Comment valider que votre authentification par e-mail est correctement configurée pour DKIM, DMARC, SPF et BIMI

Si vous envoyez des volumes importants d’e-mails marketing, il est probable que votre e-mail n’arrive pas dans la boîte de réception si vous n’avez pas configuré votre authentification par e-mail. Nous travaillons avec de nombreuses entreprises en les accompagnant dans leur migration de messagerie, Réchauffement IPet les problèmes de délivrabilité.

La plupart des entreprises ne se rendent même pas compte qu’elles ont un problème, elles pensent simplement que les abonnés n’interagissent pas avec leurs e-mails.

Les problèmes invisibles de délivrabilité

Il existe trois problèmes invisibles de délivrabilité des e-mails dont les entreprises ne sont pas conscientes :

1. Autorisation – Fournisseurs de services de messagerie (ESP) gère les autorisations d’opt-in… mais le fournisseur d’accès Internet (FAI) gère la passerelle pour l’adresse e-mail de destination. C’est vraiment un système terrible. En tant qu’entreprise, vous pouvez tout faire pour obtenir l’autorisation et les adresses e-mail, et le FAI n’en a aucune idée et peut vous bloquer de toute façon. En fait, les FAI supposent que vous êtes un spammeur à moins que vous ne prouviez le contraire.
2. Emplacement de la boîte de réception – Les ESP favorisent délivrabilité taux qui sont fondamentalement absurde. Un e-mail qui est acheminé directement vers le dossier de courrier indésirable et jamais vu par votre abonné de messagerie est techniquement livré. Afin de surveiller réellement votre emplacement de la boîte de réception, vous devez utiliser une liste de départ et aller regarder chaque FAI pour identifier si votre e-mail a atterri dans la boîte de réception ou dans le dossier de courrier indésirable. Il y a des services qui font ça.
3. Réputation – Les FAI et les services tiers maintiennent également des scores de réputation pour l’adresse IP d’envoi de votre e-mail. Il existe des listes noires que les FAI peuvent utiliser pour bloquer tous vos e-mails, ou vous pouvez avoir une mauvaise réputation qui vous conduirait vers le dossier de courrier indésirable. Il existe un certain nombre de services que vous pouvez utiliser pour surveiller votre réputation IP… mais je serais un peu pessimiste car beaucoup n’ont pas réellement connaissance de l’algorithme de chaque FAI.

Authentification par courriel

La meilleure pratique pour atténuer les problèmes de placement de la boîte de réception consiste à vous assurer que vous avez configuré un certain nombre d’enregistrements DNS que les FAI peuvent utiliser pour rechercher et vous assurer que les e-mails que vous envoyez sont vraiment envoyés par vous et non par quelqu’un prétendant être votre entreprise. . Cela se fait à travers un certain nombre de normes :

• Cadre de stratégie de l’expéditeur (FPS) – la norme la plus ancienne, c’est là que vous enregistrez un enregistrement TXT sur votre enregistrement de domaine (DNS) qui indique à partir de quels domaines ou adresses IP vous envoyez des e-mails pour votre entreprise. Par exemple, j’envoie des e-mails pour Martech Zone depuis Espace de travail Google. j’ai un plug-in SMTP sur mon site Web pour envoyer également via Google, sinon j’aurais également une adresse IP incluse.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

• DomaineAuthentification, création de rapports et conformité basés sur les messages (DMARC) – cette nouvelle norme contient une clé cryptée qui peut valider à la fois mon domaine et l’expéditeur. Chaque clé est produite par mon expéditeur, ce qui garantit que les e-mails envoyés par un spammeur ne peuvent pas être usurpés. Si vous utilisez Google Workspace, voici comment configurer DMARC.
• Courrier identifié par DomainKeys (DKIM) – En collaboration avec l’enregistrement DMARC, cet enregistrement informe les FAI sur la manière de traiter mes règles DMARC et SPF, ainsi que sur l’endroit où envoyer les rapports de délivrabilité. Je veux que les FAI rejettent tous les messages qui ne passent pas DKIM ou SPF, et je veux qu’ils envoient des rapports à cette adresse e-mail.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

• Indicateurs de marque pour l’identification des messages (BIMI) – le plus récent ajout, BIMI fournit aux FAI et à leurs applications de messagerie un moyen d’afficher le logo de la marque dans le client de messagerie. Il existe à la fois une norme ouverte et une norme de cryptage pour Gmail où vous avez également besoin d’un certificat de marque vérifié crypté (MVC). Apple a annoncé qu’il prendrait en charge BIMI dans les prochaines versions de ses plateformes de messagerie mobile et de bureau. Les certificats sont assez chers donc je ne fais pas ça pour l’instant. À l’heure actuelle, les VMC sont délivrés par deux autorités de vérification des marques acceptées : Confiez DataCard et Digicert. Plus d’informations peuvent être trouvées sur le Groupe BIMI.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

REMARQUE : Si vous avez besoin d’aide pour configurer et tester votre authentification de messagerie, n’hésitez pas à contacter ma société Highbridge. Nous avons une équipe de experts en e-mail marketing et délivrabilité qui peut aider.

Comment valider votre authentification par e-mail

Toutes les informations source, les informations de relais et les informations de validation associées à chaque e-mail se trouvent dans les en-têtes de message. Si vous êtes un expert en délivrabilité, les interpréter est assez facile… mais si vous êtes novice, elles sont incroyablement difficiles. Voici à quoi ressemble l’en-tête du message pour notre newsletter, j’ai grisé certains des e-mails de réponse automatique et des informations sur la campagne :

Si vous lisez attentivement, vous pouvez voir quelles sont mes règles DKIM, si DMARC passe (ce n’est pas le cas) et que SPF passe… mais c’est beaucoup de travail. Il y a une bien meilleure solution de contournement, cependant, et c’est d’utiliser DKIMValidator. DKIMValidator vous fournit une adresse e-mail que vous pouvez ajouter à votre liste de newsletter ou envoyer via votre e-mail de bureau… et ils traduisent les informations d’en-tête en un joli rapport :

Tout d’abord, il valide mon cryptage DMARC et ma signature DKIM pour voir s’il passe ou non (ce n’est pas le cas).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Ensuite, il recherche mon enregistrement SPF pour voir s’il passe (c’est le cas):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

Et enfin, cela me donne un aperçu du message lui-même et si le contenu peut signaler certains outils de détection de SPAM, vérifie si je suis sur des listes noires et me dit s’il est recommandé ou non de l’envoyer dans le dossier indésirable :

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Assurez-vous de tester chaque ESP ou service de messagerie tiers à partir duquel votre entreprise envoie des e-mails pour vous assurer que votre authentification par e-mail est correctement configurée !

Validateur SPF et DKIM Inspecteur BIMI

Divulgation : j’utilise mon lien d’affiliation pour Espace de travail Google dans cet article.