Monitoring DMARC Badsender.com – Octobre vs. Novembre 2020

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
monitoring dmarc

On va parler ici de DMARC et plus particulièrement des données à monitorer. D’ailleurs, vous saviez qu’on a publié un livre blanc sur le déploiement DMARC?

Dans cet article (que vous allez retrouver tous les mois), nous allons partager avec vous le monitoring DMARC que nous faisons sur notre domaine Badsender.com

Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur les FAI/Webmails capable d’interpréter DMARC.

Nous avons deux objectifs pour 2021 :

  1. Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
  2. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Accrochez-vous 😱 On va procéder à la comparaison du monitoring entre octobre et novembre 2020.

Taux de conformité du mois Octobre / Novembre 2020 : comparaison du monitoring DMARC.

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné.

Badsender.comVolumesConformeNon ConformeNon Authentifié
Octobre3 77295,8%4,1%0,1%
Novembre4 97398,0%1,9%0,1%
Voici nos résultats de la comparaison du monitoring DMARC sur les mois d’Octobre et Novembre 2020

Ces taux de conformité sur octobre & novembre sont plutôt bons, notre moyenne sur l’année 2020 étant à 94,8%.

Pour améliorer dans un futur « très proche » notre taux de conformité, nous allons devoir corriger les problèmes liés aux e-mails non-conformes et surtout non-authentifiés !

Authentification & alignement SPF & DKIM

Authentification & alignement SPF

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP qui est utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path).

Notre taux d’authentification SPF sur les mois d’octobre et novembre

Notre moyenne entre janvier et septembre est de 95,6%… On progresse, on progresse 😊

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique au domaine du FROM (ici le domaine de l’adresse expéditrice).

Notre taux d’alignement SPF sur les mois d’octobre et novembre 2020.

Notre moyenne entre janvier et septembre est de 86,6%… On progresse aussi de ce côté-là même si ce taux est encore perfectible !

Authentification & alignement DKIM

Pour un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (peu importe le domaine utilisé dans la déclaration du « d= »).

Notre taux d’authentification DKIM sur les mois d’octobre et novembre 2020

À titre comparatif, notre moyenne entre janvier et septembre est de 98,2%… On approche de la perfection 😋

En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique au domaine de FROM (domaine de l’adresse expéditrice).

comparaison monitoring dmarc
Notre taux d’alignement DKIM sur les mois d’octobre et novembre 2020

À titre de comparaison, notre moyenne sur le taux d’alignement DKIM entre janvier et septembre est de 92,8%… De mieux s’en mieux !

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

monitoring dmarc comparaison
Notre taux d’e-mails non-signés avec DKIM sur les mois d’octobre et novembre 2020

Entre janvier et septembre, notre moyenne d’e-mails non-signés DKIM est de 0,9%. Moins d’1% d’e-mails non-signés DKIM, c’est plutôt cool !

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois d’octobre et novembre 2020 :

On peut voir que certaines sources seront à étudier pour voir si nous devons les rendre conforme à DMARC (ou non). Par contre, quelques sources nous sont totalement inconnues… Simple transfert d’e-mail ou spam ??? L’avenir nous le dira !

Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :

Ici, nous sommes chanceux et n’avons que deux sources remontées que nous devrons rendre conforme ! Easy à priori…

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger. Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour les mois d’octobre et novembre 2020 :

La tendance des erreurs SPF les plus fréquentes

Tendance des échecs SPF sur les mois d’octobre et novembre

Et la tendance des erreurs DKIM les plus fréquentes

Tendance des échecs DKIM sur les mois d’octobre et novembre

Finalement, on remarque que les problématiques viennent surtout des alignements SPF & DKIM puisque plus de 7 e-mails sur 10 remontent un problème d’alignement des domaines avec SPF & DKIM.

Notre feuille de route pour le mois de décembre 2020

Après une revue des différentes remontées « non-conformes » et « non-authentifiés » avec Jonathan, nous avons défini la feuille de route suivante :

  1. Sources « non-authentifiées »
    • Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP [to do]
    • SharpSpring : Ouvrir un ticket au Support [to do]
  2. Sources « non-conformes »
    • Sendgrid : Ajouter un relay SMTP [done]
    • Sharpspring : Ouvrir un ticket au Support [to do]
    • Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 [to do]

Pour toutes les autres sources, aucune action sera à réaliser pour le moment. Certaines devront être étudiées (pour voir si nous devons les rendre conforme) et pour les autres… Osef puisque nous n’avons aucun intérêt derrière 😊

Conclusion de cette comparaison de monitoring.

Je ne vous cache pas que c’est une gymnastique quasi quotidienne et qu’il nous faudra du temps pour rendre conforme les flux intéressants et pouvoir atteindre nos objectifs de 2021 !

Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider 😉 N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!

Contenus liés à DMARC :

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Livre Blanc Choix d'une solution eCRM / emailing

Savez-vous que nous mettons à votre disposition un livre blanc pour choisir une solution eCRM/emailing ?