Monitoring DMARC Badsender.com – Septembre 2021

Restez informé.e via les newsletters de Badsender

Chaque mois, nous publions une newsletter sur l’email marketing et une infolettre sur la sobriété et le marketing. Pour avoir plus de détails sur le contenu et le rythme de nos communications, rendez-vous ici.

Votre adresse email servira uniquement à vous envoyer nos newsletters et nos invitations. JAMAIS ô grand jamais, nous ne la communiquerons à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

Comme tous les mois maintenant, je vous partage aujourd’hui notre monitoring des données DMARC pour le mois de septembre 2021 !

Pour résumé : Aujourd’hui, suite à notre migration de messagerie électronique, nous avons passé notre politique de sécurité DMARC de « quarantine » à « none » pour être sûr qu’aucun flux e-mail ne soit impacté. Par la suite, nous repasserons avec un niveau « quarantine » pour protéger un minimum notre nom de domaine.

Nous avons, à terme, deux objectifs pour 2021 :

  1. Passer notre politique de sécurité à « reject » : nous demanderions alors à tout organisme interprétant DMARC de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
  2. Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
  3. Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !

Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !

Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.

Allez, on rentre dans le vif du sujet… Bonne lecture 🙂

Taux de conformité de septembre 2021

Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).

Voici nos résultats depuis le début de l’année 2021 et en particulier pour le mois de septembre où l’activité e-mail a repris du poil de la bête :

Badsender.comVolumesConformeNon ConformeNon Authentifié
Septembre 20214 91299,8%0,2%0,0%
Août 20211 71199,8%0,1%0,1%
Juillet 20212 12482,6%5,6%11,8%
Juin 20214 71799,6%0,2%0,2%
Mai 20213 90099,7%0,1%0,2%
Avril 20214 21499,4%0,1%0,5%
Mars 20213 54999,1%0,9%0,0%
Février 20215 22199,8%0,2%0,0%
Janvier 20214 84398,0%1,9%0,1%
Notre taux de conformité sur l’année 2021

Avec le volume le plus fort depuis l’année 2021, le taux de conformité DMARC en septembre reste très bon voire très proche des 100%. Seulement 11 e-mails ne sont pas conformes et/ou ont été non-authentifiés à DMARC sur le mois de septembre !

Authentification & alignement SPF & DKIM

Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).

Taux d’authentification SPF pour badsender.com en 2021 - Monitoring DMARC
Taux d’authentification SPF pour badsender.com en 2021

Que dire sur ce mois de septembre à part que nous avons un des meilleurs taux de l’année, avec plus de 97% des e-mails ayant une authentification SPF valide ^^

Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Taux d’alignement SPF pour badsender.com en 2021
Taux d’alignement SPF pour badsender.com en 2021

Notre taux d’alignement SPF sur septembre reste plutôt très bon, avec un taux à quasi 93% mais il reste encore perfectible. Nous devrons étudier les sources remontant un problème d’alignement SPF et les corriger si cela nous est possible.

Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).

Taux d’authentification DKIM pour badsender.com en 2021 - Monitoring DMARC
Taux d’authentification DKIM pour badsender.com en 2021

RAS. Que dire ici mis à part qu’on frôle sur ce mois de septembre le 100% d’authentification DKIM !

Besoin d'aide ?

Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.


En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).

Taux d’alignement DKIM pour badsender.com en 2021
Taux d’alignement DKIM pour badsender.com en 2021

Concernant le taux d’alignement DKIM pour le mois de septembre, il est plutôt pas mal, avec un taux à 97,3%. Comme les taux précédents, il reste perfectible mais nous sommes bien loin du score du mois de juillet.

Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.

Taux d’e-mails non-signés avec DKIM pour badsender.com en 2021
Taux d’e-mails non-signés avec DKIM pour badsender.com en 2021

RAS pour le taux d’e-mails non signés avec DKIM. On retrouve le taux que nous avons quasi toujours eu depuis le début de l’année !

Répartition des e-mails non-conformes & non-authentifiés

Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de septembre 2021 :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
Microsoft*.outlook.comWebmail444%InconnuAucune action
OVH*.ovh.netHosting333%InconnuAucune action
Google*.google.comWebmail222%InconnuAucune action
Sources “non-conformes” en septembre 2021

Pas grand-chose à dire pour ce mois de septembre, seulement 9 e-mails non-conformes et pas de mise en conformité requise.

Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :

OrganisationSender rDNSCatégorieVolumesPourcentageSourceAction
?*.nspu.ru?150%InconnuAucune action
Microsoft*.outlook.comWebmail150%InconnuAucune action
Sources “non-authentifiées” en septembre 2021

Idem pour les flux « non-authentifiés », seulement 2 remontées sur le mois de septembre et aucune intervention à faire.

Tendance des erreurs SPF & DKIM

Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.

Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de septembre 2021 :

Tendance des erreurs SPF les plus fréquentes

Tendance des échecs SPF sur le mois de septembre 2021
Tendance des échecs SPF sur le mois de septembre 2021

Sur le mois de septembre, 242 e-mails remontent un problème d’alignement SPF, 68 e-mails remontent SPF en échec, 9 e-mails remontent aucun enregistrement SPF et 2 e-mails remontent une erreur temporaire avec SPF.

Tendance des erreurs DKIM les plus fréquentes

Tendance des échecs DKIM sur le mois de septembre 2021
Tendance des échecs DKIM sur le mois de septembre 2021

Du côté des erreurs DKIM sur le mois de septembre, 106 e-mails remontent un problème d’alignement avec DKIM, 25 e-mails remontent un problème d’authentification DKIM, 16 e-mails remontent un problème temporaire avec DKIM, 2 e-mails remontent aucun enregistrement DKIM et 1 e-mail avec une erreur permanente.

Notre feuille de route pour la fin de l’année !

Comme nous avons enfin migré (il reste quelques petits ajustements à réaliser) notre message d’Outlook vers Infomaniak, je vais pouvoir nous concentrer sur notre conformité DMARC sur la fin de l’année, ce qui amène les objectifs suivants :

  1. Corriger les flux devant être conforme à DMARC : ceux avec SPF non-conforme ou DKIM non-conforme.
  2. Passer notre politique de sécurité DMARC à « quarantine » puis « reject » avant la fin de l’année.

Conclusion

Comme vous avez pu le constater dans les chiffres de septembre, nous n’avons pas eu de mauvaises surprises sur notre migration d’infrastructure mais aussi de tiers malveillant (ce qui est toujours rassurant :p). On va pouvoir analyser les flux e-mails qui ont encore une défaille au niveau de SPF ou de DKIM pour être totalement d’équerre. C’est un travail de fourni qui va prendre du temps 🙂

Nos autres contenus liés à DMARC (de près ou de loin) :

Partagez
L’auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *