519 n'est pas recommandée, sauf en combinaison avec RSA, via une double signature, à des fins expérimentales et dans une optique de compatibilité future. Tant que les principaux fournisseurs n'auront pas pleinement mis en œuvre sa vérification, RSA reste indispensable pour garantir une fiabilité maximale dans la transmission des messages.

En ce qui concerne la sécurité à long terme, il est important de garder à l'esprit que ni RSA ni Ed25519 ne sont résistants aux attaques des futurs ordinateurs quantiques [3], et que la transition vers des algorithmes post-quantiques nécessitera de nouvelles normes DKIM qui n'existent pas encore à l'heure actuelle ; il est donc essentiel de suivre de près les avancées en matière de cryptographie de nouvelle génération ainsi que les futures recommandations de l'ACN dans ce domaine.

En ce qui concerne la gestion des clés cryptographiques, la clé privée DKIM doit être protégée par des mesures de sécurité rigoureuses : elle doit être conservée sur des systèmes isolés, accessibles uniquement aux services autorisés, et faire l'objet de permissions restrictives, d'une rotation périodique et d'une surveillance constante afin d'empêcher tout accès non autorisé ou toute compromission.

» Retour en haut de la page

5.3. DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification, défini par la RFC 7489, qui intègre¹⁸ les mécanismes SPF et DKIM, permettant au propriétaire d'un domaine de définir, à l'intention des destinataires des messages transmis depuis ce domaine, les politiques de gestion des messages qui échouent aux vérifications SPF et DKIM.

En particulier, DMARC introduit un mécanisme d'authentification – appelé « alignement » – qui vérifie la correspondance entre les domaines authentifiés par SPF et DKIM et le domaine associé à l' message-de champ du message reçu. Notez que la vérification de l'alignement entre le message-de et le domaine SPF/DKIM échoue dans tous les cas si la vérification SPF/DKIM correspondante échoue (voir figure 4).

L'alignement peut être vérifié dans strict mode dans lequel une correspondance exacte est requise entre les domaines authentifiés par SPF/DKIM et celui associé au message-de champ, ou détendu, où il suffit que les domaines principaux correspondent, même si les sous-domaines peuvent être différents.

Par exemple, dans détendu mode pour les domaines sub1.exemple.com et sub2.exemple.com une correspondance serait trouvée à des fins de vérification DMARC (puisque le domaine principal, exemple.com, c'est la même chose). Dans strict En mode normal, cependant, la vérification de l'alignement DMARC échouerait en raison de l'absence de correspondance exacte entre les domaines.

Grâce à la vérification de l'alignement, même si un pirate parvenait à passer les contrôles SPF et/ou DKIM en utilisant un message-de différent de expéditeur même si le message est authentifié par SPF et/ou provient du domaine de signature authentifié, DMARC détecterait tout de même cette divergence, garantissant ainsi une vérification cohérente et fiable de l'identité de l'expéditeur [2].

Les politiques de gestion des messages ayant échoué¹⁹ sont spécifiées dans un enregistrement TXT du serveur DNS relatif du domaine de l'expéditeur, appelé enregistrement DMARC, et illustrées dans la section suivante de ce paragraphe.

DMARC permet également de demander aux destinataires d'envoyer des rapports aux propriétaires du domaine expéditeur concernant les messages prétendant provenir de ce domaine. De cette manière, le propriétaire du domaine peut vérifier si son domaine est utilisé de manière non autorisée et dans quelle mesure, en analysant, par exemple, combien de messages sur l'ensemble de ceux prétendant provenir de ce domaine peuvent effectivement lui être attribués.

Tout comme pour SPF et DKIM, DMARC doit également être correctement configuré par l'expéditeur et le destinataire, et notamment :

• l'expéditeur doit publier l'enregistrement DMARC dans son DNS en précisant les règles à appliquer pour gérer les messages qui échouent à la vérification DMARC ;
• le destinataire doit configurer son serveur de messagerie pour qu'il effectue une vérification DMARC sur les messages reçus.

5.3.1. Enregistrement DMARC

Le nom de l'enregistrement DMARC a la structure suivante _dmarc.domaine, où _dmarc est une balise utilisée pour indiquer que l'enregistrement DNS est un enregistrement DMARC et domaine est le domaine auquel se rapporte la politique.

L'enregistrement DMARC se compose d'une série de paires clé-valeur définissant divers éléments, parmi lesquels :

• v: version du protocole DMARC²⁰;
• p: politique à appliquer aux messages qui échouent à la vérification DMARC ; peut prendre l'une des valeurs suivantes aucun, quarantaine, refuser;
• aspf: mode d'alignement à appliquer au contrôle SPF (peut être détendu, valeur par défaut, ou strict);
• adkim: mode d'alignement à appliquer au contrôle DKIM (peut être détendu, valeur par défaut, ou strict);
• rua: adresses e-mail auxquelles envoyer des rapports agrégés contenant des informations statistiques et récapitulatives sur les messages reçus provenant du domaine de l'expéditeur ;
• ruf: adresses e-mail auxquelles envoyer des rapports détaillés sur les messages individuels reçus du domaine de l'expéditeur qui n'ont pas passé la vérification DMARC.

Exemple d'enregistrement DMARC

Nom :
_dmarc.example.com
Valeur :
v=DMARC1 ; p=reject ; rua=mailto:dmarc-reports@example.com ; ruf=mailto:dmarc-fail@example.com ; adkim=s ; aspf=s

L'exemple d'enregistrement DMARC est associé au exemple.com domaine, utilise la version 1 et spécifie le refuser politique applicable aux messages ne passant pas la vérification DMARC, demandant strict mode (s) afin de vérifier la cohérence entre les domaines SPF et DKIM et d'envoyer des rapports agrégés à l'adresse e-mail dmarc-reports@example.com et les rapports d'erreur à l'adresse dmarc-fail@example.com.

5.3.2. Politiques DMARC

Comme indiqué dans le paragraphe précédent, l'enregistrement DMARC précise la politique que le serveur de messagerie destinataire doit appliquer aux messages qui ne passent pas la vérification DMARC. Les politiques possibles sont les suivantes :

• aucune: le domaine de l'expéditeur ne fournit aucune indication concernant la distribution des messages qui échouent à la vérification DMARC ;
• quarantaine: le domaine de l'expéditeur indique que les messages ne passant pas la vérification DMARC doivent être considérés comme suspects (par exemple, faire l'objet d'un examen plus approfondi, être traités comme du spam ou être signalés comme suspects) ;
• rejet: le domaine de l'expéditeur indique que les messages ne passant pas la vérification DMARC doivent être rejetés.

5.3.3. Processus de vérification et d'application des politiques

Si le protocole DMARC est correctement configuré à la fois sur le serveur de messagerie de l'expéditeur et sur celui du destinataire, lors de la réception du message, le serveur de messagerie du destinataire récupère les enregistrements SPF et DKIM afin d'effectuer les vérifications correspondantes, ainsi que celle relative au DMARC (décrite en détail au début du paragraphe 5.2.4). Si le message ne passe pas la vérification DMARC, la politique indiquée dans l'enregistrement DMARC (aucun, quarantaine ou refuser) est appliquée.

Il convient de noter que chaque serveur de messagerie peut appliquer des règles et des politiques locales pour déterminer s’il convient ou non de distribuer un message, en tenant également compte des résultats des vérifications SPF, DKIM et DMARC. Par conséquent, il existe généralement un processus décisionnel supplémentaire (« Filtre standard » sur la figure 5) en aval des vérifications susmentionnées, qui peut également inclure d’autres contrôles (tels que, par exemple, des filtres anti-spam et anti-malware).

De plus, le serveur de messagerie destinataire peut transmettre :

• aux adresses indiquées dans le rue champ de l'enregistrement DMARC, des rapports agrégés contenant des informations statistiques et récapitulatives sur les messages reçus du domaine de l'expéditeur ;
• aux adresses indiquées dans le ruf champ de l'enregistrement DMARC, des rapports détaillés sur les messages individuels reçus du domaine de l'expéditeur qui n'ont pas passé la vérification DMARC.

» Retour en haut de la page

6. Conclusions

Comme indiqué dans le chapitre précédent, pour lutter efficacement contre les menaces liées à l'usurpation d'identité du domaine de l'expéditeur, il est nécessaire que les trois protocoles examinés soient mis en œuvre conjointement et, en particulier, que [3]:

• le domaine de l'expéditeur publie correctement les enregistrements SPF, DKIM et DMARC dans le DNS ;
• le serveur de messagerie de l'expéditeur est configuré pour signer les messages avec DKIM ;
• le serveur de messagerie du destinataire est configuré pour effectuer des vérifications SPF et DKIM et appliquer les politiques DMARC.

En ce qui concerne la mise en œuvre du protocole, les recommandations suivantes ont également été formulées [2]:

• configurer le SPF en précisant quelles adresses IP sont autorisées à envoyer des e-mails au nom du domaine ; pour les domaines qui ne sont pas utilisés pour la transmission d'e-mails, par exemple ceux destinés exclusivement à des sites web, il convient tout de même de créer un enregistrement SPF afin d'indiquer explicitement qu'il n'existe aucun expéditeur d'e-mails valide pour ce domaine ;
• utiliser des protocoles et des algorithmes de chiffrement de pointe considérés comme sûrs pour les clés DKIM ; à la date de rédaction du présent document, le chiffrement RSA 2048 bits est recommandé ;
• protéger de manière adéquate la clé privée DKIM stockée sur le serveur de messagerie, en mettant en place des autorisations d'accès restrictives, et s'assurer que seul le logiciel du serveur de messagerie dispose de droits de lecture sur cette clé ;
• configurer chaque serveur de messagerie avec une paire de clés et un sélecteur uniques, afin de limiter les conséquences d'une éventuelle compromission de la clé privée ;
• protéger la clé privée à la fois contre toute divulgation accidentelle et contre toute tentative d'accès ou de modification par un pirate ;
• prévoir que les logiciels liés à toute liste de diffusion vérifient les signatures DKIM des messages entrants et apposent de nouvelles signatures DKIM sur les messages sortants ;
• utiliser des paires de clés DKIM uniques pour chaque tiers envoyant des e-mails au nom de l'organisation ;
• renouveler régulièrement les paires de clés DKIM (au moins tous les six mois) afin de limiter l'impact d'une éventuelle compromission ;
• révoquer immédiatement les clés en cas de suspicion de compromission ;
• surveiller les rapports DMARC afin de détecter toute erreur de configuration ou tentative d'abus.

Pour plus d'informations, veuillez consulter les ressources répertoriées dans la section « Documents de référence ».

On constate que, pour assurer correctement la sécurité des e-mails, outre les protocoles d'authentification examinés ici, il existe d'autres protocoles – qui ne font pas l'objet des présentes lignes directrices – tels que, par exemple, le protocole TLS (Transport Layer Security), qui garantit le chiffrement du canal de transmission, ainsi que les protocoles SMIME et OpenPGP, qui concernent le chiffrement de bout en bout et l'authentification des messages.

Il convient également de noter que, bien qu'il ne s'agisse pas d'un protocole de sécurité de la messagerie électronique au sens strict, il est recommandé, dans le cadre de la sécurité des services de messagerie, de mettre en œuvre le protocole DNSSEC (Domain Name System Security Extensions), une extension du protocole DNS qui ajoute des signatures cryptographiques aux enregistrements DNS afin de garantir l'intégrité et l'authenticité des requêtes DNS. Grâce au DNSSEC, par exemple, les informations relatives aux enregistrements SPF, DKIM et DMARC sont protégées pendant leur transmission, ce qui réduit le risque d'altération et renforce ainsi la sécurité du service de messagerie.

» Retour en haut de la page

Annexe A : Mesures de sécurité

Périmètre national de cybersécurité (PSNC)

PR.IP-1 : Des pratiques de référence (appelées « lignes directrices ») sont définies et gérées pour la configuration des systèmes informatiques et des systèmes de contrôle industriel, en intégrant des principes de sécurité (par exemple, le principe de fonctionnalité minimale).

1. Il existe un document détaillé et mis à jour qui précise, notamment en ce qui concerne la catégorie ID.AM, au moins :
   • a) les politiques de sécurité adoptées pour l'élaboration des configurations des systèmes informatiques et des systèmes de contrôle industriel, ainsi que le déploiement exclusif des configurations adoptées ;
   • b) la liste des configurations des systèmes informatiques et des systèmes de contrôle industriel utilisés, ainsi que la référence aux pratiques de référence correspondantes ;
   • c) les processus, les méthodologies et les technologies utilisés qui contribuent au respect des politiques de sécurité.

Réglementation du cloud – Infrastructures et services numériques pour l'administration publique

PR.IP-01 : Des pratiques de référence (appelées « lignes directrices ») sont définies et gérées pour la configuration des systèmes informatiques et des systèmes de contrôle industriel, en intégrant des principes de sécurité (par exemple, le principe de fonctionnalité minimale).

1. Les politiques et procédures relatives à la sécurité des applications sont définies afin d'apporter un soutien adéquat à la planification, à la mise en œuvre et à la maintenance des dispositifs de sécurité des applications ; elles doivent être réexaminées et mises à jour au moins une fois par an.
2. Il existe un document détaillé et mis à jour qui précise, notamment en ce qui concerne la catégorie ID.AM, au moins :
   • a) les politiques de sécurité adoptées pour l'élaboration des configurations des systèmes informatiques et des systèmes de contrôle industriel, ainsi que le déploiement exclusif des configurations adoptées ;
   • b) la liste des configurations des systèmes informatiques et des systèmes de contrôle industriel utilisés, ainsi que la référence aux pratiques de référence correspondantes ;
   • c) les processus, les méthodologies et les technologies utilisés qui contribuent au respect des politiques de sécurité.
3. Les exigences de base en matière de sécurité pour diverses applications sont définies et documentées.
4. Des indicateurs techniques, utiles pour évaluer le niveau de conformité aux exigences de sécurité et aux obligations réglementaires définies, sont définis et mis en œuvre.
5. Il existe un processus de correction des vulnérabilités et de restauration des applications visant à garantir leur sécurité, qui automatise les mesures correctives lorsque cela est possible.
6. Il existe une procédure permettant de vérifier la compatibilité des appareils avec les systèmes d'exploitation et les applications.
7. Il existe un système de gestion des modifications concernant le système d'exploitation, les correctifs et/ou les applications.

Réglementation du cloud – Services cloud pour l'administration publique

PR.IP-01 : Des pratiques de référence (appelées « lignes directrices ») sont définies et gérées pour la configuration des systèmes informatiques et des systèmes de contrôle industriel, en intégrant des principes de sécurité (par exemple, le principe de fonctionnalité minimale).

1. Les politiques et procédures sont définies en matière de sécurité des applications afin d'apporter un soutien adéquat à la planification, à la mise en œuvre et à la maintenance des dispositifs de sécurité des applications, qui doivent être réexaminés et mis à jour au moins une fois par an [IaaS, SaaS].
2. Il existe un document détaillé et mis à jour qui précise, notamment en ce qui concerne la catégorie ID.AM, au moins :
   • a) les politiques de sécurité adoptées pour l'élaboration des configurations des systèmes informatiques et des systèmes de contrôle industriel, ainsi que le déploiement exclusif des configurations adoptées ;
   • b) la liste des configurations des systèmes informatiques et des systèmes de contrôle industriel utilisés, ainsi que la référence aux pratiques de référence correspondantes ;
   • c) les processus, méthodologies et technologies utilisés qui contribuent au respect des politiques de sécurité [SaaS].
3. Les exigences de base en matière de sécurité pour diverses applications sont définies et documentées.
4. Des indicateurs techniques, utiles pour surveiller le niveau de conformité aux exigences de sécurité et aux obligations réglementaires définies, sont définis et mis en œuvre. 5. Un processus est en place pour la correction des vulnérabilités des applications et la restauration de la sécurité de celles-ci, automatisant les mesures correctives lorsque cela est possible.
5. Il existe un processus permettant de vérifier la compatibilité des appareils avec les systèmes d'exploitation et les applications [PaaS, SaaS].
6. Il existe un système de gestion des changements concernant le système d'exploitation, les correctifs et/ou les applications [PaaS, SaaS].

NIS 2

PR.PS-01 : Des pratiques de gestion de la configuration sont mises en place et appliquées.

1. Au moins pour les informations et les systèmes réseau concernés, leurs configurations de base sécurisées (renforcées) sont définies et documentées dans une liste mise à jour.
2. Conformément aux politiques visées dans la mesure GV.PO-01, des procédures sont adoptées et documentées en ce qui concerne le point 1.

» Retour en haut de la page

Bibliographie

[1] NIST, « Note technique 1945 ».
[2] NIST, « Publication spéciale du NIST 800-177, révision 1 »
[3] Agence nationale de cybersécurité, « Cryptographie post-quantique et quantique – Préparation à la menace quantique ».
[4] Agence nationale de cybersécurité, « Cadre d'authentification des e-mails ».

» Retour en haut de la page

une bonne alternative aux e-mails en copie cachée

Dans un article précédent, nous avons présenté les avantages et les inconvénients de l'utilisation des e-mails en Cci,
voir : «Comment envoyer et limiter les e-mails en Cci».

Dans les conclusions, nous avons notamment indiqué :

Utilisez des applications spécialisées pour envoyer des mailings en masse.
Ces systèmes professionnels intègrent un processus de validation
et un contrôle étape par étape,
et sont conçus pour éviter les erreurs.

Résumé de cet article :

• Comment ça marche
• Liste « unidirectionnelle » de GNU Mailman
• Quelques informations historiques sur GNU Mailman
• Gestion des rebonds VERP
• Alignement des adresses « De » et « De l'expéditeur »

Comment ça marche

Les plateformes d'e-mail marketing peuvent être difficiles à maîtriser et à prendre en charge (si vous les proposez à vos clients).

Nous vous présentons ici l'idée d'utiliser le logiciel libre « GNU Mailman » pour envoyer vos mailings de masse.
Cette suggestion découle de notre propre expérience dans le cadre de l'offre del'application«copymail», très simple d'utilisation.

Une liste « unidirectionnelle » Mailman est une configuration destinée aux bulletins d'information ou aux annonces
dans laquelle seuls les modérateurs autorisés peuvent publier des messages, et où les membres ne peuvent pas répondre à la liste.

Voici comment cela fonctionne :

1. L'utilisateur envoie le message depuis son client de messagerie ou via la messagerie en ligne à l'adresse e-mail de la liste :
   . Il doit ensuite valider l'envoi, qui sera ensuite distribué côté serveur à tous les abonnés.

2. Le système gère automatiquement les messages en retour (e-mails non remis) et, si vous le souhaitez, les désabonnements.
   Les abonnements doivent être enregistrés manuellement.

3. Ce service est extrêmement fiable et capable de traiter sans difficulté des milliers d'adresses.
   L'envoi s'effectue via RealSender ou d'autres serveurs SMTP.

Retour en haut de la page

Liste « unidirectionnelle » de GNU Mailman

GNU Mailman est un logiciel très répandu que la plupart des fournisseurs d'accès à Internet proposent.
On trouve sur Internet plusieurs guides expliquant comment le configurer et l'utiliser pour envoyer des mailings de masse :

• Les membres s'inscrivent en remplissant un formulaire sur votre site web (et en répondant à l'e-mail de confirmation)
• ils recevront un message de bienvenue qui ne mentionne pas comment publier sur la liste
• ils recevront vos newsletters, accompagnées d'un pied de page contenant des instructions simples pour se désabonner
• Seules les personnes autorisées peuvent publier sur la liste (envoyer les bulletins d'information)

La principale référence est ce document, tiré de deux messages publiés par Barry Warsaw sur la liste de diffusion mailman-users :
Comment créer une liste de diffusion pour une newsletter, des annonces ou une communication unidirectionnelle ?

Le texte explique en détail les points principaux :

• Comment créer un message de bienvenue et une page d'informations sur la liste personnalisés qui n'évoquent pas la manière de publier sur la liste
• comment réduire au minimum les problèmes liés aux mots de passe et aux désabonnements auxquels on est souvent confronté sur ce type de liste
• comment restreindre l'accès à la liste afin que seules les personnes autorisées puissent publier des messages
• Comment configurer une liste de diffusion pour répondre à une adresse de contact
• Comment publier un message sur la liste d'annonces

Un autre article de l'université de Stanford explique comment utiliser Mailman
pour configurer une liste en mode « annonces uniquement » :
Comment configurer une liste « unidirectionnelle » réservée aux annonces ou aux newsletters - Article de la base de connaissances KB00010792

Retour en haut de la page

Quelques informations historiques sur GNU Mailman

Les listes de diffusion peuvent être destinées aux discussions ou aux annonces. Le logiciel Mailman est écrit en Python ; avant sa sortie, la communauté Python utilisait Majordomo, un gestionnaire de listes de diffusion basé sur Perl.

Aujourd'hui, Mark Sapiro assure la maintenance de la branche stable 2.1,
, tandis que Barry Warsaw se concentre sur la nouvelle version 3.X.

Deux principes fondamentaux qui sont essentiels au succès continu de Mailman :

• Aucun message ne devrait jamais se perdre
• Un message ne doit jamais être transmis plus d'une fois

Dans Mailman 2, les développeurs ont repensé le système de gestion des messages afin de garantir que ces deux principes restent toujours au premier plan. Cette partie du système est stable depuis au moins une décennie et constitue l'une des principales raisons pour lesquelles Mailman est aujourd'hui aussi répandu.

Retour en haut de la page

Gestion des rebonds VERP

VERP signifie « Variable Envelope Return Path » (chemin de retour à enveloppe variable). Il s'agit d'une technique bien connue utilisée par les listes de diffusion pour identifier sans ambiguïté les adresses de destinataires qui renvoient des messages. Lorsque la liste de diffusion reçoit un message de retour, elle peut prendre des mesures utiles, comme désactiver l'adresse en question ou la supprimer de la liste des abonnés.

Il existe un format standard pour les messages de rejet, appelé « notifications d'état de livraison ». Mailman utilise une bibliothèque qui contient des dizaines de modèles de format de rejet, tous déjà rencontrés dans la pratique au cours des vingt années d'existence de Mailman.

VERP exploite une exigence du protocole SMTP de base pour permettre une détection sans ambiguïté des messages en retour, en renvoyant ces messages à l'expéditeur de l'enveloppe. Ce n'est pas le De : champ dans le corps du message, mais en réalité le COURRIEL DE valeur définie lors de la connexion SMTP. Celle-ci est conservée tout au long du parcours de distribution, et le serveur de messagerie destinataire final est tenu, conformément aux normes, d'envoyer les messages de retour à cette adresse.

Si le serveur Mailman est mylist@example.org, puis l'expéditeur de l'enveloppe codée en VERP pour un message envoyé à une liste de diffusion anne@example.com sera : mylist-bounce+anne=example.com@example.org. Les e-mails rejetés sont envoyés à l'adresse du destinataire codée selon le protocole VERP. Mailman peut alors analyser le À : en-tête permettant de déterminer le destinataire initial comme anne@example.com

L'utilisation de VERP implique que Mailman envoie exactement un seul exemplaire du message par destinataire. VERP nécessite un identifiant unique COURRIEL DE pour chaque destinataire, et la seule façon d'y parvenir est d'envoyer un exemplaire unique du message. Cette approche permet également d'éviter que le message ne soit identifié comme du spam.

Retour en haut de la page

Alignement des adresses « De » et « De l'expéditeur »

Pendant la période d'essai, la valeur par défaut «application CopymailLa configuration « » utilise un domaine que nous fournissons comme Envoyé par adresse (également appelée adresse de rebond, chemin de retour ou adresse d'enveloppe), qui est l'adresse à laquelle les e-mails rejetés sont renvoyés. Cette Envoyé par le domaine est différent de celui De adresse de domaine (l'adresse de l'expéditeur visible par les destinataires).

Avant de le mettre en production, il faut apporter quelques modifications au DNS afin d'authentifier les messages envoyés avec le De domaine. Les dernières normes en matière de messagerie électronique vous permettent d'envoyer des e-mails authentifiés en utilisant un sous-domaine comme Envoyé par adresse (par exemple, email.votredomaine.com) tout en pouvant continuer à utiliser le domaine de base comme De/Expéditeur adresse (par exemple, info@youremaildomain.com). Vous trouverez plus de détails dans le Authentification avancée des e-mails page.

La même situation peut se produire dans d'autres environnements. Nous vous recommandons de vérifier cela auprès de votre fournisseur d'accès à Internet.

Retour en haut de la page

proxy inverse pour les serveurs SMTP

Principaux avantages :

• Sécurité Il permet de bloquer les requêtes malveillantes, de chiffrer le trafic,
  et de protéger les serveurs backend contre les attaques directes.
• Performances Il répartit le trafic entrant entre plusieurs serveurs, ce qui évite la surcharge
  d'un seul serveur et garantit une meilleure disponibilité.
• Évolutivité Cette solution vous permet d'ajouter ou de supprimer des serveurs backend sans interruption de service,
  ce qui vous permet de gérer une augmentation du trafic.

Proxy inverse HTTP uniquement (couche 7)

Il existe plusieurs outils disponibles sur Internet ; après avoir effectué des recherches, nous avons dans un premier temps écarté ceux qui ne prennent en charge que le protocole HTTP (couche 7) :

PAS d'
Apache « Oh là là. Prenez le temps de vous familiariser avec les technologies que vous utilisez. Le courrier électronique utilise le protocole SMTP. Apache utilise le protocole HTTP. Apache ne connaît absolument rien au SMTP. Si vous souhaitez travailler avec des messages électroniques, vous aurez besoin d'une technologie qui utilise le protocole SMTP. » – EEAA a commenté le 18 août 2016 à 2 h 49

NO Caddy
« Caddy ne peut pas servir de proxy TCP, mais uniquement HTTP sur TCP. Utilisez un proxy inverse capable de servir de proxy TCP, comme Traefik, Nginx ou haproxy, ou utilisez ce plugin expérimental. » – ElevenNotes a commenté le 24 septembre 2024

Nous nous sommes ensuite concentrés sur les trois solutions recommandées dans les commentaires : « Traefik, NginX ou HAProxy », que nous avons installées et testées une par une.

Traefik était le premier choix.

La plupart des tutoriels commençaient par Docker, une plateforme que je souhaitais éviter pour privilégier une solution plus simple, éventuellement basée sur l'un des gestionnaires de paquets Linux, comme YUM pour les distributions basées sur RPM telles que Fedora et CentOS, ou APT (Advanced Package Tool), utilisé sur les distributions basées sur Debian comme Ubuntu et Debian.

Après de longues recherches, nous avons trouvé cet article récent, qui décrit le type d'installation que nous recherchions : Configurer Traefik en tant que service systemd.

Remarque : vous devez modifier les paramètres SELinux pour passer du mode « Enforcing » au mode « Permissive ».

Une fois encore, après avoir testé deux formations sur Udemy, nous avons trouvé cette excellente formation : Traefik Crash Course (sans Docker) Nous avons réussi à la faire fonctionner en reproduisant les exemples fournis. Vers la fin de la vidéo, l'excellent formateur a exprimé son désaccord total avec cet outil : Traefik Crash Course - 53:50 Résumé.
Cela nous a découragés de poursuivre les tests, ce qui nous a amenés à essayer autre chose.

NginX était le deuxième choix

Dans ce cas, l'installation a été plus simple, en utilisant YUM en bref :
yum install epel-release nginx nginx-mod-stream nginx-mod-mail
Remarque : dans SELinux, vous devez activer le relais :
setsebool -P httpd_can_network_relay 1

Pour cette formation, nous avons joué la carte de la sécurité en faisant appel au même formateur que lors du cours précédent : Cours accéléré sur NginX (la première partie se termine au bout d'environ une heure et vingt minutes). L'instructeur n'est d'ailleurs PAS convaincu par cette application, notamment par le fait qu'elle fait office à la fois de serveur web et de proxy inverse : Cours accéléré sur NginX - 1:20:10 Résumé.
Le rapport se termine par « Je préfère HAProxy à NginX », nous avons donc décidé d'essayer HAProxy également.

Enfin, nous avons également testé HAProxy.

L'installation s'est avérée être un jeu d'enfant, car il s'agit d'une application très courante, disponible dans tous les gestionnaires de paquets Linux, par exemple : yum install haproxy

Nous avons également consulté notre guide de référence : HAProxy Crash Course.

Ça fonctionne, mais malheureusement, cela ne convient PAS à l'authentification SMTP :
« Il n'est pas possible de configurer HAProxy de cette manière, car HAProxy ne prend pas du tout en charge le protocole SMTP. »
– lukastribus a commenté le 17 août 2023

Un serveur SMTP standard utilisé comme proxy inverse

À ce stade, après deux semaines de tests, nous avons réalisé qu'
il valait mieux utiliser un serveur SMTP standard comme proxy inverse pour d'autres serveurs SMTP.

Il remplit sa fonction, en utilisant uniquement le protocole SMTP, authentifie correctement les connexions,
et peut transférer les requêtes vers d'autres serveurs SMTP via la fonction « smarhost ».

Dans Postfix, dans le fichier main.cf, comme suit :
relayhost = [adresse_du_smarthost]:port

Dans Sendmail, dans le fichier sendmail.mc, comme suit :
define(`SMART_HOST',`mail.example.com')

Retour en haut de la page

Comment extraire des adresses e-mail

Il arrive parfois que vous ayez exporté des données depuis votre site web ou votre logiciel de gestion d'entreprise
contenant des informations sur les commandes ou les coordonnées des clients.
Peut-être n'aviez-vous besoin que de l'adresse e-mail et de la date de la commande.

Une solution consiste à importer toutes les données dans Excel, à supprimer les colonnes indésirables
et à exporter celles qui restent.

This may not work well if the email field also contains the email address description,
for example: “Dave Martin <davemartin@bogusemail.com>”.

Cela peut s'avérer fastidieux si vous devez répéter cette tâche à plusieurs reprises
ou si vous devez expliquer toutes les étapes à quelqu'un d'autre.

Extraire les données souhaitées à l'aide d'une « expression régulière »

Une expression régulière (souvent abrégée en « regex » ou « regexp »),
est une suite de caractères qui définit un motif de correspondance dans un texte.

Un cas très simple consiste à rechercher un mot orthographié de deux façons différentes dans un éditeur de texte,
l'expression régulière série[sz]e correspond à la fois à « serialise » et à « serialize ».

La syntaxe permettant d'identifier des éléments dans le texte présente une certaine complexité

• une adresse e-mail :
  [a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+
  source : Stack Overflow - Extraire une adresse e-mail à partir de chaînes de caractères à l'aide d'expressions régulières

• une date :
  \d{4}-\d{2}-\d{1,2}
  source : Stack Overflow - Expression régulière pour extraire une date d'une chaîne de caractères

Tutoriel sur les expressions régulières (Regex)

Vidéo YouTube recommandée
« 38 minutes bien employées, ça vaut vraiment le coup »:

Comment rechercher n'importe quel motif de texte
(à partir de la 25e minute, la syntaxe permettant d'extraire les adresses e-mail est expliquée)

Aide-mémoire pour l'utilisation des expressions régulières

Outil en ligne RegExr

Les expressions régulières sont généralement prises en charge
dans les éditeurs de texte avancés tels que Notepad++ ou Atom.

Il existe également des outils en ligne gratuits, dont notamment :
https://regexr.com - un service en ligne permettant d'apprendre, de créer et de tester des expressions régulières.

Explication de l'interface Web :
Le champ « Expression » contient la syntaxe d'expression régulière.
Le champ « Text » correspond au contenu que vous souhaitez analyser.
Le menu « Tools > List » affiche les résultats de l'extraction.

Exemple 1 : pour extraire uniquement l'adresse e-mail

Expression :
[a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+

Texte :

Dave Martin
615-555-7164
173 Main St., Springfield RI 55924
davemartin@bogusemail.com

Charles Harris
800-555-5669
969 High St., Atlantis VA 34075
charlesharris@bogusemail.com

Eric Williams
560-555-5153
806 1st St., Faketown AK 86847
laurawilliams@bogusemail.com

Outils > Liste :
$&\n

Résultat :

davemartin@bogusemail.com
charlesharris@bogusemail.com
laurawilliams@bogusemail.com

Exemple 2 : pour extraire l'adresse e-mail et la date

Expression :
","(.*?)([a-zA-Z0-9._-]+@[a-zA-Z0-9._-]+\.[a-zA-Z0-9_-]+)(.*?)",".*",(\d{2}\.\d{2}\.\d{4})

Texte :

"lorem ipsum dolor sit amet","Robert Farrell <rmfarrell@bogusemail.com>","",02.01.2024, ,5379,
"consectetur adipiscing elit","""Mesa, Rene <rmesa@bogusemail.com>""","",04.01.2024, ,20826,
"sed do eiusmod tempor incididunt","Antonio Bugan <antonio@bogusemail.com>","",04.01.2024, ,2856,
"ut labore et dolore magna aliqua","Crawley Down Tennis Club <hello@bogusemail.com>","",05.01.2024, ,4453,

Outils > Liste :
2, 4\n

Résultat :

rmfarrell@bogusemail.com,02.01.2024
rmesa@bogusemail.com,04.01.2024
antonio@bogusemail.com,04.01.2024
hello@bogusemail.com,05.01.2024

Aide-mémoire pour l'utilisation des expressions régulières

.       - Any Character Except New Line
\d      - Digit (0-9)
\D      - Not a Digit (0-9)
\w      - Word Character (a-z, A-Z, 0-9, _)
\W      - Not a Word Character
\s      - Whitespace (space, tab, newline)
\S      - Not Whitespace (space, tab, newline)

\b      - Word Boundary
\B      - Not a Word Boundary
^       - Beginning of a String
$       - End of a String

[]      - Matches Characters in brackets
[^ ]    - Matches Characters NOT in brackets
|       - Either Or
( )     - Group

Quantifiers:
*       - 0 or More
+       - 1 or More
?       - 0 or One
{3}     - Exact Number
{3,4}   - Range of Numbers (Minimum, Maximum)

source : extraits de code GitHub

Retour en haut de la page

Comment protéger les domaines « NO-MAIL »

La plupart des entreprises et des organismes publics enregistrent plusieurs noms de domaine.
Les entreprises achètent souvent plusieurs domaines pour parer aux erreurs des utilisateurs et protéger leurs marques.
Parfois aussi pour promouvoir des événements ou des projets qui méritent une visibilité particulière.

Le nombre de domaines peut varier de quelques dizaines à plusieurs centaines pour une seule activité.
Il va d'environ deux cents pour une municipalité d'une grande ville à plusieurs milliers pour Ferrari et Goldman Sachs.

Des chiffres vertigineux lorsqu'on considère le nombre total de domaines enregistrés,
qui, selon Verisign, s'élevait à 350 millions de noms de domaine à la fin de l'année 2022.

Bon nombre de ces domaines servent de « vitrine ». Aucune adresse e-mail n'est indiquée sur le site web.
Les demandes de contact sont généralement redirigées vers des formulaires à remplir ou vers les réseaux sociaux.

La gestion des envois d'e-mails, avec les authentifications requises (SPF, DKIM, DMARC, etc.), devient de plus en plus complexe.
C'est pourquoi, en général, un seul domaine est effectivement utilisé pour les communications officielles externes par e-mail.

Cependant, l'idée de protéger sa présence en ligne peut s'avérer être une arme à double tranchant.
Des « domaines vitrines » mal configurés peuvent facilement être exploités par des acteurs malveillants.

Ils abusent souvent de la notoriété de l'expéditeur pour gagner la confiance des destinataires et leur demander d'effectuer des actions
qui les exposent à des risques de divulgation d'informations confidentielles ou les incitent à ouvrir des liens et des pièces jointes.

Les destinataires risquent de compromettre la sécurité de leurs systèmes,
permettant ainsi à des groupes de cybercriminels d'y accéder depuis l'extérieur.

Les systèmes d'authentification complexes mentionnés ci-dessus présentent également des avantages.
Le protocole DMARC a été conçu pour lutter contre les faux e-mails,
afin d'empêcher des personnes ou des organisations non autorisées de se faire passer pour nos expéditeurs.

Une configuration rapide vous permet d'indiquer qu'un domaine donné n'est PAS utilisé,
afin d'avertir les destinataires de rejeter tout e-mail provenant de ce domaine.
Il suffit d'ajouter un enregistrement (une seule ligne) dans le DNS du domaine avec cette indication :

_dmarc.votredomaine.com. TXT "v=DMARC1; p=reject"

L'application de cette règle dépend du système qui reçoit les messages.
La bonne nouvelle, c'est que le protocole DMARC est une norme IETF approuvée depuis mars 2015.
La plupart des services de messagerie en ligne l'ont mis en œuvre pour protéger leurs utilisateurs.

Les messages provenant de domaines « NO-MAIL » seront automatiquement rejetés.

Ainsi, en plus de protéger votre entreprise contre les abus, vous éviterez que des « anciens » domaines, tels que
, qui ne sont plus autorisés à envoyer des e-mails ni authentifiés, ne soient utilisés par erreur.

Pourquoi les entreprises utilisent-elles les SMS ?

Le problème : des e-mails non lus, des appels sans réponse

La boîte de réception d'un e-mail regorge de messages qui se disputent l'attention du consommateur,
ce qui rend d'autant plus difficile pour les entreprises de se faire remarquer par leurs clients et prospects.

Il est de plus en plus difficile de convaincre quelqu'un de lire un e-mail important (ou même de le joindre au téléphone)
.

48 % des consommateurs ont plus de 50 messages non lus dans leur boîte de réception.
La plupart des consommateurs s'abstiennent de trier leurs messages non lus, si bien que les e-mails s'accumulent.
– source : ZipWhip « Pourquoi vos clients ne lisent plus vos e-mails » (pdf 15 Mo)

Certaines mises à jour sont urgentes et peuvent revêtir une importance cruciale. Leur envoi par e-mail comporte le risque
que le message ne soit pas lu ou qu'il atterrisse dans le dossier des spams.

À la question « Combien de comptes de messagerie possédez-vous ? », 77 % des personnes interrogées ont répondu « deux ou plus ».
En général, un seul est configuré sur le smartphone.

Il arrive de plus en plus souvent que l'on appelle des clients sans obtenir de réponse
ou que l'appel soit redirigé vers la messagerie vocale
.

97 % des consommateurs admettent ignorer les appels provenant d'entreprises et de numéros inconnus.
– source : ZipWhip « Pourquoi vos clients ne répondent plus au téléphone » (pdf 15 Mo)

La solution : envoie-moi un SMS

La pandémie de Covid-19 a entraîné une augmentation de l'utilisation des appareils électroniques,
64 % des personnes interrogées ont déclaré : « Je passe plus de temps sur mon téléphone ».

58 % des consommateurs affirment que les SMS constituent le moyen le plus efficace pour les entreprises de les joindre rapidement.
– source : ZipWhip State of texting 2021 (pdf 21 Mo)

Même dans le commerce électronique, où l'adresse e-mail est généralement requise pour s'inscrire,
certaines grandes entreprises, dont Amazon, offrent la possibilité de s'inscrire via son numéro de téléphone portable.

L'explication : cinq bonnes raisons d'envoyer des SMS

1. C'est immédiat
   Les SMS sont presque toujours lus, généralement quelques secondes après leur réception.
   Les taux d'ouverture dépassent le seuil des 95 % (sur ces 95 %, 90 % ont lieu dans les trois minutes suivant la réception).
   Les SMS sont courts et concis ; les communications sont essentielles et immédiates.

2. C'est simple :
   Ils n'ont pas besoin d'une connexion Internet pour parvenir à leur destinataire.
   Cela permet à votre marque d'atteindre des publics peu familiarisés avec les technologies.
   Le fonctionnement est similaire à celui des contenus vidéo (rapide, instantané, et pouvant tenir en 160 caractères).

3. C'est omniprésent
   Les SMS sont compatibles avec tous les téléphones mobiles de la planète, sans qu'il soit nécessaire d'installer de nouvelles applications.
   Le smartphone (ou le téléphone mobile de l'ancienne génération) est toujours à portée de main de son propriétaire, tout comme son portefeuille et ses clés de maison.
   Cela permet d'interagir avec un client où qu'il se trouve, via un canal fiable.

4. C'est peu coûteux
   L'envoi de SMS est peu coûteux.
   La longueur moyenne des messages envoyés ne dépasse pas 155 caractères (la limite est de 160 caractères par message).
   Utiliser les SMS en complément des appels téléphoniques ou des e-mails permet de gagner du temps lors de la communication avec les clients.

5. C'est interactif
   La communication s'effectue via un canal « non saturé » ; elle n'est ni « imposée » ni « stressante ».
   Les SMS sont perçus comme plus importants ; ils ont donc plus de chances d'être ouverts et lus. Ils ont également plus de chances de recevoir une réponse.
   Le langage utilisé dans les SMS est simple et favorise l'interaction. Les taux de réponse peuvent atteindre 45 %.

Comment gérer les e-mails rejetés

Les e-mails rejetés, ou simplement « rejets », sont les e-mails renvoyés automatiquement
par un MTA (Mail Transfer Agent) à l'expéditeur,
pour l'informer que le message n'a PAS été correctement reçu par le destinataire

L'objet est généralement « Courrier renvoyé : voir le détail pour plus d'informations ».
Les informations explicatives relatives au rejet, à savoir un code accompagné d'une description, se trouvent dans le corps du message.

Le « code d'état » devrait clairement identifier le type d'erreur à l'origine du renvoi
mais souvent, les codes et les descriptions utilisés par chaque fournisseur de services de messagerie
doivent être analysés et interprétés pour classer correctement le rebond.

• Quels sont les risques liés aux e-mails rejetés ?
  • on ne peut pas les ignorer
  • vous devriez en comprendre le sens
  • vous devriez savoir comment fonctionne la gestion des rebonds
• Vérifiez le nombre de rebonds
• Nouvelles tendances en matière de gestion des rebonds
• Codes d'état des messages rejetés

Quels sont les risques liés aux e-mails rejetés ?

L'envoi de courriers électroniques à des destinataires erronés ou inactifs est considéré comme un « comportement de spammeur ».

on ne peut pas les ignorer

Si vous souhaitez atteindre le reste de votre liste, il vaut mieux cesser d'envoyer des messages à la partie « indésirable » de celle-ci.
On parle parfois d'« hygiène de liste ».

vous devriez en comprendre le sens

Il existe trois types de notification d'état de livraison (DSN) : Réussite - L'e-mail a été remis (la notification n'est envoyée que si l'expéditeur en a fait la demande)
Rebond définitif (Hard Bounce) - Une erreur permanente s'est produite
Rebond temporaire (Soft Bounce) - Une erreur temporaire s'est produite

Rebond définitif (code d'état 5.XXX.XXX) : l'adresse e-mail a généré une erreur permanente
telle que « 550 5.1.1 … Utilisateur inconnu » ou « 5.1.2 … Hôte inconnu »
Une erreur permanente indique que vous ne devez plus jamais envoyer de message à ce destinataire.
Un seul message rejeté devrait déclencher le blocage de l'adresse e-mail.

soft bounce (code d'état 4.XXX.XXX) : l'adresse e-mail a généré une erreur temporaire
telle que « 452 4.2.2 … Boîte de réception pleine »
Une erreur temporaire indique que vous pouvez réessayer l'envoi ultérieurement.
Au moins trois messages rejetés, à quelques jours d'intervalle, devraient déclencher le blocage de l'adresse e-mail.

vous devriez savoir comment fonctionne la gestion des rebonds (et comment la paramétrer)

• Tous les messages renvoyés sont téléchargés par une application
  elles sont mises à disposition pour être examinées par l'utilisateur, soit via l'interface de l'application, soit via un fichier JSON
  
  
  
• La classification suit certaines règles, qui peuvent être modifiées
  
  
  
• Ces options permettent de définir à quel moment les « soft bounces » seront reclassés en « hard bounces »
  
  

» Retour en haut de la page

Vérifiez le nombre de rebonds

Parfois, une erreur de configuration tant du côté de l'expéditeur que du côté du destinataire
peut entraîner un « soft bounce » voire un « hard bounce ».

Une bonne habitude consiste à vérifier le nombre de messages rejetés au cours de la semaine écoulée
pour voir si les chiffres sont identiques à ceux des semaines précédentes ou s'il y a des anomalies.
Si quelque chose ne va pas, vous vous en rendrez compte immédiatement. Consulter les détails des rejets vous aidera à en déterminer la cause.

Certains systèmes vous permettent de définir le nombre de jours (par exemple 180)
au bout desquels les informations relatives aux messages non remis d'un abonné sont supprimées.
De cette manière, le serveur SMTP tentera de recontacter ce destinataire.

Les blocages activés par erreur seront automatiquement supprimés
mais la réputation du serveur SMTP pourrait en pâtir.

» Retour en haut de la page

Nouvelles tendances en matière de gestion des rebonds

En un mot : mieux vaut prévenir que guérir.

Pour éviter de nuire à la réputation de leurs serveurs SMTP,
de plus en plus de fournisseurs de services de messagerie (ESP) ont recours à une «liste de suppression des e-mails »
qui intervient avant que les messages n'atteignent la boîte de réception du destinataire.

Lorsqu'un client envoie un e-mail qui génère un rebond définitif,
l'adresse e-mail à l'origine du rebond est ajoutée à la liste de suppression.

La liste de suppression s'applique à tous les clients. En d'autres termes,
si un autre client tente d'envoyer un e-mail à une adresse figurant sur la liste de suppression,
le serveur SMTP ne l'enverra pas, car l'adresse e-mail est supprimée.

L'utilisation de serveurs SMTP dotés d'une adresse IP dédiée permet d'éviter certains problèmes liés au partage de réputation.
Par exemple, la « liste de suppression des e-mails » ne peut concerner que votre adresse IP,
de sorte que si un autre client entraîne la mise sur liste noire du serveur SMTP et les retours de courrier qui en découlent,
vos envois ne seront pas affectés.

» Retour en haut de la page

Codes d'état des messages rejetés

Les codes d'état utilisés pour identifier les rejets définitifs et les rejets temporaires ont la syntaxe suivante :
code-état = classe « . » objet « . » détail

Les codes d'état se composent de trois chiffres séparés par un « . »

• le premier sous-code (classe) indique si la tentative de distribution a abouti
• le deuxième sous-code (objet) indique la source probable de toute anomalie de livraison
• le troisième sous-code (détail) indique une condition d'erreur spécifique

Le sous-code (classe) fournit une classification générale du statut.
Les valeurs répertoriées pour chaque classe sont définies comme suit dans les RFC 3463 et RFC 6522:

2.XXX.XXX Réussite (N'est PAS envoyé sauf si l'expéditeur en fait la demande)
Le code « Réussite » indique que le DSN signale une opération de remise positive. 
Des sous-codes détaillés peuvent fournir des informations sur les transformations nécessaires à la remise.

4.XXX.XXX Échec transitoire persistant
Un échec transitoire persistant est un échec dans lequel le message tel qu'il a été envoyé est valide, 
mais où la persistance d'une condition temporaire a entraîné l'abandon ou le retard des tentatives d'envoi du message. 
Si ce code accompagne un rapport d'échec de livraison, l'envoi ultérieur pourrait aboutir.

5.XXX.XXX Échec permanent
Un échec permanent est un échec qui ne sera probablement pas résolu par un renvoi du message sous sa forme actuelle. 
Une modification du message ou de la destination doit être effectuée pour que la livraison aboutisse.

Quelques exemples de code et de descriptions :

2.0.0 : Envoyé (message accepté pour distribution)

4.2.2 : Limite dépassée
4.4.5 : Espace disque insuffisant

5.0.0 : Nom de domaine invalide
5.1.1 : Utilisateur inconnu
5.7.1 : Contenu du message rejeté

» Retour en haut de la page

Comment vérifier si mon serveur SMTP est sécurisé

Avec la multiplication des attaques par ransomware dans les années 2020
le courrier électronique, notre principal moyen de communication sur Internet, est-il sûr ?

Les serveurs SMTP constituent une infrastructure particulièrement sensible.
Ils peuvent diffuser des messages électroniques en notre nom,
que nos interlocuteurs acceptent comme provenant d'expéditeurs de confiance
car ils sont correctement authentifiés par le serveur d'envoi.

Les serveurs SMTP constituent une infrastructure particulièrement sensible.
Ils acheminent des messages électroniques en notre nom,
que nos interlocuteurs considèrent comme provenant d'expéditeurs de confiance
car ils sont correctement authentifiés par le serveur SMTP de l'expéditeur.

Que se passe-t-il si quelqu'un d'autre utilise votre serveur SMTP ?
Comment vérifier si mon serveur SMTP est sécurisé ?

L'utilisation d'infrastructures sensibles sur Internet
nécessite un niveau élevé de protection afin d'éviter tout abus.

Si vous essayez d'envoyer des messages via smtp.gmail.com
, vous serez bloqué et recevrez cette « alerte de sécurité critique » :

Application moins sécurisée bloquée  
Google a bloqué l'application que vous essayiez d'utiliser 
car elle ne respecte pas nos normes de sécurité. [...]

La seule alternative consiste à utiliser OAuth2, un protocole qui ne transmet pas les mots de passe
mais qui utilise plutôt des jetons d'autorisation pour vérifier l'identité.

Les serveurs de messagerie les plus utilisés sur Internet (données d'août 2021) sont :
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Pour continuer à utiliser votre propre serveur de messagerie
et réduire ainsi le risque de piratage, voici les conditions minimales à vérifier :

1. n'accepter que les authentifications sécurisées
   le nom d'utilisateur et le mot de passe doivent être transmis via des connexions sécurisées,
   généralement le port 587 avec TLS , le port 25 avec TLS ou le port 465 avec SSL
   les communications de données sensibles en texte clair sont désactivées

2. Il faut vérifier l'adresse « Mail-From » (l'expéditeur),
   Seules les personnes que vous avez autorisées pourront passer

3. Configurez Fail2ban pour bloquer toutes les attaques externes
   afin d'empêcher toute tentative de contournement de vos protections.
   Fail2ban doit notamment bloquer toutes les tentatives répétées :

• en se connectant avec un nom d'utilisateur ou un mot de passe erroné
• pour envoyer des e-mails en se faisant passer pour un expéditeur non autorisé
• pour interrompre la connexion SMTP pendant le processus d'authentification
  (des connexions interrompues à plusieurs reprises rendent le service SMTP indisponible pour les utilisateurs légitimes)

Le blocage intervient généralement après trois à dix tentatives
et entraîne l'interdiction de l'adresse IP d'origine pendant trois à vingt-quatre heures.

Il est assez facile de vérifier ces points et de déterminer si
votre infrastructure SMTP nécessite une mise à niveau de sécurité.

Fail2ban protège votre serveur contre les attaques par force brute et les attaques DDoS.
C'est un peu comme si, lorsqu'un inconnu frappait à la porte,
après un certain nombre de coups, la porte disparaissait.

Un témoignage tiré de Hacker News:

Je gère mon propre serveur de messagerie depuis plusieurs années et je pense que beaucoup d'autres ici 
utilisent des solutions comme Mail-in-a-box, mailcow, Mailu, etc.

Jusqu'à l'arrivée du coronavirus, je n'avais jamais eu de gros problèmes avec mon serveur de messagerie, mais ces dernières semaines, 
j'ai reçu un trafic entrant très important – c'était trop pour mon serveur et je devais le redémarrer manuellement à chaque fois...

[...] Edit : j'ai modifié mes paramètres fail2ban et j'ai découvert que j'étais principalement la cible 
d'attaques par force brute contre lesquelles je devrais pouvoir me protéger avec des outils comme fail2ban

Fail2ban est un outil d'analyse des journaux qui surveille les journaux système
à la recherche de signes indiquant une attaque automatisée.

Lorsqu'une tentative d'attaque est détectée, à l'aide des paramètres définis,
Fail2ban ajoute une nouvelle règle au pare-feu (iptables ou firewalld)
afin de bloquer l'adresse IP de l'attaquant, soit pour une durée déterminée, soit de manière permanente.
Fail2ban peut également vous avertir par e-mail qu'une attaque est en cours.

Fail2ban est principalement destiné à lutter contre les attaques SSH, mais il peut être configuré davantage
pour fonctionner avec n'importe quel service utilisant des fichiers journaux et susceptible d'être compromis.

Il est très répandu. En effectuant une recherche sur Google, on trouve facilement
des exemples de configuration permettant de sécuriser les serveurs de messagerie.

Paramètres DNS pour l'envoi d'e-mails

Quels sont les paramètres DNS du domaine nécessaires pour envoyer des e-mails ?

Les fournisseurs de messagerie exigent généralement que vous validiez le domaine de l'expéditeur
avant de pouvoir utiliser leurs serveurs SMTP. Il y a deux raisons à cela :

1. Prouver la propriété d'un domaine
   En gérant le DNS, vous prouvez que vous contrôlez le domaine de l'expéditeur
   Cela signifie que vous n'utilisez pas le domaine d'une autre personne (usurpation d'identité)

2. Envoi d'e-mails authentifiés
   En configurant l'authentification SPF et DKIM, vos messages
   sont reconnus par les destinataires comme provenant d'un « véritable » expéditeur
   Si votre domaine et votre fournisseur SMTP jouissent d'une bonne réputation
   les messages devraient arriver dans la boîte de réception des destinataires

Résumé :

• Fournisseurs de services de messagerie électronique : exigences applicables aux expéditeurs vérifiés
• Pourquoi est-il si important que l'expéditeur soit vérifié ?
• Qu'est-ce que l'alignement de domaine ?
• Enregistrement CNAME ou enregistrement TXT : lequel est le meilleur ?
• Qu'est-ce qu'une adresse IP dédiée ?
• Devrions-nous gérer directement les paramètres DNS du domaine de l'entreprise ?

Fournisseurs de services de messagerie électronique : exigences applicables aux expéditeurs vérifiés

Vous trouverez ci-dessous certains des principaux fournisseurs que nous avons testés, classés par ordre alphabétique.
Fin juillet 2021, nous avons testé les paramètres de base nécessaires pour commencer à envoyer des e-mails.
Le domaine vérifié était « emailperfect.com ». Il a été enregistré en 2012 et n’avait jamais été utilisé pour envoyer des e-mails auparavant.

* = Nous avons envoyé un message à chacune des boîtes mail suivantes et avons noté si quelque chose nous incitait à vérifier à nouveau :
Gmail, Hotmail, Yahoo, GMX, Aruba, Tiscali, Exchange Online

Pourquoi est-il si important que l'expéditeur soit vérifié ?

En 2021, nous estimons qu’il est indispensable que le domaine de l’expéditeur soit authentifié
afin que le destinataire sache que l’adresse e-mail de l’expéditeur n’a pas été falsifiée.
La vérification préventive de l’authentification réduit également considérablement le risque d’abus des systèmes d’envoi.

C'est pourquoi nous avons « supprimé » un fournisseur de la liste :
Il n'exige pas de validation de domaine avant d'autoriser l'envoi de messages.

Qu'est-ce que l'alignement de domaine ?

Lorsqu'on envoie un message, on a affaire à deux domaines :

1. dans l'adresse « De » de l'expéditeur, qui est visible par les destinataires
2. dans l'adresse « Mail-From » (également appelée « expéditeur de l'enveloppe » ou « return-path »),
   qui est masquée et gérée directement par le fournisseur de services de messagerie (ESP) afin de recevoir les e-mails rejetés

L'exigence d'« alignement des domaines » est résumée dans cette phrase :
« lorsqu'un expéditeur authentifie son e-mail à l'aide de SPF et/ou DKIM,
au moins l'un des domaines doit correspondre au domaine d'expédition (From) »

Enregistrement CNAME ou enregistrement TXT : lequel est le meilleur ?

Pour l'authentification DKIM, un enregistrement CNAME est plus simple à mettre en place.
On peut obtenir le même résultat en ajoutant un enregistrement TXT de 2048 bits, mais cette méthode est plus complexe.
De plus, la délégation de l'enregistrement DKIM via CNAME permet à votre fournisseur
de modifier sa clé si nécessaire pour des raisons de sécurité.

Dans le cadre de l'authentification SPF utilisant un enregistrement CNAME, l'adresse « Mail-From »
sera un sous-domaine géré par votre fournisseur de messagerie, par exemple : bounce.nom-de-votre-entreprise.org.
Le fournisseur se chargera à la fois de l'authentification SPF et du traitement des messages rejetés.

L'enregistrement TXT pour l'authentification SPF est la meilleure option avec des serveurs de messagerie tels que Zimbra ou Exchange,
où chaque expéditeur reçoit directement les messages rejetés.
Il n'existe qu'un seul enregistrement TXT pour l'authentification du domaine,
ce qui peut compliquer la gestion si vous administrez plusieurs serveurs SMTP.

Qu'est-ce qu'une adresse IP dédiée ?

L'« adresse IP » (
) est comparable à un numéro de téléphone fixe ou mobile.

La plupart des services SMTP fournissent des adresses IP « partagées » à leurs clients.
À chaque envoi de mailing, une adresse IP différente est attribuée.

Une « adresse IP dédiée » signifie que l'adresse IP utilisée pour l'envoi de vos e-mails restera inchangée au fil du temps.
Cela vous offre un excellent contrôle sur la réputation de l'expéditeur, qui ne peut pas être compromise par l'utilisation de cette adresse par d'autres.

Devrions-nous gérer directement les paramètres DNS du domaine de l'entreprise ?

Pas forcément, car cela demande certaines compétences techniques.

La direction de l'entreprise doit savoir que quelques modifications des paramètres DNS
peuvent avoir de graves conséquences, telles que :

• rediriger les visiteurs du site Web vers un autre serveur Web
• rediriger les messages entrants vers un autre serveur de messagerie
• perturber l'authentification des e-mails afin que les messages soient considérés comme du spam ou rejetés

» Retour en haut de la page

Comment gérer les listes de diffusion

Comment gérer les listes de diffusion de manière proactive ?

1. Tout d'abord : pourquoi utiliser un gestionnaire de listes de diffusion ?
   
   Les systèmes CRM (tels que Salesforce et Microsoft CRM)
   et les messageries professionnelles (telles qu'Office 365 et Google Apps Gmail)
   ne sont pas adaptés aux envois en masse.
   
   Ils ont été conçus pour une communication individuelle.
   Souvent, pour éviter les abus, ils imposent des limites quotidiennes d'envoi.
   
   Il arrive souvent que les entreprises doivent envoyer des e-mails à la plupart de leurs contacts ou à certains groupes sélectionnés.
   Les envois en masse doivent être gérés à l'aide de systèmes dédiés,
   capables de traiter de grandes quantités de messages et de gérer les désabonnements automatiques.

2. Deuxième étape : où trouver ces solutions ?
   
   La réponse la plus simple est de se tourner vers les offres « SaaS » (Software as a Service)
   (Mailchimp est le système le plus connu ; Inxmail, moins connu, est utilisé par les grandes entreprises).
   
   Le choix entre une installation locale et des services cloud est toujours important.
   Nous pensons que l'option locale permet de « reprendre le contrôle de ses e-mails », ce que nous encourageons.
   
   Même si vous décidez d'utiliser une application auto-hébergée dans le cloud,
   cela vous permet de changer facilement de fournisseur tout en conservant la même solution.

3. Trois solutions méritent d'être mentionnées :
   

• Sendy est un logiciel abouti, mais il s'agit d'un logiciel « à code source fermé » et payant.
  
  
• Listmonk est un logiciel libre. La version 1 a été publiée en 2021. Il a été développé en Go,
  Il est fourni sous forme de binaire autonome et sa seule dépendance est une base de données Postgres. Sur GitHub, il compte 5 400 étoiles.
  
  
• Mailtrain est également un logiciel libre. La première version a été publiée en 2016, la version 2 en 2021.
  Il utilise une base de données MySQL. Sur GitHub, il compte 4 800 étoiles.

À la recherche d'une interface épurée, d'une solution axée sur les listes, facile à gérer
et à restaurer en cas de problème, nous avons estimé que Listmonk était le meilleur choix.

listmonk est un gestionnaire de listes de diffusion et de newsletters auto-hébergé et hautement performant.
Il est fourni sous forme de binaire autonome et ne nécessite qu'une base de données Postgres.

Premières étapes de la demande

Voici l'annonce originale publiée sur Hacker News:

knadh, le 12 juillet 2019 [–]

C'est l'auteur qui parle. Pour vous donner un peu de contexte sur les raisons qui ont motivé la création de listmonk, au travail (dans le secteur financier réglementé), 
nous devons envoyer régulièrement des e-mails, principalement des mises à jour importantes, à plus de 1,5 million de clients. 
Nous avons utilisé phpList pendant très longtemps, puis nous avons essayé MailTrain et Sendy avant de finalement décider de réinventer la roue 
après avoir rencontré un certain nombre de problèmes, dont quelques-uns, parmi les plus importants, sont mentionnés ci-dessous.

- Performances. Des délais d'envoi d'e-mails déraisonnablement longs. 
  phpList s'est dégradé au point de mettre plusieurs jours à traiter une campagne. 
  listmonk peut lancer N goroutines (~threads) et envoyer des e-mails vers plusieurs serveurs SMTP. 
  Sur une instance EC2 standard, nous sommes capables d'envoyer plus de 1,5 million d'e-mails en quelques heures.

- L'importation d'abonnés était extrêmement lente. L'intégration directe pour synchroniser les abonnés avec des CRM externes était fastidieuse. 
  Les insertions directes dans la base de données étaient compliquées en raison de la complexité des structures de tables. listmonk importe 10 000 enregistrements par seconde dans une base de données Postgres sur une instance EC2 standard.

- Segmentation. Nous devons souvent segmenter rapidement les utilisateurs en fonction d'attributs et de conditions personnalisés, puis leur transmettre une mise à jour. 
  listmonk prend en charge les expressions SQL pour segmenter les utilisateurs en fonction de leurs attributs, qui sont définis comme des mappages JSON arbitraires (grâce au type JSONB de Postgres).

- Absence de modèles dynamiques. Les modèles listmonk prennent en charge les expressions de modèle Go, ce qui permet d'écrire de la logique dans les messages pour les rendre dynamiques.

Kailash Nadhisest un développeur très actif dans le domaine des logiciels libres (FOSS).
Il travaille chez Zerodha, la plus grande société de courtage en Inde.
Le blog de l'équipe technique de Zerodha est publié sur zerodha.tech.

Les détails

Listmonk dispose d'une documentation complète pour une utilisation standard (via l'interface Web) et pour les développeurs (via l'API).

Cette solution convient aussi bien aux listes volumineuses (pouvant compter jusqu'à plusieurs millions d'abonnés) qu'aux petits groupes.
Grâce à la fonctionnalité de recherche et de segmentation des abonnés,
elle vous permet de rechercher et d'exporter une sélection d'abonnés en fonction de leurs profils et de leurs caractéristiques.
Les données extraites peuvent être facilement importées dans une nouvelle liste de diffusion ciblée.

Il manque certaines fonctionnalités importantes, comme la gestion des e-mails rejetés.
Mais cela devrait être disponible dans la prochaine version majeure :
Traitement des e-mails rejetés #166
Aperçu de la capture d'écran du traitement des e-mails rejetés

Considérations techniques

Nous avons déjà utilisé une autre application Go par le passé : RealSender - DMARC REPORTS.
Source : dmarc-report-converter. Elle a fonctionné immédiatement, sans aucun problème.

« Le système de gestion de bases de données PostgreSQL, fort de plus de vingt ans de développement, 
est aujourd’hui la base de données open source la plus avancée qui soit. »
-- Une brève histoire de PostgreSQL - https://www.postgresql.org/docs/9.3/history.html

Nous en avons eu un petit aperçu lorsque nous avons travaillé par le passé sur l'installation du serveur Inxmail Professional.
En 2017, Inxmail GmbH a annoncé qu'elle ne prendrait plus en charge que PostgreSQL, abandonnant toutes les autres bases de données :

À compter du 1er janvier 2019, nous nous concentrerons sur une infrastructure technique optimale et cesserons d'assurer le support 
des serveurs Windows ainsi que des bases de données MySQL, Oracle et MS SQL Server.
Cela signifie que nous n'assurerons plus le support que pour Inxmail Professional fonctionnant sur des serveurs Linux et PostgreSQL.
-- Solution de licence Inxmail Professional : modifications de notre support système
   https://www.inxmail.de/files/files/de/downloads/Inxmail-Professional-licence-solution-EN.pdf

C'est sans aucun doute un excellent choix et un investissement dans des connaissances précieuses pour les débutants.
Les cours en ligne d'Udemy peuvent vous aider pour l'installation initiale et la maintenance de PostgreSQL.

L'open source comporte des risques : un projet récent, lancé en 2019, sera-t-il maintenu à l'avenir ?
Personne ne le sait ; dans le pire des cas, un autre développeur s'en chargera peut-être, mais :

• il semble essentiel de par ses caractéristiques, mais s'il est trop complexe, il devient difficile à entretenir
• Nous avons envoyé un rapport de bogue concernant Listmonk et avons reçu une réponse du développeur en moins de deux heures
• L'auteur travaille dans une grande entreprise qui l'utilise en interne

Délivrabilité des e-mails

Délivrabilité des e-mails, questions et réponses :

hemancuso, le 12 juillet 2019 [–]
Des projets comme celui-ci semblent être une excellente idée, mais la délivrabilité semble poser un problème majeur, 
difficile à évaluer à moins de disposer d'une expérience suffisante.
Quelles sont les meilleures pratiques pour utiliser/choisir un ESP 
si l'on devait mettre en place un projet de ce type et que l'on souhaite garantir une délivrabilité raisonnable ?

knadh le 12 juillet 2019 [–]
C'est l'auteur qui parle. Nous utilisons ListMonk en production au sein de notre entreprise (secteur financier réglementé) 
pour envoyer des mises à jour par e-mail, y compris des communications réglementaires, depuis plus de 6 mois. 
Nous hébergeons nos propres instances SMTP à l'aide de Postal sur des instances EC2 et n'avons jamais rencontré de problèmes de délivrabilité. 
S'il s'agit d'e-mails légitimes, je ne pense pas que ce soit un gros problème.

Nous sommes d'accord sur le fait que l'envoi de communications régulières aux clients devrait permettre d'éviter la plupart des problèmes de livraison.
D'après notre expérience, plus le nombre est élevé, plus le risque de rencontrer des difficultés est grand.
Les serveurs AWS EC2 sont souvent mis sur liste noire par Gmail : tous les messages envoyés sont acheminés vers le dossier « Spam ».

RealSender propose des serveurs SMTP à adresse IP dédiée,
qui fonctionnent dans un environnement fiable et surveillé en permanence.

À propos du nom

goberoi, le 13 juillet 2019 [–]
Question un peu hors sujet : comment as-tu choisi ce nom ?

knadh, le 13 juillet 2019 [–]
Je ne m'en souviens pas très bien, mais je crois que l'idée était quelque chose comme 
« une gestion de listes simple et sereine ».

Essayons

Vous pouvez obtenir une installation de démonstration opérationnelle en quelques minutes à l'aide de l'image Docker.
Vous pouvez également demander un compte de démonstration ListMonk auprès de RealSender.

» Retour en haut de la page

Comment envoyer des newsletters

Une fois la liste mise sur liste noire, le service client d'un grand fournisseur de services anti-spam répond souvent :
« Veuillez vérifier la qualité de votre liste afin de vous assurer que les destinataires sont intéressés par vos envois. »

Les notions d’« hygiène des listes » et d’« intérêt des destinataires » revêtent de nombreuses facettes :

A - du côté de la MACHINE - « l'hygiène des listes »

1. une gestion efficace des inscriptions et des désinscriptions
   l'abonné doit avoir validé son adresse e-mail (double opt-in),
   les destinataires doivent pouvoir se désabonner facilement et en toute sécurité (opt-out)

2. Envoyez vos messages uniquement aux destinataires « actifs » et pleinement engagés
   N'envoyez pas de messages à plusieurs reprises aux destinataires dont l'adresse est erronée ou dont la boîte de réception est pleine
   Cessez d'envoyer des messages aux destinataires inactifs ; leur absence d'interaction est un signe évident de désintérêt

3. le contenu doit être correctement structuré (il ne doit pas s'agir d'une simple image) et « adaptatif », afin d'être lisible sur différents appareils
   sinon, les filtres anti-spam risquent de bloquer le message avant qu'il n'atteigne la boîte de réception du destinataire

4. assurez-vous que les serveurs reconnaissent l'expéditeur
   L'authentification des e-mails permet aux serveurs de messagerie destinataires d'identifier les messages comme provenant d'expéditeurs de confiance

B - du point de vue HUMAIN - « l'intérêt des bénéficiaires »

1. Les abonnés doivent pouvoir compter sur le contenu qu'ils reçoivent
   Les destinataires doivent attendre votre message avec impatience et l'apprécier

2. Les réponses des utilisateurs doivent être gérées
   Il arrive parfois qu'un problème survienne ou qu'un destinataire ait simplement besoin de vous contacter,
   peut-être juste pour vous indiquer qu'il ne souhaite plus recevoir de messages, même s'il existe un lien de désabonnement

Côté MACHINE - « hygiène des listes »

Les points énumérés ci-dessus peuvent être facilement gérés pour les petites listes, comptant quelques centaines de destinataires.
Souvent, l'expéditeur les connaît personnellement, car il s'agit de clients ou de membres d'une association.

Les choses se compliquent lorsque la liste est plus longue, avec des milliers de destinataires
et que davantage de personnes travaillent sur les envois.
Dans ce cas, il est indispensable d'utiliser des outils professionnels.

On trouve sur Internet de nombreuses solutions professionnelles pour le marketing par e-mail,
la plus connue à l'échelle internationale est MailChimp
de nombreux sites web proposent également une liste d'alternatives à MailChimp.

La mission d'EmailTrends est de « reprendre le contrôle de ses e-mails »,
C'est pourquoi nous vous proposons une autre solution.

Selon W3Techs, WordPress alimente 40 % de tous les sites web sur Internet
et c'est la technologie la plus populaire sur l'ensemble d'Internet dans la catégorie Open Source.

Avec plus de 200 000 installations actives, Mailpoet
est l'un des plugins WordPress les plus utilisés pour les newsletters.

MailPoet est un logiciel libre et, depuis fin 2020,
fait partie des sociétés liées à Automattic, la société mère de WordPress.

Voici quelques captures d'écran qui vous donneront une idée de la manière dont ces différents points sont pris en compte :

Mailpoet propose un modèle économique « freemium », qui vous permet de choisir l'option suivante :
« Je veux simplement la version Premium sans envoi ».

Le serveur SMTP dédié RealSender peut être configuré via l'option « Envoyer avec… > Autre ».
Le plugin « Bounce Handler MailPoet », associé aux boîtes aux lettres de newsletter fournies par RealSender
, garantira l'authentification correcte des e-mails envoyés.

» Retour en haut de la page

Côté HUMAIN - « l'intérêt des bénéficiaires »

L'aspect humain est plus difficile à mettre en place,
c'est aussi ce qui fait toute la différence
lorsque la gestion technique n'est pas parfaite.

« BE RELEVANT »
est un slogan utilisé il y a quelques années dans le domaine du marketing par e-mail.

Lorsque vous envoyez des informations précieuses à des personnes
que vous connaissez bien après avoir longuement discuté avec elles,
peu importe que la mise en page soit mauvaise
ou que le message atterrisse dans le dossier des spams.

Ils pardonneront toujours les imperfections techniques,
ils attendront vos e-mails, les liront
et cliqueront sur le bouton « Ce n'est pas un spam » si nécessaire.

» Retour en haut de la page

Comment envoyer des e-mails privés

Comment envoyer des e-mails privés et cryptés ?

Le courrier électronique n'est ni confidentiel ni sécurisé.
Il n'a pas été conçu dans un souci de confidentialité ou de sécurité.

Toute personne qui intercepte votre e-mail pendant son acheminement peut le lire,
qu'il s'agisse de votre FAI, d'un pirate informatique ou de la NSA (Agence nationale de sécurité américaine).

Résumé :

• Confidentialité des e-mails : ce qu'il en est aujourd'hui
• sur le plan « juridique »
• du côté « illégal »
  
  
• Confidentialité des e-mails : les défis
• Anonymat et confidentialité
• Chiffrement de bout en bout
  
  
• Confidentialité des e-mails : les solutions
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

que se passe-t-il aujourd'hui ?

sur le plan « juridique »

« La valeur d’une information ne se révèle que lorsqu’on peut la relier
à une autre information qui apparaîtra plus tard.
Comme on ne peut pas relier des points qui n’existent pas, cela nous pousse à adopter une attitude
qui consiste fondamentalement à tout collecter et à tout conserver indéfiniment. »

• - Gus Hunt, de la CIA, s'exprime sur le Big Data dans The Huffington Post
• - Gus Hunt, de la CIA, parle du Big Data, sur YouTube

« Ils ont dit que ce n’étaient que des métadonnées, juste des métadonnées, […]
avec qui vous communiquez, quand vous communiquez avec eux, où vous avez voyagé.
Ce sont tous des événements liés aux métadonnées.
PRISM concerne le contenu. […] Ils peuvent tous le voir parce qu’il n’est pas crypté. »

• - Edward Snowden - TED 2014

Des dizaines d'études psychologiques démontrent
que lorsqu'une personne sait qu'elle est susceptible d'être surveillée,
son comportement devient nettement plus conformiste et docile.
[…] la surveillance de masse crée une prison mentale […]

• - Glenn Greenwald - TEDGlobal 2014

du côté « illégal »

Les escrocs peuvent également utiliser des logiciels malveillants pour s'infiltrer dans le réseau informatique d'une entreprise
et accéder aux échanges d'e-mails concernant des questions financières.

• - Centre de ressources sur la fraude - Usurpation d'identité par e-mail professionnel

La fraude par e-mail d'entreprise (BEC) — également appelée « compromission de compte de messagerie » (EAC)
— est l'un des délits en ligne les plus coûteux sur le plan financier.
Dans le cadre d'une escroquerie de type BEC, les criminels envoient un e-mail qui semble provenir d'une source connue
et formulent une demande légitime […]

• - Escroqueries et sécurité - Usurpation d'identité par e-mail professionnel

Retour en haut de la page

les défis

Anonymat et confidentialité

L'anonymat est différent de la confidentialité
[…] nous cryptons les messages
de sorte que même si quelqu'un voit que nous avons envoyé un message
il ne puisse pas en lire le contenu
mais parfois, nous ne voulons même pas que l'on sache que nous avons envoyé un message

• - Comment fonctionne TOR - Computerphile

Il est difficile de préserver son anonymat sur Internet.
Cela nécessite une connaissance approfondie des outils que vous choisissez d'utiliser.

Ce guide vous donnera peut-être une idée de sa complexité :
Fournisseurs de messagerie privés

Il est plus facile d'obtenir la confidentialité.

Même si vous n'avez rien à cacher, le recours au chiffrement
contribue à protéger la vie privée de vos interlocuteurs
et complique la tâche des systèmes de surveillance de masse.

Si vous avez quelque chose d'important à cacher, vous n'êtes pas le seul ;
ce sont les mêmes outils que ceux utilisés par les lanceurs d'alerte pour protéger leur identité
tout en mettant en lumière les violations des droits de l'homme, la corruption et d'autres crimes.

La première étape essentielle consiste à vous protéger
et à compliquer autant que possible la surveillance de vos communications.

• - L'autodéfense par e-mail : un guide pour lutter contre la surveillance grâce au chiffrement GnuPG

Chiffrement de bout en bout

Le chiffrement de bout en bout (e2ee) des e-mails permet de garantir
que seuls l'expéditeur et les destinataires d'un message puissent en lire le contenu.

Sans cette protection, les administrateurs réseau,
les fournisseurs de messagerie électronique et les organismes publics peuvent facilement lire vos messages.

La mise en place d'un chiffrement de bout en bout (e2ee) exige une grande vigilance tant de la part de l'expéditeur que des destinataires.
Une seule erreur de la part de l'une des parties concernées peut suffire à compromettre la sécurité du chiffrement de bout en bout.

Les métadonnées des e-mails, telles que l'adresse e-mail de l'expéditeur, celle du destinataire, la date et l'heure, ne peuvent pas être protégées par le chiffrement de bout en bout (e2ee).
L'objet de l'e-mail peut également rester non protégé et facilement lisible, même lorsque le chiffrement de bout en bout (e2ee) est utilisé.

• - Qu'est-ce que le chiffrement de bout en bout dans Thunderbird ?

Retour en haut de la page

les solutions

< technical >  Pretty Good Privacy - also known as PGP

Le logiciel PGP respecte la norme de chiffrement OpenPGP,
(RFC 4880), pour le chiffrement et le déchiffrement des données.

• - Pretty Good Privacy sur Wikipédia

PGP crypte le corps de votre e-mail en un code
que seule la personne concernée peut lire.

PGP fonctionne sur pratiquement tous les ordinateurs et smartphones.
Il est disponible sous licence libre et est entièrement gratuit.

Chaque utilisateur dispose d'une clé publique et d'une clé privée uniques,
qui sont des chaînes de chiffres générées aléatoirement.

Votre clé publique n'est pas comme une clé physique, car elle se trouve dans un répertoire en ligne où tout le monde peut la télécharger.
Les gens utilisent votre clé publique, avec PGP, pour chiffrer les e-mails qu'ils vous envoient.

Votre clé privée s'apparente davantage à une clé physique, car vous la conservez pour vous seul (sur votre ordinateur).
Vous utilisez PGP et votre clé privée pour décrypter les e-mails chiffrés que d'autres personnes vous envoient.

Si un e-mail chiffré avec PGP tombe entre de mauvaises mains, il n'aura aucun sens.
Sans la clé privée du véritable destinataire, il est pratiquement impossible de le lire.

Pour nous protéger contre la surveillance, nous devons apprendre à utiliser PGP
et commencer à partager nos clés publiques chaque fois que nous échangeons des adresses e-mail.

• - Se protéger contre les e-mails indésirables - Infographies

< technical >  How to use PGP encryption

Pour utiliser PGP, vous aurez besoin d'une clé publique et d'une clé privée (appelées ensemble « paire de clés »).
Chacune est une longue chaîne de chiffres et de lettres générée aléatoirement qui vous est propre.
Vos clés publique et privée sont liées entre elles par une fonction mathématique spéciale.

Il faut une application permettant de gérer les clés et le chiffrement/déchiffrement des messages,
voici une sélection des plus populaires :

• Mailvelope est un module d'extension gratuit et open source pour navigateur, disponible pour Mozilla Firefox et Google Chrome,
  C'est sans doute le moyen le plus simple de se familiariser avec PGP
  « Mailvelope Demonstration »est un tutoriel très bien conçu

• L'application Mozilla Thunderbird intègre tout ce qui est nécessaire pour envoyer des messages signés PGP
  Introduction au chiffrement de bout en bout dans Thunderbird

• GnuPG est une implémentation complète et gratuite de la norme OpenPGP
  Le guide « Noobs PGP Guide using Gpg4Win [Easy 5 Min Setup] » explique comment l'utiliser

< easy >  Alternatives to PGP encryption

PGP est la meilleure solution pour communiquer en toute sécurité avec un interlocuteur qui l'utilise déjà.
Il peut être difficile de demander à votre interlocuteur de commencer à utiliser PGP.

Les services qui vous permettent de partager un secret une seule fois constituent une alternative.

Si vous souhaitez envoyer quelque chose une seule fois, il existe des applications web open source
qui vous permettent de saisir des informations qui ne peuvent être consultées qu'une seule fois.

Une fois que le destinataire a ouvert la page, les informations sont supprimées,
et il ne reste plus dans vos historiques de discussion ou vos e-mails qu'un lien invalide.

Ce n'est pas aussi sûr que si toute votre équipe utilisait PGP, mais c'est beaucoup plus simple à configurer et à expliquer.
Nous avons pu l'utiliser pour envoyer des identifiants de connexion à des personnes qui ne sont pas vraiment à l'aise avec la technologie, et elles trouvent cela facile à utiliser.

Exemple (sans ajouter de mot de passe) :

Imaginons que vous ayez un mot de passe. Vous souhaitez le transmettre à votre collègue, Jane. 
Vous pourriez le lui envoyer par e-mail, mais il se retrouverait alors dans sa boîte de réception, qui pourrait faire l'objet d'une sauvegarde, 
et se trouverait probablement sur un support de stockage contrôlé par la NSA.

Si Jane reçoit un lien vers le mot de passe et ne le consulte jamais, le mot de passe disparaît. 
Si la NSA met la main sur le lien et consulte le mot de passe... eh bien, elle détient le mot de passe. 
De plus, Jane ne peut pas obtenir le mot de passe, mais elle sait désormais que non seulement quelqu'un consulte ses e-mails, 
mais qu'il clique également sur les liens.

Certains de ces services, tous gratuits et open source, sont répertoriés ci-dessous.
Vous pouvez également choisir d'héberger une instance sur votre propre serveur web.

PrivateBin (une sorte de version sécurisée de PasteBin) est développé en PHP
Le code source de PrivateBin est publié sur GitHub – 3 100 étoiles
Le mode d'emploi de PrivateBin est disponible sur un autre site web

OneTimeSecret est développé en Ruby
Le code et les instructions de OneTimeSecret sont publiés sur GitHub - 1 200 étoiles

SnapPass est écrit en Python. Il a été initialement développé par Pinterest

Le code et les instructions de SnapPass sont disponibles sur GitHub – 600 étoiles

Retour en haut de la page

Comment envoyer et limiter les e-mails en Cci

Comment envoyer et limiter les e-mails en Cci ?

« Cc » signifie « Carbon Copy » (copie carbone) au sens (ancien) du terme, c'est-à-dire la réalisation d'une copie
sur une machine à écrire à l'aide de papier carbone.

Le champ « Cci : » des e-mails (où « Cci » signifie « Copie carbone invisible »)
contient les adresses des destinataires du message
dont les adresses ne doivent pas être révélées aux autres destinataires du message.
– RFC 2822 de l'IETF « Format des messages Internet »

La différence entre « Cci » et « Cc » réside dans la confidentialité des destinataires.
Lorsque l'on utilise la fonction « Cc », les adresses e-mail figurant dans le champ « Cc »
sont visibles par tous les destinataires du message.

Un destinataire en Cci peut voir le destinataire direct (À :),
mais il ne pourra pas savoir qui d'autre a été mis en Cci dans l'e-mail.

Le champ « Cci » est souvent considéré comme un système de diffusion d'e-mails en masse facile à utiliser.
Vous trouverez ci-dessous une brève analyse des avantages et des inconvénients de l'utilisation du champ « Cci ».
À la fin de la page, vous trouverez les conclusions ainsi que quelques suggestions.

AVANTAGES

C'est simple : tout le monde peut s'en servir.

• C'est un moyen simple de contacter plusieurs destinataires par e-mail
• Toute personne disposant d'un client de messagerie peut l'utiliser
• lorsqu'il est utilisé correctement, il respecte la vie privée des destinataires en ne divulguant pas leurs adresses e-mail

Retour en haut de la page

INCONVÉNIENTS

Le courrier électronique est une passerelle de sortie sans vérification préalable.
La fonction Cci permet d'étendre la portée du message à des centaines, voire des milliers de contacts.

Le « Cci » doit être considéré comme un outil de communication à haut risque,
potentiellement dangereux.

• C'est un processus qui comporte un risque élevé d'erreurs ; les risques sont les suivants :
  • ajouter par erreur des destinataires en Cci dans le champ Cc
    cela entraîne généralement une grave atteinte à l'image de marque
    envoyer un nouveau message d'excuses est la solution la plus courante pour sortir de cette situation
    » les noms de tous les destinataires sont rendus publics
    » utilisation involontaire (et parfois intentionnelle) de la fonction « répondre à tous »
    ce qui génère des chaînes d'e-mails incontrôlées
    » quelqu'un pourrait signaler un incident lié à la confidentialité au regard du RGPD
    si l'objet ou le corps du message contient des « catégories particulières » de données à caractère personnel, identifiant ainsi
    les personnes appartenant à la même catégorie (par exemple, maladie, orientation ou croyances)
  • ajouter par erreur quelqu'un comme destinataire principal (visible)
  • oublier d'ajouter quelqu'un ou ajouter une personne qui ne devrait pas recevoir le message
    
    
• il y a de fortes chances que ce message soit considéré comme du spam
  • Le problème, c'est que la plupart des spammeurs envoient leurs messages en utilisant le champ « Cci »
    Les serveurs de messagerie destinataires se montrent prudents lorsqu'il s'agit d'accepter les messages envoyés en « Cci »
  • Si je t'envoie un message en utilisant le champ « Cci » (
    ), tu reçois un e-mail qui ne t'est pas adressé (
    ), ce qui constitue un point négatif pour ce message lors de l'évaluation du spam.
  • si le même message est envoyé simultanément à « plusieurs » adresses e-mail
    appartenant au même domaine, il est facile de les compter et de le bloquer
    
    
• il n'y a aucun contrôle sur les adresses erronées
  • il peut y avoir des adresses e-mail en double ou en triple pour un même destinataire
    cela affecte l'envoi à ce destinataire, même si une ou plusieurs adresses sont correctes
  • Les adresses syntaxiquement incorrectes sont acceptées sans avertissement
    Par exemple, si le symbole @ manque ou s'il y a des espaces
    
    
• aucune personnalisation / faible impact / peu ou pas de réactions
  • le message sera forcément standard et « anonyme »
    aucune communication personnalisée n'est possible, pas de « Cher Monsieur/Madame… »
  • les destinataires en Cci recevront un message adressé à quelqu'un d'autre
    il y a peu de chances qu'ils y prêtent attention ou y réagissent
    
    
• il y a de fortes chances qu'il y ait des problèmes techniques
  • Toute action abusive de la part de spammeurs ou de pirates informatiques peut rapidement affecter de nombreux destinataires
    et nuire à la réputation du serveur SMTP (par exemple, en entraînant son inscription sur une liste noire)
  • La boîte de réception de l'expéditeur risque d'être saturée par les messages de retour (utilisateur inconnu, boîte de réception pleine, etc.)
    Leur nombre peut varier entre 5 % et 20 % des e-mails envoyés
  • l'envoi peut avoir des répercussions négatives sur les systèmes de distribution des e-mails (serveurs SMTP), par exemple :
    de nombreuses réponses du type « réessayez plus tard », un nombre important de messages dans la file d'attente, un plantage du système
    
    

Retour en haut de la page

CONCLUSIONS

1. Fixez des limites

• Vérifiez le nombre de destinataires autorisé par votre fournisseur de messagerie
  Essayez par vous-même pour en être sûr à 100 %
  
  RealSender met à disposition une liste de 300 adresses @bogusemail.net à des fins de test,
  Les messages seront acheminés vers un serveur de messagerie « black-hole » :
  bogusemail-test.txt
  
  
• limitez le nombre de destinataires d'un même message à un petit nombre, par exemple 20,
  en autorisant davantage de destinataires, cela permet d'envoyer facilement des messages
  à des milliers d'adresses e-mail, simplement en les répartissant en petits groupes

2. Passez au niveau professionnel

• autoriser uniquement l'envoi massif d'e-mails via différents canaux
  
  
• utilisez une adresse d'expéditeur différente lorsque vous envoyez de nombreux messages
  par exemple, un autre sous-domaine, tel que @news.nomdel'entreprise.com
  seules les personnes autorisées y auront accès
  et elles le géreront avec plus de soin
  
  
• dans les environnements de bureau structurés, où de nombreux employés utilisent la messagerie électronique,
  utilisent des applications dédiées pour envoyer des mailings en masse
  les systèmes professionnels intègrent un processus de validation
  et un contrôle étape par étape ; ils sont conçus pour éviter les erreurs

Retour en haut de la page

mesurer le MARKETING PAR E-MAIL

Comment mesurer l'efficacité de vos campagnes d'email marketing ?
Les informations suivantes s'appuient sur nos quinze années d'expérience
avec la plateforme d'email marketing Inxmail.

Qu'est-ce qu'une « campagne d'email marketing » ?
Il s'agit d'envois massifs d'e-mails basés sur le consentement,
dont le contenu est généralement personnalisé en fonction des centres d'intérêt du destinataire,
et qui permettent à l'expéditeur d'obtenir des données de suivi basées sur le comportement des destinataires.

• campagnes de marketing par e-mail
• marketing par consentement

Les réponses, ou « données de suivi », constituent la base des indicateurs
qui sous-tendent les rapports sur les performances des campagnes de marketing par e-mail.
Voyons en quoi elles consistent et comment elles sont mesurées :

• suivre les réactions des utilisateurs
• deux niveaux d'autorisations (questions liées à la confidentialité)
• Comment fonctionne le suivi des utilisateurs
• Comment fonctionne la mesure du taux d'ouverture

Les meilleurs outils techniques ne servent à rien si les messages n'arrivent pas dans la boîte de réception du destinataire.
C'est là qu'intervient la « délivrabilité des e-mails » :

• capacité de livraison des e-mails
• e-mails de démarrage
• taux de rebond
• Indicateurs de référence en matière de marketing par e-mail

campagnes de marketing par e-mail

marketing par consentement

Le marketing de permission, également appelé « marketing de dialogue »,
est un concept introduit par Seth Godin en 1999 dans son best-seller « Permission Marketing ».

Dans cet ouvrage, cette approche est définie comme l'opposé du « marketing d'interruption »
généralement utilisé dans les médias de masse traditionnels tels que la télévision et les journaux.

Vise à établir une communication personnelle et directe,
une relation entre les deux parties et à engager un dialogue « humain »
dont l'expérience est utile et enrichissante pour les deux.

Retour en haut de la page

suivre les réactions des utilisateurs

deux niveaux d'autorisations - questions liées à la confidentialité

En fonction des autorisations de confidentialité obtenues, l'expéditeur peut enregistrer :

• données agrégées
• données relatives à un utilisateur individuel (par exemple, qui a ouvert l'e-mail, qui a cliqué)

Données agrégées
elles fournissent des informations générales et des tendances globales
(par exemple, combien de personnes ont ouvert l'e-mail, combien ont cliqué)

s de données par utilisateur elles permettent d'obtenir des informations individuelles
en collectant des données personnelles puis en envoyant des messages personnalisés,
en fonction des interactions antérieures et du comportement de l'utilisateur

Retour en haut de la page

Comment fonctionne le suivi des utilisateurs

Le suivi des liens consiste à remplacer l'URL finale du site web
par une adresse fictive qui enregistre la visite et redirige l'utilisateur vers la page de destination.

Dans les e-mails, seuls les clics sur les liens peuvent être suivis.
Les images externes, celles pour lesquelles le client de messagerie demande une confirmation avant le téléchargement,
sont considérées comme des liens ; il suffit donc de suivre l'URL d'une image externe
pour connaître le taux d'ouverture de l'e-mail.

Le suivi n'enregistre généralement que le « mailid »,
, un identifiant unique du mailing qui a été envoyé.

Le suivi personnalisé s'effectue en ajoutant aux pages consultées
un ou plusieurs paramètres générés par le logiciel,
tels que : example.com/test.html?id=54725788327466628654
le paramètre « id » fait référence à un utilisateur spécifique et à un lien particulier dans le message.

Les informations recueillies peuvent automatiquement
mettre à jour les données du destinataire dans l'application d'e-mail marketing
ou transmettre les détails relatifs à l'origine du clic à la plateforme d'analyse Web.

Par exemple : une agence de voyages pourrait mesurer
le nombre de fois où l'utilisateur clique sur les actualités « mer » ou « montagne »,
ce qui ferait augmenter un compteur spécifique au fil du temps.
Les données collectées permettront de déterminer la destination préférée du destinataire.

Retour en haut de la page

Comment fonctionne la mesure du taux d'ouverture

Les taux d'ouverture sont calculés en combinant les données issues des clics sur les liens suivis
et des « clics cachés » générés par les images suivies qui ont été téléchargées.

Si un message est ouvert dans l'aperçu du client de messagerie,
sans télécharger les images ni cliquer sur aucun lien,
il n'est pas possible de savoir s'il a été ouvert.

Depuis 2003, d'abord Outlook, puis la plupart des clients de messagerie,
afin de protéger la vie privée de leurs utilisateurs
ont commencé à bloquer le téléchargement automatique des images
qui, sans cela, auraient fait l'objet d'un suivi à chaque fois qu'un e-mail était lu.

Depuis 2013, les images dans Gmail s'affichent automatiquement par défaut.
Le téléchargement est effectué par un serveur tiers, appelé « proxy »,
qui masque l'adresse de l'utilisateur, mais permet tout de même aux responsables du marketing par e-mail
de savoir que l'image a été téléchargée et que le message a été ouvert.
Vous trouverez plus d'informations ici :
Comment fonctionne le nouveau proxy d'images de Gmail et ce que cela signifie pour vous

Les statistiques sur les taux d'ouverture ne sont pas fiables ;
indique un taux inférieur à celui des ouvertures réelles.
Il est toutefois judicieux de les mesurer,
ne serait-ce que pour comparer les résultats de différentes campagnes.

Retour en haut de la page

capacité de livraison des e-mails

e-mails de démarrage

Il faut tout d'abord vérifier si les e-mails parviennent bien dans les boîtes de réception
des principaux domaines de messagerie gratuite figurant dans votre liste
ainsi que dans la boîte de réception des deux principaux fournisseurs de messagerie d'entreprise :
Google Apps et Office 365.

Les filtres anti-spam basés sur le contenu sont généralement déclenchés par les domaines présents dans les URL (http…)
Un bon conseil consiste à n’utiliser qu’un seul domaine dans les liens de vos messages.
Ce domaine doit être le même que celui utilisé dans l’adresse de l’expéditeur ;
C’est ce qu’on appelle « l’alignement des domaines », et cela réduit le risque lié aux filtres anti-hameçonnage.
Pour la même raison, si les liens sont suivis, ils doivent utiliser un sous-domaine
du domaine utilisé dans l’adresse de l’expéditeur.

Pour effectuer des tests concrets, il suffit d'activer une boîte aux lettres « test » pour chaque fournisseur de messagerie,
puis d'activer le transfert des messages vers votre adresse e-mail.
Envoyez à chaque boîte aux lettres un message avec pour objet « Message de test »
et pour contenu « Message de test » suivi du lien vers votre domaine.
Si le message passe les filtres anti-spam, vous devriez le recevoir dans votre boîte de réception.

Retour en haut de la page

taux de rebond

Il est normal de recevoir des e-mails en retour.
Cela peut être dû à la présence d'adresses inactives,
à des boîtes de réception pleines ou à d'autres problèmes techniques.

Selon la « qualité » de votre liste,
le taux de rebond peut varier entre 5 % et 20 %.

À mesure que le volume augmente, il devient impossible de gérer manuellement les e-mails rejetés.
Les applications de marketing par e-mail intègrent une fonctionnalité appelée « gestionnaire de rebonds »
qui télécharge automatiquement les messages rejetés,
les analyse et les classe en fonction de leur contenu.

L'adresse e-mail de destination est automatiquement désactivée
après un certain nombre de « rebonds permanents » (hard bounces), c'est-à-dire des erreurs persistantes telles que « utilisateur inconnu » et « hôte inaccessible »
ou après un nombre plus important de « rebonds temporaires » (soft bounces), c'est-à-dire des erreurs passagères telles que « boîte de réception pleine ».

Il est important de surveiller les « taux de rebond » (messages rejetés)
ou les « taux de livraison » (messages acceptés) qui leur sont complémentaires. Leur somme donne 100 %.
Toute variation de leur valeur est un signe qui mérite d'être examiné.

Retour en haut de la page

Indicateurs de référence en matière de marketing par e-mail

Les principales plateformes d'e-mail marketing publient des chiffres de référence
qui s'appuient sur les données recueillies auprès de l'ensemble de leurs clients.

Termes techniques utilisés dans les rapports :

• Ouvertures : nombre de destinataires ayant cliqué sur
  au moins une fois sur un lien suivi ou ayant ouvert au moins une image suivie
• Taux d'ouverture : nombre d'ouvertures / nombre de destinataires (hors messages non remis)
• Clics uniques : nombre de destinataires ayant cliqué au moins une fois sur un lien
• Taux de clics (CTR) : Nombre de clics uniques / Nombre de destinataires (hors rebonds)
• Taux de clics par ouverture (CTOR) : Nombre de clics uniques / Nombre d'ouvertures

Voici une brève liste, dont la plupart concernent les États-Unis :

• La clientèle de Mailchimp va des start-ups composées d'une seule personne,
  aux petites entreprises, en passant par les sociétés du classement « Fortune 500 »,
  tout le spectre est représenté dans ces données

• Références et statistiques en matière de marketing par e-mail par secteur d'activité

• Campaign Monitor a analysé plus de 100 milliards d'e-mails envoyés dans le monde entier
  entre janvier et décembre 2020

• Statistiques sur les e-mails par secteur d'activité et par jour

• Comparer les résultats de référence entre les régions

• Huitième rapport annuel de référence sur la délivrabilité de Return Path
  pour savoir combien d'e-mails ont été livrés dans la boîte de réception, dans le dossier spam ou ont été bloqués.
  
  Sommaire du rapport de référence sur la délivrabilité 2020 (PDF):

• Qu'est-ce que la délivrabilité et comment la mesure-t-on ?

• Que peut-il arriver à un e-mail une fois que vous avez cliqué sur « Envoyer » ?

• Au niveau mondial, combien de courriels atterrissent en moyenne dans la boîte de réception et dans le filtre anti-spam ?

• Statistiques de délivrabilité pour 30 pays

Retour en haut de la page

Qu'est-ce qui est considéré comme du spam ?

Quels sont les utilisateurs et les serveurs de messagerie considérés comme des expéditeurs de courriers indésirables ?

En nous appuyant sur notre expérience avec RealSender,
nous avons tenté de résumer les principaux facteurs susceptibles d'influencer la délivrabilité dans la boîte de réception.

• Réactions des utilisateurs
  ces messages devraient être attendus/souhaités par leurs destinataires
  
  
• Points techniques
  Certaines configurations de base sont nécessaires pour que les e-mails soient acceptés
• Réputation des adresses IP et des classes d'adresses IP
• Configuration correcte du serveur SMTP
• une authentification correcte des adresses e-mail
• Vérification par SPAMASSASSIN
  
• Essayez et voyez ce qui se passe
  La seule façon infaillible de savoir si un e-mail est considéré comme du spam est de…
  l'envoyer et de voir comment il s'affiche chez le destinataire.

Il est inutile d'examiner les autres points
si les messages ne sont pas attendus ou souhaités par leurs destinataires.

Réactions des utilisateurs

L'expéditeur doit se mettre à la place du destinataire et essayer d'imaginer comment son e-mail sera perçu.
Les plaintes des utilisateurs peuvent entraîner la mise sur liste noire de l'ensemble du serveur SMTP ou du nom de domaine, ce qui affectera la livraison de tous les messages futurs.

• En général*, les utilisateurs peuvent gérer leur boîte de réception : ce qui est considéré comme du « spam » dépend de chaque utilisateur
  * = de nombreux fournisseurs de messagerie gratuite NE proposent PAS la possibilité de se désabonner de leurs « publicités internes »
• l'utilisateur exprime son choix en cliquant sur le bouton « Signaler comme spam » (dans Gmail)
  ou sur le bouton « Courrier indésirable » (dans Outlook/Hotmail)
• Les filtres anti-spam des serveurs de messagerie modernes sont tous liés aux signalements des utilisateurs ; après un certain nombre de clics sur « Signaler comme spam »,
  tous les messages présentant un contenu similaire seront directement envoyés dans le dossier « Spam ».

Certaines configurations techniques de base sont nécessaires pour que les e-mails soient acceptés.

Réputation des adresses IP et des classes d'adresses IP

• Pour mettre un serveur SMTP sur liste noire, vous trouverez de nombreux outils en ligne en recherchant « vérification de liste noire » sur Google
• Réputation de la classe d'adresses IP du serveur SMTP : consultez notre article de blog pour en savoir plus : LA RÉPUTATION DES ADRESSES IP SMTP EST ESSENTIELLE
• Si les messages sont envoyés depuis un ordinateur personnel, il convient également de vérifier la réputation de l'adresse IP publique de la connexion Internet
  (certains fournisseurs de serveurs SMTP masquent l'adresse IP de la connexion Internet, de sorte que le système du destinataire ne voit que leur propre adresse IP)

Configuration correcte du serveur SMTP

• 
  DNS inversée pour vous assurer que l'adresse IP de votre serveur de messagerie pointe vers le nom de domaine que vous utilisez pour envoyer des e-mails
• L'agent de transfert de courrier, c'est-à-dire l'application qui achemine et distribue les e-mails,
  doit être correctement configuré, conformément à la dernière RFC publiée par l'IETF
  voir par exemple : Rendre Postfix conforme à la RFC

une authentification correcte des adresses e-mail

Utilisez des méthodes d'authentification des e-mails, telles que SPF et DKIM, pour prouver que vos e-mails et votre nom de domaine proviennent bien de la même source.
Cela présente l'avantage supplémentaire de contribuer à empêcher l'usurpation de votre domaine de messagerie.

• Le SPF est un protocole d'authentification des e-mails basé sur le chemin d'accès qui permet aux destinataires de déterminer si l'expéditeur est autorisé à utiliser les domaines figurant dans l'en-tête du message, en évaluant l'adresse IP du MTA sortant de l'expéditeur à partir des informations publiées par ce dernier dans les enregistrements TXT du DNS. Le SPF est défini dans la RFC 4408 de l'IETF.
• DKIM est un protocole d'authentification des e-mails qui permet à l'expéditeur d'utiliser la cryptographie à clé publique pour signer les e-mails sortants d'une manière vérifiable par le destinataire. DKIM est défini dans la spécification RFC 4871 de l'IETF. La norme DKIM est adoptée par Gmail et d'autres grandes entreprises afin d'éliminer complètement le phishing et l'usurpation d'identité dans la messagerie Internet.
• Le protocole DMARC s'appuie sur les normes SPF et DKIM déjà établies pour l'authentification des e-mails. Les serveurs de messagerie destinataires traitent les e-mails non authentifiés en fonction de la « politique DMARC » de l'expéditeur et communiquent le résultat à ce dernier. Le protocole DMARC est défini dans le document RFC 7489 publié par l'Internet Engineering Task Force.

Vérification par SPAMASSASSIN

• SpamAssassin est un logiciel côté serveur utilisé pour filtrer les courriers indésirables. Il utilise diverses techniques de détection du spam.
  Chaque test est associé à une note. Les notes peuvent être positives ou négatives, les valeurs positives indiquant un « spam » et les valeurs négatives un « ham » (non-spam).
  Le seuil de note par défaut pour le destinataire est « 5,0 ». Si la note d'un e-mail est supérieure à ce seuil, celui-ci est marqué comme spam.
  Son utilisation est si répandue que la vérification de la note avant l'envoi d'e-mails devrait être considérée comme obligatoire.
• Deux outils en ligne peuvent vous aider à vérifier votre score SpamAssassin : ce n'est pas du spam et mail-tester
  1. vous devez envoyer le message à l'adresse e-mail indiquée
  2. Après quelques secondes, cliquez sur le bouton « Consulter votre rapport » ou « Vérifier votre score ».

La seule façon infaillible de savoir si un e-mail est considéré comme du spam, c'est de…
l'envoyer et de voir comment il s'affiche chez le destinataire.

Essayez et voyez ce qui se passe

• Si vous recevez un message en retour, cela peut vous être très utile, car les dernières lignes décrivent généralement le problème à l'origine du rejet.
  Si l'explication est incompréhensible, essayez simplement d'envoyer un message avec pour objet et contenu « Message test » et vérifiez s'il est accepté.
  Dans ce cas, vous devriez envoyer le même message plusieurs fois, en réduisant progressivement le contenu, jusqu'à ce que vous identifiiez la partie qui déclenche le filtre anti-spam.
• Disposer d'un journal d'envoi détaillé peut vous aider à vérifier si les messages ont été acceptés ou rejetés
  Exemples d'informations disponibles dans le journal
• Dans certains cas (rares), une sorte de « liste blanche » est nécessaire.
  Certains systèmes anti-spam apprennent en fonction de ce que les utilisateurs font des messages qu’ils reçoivent.
  Si un destinataire signale une fois un e-mail reçu comme n’étant PAS du spam,
  le système comprendra qu’il s’agit de messages valides et commencera à les acheminer vers le dossier « Boîte de réception » plutôt que vers le dossier « Courrier indésirable ».
  Sinon, l'expéditeur doit figurer dans le carnet d'adresses du destinataire ou avoir déjà échangé des e-mails avec lui.

CLIENTS DE MESSAGERIE OPEN SOURCE

Comment reprendre le contrôle de sa messagerie grâce à des clients de messagerie open source prêts à l'emploi ?

Au cours de la dernière décennie, nous avons assisté à une transformation quasi totale des boîtes mail d'entreprise
, qui sont passées de serveurs de messagerie sur site à des services cloud tels qu'Exchange Online (Office 365) ou Gmail pour les entreprises (Google Apps).

Les principales raisons en sont les suivantes :

• la nécessité de pouvoir consulter ses e-mails depuis des interfaces mobiles et Web
• la nécessité de protéger les boîtes de réception contre les spams et les logiciels malveillants

C'est ainsi que la vie des professionnels de l'informatique a été simplifiée, la gestion de l'infrastructure de messagerie ayant été confiée aux « géants de la technologie »

Le risque de négliger les compétences de base en matière de messagerie électronique peut nous amener à considérer l'
par e-mail comme un processus magique, simplement parce que Microsoft et Google s'en chargent.

Nous pouvons reprendre le contrôle de nos e-mails en décomposant les différents éléments de la messagerie et en les gérant séparément :

• le serveur de messagerie entrant
• le client de messagerie
• le serveur de courrier sortant

Cela permet d'isoler et de segmenter les services, ce qui renforce considérablement la sécurité.
Ainsi, la réduction de la surface d'attaque grâce à l'isolation et à la segmentation est considérée comme une bonne pratique.
De plus, cela améliore l'évolutivité et la stabilité.

Les clients de messagerie constituent l'interface principale des boîtes de réception. Il s'agit de logiciels complexes qui interagissent avec les utilisateurs.

Il existe de nombreuses solutions sur le marché ; nous les avons sélectionnées en fonction de deux critères :

• projets multiplateformes, gérés activement et open source
• prêts à l'emploi, afin que les administrateurs système puissent les gérer facilement

Nous avons retenu deux options :

1. Mozilla Thunderbird est un client de messagerie électronique open source et multiplateforme destiné aux ordinateurs personnels. Il a été développé par la Fondation Mozilla.
   Il prend en charge à la fois les protocoles IMAP et POP (ce qui permet de stocker les e-mails localement sur votre disque dur afin de pouvoir y accéder sans connexion Internet).
   Il offre d'excellentes fonctionnalités de filtrage et de gestion des e-mails.
   
   Thunderbird offre une prise en charge étendue de la gestion de plusieurs comptes et identités, y compris des fonctionnalités de signature automatique.
   Il est disponible en versions prêtes à l'emploi pour : Windows, Mac OS et Linux. Pour y accéder à distance, les utilisateurs doivent d'abord se connecter à leur ordinateur.

2. La nouvelle fourche Rainloop, est un client de messagerie en ligne simple, moderne, léger et rapide.
   Il peut gérer un grand nombre de comptes de messagerie sans nécessiter de connexion à une base de données.
   Il prend en charge les protocoles SMTP et IMAP, ce qui permet d'envoyer et de recevoir facilement des e-mails sans aucun problème.
   
   En 2020, le Projet SnappyMail sur GitHub a été publié.
   Il s'agit d'une version dérivée de RainLoop Webmail Community Edition, considérablement améliorée et sécurisée.
   Voici le Démonstration du client de messagerie SnappyMail. Si vous souhaitez essayer l'interface d'administration, contactez-nous.

Courriel professionnel et confidentialité

Avertissement : ce sujet comporte d'importantes implications juridiques.
Veuillez consulter des experts qualifiés afin de vérifier la réglementation en vigueur et son application.

La messagerie professionnelle est un outil de travail
qui contient une quantité impressionnante d'informations liées à l'activité professionnelle.

Les entreprises peuvent faire ce qu'elles veulent de l'adresse e-mail
, qui est un outil de travail professionnel, mais est-elle utilisée par les employés pour envoyer et recevoir des e-mails ?
Peuvent-ils consulter ces e-mails ? Peuvent-ils les sauvegarder ? Peuvent-ils les archiver ?

Résumé :

• deux types d'adresses e-mail professionnelles
• adresses e-mail professionnelles génériques, sans aucune contrainte
• boîte aux lettres professionnelle, comme les véhicules de fonction
• règles de conduite
• à lire uniquement sous certaines conditions
• informer l'employé
• les chèques d'un montant très élevé sont interdits
• exigences légales
• obligation d'archiver les e-mails
• obligation d'informer le salarié
• obligation de supprimer les e-mails
• obligation de désactiver les boîtes aux lettres

adresses e-mail professionnelles génériques, sans aucune contrainte

La boîte mail professionnelle revêt un caractère ambivalent,
c'est un outil appartenant à l'employeur, mais utilisé par l'employé.

Il convient de distinguer deux types d'adresses e-mail professionnelles :

• boîte mail professionnelle, par exemple name.surname@companyname.com
• boîtes mail génériques de l'entreprise, telles que info, support, ventes, marketing, facturation, etc.
  c'est-à-dire toutes celles qui ne sont PAS associées à une seule personne

Les boîtes mail génériques de l'entreprise ne posent aucun problème,
l'entreprise les consulte, lit tous les messages et n'a aucune restriction.

boîte aux lettres professionnelle, comme les véhicules de fonction

Les boîtes mail personnelles, telles que name.surname@companyname.com,
, peuvent contenir des données à caractère personnel concernant le salarié que l'employeur est tenu de protéger.

Si nous choisissons d'utiliser ce type de boîte mail,
en tant qu'employeur, nous devons savoir quelles normes techniques adopter
et quels outils utiliser pour pouvoir traiter les données de manière adéquate.

La boîte mail peut être comparée à une voiture de fonction,
elle est mise à la disposition de l'employé pour qu'il l'utilise dans le cadre de ses tâches professionnelles.

L'employeur peut, par exemple, vérifier le kilométrage afin de s'assurer que l'employé
n'a pas fait un usage abusif de cet outil de travail en l'utilisant à des fins personnelles.

L'employeur ne peut toutefois pas surveiller systématiquement et sans motif valable
ce que fait le salarié à l'intérieur du véhicule de fonction.

La boîte mail est l'équivalent de la voiture de fonction : un outil de travail appartenant à l'entreprise,
mis à la disposition de l'employé pour qu'il l'utilise dans le cadre de son travail, uniquement pour accomplir ses tâches.

Ce que l'employé envoie et reçoit, même pendant ses heures de travail, est comparable à ce qui se passe
à l'intérieur de l'habitacle d'une voiture de fonction et est assimilé à une correspondance privée.

Retour en haut de la page

à lire uniquement sous certaines conditions

L'entreprise ne peut pas lire le contenu des e-mails,
cela ne peut pas être fait de manière systématique et sans motif valable.
Même en présence d'un motif valable, cela ne peut être fait que sous certaines conditions.

Trois intérêts distincts sont en jeu, qu'il convient de concilier :

• l'intérêt de l'employeur à accéder à ce contenu
  pour des raisons d'organisation/de production, de sécurité au travail ou autres
  
  
• la confiance légitime des employés
  qui considèrent ce contenu comme confidentiel
  
  
• les attentes des tiers qui écrivent à l'adresse
  au nom de cette entreprise ils ne savent peut-être pas que le contenu de leur correspondance n'est PAS privé ni confidentiel.
  (la clause de non-responsabilité standard figurant au bas des e-mails indique généralement que le contenu peut être lu par des tiers)

informer l'employé

L'employé doit être informé, par un document écrit approprié, que les messages électroniques envoyés à l'adresse
ne peuvent être utilisés qu'à des fins liées à la relation de travail, par exemple en interdisant toute utilisation à des fins personnelles.

Le document doit décrire comment utiliser les outils de l'entreprise,
y compris la boîte mail, et préciser que, conformément à la réglementation en matière de protection des données :

• Les e-mails seront archivés afin de respecter la législation et de protéger les actifs de l'entreprise
• dans certains cas, l'entreprise peut procéder à des contrôles du contenu de la boîte mail de l'employé

les chèques d'un montant très élevé sont interdits

Les « contrôles de masse » sont interdits,
tels que la lecture systématique du contenu de la boîte mail d'un employé.

Les limites du pouvoir de l'employeur reposent sur trois principes fondamentaux :

• Le premier principe est celui de la bonne foi, qui prévoit que l'employeur ne peut procéder à une vérification
  de la messagerie professionnelle de l'employé que s'il existe un motif valable
  par exemple, pour protéger les biens de l'entreprise qui pourraient être compromis ou mis en danger par un virus ;
  ou en cas de suspicion de manquement de la part de l'employé, afin de procéder à des vérifications à titre préventif

• les autres sont le principe de proportionnalité dans le contrôle, ainsi que la limitation dans le temps et dans l'objet de la recherche

Retour en haut de la page

obligation d'archiver les e-mails

La réglementation exige que l'employeur prouve
avoir mis en place des mesures de sécurité adéquates et efficaces
pour protéger les données de l'entreprise, telles que l'archivage des e-mails professionnels.

obligation d'informer le salarié

Accès aux données par l'employeur
si cette opération est effectuée en l'absence d'informations détaillées sur l'entreprise :

• constitue une violation très grave
  
  des données sensibles peuvent se trouver dans l'espace personnel de l'employé,
  par exemple des informations sur les opinions politiques, religieuses, sexuelles ou syndicales,
  dont la confidentialité doit être garantie au plus haut niveau

• c'est un délit pénal
  
  il existe également un risque que toutes les données obtenues illégalement
  soient irrecevables dans toute procédure judiciaire

obligation de supprimer les e-mails

La correspondance commerciale doit généralement être conservée pendant dix ans au maximum.
Afin de préserver les actifs de l'entreprise et de pouvoir se défendre en cas de litige.

Le stockage et le traitement des données à caractère personnel ne sont autorisés que dans un but précis.
Si ce but cesse d'exister après un certain temps, par exemple au bout de dix ans, ces données doivent être supprimées.

obligation de désactiver les boîtes aux lettres

En cas de licenciement ou de démission d'un employé,
la boîte mail nom.prénom doit être désactivée dans les plus brefs délais.

L'entreprise peut activer une réponse automatique informant l'expéditeur que le compte a été désactivé,
et l'invitant à écrire à une autre adresse e-mail interne.

Les archives historiques des messages professionnels des employés ayant quitté l'entreprise
ne peuvent être conservées que si l'employé a été informé que ses messages étaient archivés.

Retour en haut de la page

protéger les e-mails contre le spam

Comment protéger les e-mails professionnels contre le spam ?

Il est pratiquement impossible de parler de courrier électronique sans aborder la question du spam.
Nous avons tenté de résumer la situation actuelle et les stratégies possibles :

• Quelle part du trafic de courriels est constituée de spam ?
• Quel est le coût du spam ?
• Quelles sont les dernières techniques de lutte contre le spam ?
  • Prévention du spam (avant qu'il ne se produise)
  • Remède contre le spam (en temps réel)

Quelle part du trafic de courriels est constituée de spam ?

Une source fiable est SenderBase, désormais appelée Talos,
qui indique environ 85 % de courriers indésirables et 15 % de courriers légitimes
par rapport au trafic de messagerie enregistré en septembre 2020.

Ce pourcentage est resté stable, avec peu de variations au cours des douze derniers mois.

Source : Données sur les e-mails et les spams – Volume total mondial d'e-mails et de spams.

Retour en haut de la page

Quel est le coût du spam ?

Parfois, le spam n'a qu'un but promotionnel, et l'expéditeur
cherche simplement à attirer davantage de clients vers son entreprise,
ce qui entraîne des distractions et une perte de temps. Il peut saturer votre boîte de réception
au point qu'il devient difficile de retrouver les e-mails importants.

Tous les spams ne sont pas des e-mails promotionnels inoffensifs.
Dans de nombreux cas, leurs intentions sont malveillantes et visent à endommager ou à pirater les systèmes des utilisateurs.
Les variantes les plus courantes de spams malveillants à l'échelle mondiale comprennent les chevaux de Troie, les logiciels espions et les ransomwares.

Retour en haut de la page

Quelles sont les dernières techniques de lutte contre le spam ?

Imaginez que les boîtes de réception de votre entreprise soient la porte d'entrée de votre maison :
vous devez décider qui peut entrer et qui vous laissez dehors.

Aucune technique n'apporte de solution définitive au problème du spam.
Chacune présente des compromis entre le rejet erroné de courriels légitimes (faux positifs)
et le fait de ne pas bloquer le spam (faux négatifs)
ainsi que les coûts associés en termes de temps, d'efforts et de dépenses liés au blocage injustifié de courriels valides.

Les techniques anti-spam peuvent être classées en deux catégories : la prévention et la lutte contre le spam.

Prévention du spam (avant qu'il ne se produise)

Limitez la diffusion de vos adresses e-mail afin de réduire le risque de recevoir des spams.

• Discretion
  
  Ne donnez pas votre adresse e-mail à tout le monde
  Moins elle est connue, moins vous recevrez de spam
  Dans la mesure du possible, utilisez une adresse e-mail différente pour les inscriptions en ligne

• Formulaires de contact
  
  ne publiez pas votre adresse e-mail en ligne
  n'importe qui peut la voir, les « robots spammeurs » les récupèrent sans cesse
  pour être contacté en ligne, utilisez des formulaires Web sécurisés* / formulaires de contact
  * = protégés contre les robots qui les remplissent automatiquement

Remède contre le spam (en temps réel)

Une fois que les spammeurs ont votre adresse e-mail, la bataille se déplace vers votre serveur de messagerie et votre boîte de réception.

• Systèmes de notation de type SpamAssassin
  
  Ils utilisent plusieurs techniques de détection du spam, notamment des listes noires de messagerie basées sur le DNS
  (communément appelées « listes noires en temps réel », « DNSBL » ou « RBL »), l'analyse de texte et le filtrage bayésien.
  
  Chaque test est associé à une note. Les notes peuvent être positives ou négatives, les valeurs positives indiquant du « spam » et les négatives du « ham » (non-spam).
  Le seuil de score par défaut pour le destinataire est « 5,0 ». Si le score d'un e-mail est supérieur à ce seuil, celui-ci est marqué comme spam.
  
  Il existe de nombreux « tests SpamAssassin » disponibles sur Internet,
  qui permettent aux spammeurs de vérifier leurs messages avant de les envoyer.

• Alimenté par les utilisateurs
  
  Les utilisateurs de ces systèmes peuvent signaler les e-mails entrants comme légitimes ou comme spam, et ces annotations sont enregistrées dans une base de données centrale.
  Lorsqu'un certain nombre d'utilisateurs ont marqué un e-mail particulier comme indésirable, le filtre l'empêche automatiquement d'atteindre les boîtes de réception du reste de la communauté.
  
  Parfois, les retours des utilisateurs sont intégrés à des contrôles automatisés, tels que le nombre d'interactions avec le contenu des messages,
  comme le nombre de clics sur les liens et les images téléchargées, ou le nombre d'occurrences d'un même message dans plusieurs boîtes de réception.
  
  Lorsqu'un système de filtrage collaboratif du contenu implique une base d'utilisateurs importante et active,
  il peut rapidement bloquer une vague de spam, parfois en quelques minutes seulement.
  
  Ce type de filtre est pratiquement impossible à contourner pour les spammeurs.

• Authentification des e-mails
  
  SPF, DKIM et DMARC sont des techniques d'authentification qui permettent de vérifier si l'adresse d'expéditeur correspond bien à celle qu'elle prétend être.
  En 2020, elles sont largement utilisées et constituent un bon moyen d'identifier les expéditeurs de confiance.
  
  Il est important de connaître à l'avance le domaine exact d'où proviennent les e-mails,
  sinon, il est facile d'être induit en erreur par un simple changement de lettre.
  
  Il est possible pour les spammeurs de se conformer à l'authentification des e-mails
  afin que leurs messages semblent provenir d'« expéditeurs légitimes ».

• Expéditeurs autorisés, liste blanche
  
  Une liste blanche permet de spécifier une série d'adresses ou de domaines de confiance.
  Au début, le carnet d'adresses personnel et l'historique des e-mails reçus seront d'une grande aide.
  
  Si un expéditeur figure dans cette liste, tous les contrôles sont ignorés et le message est reçu sans délai.
  Cette méthode est facile à mettre en œuvre et très efficace lorsqu'elle est associée à l'authentification des e-mails, afin d'éviter l'usurpation d'adresse e-mail*.
  * = utilisation d'un faux expéditeur pour faire croire que le message provient d'une autre personne que la source réelle
  
  Une fois votre liste de contacts de confiance remplie, aucun expéditeur inconnu n'atteindra votre boîte de réception.
  Tous les messages indésirables peuvent être redirigés vers une autre boîte de réception que vous consulterez une fois par jour ou plus rarement.
  
  Les spammeurs auront beaucoup de mal à identifier les expéditeurs de confiance de chaque destinataire.
  Même s'ils y parviennent, les contrôles d'authentification des e-mails vous alerteront de toute utilisation frauduleuse.

Retour en haut de la page

Fonctionnement de DMARC - mise à jour

Comment fonctionne DMARC avec Gmail et Office 365 ? (mise à jour)

Nous avons de nouveau testé l'impact de l'authentification des e-mails sur le taux de livraison
vers les boîtes de réception Gmail et Office 365, les fournisseurs de messagerie professionnelle les plus populaires.

Les résultats peuvent être classés en deux catégories :

livraison des e-mails

(comment les protocoles SPF, DKIM et DMARC influencent la livraison des messages envoyés)

# Gmail: les e-mails sont toujours acceptés, l'authentification SPF ne semble pas être prise en compte du tout
La signature DKIM n'est vérifiée que si elle correspond à l'adresse e-mail de l'expéditeur et si DMARC est configuré avec la politique « quarantaine » ou « rejet ».
 
# Office 365: réagit pleinement au SPF ; lorsqu’un message passe le contrôle SPF, il arrive dans la boîte de réception.
La signature DKIM n’est prise en compte que si elle correspond à l’adresse e-mail de l’expéditeur ; sinon, elle n’a aucune importance.
 
   Remarques : au cours de la dernière semaine d'août, Office 365 a présenté un comportement étrange :
seuls les messages signés avec DKIM (domaine de signature correspondant à l'adresse d'expéditeur)
et pour lesquels un enregistrement DMARC était défini (avec n'importe quelle politique) ont été remis dans la boîte de réception

protection contre l'usurpation d'identité

(comment SPF, DKIM et DMARC protègent l'adresse e-mail de l'expéditeur contre l'usurpation*)
* = faire en sorte que le message semble provenir d'une personne autre que l'expéditeur réel

# Gmail: en activant DMARC, les expéditeurs usurpés sont filtrés vers le dossier Spam (avec p=quarantine) ou rejetés (avec p=reject).
   Rien ne se passe si la politique est définie sur « none » (p=none) ; dans ce cas, tous les messages parviennent dans la boîte de réception.

# Office 365: les résultats « spf fail » ou « spf softfail » suffisent à envoyer les faux expéditeurs dans le dossier Courrier indésirable.

exigences en matière d'authentification

Les exigences proposées en matière d'authentification des e-mails peuvent se résumer comme suit :

Résultats du test d'envoi d'e-mails

Vous trouverez ci-dessous la liste complète des tests qui ont été effectués

Remarques :

• l'adresse « De » (expéditeur visible) et le champ « Mail-from » (également appelé « envelope-from » ou « return-path ») sont identiques ; ils renvoient au même domaine
• « dkim pass » : le domaine de signature DKIM correspond à celui de l'adresse d'expéditeur (les domaines sont alignés)
• « dkim diff » : le domaine de signature DKIM est différent de celui de l'adresse d'expéditeur (les domaines ne correspondent PAS)

Domaine DKIM pour DMARC

En quoi l'alignement de domaine DKIM influe-t-il sur l'authentification DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance),
est une norme d'authentification des e-mails, conçue pour lutter contre les e-mails provenant de domaines usurpés.

Au chapitre « 3.1. Alignement des identifiants », il est indiqué :

   Les technologies d'authentification des e-mails authentifient divers aspects (et
   disparates) d'un message individuel. Par exemple, [DKIM]
   authentifie le domaine qui a apposé une signature au message,
   tandis que [SPF] peut authentifier soit le domaine qui apparaît dans la
   partie RFC5321.MailFrom (Mail-From) du protocole [SMTP], soit le domaine RFC5321.EHLO/
   HELO, ou les deux.  Il peut s'agir de domaines différents, et ils ne sont
   généralement pas visibles pour l'utilisateur final.

   DMARC authentifie l'utilisation du domaine RFC5322.From en exigeant qu'
   il corresponde (soit aligné avec) un identifiant authentifié.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Cela signifie tout simplement :

   lorsqu'un expéditeur authentifie son e-mail à l'aide de SPF et/ou DKIM,  
   au moins l'un des domaines doit correspondre au domaine « De » de l'expéditeur

Nous ne savions pas exactement si un message pouvait échouer aux vérifications SPF ou DKIM
tout en réussissant l'authentification DMARC.

Nous l'avons testé à l'aide d'un outil accessible à tous : une boîte mail Gmail.
Pour voir le résultat, ouvrez le message et sélectionnez « Afficher l'original » :

Test 1 - message transféré : SPF échoué, DKIM réussi (aligné)

Test 2 - clé DKIM incorrecte : échec DKIM, réussite SPF (aligné)

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

Pour réussir le contrôle DMARC, il est donc parfois important de valider la signature DKIM :
le domaine signataire (d=example.com) doit correspondre au domaine « De ».

Exemples de résultats « DMARC-PASS » qui, sans cela, n'auraient pas fonctionné :

Cas n° 1: le transfert de courrier entraîne l'échec de l'authentification SPF

• SPF-FAIL : les vérifications d'authentification SPF échoueront dans la plupart des cas,
  car c'est une nouvelle entité, qui ne figure pas dans l'enregistrement SPF de l'expéditeur d'origine, qui envoie l'e-mail transféré

• DKIM-PASS (aligné) : le transfert d'e-mails n'affecte pas la signature DKIM

Résultat : la conformité DKIM permet au message de passer le contrôle DMARC.

Cas n° 2: le domaine SPF fourni par le fournisseur de services de messagerie (ESP)
NE PEUT PAS correspondre au domaine « De »

• SPF~PASS (non aligné) : l'authentification SPF échoue en raison d'un désalignement de domaine,
  car le domaine utilisé par l'ESP dans l'adresse « Mail-From » diffère de celui de l'expéditeur « From ».

• DKIM-PASS (aligné) : la signature DKIM utilise le même domaine que celui de l'expéditeur indiqué dans le champ « De »

Résultat : la conformité DKIM permet au message de passer le contrôle DMARC.

les fournisseurs de messagerie les plus populaires

Quels sont les fournisseurs de messagerie électronique les plus populaires en 2020 ?

Pour surveiller la délivrabilité des e-mails, il est important de savoir quels fournisseurs de messagerie vos destinataires utilisent.

Entreprise à entreprise

En ce qui concerne le secteur B2B, nous ne disposons pas de chiffres précis. La plupart des boîtes mail professionnelles migrent vers des « suites bureautiques dans le cloud », un marché qui se partage entre « G Suite » et « Office 365 ».
À elles deux, elles couvrent plus de 90 % des parts de marché mondiales de la messagerie professionnelle, selon les données de datanyze.com.

Il est assez facile de recueillir ces informations pour une seule entreprise.
L'enregistrement MX du domaine de l'entreprise permet d'identifier le fournisseur de messagerie utilisé :
aspmx.l.google.com pour « G Suite »
mail.protection.outlook.com pour « Office 365 »

Si votre entreprise opère dans le secteur B2B, il est recommandé de surveiller régulièrement une boîte mail pour chacun de ces deux fournisseurs.

Un troisième acteur est Zoho (mx.zoho.com), dont la part de marché est d'environ 2 % (source : ciodive.com).

Entreprise à consommateur

Dans le domaine du B2C, l'analyse est plus complexe. Il n'existe pas de « données publiques sur l'ouverture des e-mails » issues du trafic Internet.

La seule façon d'obtenir des informations sur les destinataires d'e-mails est de les extraire de notre liste de contacts ou de les obtenir auprès des grands fournisseurs de services de messagerie. Certains d'entre eux publient des rapports annuels qu'ils mettent à la disposition de la communauté Internet.

Les données ci-dessous présentent les trois principaux fournisseurs de messagerie électronique dans vingt-cinq pays ; ces informations sont tirées de l'étude « 2019 Email Benchmark and Engagement Study » publiée par Sendgrid.

Pays

Argentine, Australie, Belgique, Brésil, Canada, Chili, Chine, Colombie, Danemark, France, Allemagne, Inde, Indonésie, Italie, Japon, Mexique, Nouvelle-Zélande, Russie, Arabie saoudite, Espagne, Afrique du Sud, Suède, Suisse, Royaume-Uni, États-Unis

Argentine

Retour en haut de la page

Australie

Retour en haut de la page

Belgique

Retour en haut de la page

Brésil

Retour en haut de la page

Canada

Retour en haut de la page

Chili

Retour en haut de la page

Chine

Remarque : informations tirées du document « Aperçu du pays : Chine » publié par ReturnPath

Retour en haut de la page

Colombie

Retour en haut de la page

Danemark

Retour en haut de la page

France

Retour en haut de la page

Allemagne

Retour en haut de la page

Inde

Retour en haut de la page

Indonésie

Retour en haut de la page

Italie

Retour en haut de la page

Japon

Retour en haut de la page

Mexique

Retour en haut de la page

Pays-Bas

Retour en haut de la page

Nouvelle-Zélande

Retour en haut de la page

Russie

Retour en haut de la page

Arabie saoudite

Retour en haut de la page

Espagne

Retour en haut de la page

Afrique du Sud

Retour en haut de la page

Suède

Retour en haut de la page

Suisse