Tech 2021 #01 | Monitoring DMARC Badsender.com – Janvier 2021

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
monitoring dmarc

Comme à chaque début de mois maintenant, nous allons vous partager dans cet article, nos résultats de conformité DMARC !

Pour résumé : Aujourd’hui, notre politique de sécurité est à « quarantine », ce qui signifie que tout e-mail ayant les authentifications SPF & DKIM en échec sera délivré en courrier indésirable sur tout organisme (FAI, Webmails, entreprises, …) capable d’interpréter et d’appliquer la règle de sécurité DMARC.

Nous avons, à terme, deux objectifs pour 2021 :

  1. Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
  2. Passer notre politique de sécurité de « quarantine » à « reject » : nous demanderions alors à tous les FAI/Webmails/Filtres (interprétant DMARC) de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM (sauf dans le cas d’un transfert d’e-mail avec ARC).
  3. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com ! Ce 3ème point est trop compliqué à mettre en place (cf. point n°1), on restera avec un alignement « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Bonne lecture 🙂

Taux de conformité de Janvier 2020

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).

Voici nos résultats sur le mois de Janvier 2020 (je garde volontairement l’historique depuis la parution du premier monitoring DMARC pour bien comparer l’évolution des données) :

Badsender.comVolumesConformeNon ConformeNon Authentifié
Janvier 20214 84398,0%1,9%0,1%
Décembre 20203 79799,3%0,4%0,3%
Novembre 20204 97398,0%1,9%0,1%
Octobre 20203 77295,8%4,1%0,1%
Notre taux de conformité DMARC depuis Octobre 2020 ! Qui dit mieux ? 🙂

On a eu courant janvier, une activité « non-conforme » sur notre nom de domaine, je vous laisse deviner d’où elle venait avec un petit indice => 🇷🇺

Outre ce problème, le taux de conformité sur janvier reste bon et les modifications apportées sur notre hébergeur web « Dreamhost » ont été corrigées et donc tous les flux sont passés « conforme », idem avec Sellsy – d’ailleurs on les remercie pour le temps passé à améliorer la conformité DMARC sur nos envois via leur plateforme 🙂

Authentification & alignement SPF & DKIM

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).

Authentification & alignement SPF

Notre taux d’authentification SPF entre Octobre 2020 et Janvier 2021

RAS de ce côté-là, même si on est encore perfectible sur l’authentification SPF, le taux reste au-dessus de 97%

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Notre taux d’alignement SPF entre Octobre 2020 et Janvier 2021

RAS de ce côté-là aussi, même constat, on pourrait être nettement meilleur… À nous de bosser dessus 😉

Authentification & alignement DKIM

Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).

Notre taux d’authentification DKIM entre Octobre 2020 et Janvier 2021

RAS de ce côté-là, notre taux de validité DKIM reste toujours très bon, au-dessus des 99%.

En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Notre taux d’alignement DKIM entre Octobre 2020 et Janvier 2021

RAS de ce côté-là aussi, même s’il est en baisse par rapport à décembre 2020, le taux d’alignement DKIM reste tout de même excellent… 98% !

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

Notre taux d’e-mails non-signés avec DKIM entre Octobre 2020 et Janvier 2021

Même s’il indique 0,0%, nous n’avons eu que 3 e-mails non authentifiés sur Janvier 2021 venant d’Outlook. À investiguer pour voir si les flux doivent être rendus conformes.

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de janvier 2021 :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
Sellsy*.sellsy.comSoftware89%ConnuRendre conforme
Outlook*.outlook.comWebmail44%À étudierAucune action
?*alpha-sur3lol.ru?44%InconnuAucune action
?*.youcu.ru?33%InconnuAucune action
?*.autoptica.ru?33%InconnuAucune action
?*.zhannab.ru?33%InconnuAucune action
?*.vsdshnik.ru?22%InconnuAucune action
?*.kvantoforum.ru?22%InconnuAucune action
?*.trevelpayouts.ru?22%InconnuAucune action
?*.nosjevsky.ru?22%InconnuAucune action
E-mails remontés non-conforme à DMARC sur Janvier 2021

Je ne vous ai affichés que le TOP10 – Il y a eu 55 entrées au total.

Comme vous pouvez le voir, beaucoup de domaines russes (toutes ces entrées ont été faites par le provider Mail.ru). Le « From » domaine était bien « badsender.com », les signatures SPF/DKIM sur des domaines « .com / .ru » et les IP russes…

Pour Sellsy, le problème a été réglé le 15/01 (merci à eux). Tous les flux sont conformes DMARC aujourd’hui.

Et passons maintenant à la liste des « Sender rDNS » remontés comme « non-authentifiés » :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
Outlook*.outlook.comWebmail3100%À étudierAucune action
E-mails remontés non-authentifiés à DMARC sur Janvier 2021

Ces flux « Outlook » sont à étudier, dans ce cas-là, il y a eu une erreur temporaire d’authentification – ce qui explique qu’il soit passé « non-authentifié ».

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.

Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de janvier 2021 :

Tendance des erreurs SPF les plus fréquentes

Tendance des échecs SPF sur le mois de janvier 2021

Du côté des erreurs SPF, les problèmes d’alignement remontent toujours majoritairement. Plus de 7 e-mails sur 10 ne sont pas alignés SPF donc le domaine utilisé dans le Mailfrom est différent de Badsender.com ou de ses sous-domaines.

Tendance des erreurs DKIM les plus fréquentes

Tendance des échecs DKIM sur le mois de janvier 2021

Idem pour DKIM, plus de 8 e-mails sur 10 remontent un problème d’alignement… Le domaine signé dans la clé DKIM est différent de Badsender.com ou de ses sous-domaines.

Notre feuille de route pour le mois de février 2021 !

Malheureusement, on ne fera la réunion qu’avec Jonathan le 11 février donc il se peut que les informations ci-dessous changent d’ici-là  :

Sources « non-authentifiées »

  • Dreamhost (e-mail provenant de WordPress) : Ajouter un relay SMTP [done]
  • SharpSpring : Ouvrir un ticket au Support [done]
  • Outlook : Étudier les sources et voir si on doit les rendre conforme à DMARC ou non [To do]

Sources « non-conformes »

  • Sendgrid : Ajouter un relay SMTP [done]
  • Sharpspring : Ouvrir un ticket au Support [done]
  • Sellsy (signature électronique des contrats) : Migrer les flux e-mails vers Office 365 [done]

Pour toutes les autres sources, aucune action sera à réaliser pour le moment… Osef car nous n’avons aucun intérêt derrière à les légitimer 😉

Conclusion

Bon, comme vous avez vu, la feuille de route est quasi finie… Je pense que nous allons pouvoir prochainement passer notre politique de sécurité DMARC de « quarantine » à « reject » … Verdict le 11 février… Et donc la suite au prochain numéro !

– – – – –

Si vous aussi vous avez pour ambition de vouloir rendre vos flux e-mails conformes à DMARC mais que vous ne savez pas par où commencer, quelle(s) solution(s) utilisée(s)… On est là pour vous aider 🙂

– – – – –

N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!

– – – – –

Badsender, agitateur d’expertise emailing ! Badsender, c’est une équipe d’artisans spécialistes des différentes disciplines qui entourent l’email marketing ! Notre agence emailing intervient sur des questions des stratégie, de conception, d’orchestration et de délivrabilité. Cette expertise, nous vous la proposons sous forme de coaching, d’audits, ou d’intervention en tant que force de production externalisée. 

– – – – –

Contenus liés à DMARC de près ou de loin :

Monitoring DMARC de Décembre 2020

Monitoring DMARC d’Octobre vs. Novembre 2020

Notre Livre Blanc sur le déploiement de DMARC

— Tout savoir sur SPF en 3 articles :

         Qu’est-ce que SPF ? Configuration, vérification et monitoring

         10 Conseils à mettre en place dans sa configuration SPF

         Et si vous passiez votre enregistrement SPF au qualifieur -all ???

— Tout savoir sur DKIM (1 article seulement) :

         Qu’est-ce que DKIM ? Configuration, vérification et monitoring

— Presque tout savoir sur ARC (1 article pour le moment) :Qu’est-ce que l’ARC ? Définition, fonctionnement et vérification

– – – – –

Photo by Randy Tarampi on Unsplash

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Livre Blanc Choix d'une solution eCRM / emailing

Savez-vous que nous mettons à votre disposition un livre blanc pour choisir une solution eCRM/emailing ?