Tout domaine apparaissant dans le champ From: d'un email doit avoir un enregistrement SPF conforme à SenderID publié.

Remarque : Un domaine est la valeur entière suivant le singe @. Par exemple, si vous utilisez recipient@example.com dans le champ From:, alors example.com doit avoir soit un SenderID, soit un enregistrement SPF publié. En fonction du fournisseurs que vous utilisez pour votre infrastructure de livraison d'emails, il se peut que vous ne puissiez pas contrôler ces domaines directement, donc assurez-vous d'évoquer ces questions avec votre fournisseur si besoin.

Il est important de se souvenir que les enregistrements SPF ne couvrent PAS les sous-domaines. Un enregistrement SenderID ou SPF, par exemple example.com, ne couvrira pas campaign.example.com.

Tout domaine apparaissant dans le champ de l’en-tête Return-Path doit avoir un enregistrement SPF conforme au SenderID publié.

DKIM est le successeur de DomainKeys (DK) et gagne rapidement en popularité chez un grand nombre de fournisseurs d'adresses email gratuites, par ex. Yahoo! ou GMail.

Tandis que SPF et SenderID authentifient le parcours d'un message, DKIM authentifie chaque message individuel, quel qu'ait été son parcours. C'est donc une manière de déterminer qui est à l’origine d’un message particulier.

Pour ce faire, un en-tête spécial comportant une signature est inséré dans le corps du message. L'expéditeur d'un message (vous) est responsable de cette démarche. Contactez votre fournisseur d'infrastructure email pour voir si le logiciel que vous utilisez est capable d'inclure les signatures DKIM.

Remarque : L'authentification DK seule est insuffisante pour envoyer avec Emarsys. Si vous utilisez encore cette méthode, il vous faut passer à DKIM le plus vite possible.

DMARC est une méthode d'authentification des emails créée par un groupe d'organisations, parmi lesquelles AOL, Google, Microsoft et Yahoo!. Ceci permet aux expéditeurs de préciser aux FAI comment traiter les e-mails utilisant le nom de domaine de l’expéditeur et ne comportant pas de signature (non authentifiés) ou dont la distribution a échoué (échec de l’authentification). À titre d’exemple, un enregistrement DMARC peut indiquer que de tels e-mails sont à distribuer, à signaler comme suspects ou à supprimer.

DMARC permet aussi aux FAI d'envoyer un feedback à l'expéditeur détaillant quels messages ont réussi ou échoué aux tests. C'est sa capacité de reporting qui fait tout l'intérêt de DMARC. Les expéditeurs découvrent combien d'emails viennent de leur domaine (ou s'en réclament), les origines de ces derniers, et si leurs politiques SPF et DKIM les authentifient correctement.

Remarque : Bien que l'enregistrement DMARC soit à l'heure actuelle une simple recommandation pour le FAI, nous vous conseillons fortement de l'utiliser et nous attendons à ce qu'il soit rendu obligatoire dans un futur proche. DMARC ne fournit pas de rapports sur la manière dont les FAI gère effectivement les emails en question, mais il offre de précieux rapports sur les emails qui ont été reçu et prétendent venir du domaine d'envoi, accompagnés des résultats des vérifications SPF et DKIM.

Le SPF/SenderID est une liste explicite des domaines que vous voulez configurer pour pouvoir envoyer des emails à partir de ceux-ci et aussi un contrôle que les FAI peuvent utiliser pour confirmer la légitimité de vos emails.

• Listez les domaines et sous-domaines dont vous voulez qu'ils puissent envoyer des emails de votre part. A des fins d'illustration, nos exemples ci-dessous utiliseront reply.example.com comme domaine.
• Identifiez qui contrôle vos serveurs DNS (Domain Name System) car vous aurez besoin de leur aide pour publier les enregistrements d'authentification des emails que vous êtes sur le point de créer.
• Assurez-vous d'avoir accès à l'entrée DNS de vos domaines et en cas de doute demandez à votre FAI de vous fournir les informations et politique clés à saisir pour votre entrée DNS.

Ajoutez l'une des entrées SenderID suivantes à l'enregistrement TXT de tous vos domaines d'envoi et de réponse :

• Si vous envoyez vers l'Allemagne et avez la certification CSA :

v=spf1 include:emarsys.net ~all

• Pour tous les autres clients :

v=spf1 include:emarsys.us ~all

Et voilà, vous avez maintenant configuré avec succès SPF/SenderID et pouvez l'utiliser. Veuillez poursuivre avec l'installation du prochain mécanisme d'authentification.

Étape 1 : Utilisez un assistant en ligne pour créer l'enregistrement SPF/SenderID, par exemple :

https://www.unlocktheinbox.com/senderid-wizard/

Étape 2 : Publiez vos enregistrements SPF/SenderID

• Travaillez avec votre administrateur DNS pour publier les enregistrements d'authentification des emails que vous avez créés.
• Placez les enregistrements SPD/SenderID dans votre enregistrement DNS ouvert au public.

Étape 3 : Validez vos enregistrements SPF/SenderID

Assurez-vous que vos enregistrements fonctionnent correctement. Voici quelques-unes des nombreuses façon de réaliser les tests :

• VAMSOFT (utilisez la fonction d'affichage du log sur la page de résultats) - http://www.vamsoft.com/spfcheck.asp
• Port25 Email Tester - check-auth@verifier.port25.com
• Sendmail Email Relay - sa-test@sendmail.net
• Microsoft Outlook (Hotmail) - Envoyez un testmail à un compte Outlook ou Windows Live, connectez-vous, visualisez le message et l'en-tête. Cherchez la ligne "X-SIDResult:" pour voir le résultat de leur contrôle SenderID.
• GMail - http://gmail.com - Envoyez un testmail à un compte GMail, connectez-vous, visualisez le message et l'en-tête. Cherchez la ligne "Received-SPF" pour voir le résultat de leur contrôle SPF.

• Pour Microsoft Outlook (Hotmail) et Windows Live Mail, le SenderID échouera si le mécanisme PTR (Pointeur) est inclus dans l'enregistrement SPF.
• Utilisez les directives de pointeur ?all ou +all ne suffit pas à authentifier les messages correctement. Les standards de délivrabilité Emarsys n'exigent pas, mais vous encouragent fortement à utiliser la directive all à chaque fois que c'est possible.

A des fins d'illustration, nos exemples ci-dessous utiliseront example.com.

• Assurez-vous d'avoir accès à l'entrée DNS de votre domaine. Demandez à votre Registraire de domaine / FAI de vous fournir les informations et politique clés à saisir pour votre entrée DNS.
• Une adresse email à laquelle envoyer le feedback et les rapports d'information.

Remarque : Toutes les interfaces de registraire de domaine ne sont pas capables de configurer l'entrée DNS requise pour DMARC, donc vous devrez peut-être contacter leur support pour une assistance supplémentaire.

L'enregistrement DMARC est un sous-domaine spécial de votre domaine called _dmarc, par exemple "_dmarc.example.com".

Ajoutez l'entrée DMARC suivante à l'enregistrement TXT de tous vos domaines d'envoi :

_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100;"

Ceci dit aux serveurs récepteurs d'emails de laisser tomber tous les emails de ce domaine en cas d'échec d'authentification.

Activez le feedback Vous pouvez recevoir des rapports de feedback DMARC, choisir de recevoir des rapports agrégés (en utilisant l'interrupteur rua= ), des rapports d'expertise (en utilisant l'interrupteur ruf= ) ou bien les deux, de la manière suivante :

_dmarc.example.com IN TXT "v=DMARC1; p=reject; adkim=s; aspf=r; pct=100; rua=mailto:dmarc-feedback@example.com; ruf=mailto:dmarc-forensic@example.com; rf=afrf;"

L'exemple ci-dessus dit aux serveurs récepteurs d'emails de laisser tomber tous les emails de ce domaine, et de vous envoyer un rapport d'abus aux adresses email désignées.

Dans les détails, les parties individuelles de l'enregistrement signifient :