Solution complète pour sécuriser votre domaine contre le spoofing et améliorer la délivrabilité des emails
Générateur d'enregistrement SPF
Le protocole SPF (Sender Policy Framework) permet de spécifier quels serveurs sont autorisés à envoyer des emails pour votre domaine.
Enregistrement SPF généré
Instructions de déploiement
Ajoutez cet enregistrement TXT à votre configuration DNS :
- Nom/Hôte : @ ou votre-domaine.com
- Type : TXT
- Valeur : l'enregistrement SPF généré ci-dessus
- TTL : 3600 (ou la valeur par défaut de votre fournisseur DNS)
Meilleures pratiques SPF
- Terminez toujours votre enregistrement SPF par ~all (recommandé) ou -all (strict).
- Limitez le nombre de lookups DNS à 10 maximum pour éviter les dépassements de limite.
- N'autorisez que les serveurs qui envoient réellement des emails pour votre domaine.
- Vérifiez régulièrement votre enregistrement SPF pour vous assurer qu'il est à jour.
- Pour les domaines qui n'envoient pas d'emails, utilisez
v=spf1 -allpour bloquer tout envoi.
Générateur de clés DKIM
DKIM (DomainKeys Identified Mail) permet à un serveur de messagerie de signer numériquement les emails qu'il envoie, garantissant ainsi leur authenticité et leur intégrité.
Information importante
La génération de clés dans votre navigateur est sécurisée, mais pour un environnement de production critique, envisagez d'utiliser des outils dédiés sur votre serveur.
Clés DKIM générées avec succès !
Enregistrement DKIM #1
TXT
ATTENTION : Ne partagez jamais cette clé privée. Elle doit être configurée uniquement sur votre serveur de messagerie.
Enregistrement DKIM #2
TXT
Instructions d'implémentation
- Ajoutez l'enregistrement TXT dans votre zone DNS avec le nom/hôte indiqué.
- Configurez votre serveur de messagerie avec la clé privée DKIM.
- Attendez la propagation DNS (généralement 24-48 heures).
- Testez la configuration en envoyant un email et en vérifiant les en-têtes.
Rappel de rotation des clés
Votre prochaine rotation de clés est planifiée pour le 01/01/2025.
Meilleures pratiques DKIM
- Utilisez des clés RSA d'au moins 2048 bits (recommandé par le NIST).
- Effectuez une rotation des clés tous les 6 mois.
- Utilisez des sélecteurs numérotés ou datés pour faciliter la rotation (ex: selector1, selector2023).
- Ne partagez jamais votre clé privée DKIM.
- Envisagez la double signature (RSA + Ed25519) pour une meilleure compatibilité et sécurité.
- Alignez le domaine de signature DKIM avec le domaine d'en-tête From: pour satisfaire aux exigences DMARC.
Générateur d'enregistrement DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) permet de définir des politiques de traitement pour les emails qui échouent l'authentification SPF ou DKIM.
Enregistrement DMARC généré
TXT
Instructions de déploiement
Ajoutez cet enregistrement TXT à votre configuration DNS :
- Nom/Hôte : _dmarc.votre-domaine.com
- Type : TXT
- Valeur : l'enregistrement DMARC généré ci-dessus
- TTL : 3600 (ou la valeur par défaut de votre fournisseur DNS)
Meilleures pratiques DMARC
- Commencez avec une politique p=none pour surveiller sans impact sur la délivrabilité, puis passez graduellement à p=quarantine puis p=reject.
- Fixez pct=100 lorsque vous êtes prêt à appliquer pleinement votre politique.
- Utilisez toujours au moins une adresse email pour les rapports agrégés (rua).
- Assurez-vous que toutes les sources légitimes d'emails utilisent SPF et/ou DKIM correctement avant de passer à une politique stricte.
- Analysez régulièrement les rapports DMARC pour détecter les problèmes potentiels et les tentatives d'usurpation.
- Lorsque vous êtes satisfait de votre configuration, appliquez également une politique stricte aux sous-domaines (sp=reject).
Validation des enregistrements
Vérifiez la syntaxe et la validité de vos enregistrements SPF, DKIM et DMARC existants.
Résultats de validation
Enregistrement trouvé :
Statut de validation :
Détails de validation :
Recommandations :
Conseils de validation
- Vérifiez régulièrement vos enregistrements SPF, DKIM et DMARC pour vous assurer qu'ils sont toujours valides et à jour.
- Pour SPF, assurez-vous que le nombre de lookups ne dépasse pas 10 (limite imposée par la spécification).
- Pour DKIM, vérifiez que la clé publique est correctement publiée et que sa longueur est d'au moins 2048 bits.
- Pour DMARC, assurez-vous que les adresses email pour les rapports sont valides et que vous recevez bien les rapports.
- Utilisez des outils externes comme MXToolbox ou dmarcian pour une validation complète.
Guide d'authentification email
Ce guide vous explique comment mettre en place une authentification email complète et sécurisée en utilisant SPF, DKIM et DMARC.
Introduction
L'authentification des emails est essentielle pour protéger votre domaine contre l'usurpation d'identité (spoofing) et améliorer la délivrabilité de vos emails. Les trois normes principales sont :
- SPF (Sender Policy Framework) : Vérifie que l'adresse IP expéditrice est autorisée à envoyer des emails pour votre domaine.
- DKIM (DomainKeys Identified Mail) : Ajoute une signature numérique à vos emails pour vérifier leur authenticité et leur intégrité.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) : Définit des politiques pour traiter les emails qui échouent l'authentification SPF ou DKIM.
Étapes d'implémentation recommandées
1. Préparer et planifier
- Identifiez tous les services qui envoient des emails en votre nom (serveurs internes, services marketing, notifications, etc.)
- Documentez les adresses IP et domaines utilisés par ces services
- Déterminez qui recevra et analysera les rapports DMARC
2. Implémenter SPF
- Créez un enregistrement SPF incluant tous vos expéditeurs légitimes
- Utilisez ~all (softfail) pendant la phase de test
- Vérifiez que le nombre de lookups ne dépasse pas 10
- Testez en envoyant des emails et en vérifiant les en-têtes
3. Implémenter DKIM
- Générez des paires de clés pour chaque service qui envoie des emails
- Utilisez des clés d'au moins 2048 bits
- Publiez les clés publiques dans votre DNS
- Configurez vos serveurs pour signer les emails avec les clés privées
- Testez la signature en envoyant des emails et en vérifiant les en-têtes
4. Implémenter DMARC en mode monitoring
- Commencez avec p=none pour surveiller sans impact sur la délivrabilité
- Configurez les adresses email pour recevoir les rapports (rua et ruf)
- Publiez l'enregistrement DMARC dans votre DNS
- Analysez les rapports pendant au moins deux semaines
5. Résoudre les problèmes identifiés
- Identifiez les sources légitimes d'emails qui échouent l'authentification
- Mettez à jour vos enregistrements SPF et DKIM en conséquence
- Configurez correctement l'alignement des domaines
- Continuez à surveiller jusqu'à ce que tous les emails légitimes passent l'authentification
6. Durcir la politique DMARC
- Passez à p=quarantine (avec un faible pourcentage initialement, par exemple pct=10)
- Augmentez progressivement le pourcentage jusqu'à 100%
- Après une période de surveillance, passez à p=reject
- Appliquez également la politique aux sous-domaines (sp=reject)
7. Maintenance
- Effectuez une rotation des clés DKIM tous les 6 mois
- Surveillez régulièrement les rapports DMARC
- Mettez à jour vos enregistrements lorsque vous ajoutez ou supprimez des services d'envoi d'emails
- Vérifiez périodiquement la validité de vos enregistrements
Problèmes courants et solutions
| Problème | Cause possible | Solution |
|---|---|---|
| Échec SPF | Serveur d'envoi non autorisé dans l'enregistrement SPF | Ajouter l'adresse IP ou le domaine à votre enregistrement SPF |
| Trop de lookups SPF | Utilisation excessive d'includes ou de redirects | Aplatir l'enregistrement SPF en remplaçant les includes par des mécanismes directs |
| Échec DKIM | Clé publique incorrecte ou manquante dans le DNS | Vérifier que l'enregistrement DKIM est correctement publié avec le bon sélecteur |
| Échec d'alignement DKIM | Le domaine de signature DKIM ne correspond pas au domaine From: | Configurer la signature DKIM pour utiliser le même domaine que l'adresse From: |
| Pas de rapports DMARC | Adresse email incorrecte ou problème de réception | Vérifier les adresses rua/ruf et s'assurer que votre serveur accepte les emails de rapport |
| Emails légitimes rejetés | Politique DMARC trop stricte trop tôt | Revenir à p=none ou p=quarantine, corriger les problèmes d'authentification |
Outils et ressources
Outils de validation
- MXToolbox - Validation SPF, DKIM, DMARC
- dmarcian - Analyseur de rapports DMARC
- DKIM Validator - Test de validation DKIM
- Mail Genius - Test de délivrabilité d'emails
Documentation officielle
Résumé des meilleures pratiques 2025
SPF
- Utilisez ~all (recommandé) ou -all (strict) comme terme final
- Limitez le nombre de lookups DNS à moins de 10
- N'autorisez que les serveurs qui envoient réellement des emails
- Évitez +all (permissif) qui annule l'effet de protection
DKIM
- Utilisez des clés RSA d'au moins 2048 bits
- Envisagez l'adoption d'Ed25519 en parallèle (double signature)
- Effectuez une rotation des clés tous les 6 mois
- Signez tous les emails sortants
- Utilisez l'algorithme rsa-sha256 pour les signatures
DMARC
- Visez p=reject comme objectif final
- Utilisez pct=100 pour une protection complète
- Configurez les adresses de rapport (rua et ruf)
- Analysez régulièrement les rapports
- Appliquez une politique stricte aux sous-domaines (sp=reject)
- Alignez vos domaines d'envoi pour satisfaire aux exigences DMARC
Conformité aux nouvelles exigences (Google et Yahoo)
- Implémentation obligatoire de SPF et DKIM pour les expéditeurs en masse
- Enregistrement DMARC obligatoire (au minimum p=none)
- Taux de rebond maintenu en dessous de 3%
- Configuration correcte des adresses de retour et de désabonnement