Monitoring DMARC Badsender.com – Décembre 2020

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
monitoring dmarc

On va de nouveau parler de DMARC et de notre monitoring mensuel.

Dans cet article (que vous allez retrouver tous les mois), nous allons partager avec vous le monitoring DMARC que nous faisons sur notre domaine Badsender.com.

Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur les FAI/Webmails capable d’interpréter DMARC.

Nous avons deux objectifs pour 2021 :

  1. Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
  2. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Accrochez-vous 😊

Taux de conformité de Décembre 2020

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné. Voici nos résultats sur le mois de Décembre 2020 (j’ai volontairement gardé les 2 mois précédent pour comparer) :

Badsender.comVolumesConformeNon ConformeNon Authentifié
Octobre3 77295,8%4,1%0,1%
Novembre4 97398,0%1,9%0,1%
Décembre3 79799,3%0,4%0,3%

J’ai volontairement gardé les mois d’octobre et novembre pour comparer. Et là, je dois dire que l’on est proche de la perfection en décembre ! 99,3% des e-mails sont conformes à DMARC, c’est-à-dire que l’on a seulement 14 e-mails qui sont remontés comme non-conforme et 12 e-mails qui sont remontés comme « non-authentifié ».

Pour améliorer de nouveau notre taux de conformité DMARC dans un futur « très proche », nous allons devoir corriger les problèmes liés aux e-mails non-conformes et surtout non-authentifiés !

Authentification & alignement SPF & DKIM

Authentification & alignement SPF

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path).

Notre taux d’authentification SPF sur les 3 derniers mois de 2020

On est toujours au-delà des 97% sur décembre. À confirmer en 2021 !

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique au domaine du FROM (ici le domaine de l’adresse expéditrice).

Notre taux d’alignement SPF sur les 3 derniers mois de 2020

Cool, on s’aligne mieux en décembre que le reste de l’année ! Toutefois, on peut encore faire mieux de ce côté-là…

Authentification & alignement DKIM

Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (peu importe le domaine utilisé dans la déclaration du « d= »).

Notre taux d’authentification DKIM sur les 3 derniers mois de 2020

Pas de grosse perte en décembre, plus de 99% de nos e-mails remontés via les rapports DMARC sont signés avec DKIM… Top !

En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique au domaine de FROM (domaine de l’adresse expéditrice).

Notre taux dalignement DKIM sur les 3 derniers mois de 2020

On s’améliore sur l’alignement DKIM pour passer la barre des 99%… À maintenir en 2021 !

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

Notre taux d’e-mails non-signés avec DKIM sur les 3 derniers mois de 2020

On a une légère augmentation en décembre mais on reste loin de la moyenne de 2020 (0 ,9%), on ne va pas faire les difficiles et travailler pour améliorer ça 🙂

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de décembre 2020 :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
Sellsy*.sellsy.comSoftware750%ConnuRendre conforme
Outlook*.outlook.comWebmail429%À étudierAucune action
OVH*.ovh.netHosting321%InconnuAucune action

Pour Sellsy, le problème se situe sur les alignements SPF (mail.sellsy.com) & DKIM (sellsy.com). Une partie des sources d’Outlook sera à rendre conforme, les autres ne demanderont aucune action (comme pour OVH).

Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
Dreamhost*.dreamhostps.comHosting1192%ConnuRendre conforme
?*.jino.ru?18%InconnuAucune action

Dreamhost est en cours de conformité, cette ligne devrait disparaître en janvier ! Par contre, le domaine russe nous est totalement inconnu… donc lui, on ne fera aucune action de conformité dessus !

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.

Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de décembre 2020 :

La tendance des erreurs SPF les plus fréquentes

Tendance des erreurs SPF dans notre monitoring DMARC mensuel
Tendance des échecs SPF sur le mois de décembre

Et la tendance des erreurs DKIM les plus fréquentes

Tendance des erreurs DKIM dans notre monitoring DMARC mensuel
Tendance des échecs DKIM sur le mois de décembre

Du côté des erreurs SPF, les problèmes d’alignement remontent toujours majoritairement (plus de 6 e-mails sur 10 ne sont pas alignés SPF).

Par contre, pour DKIM, plus de 5 e-mails sur 10 remontent un problème d’authentification… À corriger au plus vite surtout si les e-mails en échec doivent être conformes.

Notre feuille de route pour le mois de janvier 2021 !

Après une revue des différentes remontées « non-conformes » et « non-authentifiés » avec Jonathan, nous avons défini la feuille de route suivante :

Sources « non-authentifiées »

  • Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP [done]
  • SharpSpring : Ouvrir un ticket au Support [done]

Sources « non-conformes »

  • Sendgrid : Ajouter un relay SMTP [done]
  • Sharpspring : Ouvrir un ticket au Support [done]
  • Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 [to do]

Pour toutes les autres sources, aucune action sera à réaliser pour le moment. Certaines devront être étudiées (pour voir si nous devons les rendre conforme) et pour les autres… Osef puisque nous n’avons aucun intérêt derrière 😋

Conclusion pour ce monitoring DMARC.

Suite au monitoring d’octobre & novembre, nous n’avons pas chômé… Nous avons rendu plusieurs sources « conformes » à DMARC mais on ne va s’arrêter là, on doit s’occuper d’un gros chantier qui se prénomme « Sellsy » et qui va prendre un peu de temps… La suite au prochain numéro ! Et si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider J

N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!

Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions de stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits ou d’intervention en tant que force de production externalisée. 

Contenus liés à DMARC :

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

4 réponses

  1. Bonjour,
    Qu’est ce que vous utilisez pour analyser les rapports dmarc que vous recevez ?
    Merci.

  2. Bonjour Clément,
    Actuellement, nous utilisons le module DMARC de la solution de monitoring 250ok/Validity.
    Bien à vous,
    Sébastien.

  3. Bonjour Alain,
    Merci pour votre message, j’en parle avec Jonathan et on revient vers vous rapidement justement pour discuter du sujet 🙂
    Bien à vous,
    Sébastien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Livre Blanc Choix d'une solution eCRM / emailing

Savez-vous que nous mettons à votre disposition un livre blanc pour choisir une solution eCRM/emailing ?