Comment vérifier que votre authentification par e-mail est correctement configurée (DKIM, DMARC, SPF)

Validateur DKIM DMARC SPF

Si vous envoyez des e-mails à tout type de volume, c'est une industrie où vous êtes présumé coupable et devez prouver votre innocence. Nous travaillons avec de nombreuses entreprises pour les aider à résoudre leurs problèmes de migration de messagerie, de réchauffement IP et de délivrabilité. La plupart des entreprises ne réalisent même pas qu'elles ont un problème.

Les problèmes invisibles de délivrabilité

Il existe trois problèmes invisibles de délivrabilité des e-mails dont les entreprises ne sont pas conscientes :

  1. Autorisation – Fournisseurs de services de messagerie (ESP) gère les autorisations d'opt-in… mais le fournisseur d'accès Internet (ISP) gère la passerelle pour l'adresse e-mail de destination. C'est vraiment un système terrible. En tant qu'entreprise, vous pouvez tout faire pour obtenir l'autorisation et les adresses e-mail, et le FAI n'en a aucune idée et peut vous bloquer de toute façon.
  2. Emplacement de la boîte de réception – Les ESP favorisent délivrabilité taux qui sont fondamentalement absurdes. Un e-mail qui est acheminé directement vers le dossier de courrier indésirable et jamais vu par votre abonné de messagerie est techniquement livré. Afin de surveiller réellement votre placement dans la boîte, vous devez utiliser une liste de départ et aller voir chaque FAI. Il y a des services qui font ça.
  3. Réputation – Les FAI et les services tiers maintiennent également des scores de réputation pour l'adresse IP d'envoi de votre e-mail. Il existe des listes noires que les FAI peuvent utiliser pour bloquer complètement tous vos e-mails, ou vous pouvez avoir une mauvaise réputation qui vous amènerait vers le dossier de courrier indésirable. Il existe un certain nombre de services que vous pouvez utiliser pour surveiller votre réputation IP… mais je serais un peu pessimiste car beaucoup n'ont pas réellement un aperçu des algorithmes de chaque FAI.

Authentification par courrier électronique

Les meilleures pratiques pour atténuer les problèmes de placement de la boîte de réception consistent à vous assurer que vous avez configuré un certain nombre d'enregistrements DNS que les FAI peuvent utiliser pour rechercher et vous assurer que les e-mails que vous envoyez sont vraiment envoyés par vous et non par quelqu'un prétendant être votre entreprise. . Cela se fait à travers un certain nombre de normes :

  • Cadre de politique de l'expéditeur (SPF) - la norme la plus ancienne, c'est là que vous enregistrez un enregistrement TXT sur votre enregistrement de domaine (DNS) qui indique les domaines ou les adresses IP à partir desquels vous envoyez des e-mails pour votre entreprise. Par exemple, j'envoie un e-mail pour Martech Zone À partir de Espace de travail Google et à partir CircuPress (mon propre ESP actuellement en version bêta). J'ai un plugin SMTP sur mon site Web pour envoyer également via Google, sinon j'aurais également une adresse IP incluse.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • DomaineAuthentification, création de rapports et conformité basés sur les messages (DMARC) - cette nouvelle norme contient une clé cryptée qui peut valider à la fois mon domaine et l'expéditeur. Chaque clé est produite par mon expéditeur, ce qui garantit que les e-mails envoyés par un spammeur ne peuvent pas être usurpés. Si vous utilisez Google Workspace, voici comment configurer DMARC.
  • Courrier identifié par DomainKeys (DKIM) – En collaboration avec l'enregistrement DMARC, cet enregistrement informe les FAI sur la manière de traiter mes règles DMARC et SPF, ainsi que sur l'endroit où envoyer les rapports de délivrabilité. Je veux que les FAI rejettent tous les messages qui ne passent pas DKIM ou SPF, et je veux qu'ils envoient des rapports à cette adresse e-mail.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Indicateurs de marque pour l'identification des messages (BIMI) - le plus récent ajout, BIMI fournit aux FAI et à leurs applications de messagerie un moyen d'afficher le logo de la marque dans le client de messagerie. Il existe à la fois une norme ouverte et une norme de cryptage pour Gmail où vous avez également besoin d'un certificat crypté. Les certificats sont assez chers donc je ne fais pas ça pour l'instant.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

REMARQUE : Si vous avez besoin d'aide pour configurer l'une de vos authentifications de messagerie, n'hésitez pas à contacter mon cabinet. Highbridge. Nous avons une équipe de experts en e-mail marketing et délivrabilité qui peut aider.

Comment valider votre authentification par e-mail

Toutes les informations source, les informations de relais et les informations de validation associées à chaque e-mail se trouvent dans les en-têtes de message. Si vous êtes un expert en délivrabilité, les interpréter est assez facile… mais si vous êtes novice, elles sont incroyablement difficiles. Voici à quoi ressemble l'en-tête du message pour notre newsletter, j'ai grisé certains des e-mails de réponse automatique et des informations sur la campagne :

En-tête de message - DKIM et SPF

Si vous lisez attentivement, vous pouvez voir quelles sont mes règles DKIM, si DMARC passe (ce n'est pas le cas) et que SPF passe… mais c'est beaucoup de travail. Il y a une bien meilleure solution de contournement, cependant, et c'est d'utiliser DKIMValidator. DKIMValidator vous fournit une adresse e-mail que vous pouvez ajouter à votre liste de newsletter ou envoyer via votre e-mail de bureau… et ils traduisent les informations d'en-tête en un joli rapport :

Tout d'abord, il valide mon cryptage DMARC et ma signature DKIM pour voir s'il passe ou non (ce n'est pas le cas).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Ensuite, il recherche mon enregistrement SPF pour voir s'il passe (c'est le cas):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

Et enfin, cela me donne un aperçu du message lui-même et si le contenu peut signaler certains outils de détection de SPAM, vérifie si je suis sur des listes noires et me dit s'il est recommandé ou non de l'envoyer dans le dossier indésirable :

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Assurez-vous de tester chaque service de messagerie ESP ou tiers à partir duquel votre entreprise envoie des e-mails pour vous assurer que votre authentification par e-mail est correctement configurée !

Testez votre e-mail avec le validateur DKIM

Divulgation: j'utilise mon lien d'affiliation pour Espace de travail Google dans cet article.