L'hébergement mutualisé pour tou·te·s, imaginé par des développeur·euse·s, pour des développeur·euse·s.
Découvrir le Cloud PublicVoici 3 méthodes pour authentifier vos emails et réduire de ce fait l’usage abusif des emails (spam, phishing…).
SPF fait une requête DNS de type TXT
sur le domaine de l’expéditeur ("MAIL FROM" dans les en-têtes du message) pour connaître la liste des serveurs autorisés à envoyer des emails et la comparer à l’adresse IP du serveur émetteur.
Mécanisme | |
---|---|
ALL | Résultat par défaut |
A | Un enregistrement IN A (ou AAAA) pouvant être résolu comme adresse d’expéditeur |
IP4 | Plage d’IPv4 |
IP6 | Plage d’IPv6 |
MX | Un enregistrement Mail eXchanger pointant vers l’adresse de l’expéditeur |
EXISTS | Le domaine est résolu en n’importe quelle adresse |
INCLUDE | Une règle incluse passe le test |
PTR | Le domaine de l’adresse IP correspond au domaine spécifié, et ce dernier pointe vers l’IP en retour |
Qualifieurs | |
---|---|
+ | Résultat favorable |
? | Résultat neutre |
~ | Léger échec “SOFTMAIL” (email accepté mais marqué) |
- | Échec total (email normalement rejeté) |
Modifiers | |
---|---|
exp=some.example.com | Pour avoir le motif des résultats en échec |
redirect=some.example.com | Pour lier à un enregistrement de règle d’un autre domaine |
Cette technologie peut avoir des répercussions sur les redirections emails : le serveur émetteur n’étant pas forcément le serveur de messagerie de l’expéditeur d’origine de l’email.
Un enregistrement SPF est créé par défaut, à retrouver dans l’onglet Enregistrements DNS du domaine :
include:_spf.alwaysdata.com
autorise explicitement nos serveurs à envoyer des emails ;~all
envoie un léger échec “SOFTMAIL” pour les autres serveurs d’envois.Si le domaine n’utilise pas les serveurs DNS d’alwaysdata, il faudra, chez le prestataire DNS, ajouter include:_spf.alwaysdata.com
à l’enregistrement SPF.
DKIM permet d’authentifier le nom de domaine en ajoutant une signature à tous les emails sortants. Concrètement cela fonctionne avec deux clés :
TXT
.Pour générer une paire de clés chez alwaysdata, rendez-vous dans Domaines > Détails de [exemple.org] - 🔎> Configuration.
Cela créera automatiquement l’enregistrement TXT
, alors disponible dans l’onglet Enregistrement DNS :
Si le domaine n’utilise pas les serveurs DNS d’alwaysdata, cet enregistrement doit être recopié chez le prestataire DNS.
DMARC est un protocole standardisant l’authentification en indiquant aux destinataires les actions à entreprendre dans le cas ou une des méthodes d’authentification échouerait. Il va vérifier que :
Pour utiliser DMARC, DKIM et SPF doivent donc déjà être implémentés.
Variables | |
---|---|
v | Version du protocole : v=DMARC1 (obligatoire) |
pct | Pourcentage de messages à filtrer (défaut : 100) |
adkim | Cohérence avec DKIM |
s = mode strict - le domaine de la signature DKIM doit exactement correspondre au FROM | |
r = mode relax (défaut) | |
aspf | Cohérence avec SPF (s ou r ) |
p | Procédure en cas d’échec - domaine principal (obligatoire) |
none = livre l’email normalement | |
quarantine = traite l’email comme suspect (score de spam, drapeau…) | |
reject = rejette l’email | |
sp | Procédure en cas d’echec - sous-domaine (none , quarantine ou reject ) |
ruf | Destinataire des rapports d’échecs détaillés |
fo | Conditions pour l’envoi d’un rapport détaillé |
1 = échec de DKIM et/ou SPF | |
d = échec de DKIM | |
s = échec de SPF | |
0 = échec de DKIM et SPF (défaut) | |
rua | Destinataires des rapports d’échecs agrégés |
Pour le mettre en place, un enregistrement DNS de type TXT
doit être créé. Chez alwaysdata, vous le retrouverez dans l’onglet Enregistrements DNS du domaine :
Schémas explicatifs repris de Global Cyber Alliance