Comment valider que votre authentification de messagerie est correctement configurée pour DKIM, DMARC, SPF et BIMI
Si vous envoyez des volumes importants d’e-mails marketing, il est probable que votre e-mail n’arrive pas dans la boîte de réception si vous n’avez pas configuré votre authentification de courrier électronique. Nous travaillons avec de nombreuses entreprises pour les aider à résoudre leurs problèmes de migration de messagerie, de réchauffement IP et de délivrabilité. La plupart des entreprises ne réalisent même pas qu’elles ont un problème ; ils pensent que les abonnés n’interagissent tout simplement pas avec leurs e-mails.
Hameçonnage
Le problème est le problème croissant des courriels malveillants et frauduleux, en particulier Hameçonnage e-mails. Le phishing est une cyberattaque par laquelle des individus ou des organisations tentent d’inciter les gens à révéler des informations sensibles, telles que des mots de passe ou des détails de carte de crédit, en se déguisant en entités dignes de confiance. Cela se fait principalement par courrier électronique. L’attaquant enverra un e-mail qui semble provenir d’une source légitime, puis vous amènera à une page de destination que vous pensez être une page de connexion ou une autre page d’authentification sur laquelle la victime saisit par inadvertance ses informations personnelles.
Les problèmes invisibles de la délivrabilité
Il existe trois problèmes invisibles liés à la délivrabilité des e-mails dont les entreprises ne sont pas conscientes :
Autorisation – Fournisseurs de services de messagerie (ESP) gérer les autorisations d’opt-in… mais le fournisseur d’accès Internet (FAI) gère la passerelle pour l’adresse e-mail de destination. Il s’agit d’un système intrinsèquement défectueux qui a fait monter en flèche les stratagèmes frauduleux comme le phishing. En tant qu’entreprise, vous pouvez tout faire pour obtenir des autorisations et des adresses e-mail, mais le FAI n’en a aucune idée et peut de toute façon vous bloquer. Les FAI supposent que vous êtes un spammeur ou que vous envoyez des e-mails malveillants… sauf preuve du contraire.
Emplacement dans la boîte de réception – Les ESP promeuvent systématiquement des taux de délivrabilité élevés qui n’ont aucun sens. Un e-mail acheminé directement vers le dossier indésirable et jamais vu par votre abonné de messagerie est techniquement livré. Pour véritablement surveiller le placement de votre boîte de réception, vous devez utiliser un liste de graines et examinez chaque FAI pour déterminer si votre courrier électronique a atterri dans la boîte de réception ou dans le dossier indésirable. Mon entreprise peut également vous proposer ces tests.
Réputation – Les FAI et les services tiers maintiennent également des scores de réputation pour l’adresse IP d’envoi de votre courrier électronique. Il existe des listes noires que les FAI peuvent utiliser pour bloquer complètement tous vos e-mails, ou vous pouvez avoir une mauvaise réputation qui vous amènerait vers le dossier indésirable. Vous pouvez utiliser de nombreux services pour surveiller votre réputation IP, mais je serais un peu pessimiste car beaucoup n’ont pas d’informations sur l’algorithme de chaque FAI.
Authentification par courriel
La meilleure pratique pour atténuer tout problème de placement dans la boîte de réception est de vous assurer que vous avez configuré des enregistrements d’authentification de courrier électronique que les FAI peuvent utiliser pour rechercher et valider que les e-mails que vous envoyez sont réellement envoyés par vous et non par quelqu’un se faisant passer pour votre entreprise. Cela se fait à travers quelques normes :
Cadre de politique de l’expéditeur (FPS) – la norme la plus ancienne est celle où vous enregistrez un enregistrement TXT lors de l’enregistrement de votre domaine (DNS) qui indique quels domaines ou IP adresses à partir desquelles vous envoyez des e-mails pour votre entreprise. Par exemple, j’envoie des e-mails pour Martech Zone depuis Espace de travail Google.
v=spf1 include:_spf.google.com ~all
DomaineAuthentification, reporting et conformité des messages basés sur des messages (DMARC) – cette norme plus récente dispose d’une clé cryptée qui peut valider à la fois mon domaine et l’expéditeur. Chaque clé est produite par mon expéditeur, garantissant que les e-mails envoyés par un spammeur ne puissent pas être usurpés. Si vous utilisez Google Workspace, voici comment configurer DMARC.
Courrier identifié par DomainKeys (DKIM) – Travaillant parallèlement à l’enregistrement DMARC, cet enregistrement indique aux FAI comment traiter mes règles DMARC et SPF et où envoyer les rapports de délivrabilité. Je souhaite que les FAI rejettent tous les messages qui ne transmettent pas DKIM ou SPF, et je souhaite qu’ils envoient des rapports à cette adresse e-mail.
Indicateurs de marque pour l’identification des messages (BIMI) – le plus récent ajout, BIMI offre aux FAI et à leurs applications de messagerie un moyen d’afficher le logo de la marque dans le client de messagerie. Il existe à la fois un standard ouvert et un norme cryptée pour Gmailoù vous avez également besoin d’un certificat de marque vérifiée crypté (VMC). Les certificats coûtent cher, donc je ne le fais pas encore. Les VMC sont délivrés par deux autorités de vérification de marque acceptées : Confier et DigiCert. Plus d’informations peuvent être trouvées sur le Groupe BIMI.
v=BIMI1; l=https://martech.zone/logo.svg;a=self;
Comment valider votre authentification de courrier électronique
Toutes les informations de source, de relais et de validation associées à chaque e-mail se trouvent dans les en-têtes du message. Les interpréter est assez facile si vous êtes un expert en délivrabilité, mais si vous êtes novice, ils sont incroyablement difficiles. Voici à quoi ressemble l’en-tête du message de notre newsletter ; J’ai grisé certains e-mails de réponse automatique et informations sur la campagne :
Si vous lisez attentivement, vous pouvez voir mes règles DKIM, si DMARC passe (ce n’est pas le cas) et SPF passe… mais c’est beaucoup de travail. Il existe cependant une bien meilleure solution de contournement, à utiliser DKIMValidateur. DKIMValidator vous fournit une adresse e-mail que vous pouvez ajouter à votre liste de newsletter ou envoyer via la messagerie de votre bureau… et ils traduisent les informations d’en-tête en un joli rapport :
Tout d’abord, il valide mon cryptage DMARC et ma signature DKIM pour voir s’il réussit ou non (ce n’est pas le cas).
DKIM Information:
DKIM Signature
Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
s=cpmail; t=1643110423;
bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Signature Information:
v= Version: 1
a= Algorithm: rsa-sha256
c= Method: relaxed/relaxed
d= Domain: circupressmail.com
s= Selector: cpmail
q= Protocol:
bh= PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers: Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data: HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup
Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature
result = fail
Details: body has been altered
Ensuite, il recherche mon enregistrement SPF pour voir s’il réussit (c’est le cas) :
SPF Information:
Using this information that I obtained from the headers
Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP = 74.207.235.122
SPF Record Lookup
Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)
Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122
Et enfin, il me donne un aperçu du message lui-même et si le contenu peut signaler certains outils de détection de SPAM, vérifie si je suis sur des listes noires et me dit s’il est recommandé ou non de l’envoyer dans le dossier indésirable :
SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown:
-5.0 RCVD_IN_DNSWL_HI RBL: Sender listed at https://www.dnswl.org/,
high trust
[74.207.235.122 listed in list.dnswl.org]
0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record
0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
identical to background
0.0 HTML_MESSAGE BODY: HTML included in message
0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
valid
0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
Colors in HTML
0.1 DKIM_INVALID DKIM or DK signature exists, but is not valid
Assurez-vous de tester chaque ESP ou service de messagerie tiers à partir duquel votre entreprise envoie des e-mails pour vous assurer que votre authentification de courrier électronique est correctement configurée !
Meilleures pratiques de mise en œuvre de DMARC
La mise en œuvre correcte de DMARC est cruciale pour la sécurité des e-mails et la réputation de l’expéditeur. La politique que vous choisissez dépend de vos objectifs en matière d’authentification des e-mails et de votre volonté de gérer les problèmes potentiels. Voici une répartition des trois politiques :
Aucun (p=aucun) : Cette politique est généralement utilisée pour surveiller et collecter des données sans affecter la livraison de vos e-mails. Il permet aux propriétaires de domaine de voir qui envoie du courrier au nom de leur domaine. C’est un bon point de départ pour comprendre comment votre courrier électronique est traité et pour identifier les problèmes d’authentification potentiels sans risquer la livraison légitime d’un courrier électronique. Même si cela peut sembler ignorer la politique, il s’agit d’un outil de diagnostic précieux pour garantir que tout est correctement configuré avant de passer à des politiques plus restrictives.
Quarantaine (p=quarantaine) : Cette politique suggère aux serveurs de réception de courrier que les e-mails échouant aux contrôles DMARC doivent être traités avec suspicion. Habituellement, cela signifie les placer dans le dossier spam plutôt que de les rejeter purement et simplement. Il s’agit d’un compromis qui réduit le risque de rejet d’e-mails légitimes tout en offrant une protection contre les e-mails frauduleux. C’est une bonne prochaine étape après aucun une fois que vous avez confirmé que vos e-mails légitimes ont réussi les contrôles DMARC.
Rejeter (p=rejeter) : Il s’agit de la politique la plus sécurisée, indiquant aux serveurs de réception que les e-mails échouant aux contrôles DMARC doivent être rejetés. Cette politique empêche efficacement les attaques de phishing et garantit que seuls les e-mails authentifiés parviennent aux destinataires. Cependant, il doit être mis en œuvre avec soin après des tests approfondis avec des politiques « aucun » et éventuellement « quarantaine » pour éviter de rejeter les e-mails légitimes.
Les meilleures pratiques:
Commencer avec p=aucun pour collecter des données et garantir que vos e-mails légitimes sont correctement authentifiés.
Déménager à p=quarantaine pour commencer à protéger votre domaine tout en minimisant le risque de rejet d’e-mails légitimes.
Enfin, passez à p=rejeter une fois que vous êtes sûr que vos pratiques d’envoi d’e-mails sont entièrement conformes à DMARC, pour maximiser la protection contre la fraude par e-mail.
Chaque étape doit impliquer l’analyse des rapports DMARC et l’ajustement de vos pratiques d’envoi d’e-mails si nécessaire pour garantir que les e-mails légitimes sont correctement authentifiés.
février 9, 2024
Comment valider que votre authentification de messagerie est correctement configurée pour DKIM, DMARC, SPF et BIMI
Si vous envoyez des volumes importants d’e-mails marketing, il est probable que votre e-mail n’arrive pas dans la boîte de réception si vous n’avez pas configuré votre authentification de courrier électronique. Nous travaillons avec de nombreuses entreprises pour les aider à résoudre leurs problèmes de migration de messagerie, de réchauffement IP et de délivrabilité. La plupart des entreprises ne réalisent même pas qu’elles ont un problème ; ils pensent que les abonnés n’interagissent tout simplement pas avec leurs e-mails.
Hameçonnage
Le problème est le problème croissant des courriels malveillants et frauduleux, en particulier Hameçonnage e-mails. Le phishing est une cyberattaque par laquelle des individus ou des organisations tentent d’inciter les gens à révéler des informations sensibles, telles que des mots de passe ou des détails de carte de crédit, en se déguisant en entités dignes de confiance. Cela se fait principalement par courrier électronique. L’attaquant enverra un e-mail qui semble provenir d’une source légitime, puis vous amènera à une page de destination que vous pensez être une page de connexion ou une autre page d’authentification sur laquelle la victime saisit par inadvertance ses informations personnelles.
Les problèmes invisibles de la délivrabilité
Il existe trois problèmes invisibles liés à la délivrabilité des e-mails dont les entreprises ne sont pas conscientes :
Authentification par courriel
La meilleure pratique pour atténuer tout problème de placement dans la boîte de réception est de vous assurer que vous avez configuré des enregistrements d’authentification de courrier électronique que les FAI peuvent utiliser pour rechercher et valider que les e-mails que vous envoyez sont réellement envoyés par vous et non par quelqu’un se faisant passer pour votre entreprise. Cela se fait à travers quelques normes :
Comment valider votre authentification de courrier électronique
Toutes les informations de source, de relais et de validation associées à chaque e-mail se trouvent dans les en-têtes du message. Les interpréter est assez facile si vous êtes un expert en délivrabilité, mais si vous êtes novice, ils sont incroyablement difficiles. Voici à quoi ressemble l’en-tête du message de notre newsletter ; J’ai grisé certains e-mails de réponse automatique et informations sur la campagne :
Si vous lisez attentivement, vous pouvez voir mes règles DKIM, si DMARC passe (ce n’est pas le cas) et SPF passe… mais c’est beaucoup de travail. Il existe cependant une bien meilleure solution de contournement, à utiliser DKIMValidateur. DKIMValidator vous fournit une adresse e-mail que vous pouvez ajouter à votre liste de newsletter ou envoyer via la messagerie de votre bureau… et ils traduisent les informations d’en-tête en un joli rapport :
Tout d’abord, il valide mon cryptage DMARC et ma signature DKIM pour voir s’il réussit ou non (ce n’est pas le cas).
Ensuite, il recherche mon enregistrement SPF pour voir s’il réussit (c’est le cas) :
Et enfin, il me donne un aperçu du message lui-même et si le contenu peut signaler certains outils de détection de SPAM, vérifie si je suis sur des listes noires et me dit s’il est recommandé ou non de l’envoyer dans le dossier indésirable :
Assurez-vous de tester chaque ESP ou service de messagerie tiers à partir duquel votre entreprise envoie des e-mails pour vous assurer que votre authentification de courrier électronique est correctement configurée !
Meilleures pratiques de mise en œuvre de DMARC
La mise en œuvre correcte de DMARC est cruciale pour la sécurité des e-mails et la réputation de l’expéditeur. La politique que vous choisissez dépend de vos objectifs en matière d’authentification des e-mails et de votre volonté de gérer les problèmes potentiels. Voici une répartition des trois politiques :
Les meilleures pratiques:
Chaque étape doit impliquer l’analyse des rapports DMARC et l’ajustement de vos pratiques d’envoi d’e-mails si nécessaire pour garantir que les e-mails légitimes sont correctement authentifiés.
Générateur d’enregistrements SPF Validateur SPF et DKIM Inspecteur BIMI
Source link
Partager :
Articles similaires