Avant d'entrer dans le vif des méthodes d'authentification, assurez-vous que vous utilisez un domaine d'envoi valide (existant et établi) dont vous êtes propriétaire : votre domaine doit avoir plus de 30 jours, avec un "enregistrement A" valide.
Il est également très important que ce domaine possède un enregistrement MX : cet enregistrement spécifie le serveur de messagerie responsable de l'acceptation des messages électroniques au nom d'un nom de domaine.
Votre domaine d'envoi est-il valide et possède-t-il un enregistrement MX ? Il est temps de l'authentifier !
Il existe trois méthodes établies utilisées pour vérifier l'identité d'un expéditeur. Il s'agit de SPF, DKIM et DMARC. ActiveCampaign vous recommande de mettre en place ces méthodes d'authentification des e-mails pour plusieurs raisons. Les raisons les plus courantes sont :
Supprimer l'en-tête "via..." de Gmail
Ce faisant, vous renforcerez l'image de marque (voir l'image ci-dessous). Un effet secondaire positif de la mise en place de l'authentification DKIM est que cet en-tête disparaît.
Construisez votre réputation d'expéditeur d'e-mails sur votre propre nom de domaine.
Envoyer un courriel sans authentification, c'est comme rendre un devoir sans y inscrire son nom. Vous avez peut-être réussi le travail, mais vous ne pouvez pas vous en attribuer le mérite sans votre nom. L'authentification DKIM, en particulier, contribue à établir votre réputation en tant qu'expéditeur d'e-mails.
Renforcer la sécurité de votre nom de domaine
Les normes d'authentification telles que DMARC contribuent à protéger votre nom de domaine contre une utilisation potentiellement frauduleuse.
L'authentification du courrier électronique n'est pas une solution miracle pour résoudre les problèmes de délivrabilité. L'authentification résout le problème de la détermination de la provenance du courriel, et non celui de savoir si le courriel est souhaité par le destinataire.
Un expéditeur qui suit les meilleures pratiques, comme l'envoi d'e-mails personnalisés de haute qualité à une liste d'opt-in et qui effectue une hygiène régulière de sa liste, verra généralement sa délivrabilité augmenter lorsqu'il utilise l'authentification des e-mails. Son domaine se forge une réputation de bon expéditeur auprès des destinataires qui souhaitent s'engager avec ses e-mails.
Un expéditeur qui ne suit pas les meilleures pratiques, comme l'utilisation d'une liste louée ou achetée, l'absence de message clair pendant le processus d'opt-in sur le type d'e-mails qui seront envoyés et à quelle fréquence, ou qui n'effectue jamais d'hygiène de liste, verra généralement sa délivrabilité diminuer avec l'authentification par e-mail. Leur domaine peut se forger une réputation d'expéditeur d'e-mails indésirables.
L'authentification permet aux bons expéditeurs de consolider davantage leur réputation et de protéger leur domaine contre les mauvais expéditeurs qui pourraient essayer de détourner leur domaine.
Comme expliqué plus en détail ci-dessous, ActiveCampaign authentifie déjà tout son trafic avec SPF et DKIM.
Cependant, il est toujours possible pour vous d'authentifier votre domaine d'envoi avec ces normes.
Veuillez noter que, bien que vous ne soyez pas obligé de le faire, ActiveCampaign vous encourage fortement à configurer l'authentification sur votre domaine d'envoi.
SPF
Les enregistrements SPF (Sender Policy Framework) sont des enregistrements TXT sur votre domaine qui autorisent certains serveurs à envoyer du courrier en utilisant votre nom de domaine. ActiveCampaign configure automatiquement SPF pour tous les clients. Cela signifie que vous n'avez pas besoin de créer un enregistrement SPF ou de modifier un enregistrement existant pour travailler avec ActiveCampaign. Cela s'applique même si vous utilisez un domaine personnalisé.
Si vous souhaitez quand même ajouter ActiveCampaign à votre enregistrement SPF existant (même si ce n'est pas nécessaire), vous pouvez le faire en ajoutant "include:emsd1.com" à votre enregistrement SPF existant. Par exemple, si vous envoyez des e-mails à partir de G Suite et ActiveCampaign, votre enregistrement SPF pourrait ressembler à ceci :
v=spf1 include:emsd1.com include:_spf.google.com ~all
Vous ne pouvez créer qu'un seul enregistrement SPF pour votre nom de domaine. Si vous avez un enregistrement SPF existant, vous devrez modifier votre enregistrement existant au lieu de créer un nouvel enregistrement SPF.
DKIM
DKIM (Domain Keys Identified Mail) est essentiellement une signature que tout expéditeur peut appliquer à ses messages électroniques. Cette signature indique clairement que le prétendu expéditeur du message est bien l'expéditeur du message. N'importe quel domaine peut être utilisé comme signature. Par exemple, une société appelée "Dog Bandanas" signera ses messages avec le domaine dogbandanas.com pour confirmer que le message a bien été envoyé par "Dog Bandanas".
Ceci est accompli en insérant une signature cryptographique cachée dans l'en-tête de votre e-mail (ActiveCampaign le fera) et ensuite en plaçant une clé publique sur votre site Web qui vérifie l'authenticité de cette signature.
Tout le courrier envoyé par ActiveCampaign utilisera la signature DKIM d'ActiveCampaign par défaut. La signature DKIM d'ActiveCampaign a une très bonne réputation et elle est suffisante pour la plupart des expéditeurs. Cependant, il est facile de configurer DKIM pour votre propre domaine si vous le souhaitez.
Pour configurer DKIM :
1. Cliquez sur "Paramètres".
2. Cliquez sur "Avancé".
3. Cliquez sur l'option "Je gérerai moi-même l'authentification de mes e-mails".
4. Saisissez votre domaine d'envoi dans le champ DomainKeys Identified Mail (DKIM) et cliquez sur le bouton "Generate".
ActiveCampaign va générer un nom d'enregistrement TXT et une valeur d'enregistrement TXT.
Notez que les valeurs générées ici ne seront pas enregistrées sur la page. Vous devrez utiliser ces valeurs pour configurer un enregistrement TXT chez votre hôte DNS.
Votre hôte DNS est généralement la société auprès de laquelle vous avez enregistré votre domaine ou qui héberge votre site Web. La plupart des hôtes DNS exigent les éléments suivants pour configurer votre enregistrement TXT :
Tapez
Choisissez TXT.Nom ou hôte
Entrez dk._domainkey (le plus commun), ou le nom complet de l'enregistrement TXT montré dans ActiveCampaign (moins commun). Lequel vous devez utiliser dépend de si votre fournisseur DNS ajoute automatiquement le nom de domaine aux enregistrements DNS que vous créez. Si vous ne savez pas lequel utiliser, regardez le format des autres enregistrements DNS dans vos paramètres (incluent-ils le nom de domaine dans le champ Nom ou Hôte ?) ou demandez à votre hôte DNS.Valeur ou enregistrement
Entrez la valeur de l'enregistrement TXT indiquée dans ActiveCampaign.TTL
C'est le "Time Till Live". Utilisez le paramètre recommandé ou par défaut de votre hôte DNS. S'il n'y a pas de paramètre par défaut, ActiveCampaign recommande 3600 (une heure).
Pour trouver des instructions spécifiques à votre hôte, utilisez votre moteur de recherche préféré pour rechercher "Add TXT record at _____", en remplaçant la ligne vide par votre fournisseur DNS. Pour plus de commodité, ActiveCampaign a inclus ci-dessous quelques fournisseurs DNS courants :GoDaddy
Cloudflare
Amazon Route 53
Une fois que vous avez terminé, vous pouvez utiliser notre outil d'authentification ou tester un courriel en direct avec mail-tester.com pour vous assurer que DKIM fonctionne.
Voici une vidéo rapide sur la configuration de DKIM :
SPF, DKIM, and DMARC Authentication – ActiveCampaign Help Center
DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) est une norme qui s'appuie sur SPF et DKIM. Elle permet au propriétaire du domaine de créer une politique qui indique aux fournisseurs de boîtes aux lettres (tels que Google ou Microsoft) ce qu'il faut faire si le courriel échoue aux vérifications SPF et DKIM.
DMARC prend en charge trois configurations principales de politique :
"Aucun"
Indique que les e-mails doivent être traités normalement en cas d'échec de DMARC. Cela équivaut à ne pas avoir d'enregistrement DMARC du tout, bien que vous puissiez toujours profiter des fonctions de rapport de DMARC."Quarantaine"
Indique que les courriels doivent être livrés au dossier spam si la vérification DMARC échoue.
"Rejeter"
Indique que les courriels doivent être rejetés (non remis au destinataire) si la vérification DMARC échoue.
L'utilisation d'une politique DMARC de "Quarantaine" ou de "Rejet" exigera que vous ayez un enregistrement DKIM approprié configuré pour votre domaine d'envoi, sinon tout votre courrier d'ActiveCampaign échouera le test DMARC. Cela le filtrera vers le dossier spam ("Quarantaine") ou le bloquera entièrement ("Rejeter"). Assurez-vous que vous avez configuré DKIM pour tous vos domaines d'envoi avant de configurer un enregistrement DMARC strict.
DMARC n'est pas un outil pour améliorer la délivrabilité et vous n'êtes pas obligé de configurer DMARC pour envoyer des e-mails à partir d'ActiveCampaign. Cependant, vous devriez utiliser DMARC si :
Quelqu'un s'emploie activement à usurper votre domaine, à envoyer des courriers frauduleux et à ternir votre réputation. DMARC vous permet d'identifier cette activité malveillante et de l'arrêter.
Votre organisation a une politique de sécurité du courrier électronique qui exige l'authentification DMARC, comme une entité gouvernementale ou une organisation financière
Vous voulez afficher un logo BIMI pour vos emails
Pour commencer à utiliser DMARC, ActiveCampaign vous recommande de commencer par une politique "Aucune" afin de ne pas compromettre votre capacité de livraison en cas de mauvaise configuration. Vous pouvez ensuite surveiller vos rapports DMARC pour voir quel serait l'impact si vous utilisiez une politique plus stricte.
ActiveCampaign vous propose ci-dessous une politique DMARC initiale recommandée. Vous pouvez la mettre en place en créant un enregistrement TXT avec un hôte ou un nom de _dmarc chez votre fournisseur DNS et en saisissant la valeur ci-dessous pour la valeur ou l'enregistrement. Veillez à remplacer l'adresse électronique ci-dessous par votre propre adresse électronique :
v=DMARC1 ; p=none ; pct=100 ; rua=mailto:youremail@example.com
Si vous ne remplacez pas l'adresse électronique dans l'exemple ci-dessus par votre propre adresse électronique, vous ne recevrez pas de rapports DMARC. Cependant, en fonction du volume d'e-mails que vous envoyez, la boîte aux lettres de l'adresse e-mail spécifiée pourrait être submergée et remplie jusqu'au quota. ActiveCampaign vous recommande vivement de travailler avec une solution de surveillance DMARC qui peut être configurée pour ingérer ces e-mails/rapports et fournir des résultats plus lisibles et exploitables.
Veuillez également noter qu'en fonction des différents facteurs, le temps d'enquête et d'action peut être court ou très long avant de pouvoir configurer DMARC en mode d'application.
Si vous souhaitez mettre en place une sécurité renforcée sur votre domaine, vous pouvez configurer un enregistrement DMARC plus strict en utilisant une politique de "Quarantaine" ou de "Rejet". Pour configurer un enregistrement DMARC strict, ActiveCampaign vous conseille de consulter le site dmarc.org pour obtenir des recommandations sur la manière de configurer correctement l'enregistrement.
Méthodes d'authentification supplémentaires
BIMI
BIMI (Brand Indicators for Message Identification) est une nouvelle norme qui s'ajoute à DMARC. Elle permet aux propriétaires de domaines qui ont mis en œuvre DMARC en mode d'application d'acheter un certificat de marque vérifiée (VMC) pour afficher un logo BIMI pour leur marque dans les messages électroniques. Les destinataires disposent ainsi d'un moyen facile d'identifier visuellement les messages de confiance.
Le BIMI étant une nouvelle norme, il n'est pas encore largement adopté par les propriétaires de domaines ou les fournisseurs de boîtes aux lettres, et il n'est pas nécessaire de le mettre en place. Toutefois, si vous souhaitez en savoir plus, vous pouvez consulter les sites suivants :
https://www.emailonacid.com/blog/article/email-marketing/bimi/
https://authindicators.github.io/rfc-brand-indicators-for-message-identification/
SenderID
SenderID est une norme d'authentification créée par Microsoft et destinée à remplacer SPF. Cependant, Sender ID a depuis été déprécié et n'est plus utilisé ; par conséquent, vous n'avez pas besoin de le configurer.
En fait, si vous avez des enregistrements Sender-ID actuellement configurés dans le DNS (enregistrement TXT commençant par spf2.0), vous devriez les supprimer.
SPF (enregistrement commençant par v=spf1) est toujours la norme d'authentification largement soutenue et recommandée par l'industrie.
Lectures complémentaires
Dans cet article, ActiveCampaign n'a pas tenté d'expliquer le processus technique du fonctionnement de SPF, DKIM et DMARC. Chacun de ces protocoles d'authentification dispose d'un site Web public où les spécifications techniques sont expliquées en profondeur :