Sous-sections consacrées aux principes fondamentaux de l'authentification des e-mails

<spf> declare your smtp servers

Logo SPF

Explication du SPF

SPF est l'abréviation de « Sender Policy Framework », une norme d'authentification des e-mails,
qui vous permet de définir quels sont les serveurs SMTP autorisés à envoyer des e-mails pour votre domaine.

Cela vous permet de vérifier l'adresse de l'expéditeur et sa relation avec le serveur qui a envoyé le message.
Si les e-mails sont envoyés avec votre domaine d'expéditeur, le destinataire peut vérifier s'ils proviennent d'un serveur SMTP que vous reconnaissez.

Il est recommandé de le configurer, car certains destinataires pourraient rejeter vos messages si le SPF n'est pas configuré du tout.

Comment faire fonctionner le SPF

Il existe deux approches différentes :

  • une vérification « souple » (balise ~all), qui génère une erreur « softfail » si le message a été envoyé par un serveur non déclaré
  • une balise « stricte » (-all), qui génère une erreur « fail » si le message a été envoyé par un serveur non déclaré

La configuration « souple » entraînera moins de rejets, voire aucun, de la part des destinataires.
La configuration « stricte » entraînera le rejet de certains messages si le serveur n'a pas été déclaré ou, dans certains cas, lorsque l'e-mail a été redirigé ou envoyé via une liste de diffusion.

La configuration « stricte » laisse au serveur de messagerie destinataire une plus grande latitude pour décider d'accepter ou non le message ; c'est l'approche que nous recommandons.

Comment configurer le SPF

La configuration de SPF nécessite de connaître précisément les serveurs que vous utilisez pour envoyer des e-mails.

Avec RealSender, l'enregistrement TXT de votre domaine (exemple.com) doit contenir la chaîne
a:exemple.realsender.com et se présenter comme suit :

example.com   TXT   « v=spf1 a:example.realsender.com ~all »

Avec HighSender, l'enregistrement TXT de votre domaine (exemple.com) doit contenir la chaîne
include:spf.realsender.com et se présenter comme suit :

example.com   TXT   « v=spf1 include:spf.realsender.com ~all »

Ces outils vous aideront à valider la configuration :
www.kitterman.com/spf/validate.html *
récupère les enregistrements SPF pour le nom de domaine spécifié et détermine si l'enregistrement est valide
vérification SPF en ligne
valide vos paramètres SPF de messagerie en envoyant un e-mail

* = lien vers un site web externe, s'ouvrira dans une nouvelle fenêtre

Inconvénients du SPF

Même si tout est correctement configuré, la vérification du message peut échouer
si l'e-mail a été redirigé (transféré) ou envoyé via une liste de diffusion.

In these cases, to keep the email authentication consistent,
configure the dkim signature domain to be aligned with the sender’s From address.
See: email authentication advanced » <dkim> alignment for dmarc.


<spf> check online

<spf> check online

Logo SPF

  1. envoyer un e-mail à :
spf@tester.realsender.com
  1. Consultez en ligne les résultats de la validation SPF :
    (le chargement peut prendre une minute)
https://tester.realsender.com/spf

La vérification SPF en ligne de RealSender ajoutera un préfixe à l'objet si le message n'a pas été authentifié correctement :

!! spf-fail !!       Le serveur SMTP ne figure pas parmi les serveurs autorisés
                      et l'e-mail doit être rejeté ou supprimé
!! spf-softfail !!   Le serveur SMTP ne figure pas parmi les serveurs autorisés
                      mais ce cas doit être traité comme un « softfail »  
!! spf-neutral !!    l'enregistrement SPF précise explicitement qu'aucune conclusion ne peut être tirée quant à la validité  
!! spf-none !!       le domaine de l'expéditeur ne contient aucune information permettant d'authentifier l'e-mail

Il arrive parfois que les informations enregistrées au niveau du domaine ne soient pas correctes ou compréhensibles.

!! spf-permerror !!  Une erreur permanente s'est produite (par exemple, un enregistrement SPF mal formaté)  
!! spf-temperror !!  Une erreur temporaire s'est produite

La vérification SPF s'effectue par rapport à l'adresse e-mail « Mail-From », qui est masquée dans les en-têtes de l'e-mail.
Seule l'adresse e-mail « From » est visible. Si leurs domaines racines sont différents, cet avertissement s'affiche :

!! spf-diff !!       Les domaines racines « Mail-From » et « From » sont différents

Si le message passe à la fois le contrôle SPF ET le contrôle d'alignement SPF pour DMARC (alignement assoupli), vous obtiendrez :

|OK| spf-pass        Votre adresse e-mail passe le contrôle SPF et le contrôle d'alignement SPF

Si l'un des deux, SPF OU DKIM, satisfait au contrôle de conformité DMARC (conformité assouplie),
le message est tout de même considéré comme « OK » (fiable) et le symbole ~ (tilde) est ajouté au début :

|~OK| spf-pass       Votre adresse e-mail passe le contrôle SPF (mais pas celui de l'alignement) + contrôle de l'alignement DKIM

<dkim> seal the email content

Logo DKIM

Explication de DKIM

DKIM est l'acronyme de DomainKeys Identified Mail, une norme d'authentification des e-mails,
conçue pour garantir que l'e-mail (y compris les pièces jointes) n'a pas été modifié depuis l'apposition de la « signature ».

Pour ce faire, il appose une signature numérique, associée à un nom de domaine, à chaque e-mail envoyé.

On utilise deux clés : une clé « publique » et une clé « privée » :

  1. la clé « publique » est publiée dans l'enregistrement TXT du domaine signataire
  2. La clé « privée » est enregistrée sur le serveur SMTP et sert à « signer » les messages électroniques

Lors de l'envoi d'un message, le serveur SMTP génère une « signature de hachage chiffrée », calculée à partir du contenu du message électronique et de la clé privée.

Le système destinataire peut vérifier la signature figurant dans l'en-tête du courriel en la comparant au contenu du message et à la clé « publique » de l'expéditeur.

Comment faire fonctionner le protocole DKIM

Les signatures DKIM ne sont pas immédiatement visibles pour les utilisateurs finaux ; elles sont ajoutées et vérifiées par l'infrastructure de messagerie.

Les serveurs SMTP RealSender signent tous les e-mails sortants à l'aide de la signature DKIM.

Comment configurer DKIM

RealSender signe d'emblée tous les messages sortants avec son propre domaine, associé au serveur SMTP
. Aucune configuration n'est nécessaire de la part de l'utilisateur ou de l'administrateur.

Pour obtenir l'«alignement de domaine DKIM pour DMARC »,
le message doit être signé avec le même domaine que celui de l'expéditeur.

Avec RealSender, vous devez ajouter deux enregistrements CNAME
dans les paramètres DNS de votre domaine (exemple.com), comme suit :

key1._domainkey.example.com   CNAME   key1._domainkey.votreentreprise.realsender.com
key2._domainkey.example.com   CNAME   key2._domainkey.votreentreprise.realsender.com

Cet outil vous aidera à vérifier la configuration :
toolbox.googleapps.com *

* = lien vers un site web externe, s'ouvrira dans une nouvelle fenêtre

Inconvénients de DKIM

Un message signé par DKIM ne peut pas être modifié, mais il peut tout de même être lu par n'importe qui.

Un message signé qui ne passe pas la vérification est généralement rejeté.
Si aucune modification n'a été apportée entre l'expéditeur et le destinataire, cela ne devrait pas se produire.

Nous avons rencontré des cas exceptionnels, tous liés à la longueur des lignes (qui ne doit pas dépasser 990 caractères).
Certaines applications envoient le contenu sur une seule ligne ou transmettent une ligne très longue dans le code HTML.
Dans ces cas-là, la signature DKIM est corrompue, ce qui entraîne un résultat de vérification « dkim=fail ».


<dkim> check online

<dkim> check online

Logo DKIM

  1. envoyer un e-mail à :
dkim@tester.realsender.com
  1. Consultez en ligne les résultats de la validation DKIM :
    (le chargement peut prendre une minute)
https://tester.realsender.com/dkim

La vérification DKIM en ligne de RealSender ajoutera un préfixe à l'objet si le message n'a pas été signé correctement :

!! dkim-none !!      aucun en-tête DKIM-Signature (valide ou non) n'a été trouvé  
!! dkim-fail !!      un en-tête DKIM-Signature valide a été trouvé, mais la signature 
                      ne contient pas de valeur correcte pour le message

Il arrive parfois que la vérification ne puisse pas être effectuée :

!! dkim-invalid !!   Il y a un problème au niveau de la signature elle-même ou de l'enregistrement de la clé publique. 
                      En d'autres termes, la signature n'a pas pu être traitée
!! dkim-temperror !! Une erreur a été détectée ; il s'agit probablement d'un problème temporaire, 
                      tel qu'une impossibilité temporaire de récupérer une clé publique

Lorsque le message a été signé à l'aide d'un domaine différent, une alerte « diff » sera ajoutée à l'objet.
Cet avertissement ne s'affichera PAS si l'expéditeur passe avec succès le contrôle SPF et l'alignement SPF pour DMARC :

!! dkim-diff !!      le message n'a PAS été signé par le domaine de l'expéditeur

Si le message passe à la fois le contrôle DKIM ET le contrôle d'alignement DKIM pour DMARC (alignement assoupli), vous obtiendrez :

|OK| dkim-pass        Votre adresse e-mail passe le contrôle DKIM et le contrôle d'alignement DKIM

Si l'un des deux, DKIM OU SPF, satisfait au contrôle de conformité DMARC (conformité assouplie),
le message est tout de même considéré comme « OK » (fiable) et le symbole ~ (tilde) est ajouté au début :

|~OK| dkim-pass       Votre e-mail a passé le contrôle DKIM (mais pas celui de la conformité) + contrôle de conformité SPF