Comme à chaque début de mois maintenant, nous allons vous partager dans cet article, nos résultats de conformité DMARC pour février 2021 !
Pour résumer : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.
Nous avons, à terme, deux objectifs pour 2021 :
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com ! Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de Février 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats sur le mois de Février 2021 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
| Décembre 2020 | 3 797 | 99,3% | 0,4% | 0,3% |
| Novembre 2020 | 4 973 | 98,0% | 1,9% | 0,1% |
| Octobre 2020 | 3 772 | 95,8% | 4,1% | 0,1% |
Quasi parfait ! Ce mois de février a été plutôt calme, on n’a jamais eu un taux de conformité DMARC aussi haut ! Pas de méchants russes ce mois-ci au programme 🙂
Nos flux via Sellsy sont maintenant tous bien conforme à DMARC. Un chantier de dernière minute doit être géré, le changement d’hébergeur et oui nous migrons vers un hébergeur « green » depuis plusieurs semaines (Jonathan devrait vous dire tout dans les prochaines semaines donc je ne tease pas plus :p).
Ce changement d’hébergeur a fait que nous avons reporté temporairement l’upgrade de notre politique de sécurité DMARC de « quarantine » à « reject » mais ce n’est que partie remise 🙂
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Suite à la migration du nom de domaine chez le nouvel hébergeur, nous avons eu un petit couac avec l’enregistrement SPF, ce qui a eu pour effet de le mettre en échec systématiquement d’où ce taux un peu bas (qui ne devrait pas l’être). Nous avons corrigé le problème, les taux seront encore meilleurs en mars 🙂
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Même problème que le taux d’authentification SPF… Si l’authentification est en échec, il en va de même pour l’alignement 😉
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS du côté du taux d’authentification DKIM, celui-ci est toujours quasi fort, avec 99,8% en février !
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS du côté de l’alignement DKIM, nous sommes proche de la perfection en février avec un taux indécent de 99,8% !
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Pour le coup, nous n’avons pas eu de rapport de non-authentification ce mois de février, ce qui est une grande première pour nous ! Champagne Jonathan ? 🙂
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de février 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Outlook | *.outlook.com | Webmail | 6 | 55% | Connu | Aucune action |
| *.google.com | Webmail | 3 | 27% | Connu | Aucune action | |
| OVH | *.ovh.net | Hébergeur | 2 | 18% | Connu | Aucune action |
Seulement trois entrées remontent : Outlook, Google & OVH.
Aucune action de mise en conformité sera nécessaire puisque ces flux sont dus à des transferts d’e-mails.
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
RAS et tant mieux 🙂
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de février 2020 :
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Tendance des erreurs SPF les plus fréquentes
Du côté des erreurs SPF, 171 e-mails remontent un problème d’alignement SPF, 153 remontent un problème avec SPF, 86 remontent un problème d’authentification SPF et seulement 6 remontent aucun enregistrement SPF ! Ça va s’améliorer en mars, aucun souci là-dessus 🙂
Tendance des erreurs DKIM les plus fréquentes
Pour DKIM, 17 sur 19 e-mails ont remonté un problème d’authentification DKIM (ce qui reste faible) et donc 2 sur les 19 remontent un problème d’alignement DKIM.
Notre feuille de route pour le mois de mars 2021 !
Lors de la réunion du 11 février avec Jonathan, nous en avons conclu que la migration de toute notre infrastructure était prioritaire sur la montée de notre politique de sécurité DMARC et donc, on va encore attendre quelques mois avant de s’attaquer à ce chantier :
Sources « non-authentifiées »
RAS.
Sources « non-conformes »
Toutes les sources remontées n’ont pas besoin d’être conforme à DMARC
Conclusion
Finalement ce mois de février a été plutôt bon, à l’exception du petit couac sur SPF. La feuille de route a finalement été remplie et est en stand-by jusqu’à la fin de la migration. RDV début avril pour voir s’il y a eu un peu plus de bruit sur notre domaine « badsender.com ».
—–
Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider J
—–
N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
—–
Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions des stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits, ou d’intervention en tant que force de production externalisée.
—–
Contenus liés à DMARC de près ou de loin :
— Monitoring DMARC de Janvier 2021
— Monitoring DMARC de Décembre 2020
— Monitoring DMARC d’Octobre vs. Novembre 2020
— Tech 2021 #01 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
— Notre Livre Blanc sur le déploiement de DMARC
— Tout savoir sur SPF en 3 articles :
Qu’est-ce que SPF ? Configuration, vérification et monitoring
10 Conseils à mettre en place dans sa configuration SPF
Et si vous passiez votre enregistrement SPF au qualifieur -all ???
— Tout savoir sur DKIM (1 article seulement) :
Qu’est-ce que DKIM ? Configuration, vérification et monitoring
— Presque tout savoir sur ARC (1 article pour le moment) :Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification
– – – – –
Photo by Randy Tarampi on Unsplash
