Comme à chaque début de mois maintenant, nous allons vous partager dans cet article, nos résultats de conformité DMARC pour janvier 2021 !
Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.
Nous avons, à terme, deux objectifs pour 2021 :
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
- Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM (sauf dans le cas d’un transfert d’e-mail avec ARC).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !Ce 3ème point est trop compliqué à mettre en place (cf. point n°1), on restera avec un alignement « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de Janvier 2020
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats sur le mois de Janvier 2020 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
| Décembre 2020 | 3 797 | 99,3% | 0,4% | 0,3% |
| Novembre 2020 | 4 973 | 98,0% | 1,9% | 0,1% |
| Octobre 2020 | 3 772 | 95,8% | 4,1% | 0,1% |
On a eu courant janvier, une activité « non-conforme » sur notre nom de domaine, je vous laisse deviner d’où elle venait avec un petit indice =>
Outre ce problème, le taux de conformité sur janvier reste bon et les modifications apportées sur notre hébergeur web « Dreamhost » ont été corrigées et donc tous les flux sont passés « conforme », idem avec Sellsy – d’ailleurs on les remercie pour le temps passé à améliorer la conformité DMARC sur nos envois via leur plateforme 🙂
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Authentification & alignement SPF
RAS de ce côté-là, même si on est encore perfectible sur l’authentification SPF, le taux reste au-dessus de 97%
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS de ce côté-là aussi, même constat, on pourrait être nettement meilleur… À nous de bosser dessus 😉
Authentification & alignement DKIM
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS de ce côté-là, notre taux de validité DKIM reste toujours très bon, au-dessus des 99%.
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
RAS de ce côté-là aussi, même s’il est en baisse par rapport à décembre 2020, le taux d’alignement DKIM reste tout de même excellent… 98% !
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
Même s’il indique 0,0%, nous n’avons eu que 3 e-mails non authentifiés sur Janvier 2021 venant d’Outlook. À investiguer pour voir si les flux doivent être rendus conformes.
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de janvier 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Sellsy | *.sellsy.com | Software | 8 | 9% | Connu | Rendre conforme |
| Outlook | *.outlook.com | Webmail | 4 | 4% | À étudier | Aucune action |
| ? | *alpha-sur3lol.ru | ? | 4 | 4% | Inconnu | Aucune action |
| ? | *.youcu.ru | ? | 3 | 3% | Inconnu | Aucune action |
| ? | *.autoptica.ru | ? | 3 | 3% | Inconnu | Aucune action |
| ? | *.zhannab.ru | ? | 3 | 3% | Inconnu | Aucune action |
| ? | *.vsdshnik.ru | ? | 2 | 2% | Inconnu | Aucune action |
| ? | *.kvantoforum.ru | ? | 2 | 2% | Inconnu | Aucune action |
| ? | *.trevelpayouts.ru | ? | 2 | 2% | Inconnu | Aucune action |
| ? | *.nosjevsky.ru | ? | 2 | 2% | Inconnu | Aucune action |
Je ne vous ai affichés que le TOP10 – Il y a eu 55 entrées au total.
Comme vous pouvez le voir, beaucoup de domaines russes (toutes ces entrées ont été faites par le provider Mail.ru). Le « From » domaine était bien « badsender.com », les signatures SPF/DKIM sur des domaines « .com / .ru » et les IP russes…
Pour Sellsy, le problème a été réglé le 15/01 (merci à eux). Tous les flux sont conformes DMARC aujourd’hui.
Et passons maintenant à la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Outlook | *.outlook.com | Webmail | 3 | 100% | À étudier | Aucune action |
Ces flux « Outlook » sont à étudier, dans ce cas-là, il y a eu une erreur temporaire d’authentification – ce qui explique qu’il soit passé « non-authentifié ».
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de janvier 2021 :
Tendance des erreurs SPF les plus fréquentes
Du côté des erreurs SPF, les problèmes d’alignement remontent toujours majoritairement. Plus de 7 e-mails sur 10 ne sont pas alignés SPF donc le domaine utilisé dans le Mailfrom est différent de Badsender.com ou de ses sous-domaines.
Tendance des erreurs DKIM les plus fréquentes
Idem pour DKIM, plus de 8 e-mails sur 10 remontent un problème d’alignement… Le domaine signé dans la clé DKIM est différent de Badsender.com ou de ses sous-domaines.
Notre feuille de route pour le mois de février 2021 !
Malheureusement, on ne fera la réunion qu’avec Jonathan le 11 février donc il se peut que les informations ci-dessous changent d’ici-là ? :
Sources « non-authentifiées »
- Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP (done)
- SharpSpring : Ouvrir un ticket au Support (done)
- Outlook : Étudier les sources et voir si on doit les rendre conforme à DMARC ou non (to do)
Sources « non-conformes »
- Sendgrid : Ajouter un relay SMTP (done)
- Sharpspring : Ouvrir un ticket au Support (done)
- Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 (done)
Pour toutes les autres sources, aucune action sera à réaliser pour le moment… Osef car nous n’avons aucun intérêt derrière à les légitimer 😉
Conclusion
Bon, comme vous avez vu, la feuille de route est quasi finie… Je pense que nous allons pouvoir prochainement passer notre politique de sécurité DMARC de « quarantine » à « reject » … Verdict le 11 février… Et donc la suite au prochain numéro !
– – – – –
Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider 🙂
– – – – –
N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
– – – – –
Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions des stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits, ou d’intervention en tant que force de production externalisée.
– – – – –
Contenus liés à DMARC de près ou de loin :
— Monitoring DMARC de Décembre 2020
— Monitoring DMARC d’Octobre vs. Novembre 2020
— Notre Livre Blanc sur le déploiement de DMARC
— Tout savoir sur SPF en 3 articles :
Qu’est-ce que SPF ? Configuration, vérification et monitoring
10 Conseils à mettre en place dans sa configuration SPF
Et si vous passiez votre enregistrement SPF au qualifieur -all ???
— Tout savoir sur DKIM (1 article seulement) :
Qu’est-ce que DKIM ? Configuration, vérification et monitoring
— Presque tout savoir sur ARC (1 article pour le moment) :Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification
– – – – –
Photo by Randy Tarampi on Unsplash
