Comment vérifier que votre authentification par e-mail est correctement configurée (DKIM, DMARC, SPF)

Si vous envoyez des e-mails à tout type de volume, c'est une industrie où vous êtes présumé coupable et devez prouver votre innocence. Nous travaillons avec de nombreuses entreprises pour les aider à résoudre leurs problèmes de migration de messagerie, de réchauffement IP et de délivrabilité. La plupart des entreprises ne réalisent même pas qu'elles ont un problème.

Les problèmes invisibles de délivrabilité

Il existe trois problèmes invisibles de délivrabilité des e-mails dont les entreprises ne sont pas conscientes :

1. Autorisation – Les fournisseurs de services de messagerie (ESP) gèrent l'opt-in autorisations… mais le fournisseur de services Internet (ISP) gère la passerelle pour l'adresse e-mail de destination. C'est vraiment un système terrible. En tant qu'entreprise, vous pouvez tout faire pour acquérir des autorisations et des adresses e-mail, et le FAI n'en a aucune idée et peut vous bloquer de toute façon. absurdité. Un e-mail qui est acheminé directement vers le dossier de courrier indésirable et jamais vu par votre abonné de messagerie est techniquement livré. Afin de vraiment surveiller le placement de votre boîte de réceptionvous devez utiliser une liste de départ et aller voir chaque FAI. Il existe des services qui font cela.
2. Réputation – Les FAI et les services tiers maintiennent également des scores de réputation pour l'adresse IP d'envoi de votre e-mail. Il existe des listes noires que les FAI peuvent utiliser pour bloquer complètement tous vos e-mails, ou vous pouvez avoir une mauvaise réputation qui vous amènerait vers le dossier de courrier indésirable. Il existe un certain nombre de services que vous pouvez utiliser pour surveiller votre réputation IP… mais je serais un peu pessimiste car beaucoup n'ont pas réellement connaissance des algorithmes de chaque FAI.

Authentification des e-mails

Les problèmes de placement de la boîte de réception consistent à s'assurer que vous avez configuré un certain nombre d'enregistrements DNS que les FAI peuvent utiliser pour rechercher et s'assurer que les e-mails que vous envoyez sont vraiment envoyés par vous et non par quelqu'un prétendant être votre entreprise. Cela se fait par le biais d'un certain nombre de normes :

• Sender Policy Framework (SPF) – la norme la plus ancienne, c'est là que vous enregistrez un enregistrement TXT sur votre enregistrement de domaine (DNS ) qui indique à partir de quels domaines ou adresses IP vous envoyez des e-mails pour votre entreprise. Par exemple, j'envoie des e-mails pour Martech Zone depuis Google Workspace et depuis CircuPress (mon propre ESP actuellement en version bêta). J'ai un plug-in SMTP sur mon site Web pour envoyer également via Google, sinon j'aurais également une adresse IP incluse.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

• Authentification, rapport et conformité des messages basés sur le domaine ( DMARC ) – cette nouvelle norme contient une clé cryptée qui peut valider à la fois mon domaine et l'expéditeur. Chaque clé est produite par mon expéditeur, ce qui garantit que les e-mails envoyés par un spammeur ne peuvent pas être usurpés. Si vous utilisez Google Workspace, voici comment configurer DMARC.
• DomainKeys Identified Mail (DKIM) – En collaboration avec l'enregistrement DMARC, cet enregistrement informe les FAI de la manière dont pour traiter mes règles DMARC et SPF ainsi que l'endroit où envoyer les rapports de délivrabilité. Dans ce cas ci-dessous, je veux qu'ils suivent mon enregistrement SPF, je veux qu'ils assouplissent mon enregistrement DKIM (puisque nous n'avons pas encore de configuration DMARC sur CircuPress), je veux qu'ils rejettent tous les messages qui ne passent pas SPF, et Je veux qu'ils envoient des rapports à cette adresse e-mail.

v=DMARC1 ; p=rejeter ; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

• Indicateurs de marque pour l'identification des messages (BIMI) – le plus récent ajout, BIMI fournit aux FAI et à leurs applications de messagerie un moyen d'afficher le logo de la marque dans le client de messagerie . Il existe à la fois une norme ouverte et une norme cryptée pour Gmail où vous avez également besoin d'un certificat crypté. Les certificats sont assez chers donc je ne le fais pas encore.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

REMARQUE : Si vous avez besoin d'aide pour configurer l'une de vos authentifications de messagerie, n'hésitez pas à contacter ma société Highbridge. Nous avons une équipe d'experts en marketing par e-mail et en délivrabilité qui peuvent vous aider.

Comment valider votre authentification par e-mail

Toutes les informations sources, les informations de relais et les informations de validation associées à chaque e-mail sont trouvées dans les en-têtes de message. Si vous êtes un expert en délivrabilité, les interpréter est assez facile… mais si vous êtes novice, elles sont incroyablement difficiles. Voici à quoi ressemble l'en-tête du message pour notre newsletter, j'ai grisé certains des e-mails de réponse automatique et des informations sur la campagne : , vous pouvez voir quelles sont mes règles DKIM, si DMARC passe (il ne passe pas) et que SPF passe… mais c'est beaucoup de travail. Il existe cependant une bien meilleure solution de contournement, à savoir utiliser DKIMValidator. DKIMValidator vous fournit une adresse e-mail que vous pouvez ajouter à votre liste de newsletter ou envoyer via votre e-mail de bureau… et ils traduisent les informations d'en-tête en un joli rapport :

Tout d'abord, il valide mon cryptage DMARC et ma signature DKIM pour voir si oui ou non ça passe (ça ne passe pas).

Informations DKIM :
Signature DKIM

Le message contient cette signature DKIM :
Signature DKIM : v=1 ; a=rsa-sha256 ; c=détendu/détendu ; d=circupressmail.com ;
s=cpmail ; t=1643110423 ;
bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs= ;
h=Date :À :De :Répondre-à :Objet :Liste-Désabonnement ;
b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Informations sur les signatures :
v=Version : 1
a= Algorithme : rsa-sha256
c= Méthode : détendu/détendu
d= Domaine : circupressmail.com
s= Sélecteur : cpmail
q= Protocole :
bh= PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= En-têtes signés : Date :À :De :Répondre-à :Objet :Liste-Désabonnement
b= Données : HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Recherche DNS de clé publique

Création d'une requête DNS pour cpmail._domainkey.circupressmail.com
Récupération de cette clé publique du DNS : v=DKIM1 ; k = rsa ; p = MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC + D53OskK3EM / 9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA + zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8 / + 1qZSM2d / VJ8nQvCDUNEs / hJEGyta / ps5655ElohkbiawIDAQAB
Validation de la signature

résultat = échec
Détails : le corps a été modifié.
En utilisant ces informations que j'ai obtenues à partir des en-têtes

Adresse Helo = us1.circupressmail.com
De l'adresse = info@martech.zone
De IP = 74.207.235.122
Recherche d'enregistrement SPF

Recherche de l'enregistrement TXT SPF pour martech.zone
Trouvé les noms suivants pour martech.zone : ns57.domaincontrol.com ns58.domaincontrol.com
Récupération de cet enregistrement SPF : zone mise à jour 20210630 (TTL = 600)
en utilisant le serveur faisant autorité (ns57.domaincontrol.com) directement pour SPF Check
Résultat : réussi (Mécanisme 'include:circupressmail.com' correspondant)

Code de résultat : réussi
Explication locale : martech.zone : l'expéditeur est autorisé à utiliser 'info@martech.zone' dans l'identité 'mfrom' (mécanisme 'include:circupressmail.com' correspondant)
spf_header = Received-SPF: pass (martech.zone : l'expéditeur est autorisé à utiliser 'info@martech.zone' dans l'identité 'mfrom' (mécanisme 'include:circupressmail.com' correspondant)) receiver=ip-172-31-60 -105.ec2.interne ; identité=mailde ; enveloppe-de="info@martech.zone" ; helo=us1.circupressmail.com ; client-ip=74.207.235.122

Et enfin, il me donne un aperçu du message lui-même et si le contenu peut signaler certains outils de détection de SPAM, vérifie si je suis sur des listes noires et me dit si oui ou non c'est recommandé à envoyer dans le dossier de courrier indésirable :

Score SpamAssassin : -4,787
Le message n'est PAS marqué comme spam
Répartition des points :
-5.0 RCVD_IN_DNSWL_HI RBL : expéditeur répertorié sur https://www.dnswl.org/,
                            confiance élevée
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE SPF : HELO ne publie pas d'enregistrement SPF
 0.0 HTML_FONT_LOW_CONTRAST BODY : couleur de police HTML similaire ou
                            identique au fond
 0.0 HTML_MESSAGE BODY : HTML inclus dans le message
 0.1 DKIM_SIGNED Le message a une signature DKIM ou DK, pas nécessairement
                            valide
 0.0 Test T_KAM_HTML_FONT_INVALID pour un nom ou un format incorrect
                            Couleurs en HTML
 0.1 DKIM_INVALID La signature DKIM ou DK existe, mais n'est pas valide

Assurez-vous de tester chaque ESP ou service de messagerie tiers à partir duquel votre entreprise envoie des e-mails pour vous assurer que votre authentification par e-mail est correctement configurée !

Testez votre e-mail avec Validateur DKIM

Divulgation : j'utilise mon lien d'affiliation pour Google Workspace dans cet article.