badsender logo

Quel usage de DMARC / BIMI chez les entreprises présentes à l’EMDAY ?

03/06/2022

Les 23 et 24 mai derniers se déroulaient au Campus de Cély la 9ème édition du plus grand événement français dédié à l’e-mail marketing, je parle bien sûr de l’EMDAY. 2 journées “All Inclusive” (j’adore trop ce terme :p) consacrées à l’e-mail marketing avec les meilleurs experts français !

J’ai eu l’opportunité de participer en tant qu’intervenant dans 2 ateliers dédiés à la délivrabilité 🙂 J’en ai aussi profité pour assister à la conférence DMARC / BIMI (que je voulais animer à la base :p) de Jérôme Gays de Postmastery (merci pour la bière au passage Jérôme que je devrais déguster dans les prochains jours :p) et Laura Villevieille de HCL Solutions.

D’ailleurs, à la fin de la conférence, je me suis dit que j’allais analyser les usages de DMARC & BIMI des entreprises présentes de l’événement pour voir le niveau de configuration/sécurité déployé… Et comparer les résultats aux 2 dernières études que j’avais publiées il y a quelques mois !

Méthodo de notre analyse DMARC / BIMI

Pour cette analyse, j’ai repris la liste des entreprises enregistrées à l’EMDAY et j’ai récupéré leur domaine organisationnel. Ce qui m’a permis de recueillir les informations suivantes :

  • L’enregistrement DMARC (s’il est présent),
  • La politique de sécurité utilisée,
  • La ou les solutions de monitoring DMARC utilisée(s),
  • L’enregistrement BIMI (s’il est présent).

Le but de cette analyse est uniquement de connaître les usages de DMARC / BIMI. Je ne citerai / nommerai aucune entreprise. Si vous souhaitez connaître mon avis sur le déploiement de DMARC/BIMI pour votre entreprise, contactez-moi 🙂

D’ailleurs, je reste disponible si certaines entreprises ont besoin de conseils dans le déploiement de DMARC & BIMI.

Listing des entreprises participantes à l’événement

Pour lister les entreprises participantes, je me suis basé principalement sur l’application Swapcard de l’événement. En ce qui concerne les noms de domaine organisationnels de chaque entreprise, je me suis allé sur leur site web pour trouver une adresse dans les mentions légales/CGV, du moins pour ceux que je ne connaissais pas.

Je vous mets ici la liste des entreprises et leur domaine qui ont été analysées : Listing des entreprises participants à l’EMDAY 2022

Note: Si je vous ai oublié ou si le nom de domaine mentionné est incorrect, dis-le moi 🙂

Quels sont les usages de DMARC ?

Usage de DMARC chez les entreprises participantes à l'EMDAY
Usage de DMARC chez les entreprises participantes à l’EMDAY

Sur les 75 noms de domaine analysés, 43 ont un enregistrement DMARC ! Ce qui représente 57% des noms de domaine analysés. Ainsi, plus d’une entreprise sur deux qui a participé à l’EMDAY a déployé DMARC sur son nom de domaine organisationnelle. À contrario, presque qu’une entreprise sur deux ne surveille pas l’activité de son domaine organisationnelle et peut être victime de spam/phishing sans le savoir !?!

À titre comparatif :

— Le taux de déploiement de DMARC chez les entreprises du CAC 40 est à 71% en décembre 2021.

— Le taux de déploiement de DMARC chez le TOP 100 E-Commerce (2019) est à 75% en avril 2022.

Autres points intéressants, sur les 43 enregistrements DMARC déployés :

2 enregistrements sont en erreur et doivent absolument être corrigés (MP envoyés).

20 enregistrements DMARC pourraient être optimisés en supprimant des tags/valeurs inutiles !

Note : Si un tag n’est pas déclaré, il prendra la valeur par défaut donc pas la peine de l’ajouter.

Quelles sont les politiques DMARC déployées ?

Policy DMARC déployées sur les noms de domaine organisationnels
Policy DMARC déployées sur les noms de domaine organisationnels

Sur les 43 enregistrements DMARC déployés, 10 enregistrements ont une politique de sécurité à REJECT (p=reject), 13 enregistrements ont une politique de sécurité à QUARANTINE (p=quarantine) et 20 enregistrements ont une politique de sécurité à NONE (p=none). Ces résultats sont plutôt intéressants, plus de la moitié des entreprises ayant déployé une policy restrictive (REJECT ou QUARANTINE) sont éligibles à BIMI.

À titre comparatif :

— Le taux de déploiement de la policy REJECT chez les entreprises du CAC 40 est à 31% en décembre 2021, contre 24% pour une policy QUARANTINE et 45% pour une policy NONE.

— Le taux de déploiement d’une policy REJECT chez le TOP 100 E-Commerce (2019) est à 36% en avril 2022, contre 13% pour une policy QUARANTINE et 51% pour une policy NONE.

Quelles sont les solutions de monitoring utilisées ?

Répartition des solutions de monitoring DMARC utilisées
Répartition des solutions de monitoring DMARC utilisées

47% des adresses déclarées dans les tag RUA sont internes à l’entreprise. Je serai curieux de savoir si ces rapports sont juste stockés dans ces adresses ou s’ils sont vérifiés & étudiés, et à quelle fréquence… Si vous voulez partager votre expérience sur ce sujet, je suis preneur 🙂

Autres points intéressants à retenir :

6 entreprises n’ont déclaré aucun tag RUA et donc ne récupèrent / monitorent aucun rapport DMARC.

9 solutions différentes sont utilisés, certaines n’ont pas l’air adapté pour du monitoring…

Proofpoint ne représente ici que 5% des solutions utilisées alors qu’elles étaient largement utilisés chez les entreprises du CAC40 (31%) et du TOP 100 E-Commerce (14%).

Quels sont les usages de BIMI ?

Pour celles et ceux qui n’avaient pas assister à la conférence de Jérôme & Laura pendant l’EMDAY, Brand Indicators for Message Identification (ou BIMI pour les intimes) vous permet (sous certaines conditions) d’afficher le logo de votre entreprise dans quelques webmails (notamment Gmail). Je ne vous en dis pas plus pour le moment, nous avons prévu de réaliser un livre blanc pendant cet été sur BIMI, on vous expliquera tout dedans 🙂

Usage de BIMI chez les entreprises participantes à l'EMDAY
Usage de BIMI chez les entreprises participantes à l’EMDAY

Sur les 23 entreprises éligibles à BIMI, seulement 4 ont un enregistrement BIMI ! Il y en a même une 5ème mais son enregistrement DMARC n’est pas éligible à BIMI (oui, je sais… on va le mettre à jour dans un futur très proche… Oups j’ai rien dit).

Malheureusement, sur les 4 entreprises qui ont déployé DMARC, une seule à réellement un enregistrement valide, les 3 autres ont un logo non-conforme. Par contre, personne n’a déclaré un certificat de marque VMC (cf. Verified Mark Certificates).

Pour conclure cet article sur l’usage de DMARC / BIMI chez les participants de l’EMDAY…

Les résultats sont plutôt encourageants même s’il y a, à mon sens, un effort à fournir (peut-être conséquent chez certains) sur le déploiement de DMARC, son paramétrage et les solutions de monitoring “interne” qui sont utilisées. Avoir DMARC c’est bien, monitorer ses flux c’est encore mieux 🙂

Le point que je trouve super intéressent parmi ceux qui ont déployé DMARC, c’est l’utilisation en masse d’une policy restrictive (53% ont une policy REJECT ou QUARANTINE)… Bravo !

Quant à BIMI, je ne suis pas trop surpris du faible pourcentage de déploiement vu que cet authentification reste peu connu du commun des mortels !

Note : Petite pensée pour Marine (qui se reconnaitra) pour le temps qu’elle a passé à chercher à déployer un certificat VMC pour son domaine !

Je recommencerai l’exercice lors du prochain EMDAY (le 10ème !), j’espère cette fois-ci être agréablement surpris des résultats que je trouverai. D’ici là, ajoutez ou mettez à jours vos enregistrements DMARC/BIMI 😉

Note : Si vous souhaitez avoir mon avis sur votre enregistrement DMARC/BIMI, 3 moyens de me contacter : Me poker sur LinkedIn, me MP sur Swapcard ou me mailez 🙂

Besoin d’un audit délivrabilité ? Ou d’un monitoring ? On peut aussi vous proposer :

Badsender anime aussi une formation sur le sujet de la délivrabilité email !

Envie de recevoir la newsletter, les invitations aux lives et autres actus de Badsender par email ?

2 réponses

  1. Bonjour,
    juste pour réajuster les résultats des entreprises citées, pour la Caisse des Dépôts, même si nous avons appris à l’EMDay que ce n’était pas le top, nous utilisons actuellement des sous domaines de caissedesdepots.email, et non caissedesdepots.fr …
    Cordialement,
    Charles.

  2. Bonjour Charles,
    Merci pour ce réajustement. Effectivement, le domaine mentionné est différent du domaine utilisé pour le web, ça peut porter à confusion. Par contre, le domaine caissedesdepots.email n’a aucun protocole d’authentification actif (n’importe qui peut l’utiliser), ce qui met la sécurité du domaine à mal. Si ce domaine venait à être blacklisté pour x raisons, les sous-domaines que vous utilisez seraient également impactés. Faites bien attention à cela. N’hésitez pas à nous contacter pour en savoir plus 🙂
    Bien à vous,
    Sébastien.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *