Aller au contenu principal
FR Deutsch English Español Italiano Português

Lignes directrices de Google relatives à l'envoi d'e-mails

Remarque

Les e-mails envoyés par Duda suivent déjà les meilleures pratiques d'authentification des e-mails. Les étapes de cet article expliquent comment mettre en œuvre les meilleures pratiques en matière d'authentification des e-mails pour vos comptes gmail personnels. Notez que Duda n'offre pas d'hébergement de courrier électronique.

À partir du 1er février 2024, Google exige des normes d'authentification spécifiques pour l'envoi de messages à des comptes Gmail personnels. Ces normes sont essentielles pour éviter que les courriels soient marqués comme spam ou bloqués.

  • Tous les expéditeurs : Mettez en œuvre SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail).

  • Les expéditeurs en masse (tout expéditeur de courrier électronique qui envoie près de 5 000 messages ou plus par jour) : Mettez en œuvre SPF, DKIM et DMARC (Domain-based Message Authentication, Reporting and Conformance).

Ces lignes directrices s'appliquent à tous les expéditeurs de messages électroniques, quel que soit le fournisseur de services de messagerie qu'ils utilisent, pour autant qu'ils envoient des messages à des comptes personnels Gmail (comptes se terminant par @gmail.com ou @googlemail.com).

Remarque

Pour obtenir de l'aide concernant les informations de connexion au domaine tu, les paramètres ou les enregistrements TXT, contactez le fournisseur du domaine tu.

L'importance de l'authentification des courriels

Les exigences de Google en matière d'authentification du courrier électronique renforcent la sécurité et empêchent les activités malveillantes telles que l'usurpation d'identité et l'hameçonnage. En mettant en œuvre ces bonnes pratiques d'authentification des courriels, vous améliorez la délivrabilité et la fiabilité de vos courriels vers les comptes Gmail tout en protégeant votre organisation et les destinataires contre l'usurpation d'identité et le marquage par le spam.

Pour des performances optimales en matière d'envoi d'e-mails :

  1. Configurer SPF: Assurez la distribution du courrier et empêchez l'usurpation en spécifiant les serveurs autorisés pour votre domaine.

  2. Configurer DKIM: Augmentez la sécurité des courriels sortants en ajoutant des signatures numériques cryptées.

  3. Mise en place de DMARC: Enfin, renforcez la sécurité contre les spams falsifiés grâce à DMARC. DMARC indique aux serveurs de réception ce qu'il faut faire des courriers électroniques qui ne répondent pas aux critères SPF ou DKIM et fournit des rapports sur l'activité d'authentification.

Assurez-vous que SPF, DKIM et DMARC sont configurés pour chacun de vos domaines d'envoi par l'intermédiaire de votre fournisseur de domaine. Si vous utilisez un fournisseur de services de courrier électronique, vérifiez qu'il authentifie le courrier électronique de votre domaine avec SPF et DKIM pour éviter les problèmes de livraison.

Normes d'authentification des courriels

Vous trouverez ci-dessous les principales méthodes d'authentification que vous devez mettre en place pour vous conformer aux exigences de Google et renforcer la sécurité de votre messagerie :

  • SPF (Sender Policy Framework) : SPF empêche l'usurpation d'adresse électronique en spécifiant quels serveurs de messagerie sont autorisés à envoyer des courriels au nom de votre domaine. Il fonctionne en publiant un enregistrement DNS qui répertorie ces serveurs autorisés. Lorsqu'un courriel est reçu, le serveur de messagerie du destinataire vérifie l'enregistrement SPF pour s'assurer de l'identité de l'expéditeur. Pour les instructions de configuration, voir Configurer les enregistrements SPF TXT pour votre domaine.

  • DKIM (DomainKeys Identified Mail) : DKIM garantit l'authenticité et l'intégrité du courrier électronique en ajoutant une signature numérique à l'en-tête du message. Pour ce faire, on utilise une paire de clés cryptographiques, l'une privée et l'autre publique. La clé privée est utilisée pour signer le courrier électronique et la clé publique, publiée dans les enregistrements DNS du domaine, est utilisée par le serveur de réception pour vérifier la signature. Pour les instructions de configuration, voir Configurer les enregistrements DKIM TXT pour votre domaine.

  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) : DMARC s'appuie sur SPF et DKIM en fournissant des instructions aux serveurs de réception sur la manière de traiter les courriels qui échouent à ces contrôles. Il publie une politique dans le DNS qui indique aux serveurs de messagerie destinataires ce qu'il convient de faire avec les courriers électroniques qui ne sont pas vérifiés par SPF ou DKIM, comme les rejeter ou les mettre en quarantaine. DMARC fournit également un mécanisme de réception de rapports sur l'activité d'authentification des courriels, que tu peux utiliser pour contrôler les courriels envoyés à partir de ton domaine et identifier les expéditeurs qui pourraient se faire passer pour ton domaine. Pour les instructions de configuration, voir Configurer les enregistrements DMARC TXT pour votre domaine.

Configurer les enregistrements SPF TXT pour votre domaine

Sender Policy Framework (SPF) est un protocole d'authentification du courrier électronique conçu pour prévenir les attaques par usurpation d'identité et par hameçonnage en spécifiant quels serveurs de messagerie sont autorisés à envoyer des courriers électroniques au nom d'un domaine. En établissant un enregistrement SPF, vous aidez les serveurs destinataires à vérifier que les courriels prétendant provenir de votre domaine sont bien envoyés par des serveurs autorisés. Si un courriel est envoyé à partir d'un serveur non autorisé, il peut être marqué comme spam ou rejeté.

Remarque

Pour obtenir de l'aide concernant les informations de connexion au domaine tu, les paramètres ou les enregistrements TXT, contactez le fournisseur du domaine tu.

Avant de configurer le SPF, assurez-vous que vous avez :

  • Accès au fournisseur de domaine: Informations d'identification pour se connecter à la console de gestion du fournisseur de domaine. SPF est configuré par votre hébergeur de domaine, et non dans la console d'administration de Google.

  • (Facultatif) Existing SPF Record: Vérifiez si un enregistrement SPF est déjà configuré.

  • Informations sur le serveur de messagerie: Une liste d'adresses IP ou de domaines pour tous les serveurs de messagerie qui envoient du courrier électronique au nom de votre domaine.

Pour configurer SPF :

  1. Connectez-vous à la console de gestion du fournisseur de domaine : Connectez-vous à la console de gestion fournie par votre fournisseur de domaine (par ex. GoDaddy). Localisez la page ou le tableau de bord dédié à la mise à jour des enregistrements DNS TXT pour votre domaine.

  2. Vérifier l'enregistrement SPF existant: il se peut que vous ayez déjà un enregistrement TXT configuré pour SPF avec votre fournisseur de domaine. Vérifiez si un enregistrement SPF existe déjà à l'aide de la boîte à outils Google Admin :

    • Saisissez votre nom de domaine et cliquez sur Exécuter les contrôles.

    • Après le test, cliquez sur Plages d'adresses SPF effectives.

    • Examinez les résultats pour les entrées SPF existantes telles que :

      • _spf.google.com

      • Netblocks.google.com suivi de plusieurs adresses IP

      • _netblocks2.google.com suivi de plusieurs adresses IP

      • Netblocks3.google.com suivi de plusieurs adresses IP

        Remarque

        Les résultats contiennent un résumé avec des drapeaux indiquant si le flux de courrier est correct :

        • fonctionne sans problème et aucune action n'est nécessaire,

        • fonctionnant mais indiquant des problèmes à résoudre, ou

        • doit être mis en place.

  3. Définissez votre enregistrement SPF: Pour définir un enregistrement SPF, vous devez créer un enregistrement TXT. Après vous être connecté à la console de gestion de votre domaine, trouvez la page où vous pouvez mettre à jour les enregistrements TXT pour votre domaine. Gardez à l'esprit qu'un domaine ne peut avoir qu'un seul enregistrement TXT pour SPF.

    • Enregistrement SPF: Si vous utilisez uniquement Google Workspace. Si tous les courriels de votre organisation sont envoyés uniquement via Google Workspace, copiez cette ligne de texte pour votre enregistrement SPF :

      v=spf1 include:_spf.google.com ~all

    • Enregistrement SPF : Si vous utilisez Google Workspace et d'autres expéditeurs. Si vous envoyez du courrier par d'autres moyens que Google Workspace, vous devez créer un enregistrement TXT personnalisé pour SPF afin d'autoriser ces expéditeurs. L'enregistrement SPF doit inclure une référence à Google Workspace et à tous les serveurs qui envoient des courriels pour votre organisation ou votre domaine. Il peut s'agir de services qui envoient des courriels automatiques, par exemple les formulaires "Contact us", et de tout fournisseur ou service tiers qui envoie des courriels pour votre domaine.

      Pour créer un enregistrement TXT personnalisé pour votre enregistrement SPF incluant une référence à Google Workspace et à d'autres expéditeurs, utilisez :

      (Notez que les adresses IP et les noms de domaine utilisés dans les étapes suivantes sont des exemples. Remplacez-les par les adresses IP et les domaines des expéditeurs. Un disque normal contient un mélange d'éléments).

      1. Commencez par l'enregistrement SPF pour Google Workplace :

        v=spf1 include:_spf.google.com ~all

      2. Ajouter des adresses IP autorisées : Listez les adresses IP individuelles (par exemple, 198.51.100.1 et 2001:db8:1:1:1:1:1:1:1) ou les sous-réseaux IP (par exemple, 198.51.100.0/24 et 2001:db8:1:1::/64) autorisés à envoyer des courriels. Utilisez l'adresse ip4 : tag pour les adresses IPv4 et l'adresse ip6 : tag pour les adresses IPv6. Par exemple :

        v=spf1 ip4:198.51.100.0/24 ip6:2001:db8:1:1:1:1:1:1 include:_spf.google.com ~all

      3. Inclure des services tiers : Si d'autres services envoient des courriels en votre nom, utilisez l'option include : tag pour inclure un autre domaine ou sous-domaine. Par exemple :

        v=spf1 ip4:198.51.100.0/24 ip6:2001:db8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~all

      4. Spécifiez les serveurs de messagerie : Si d'autres serveurs de messagerie envoient des courriels en votre nom, utilisez la fonction a : tag. Par exemple :

        v=spf1 a:mail.exampledomain.com ip4:198.51.100.0/24 ip6:2001:db8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~all

      5. Spécifiez la politique pour les serveurs non autorisés : Terminez par ~all pour définir comment les courriels provenant de serveurs non autorisés doivent être traités. Par exemple, comme indiqué dans l'enregistrement SPF utilisé pour Google Workspace :

        v=spf1 a:mail.exampledomain.com ip4:198.51.100.0/24 ip6:2001:db8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~all

      Il est recommandé de commencer par un échec en douceur (~all) afin de surveiller et d'ajuster l'enregistrement SPF sans perturber la distribution du courrier électronique, en s'assurant que toutes les sources légitimes de courrier électronique sont correctement autorisées avant d'appliquer un échec strict(-all). L'utilisation de ~all est généralement efficace, car elle marque les messages qui ne correspondent pas comme étant du spam.

      • ~all (soft fail) : Les courriels provenant de serveurs non répertoriés sont acceptés mais marqués comme suspects.

      • -all (échec total) : Les courriers électroniques provenant de serveurs non répertoriés sont rejetés d'emblée.

    Exemple d'enregistrement SPF

    Description

    v=spf1 ip4:198.51.100.0/24 include:_spf.google.com ~all

    Autorise les courriels provenant de :

    • Serveurs dont l'adresse IP est comprise entre 198.51.100.0 et 198.51.100.255

    • Espace de travail Google

    Cet enregistrement autorise le courrier électronique provenant d'une plage d'adresses IPv4 spécifique et de l'espace de travail Google, en marquant les sources non répertoriées comme suspectes.

    v=spf1 ip4:198.51.100.0/24 include:_spf.google.com include:thirdpartydomain.com ~all

    Autorise les courriels provenant de :

    • Serveurs dont l'adresse IP est comprise entre 198.51.100.0 et 198.51.100.255

    • Espace de travail Google

    • Service de courrier électronique d'un tiers Domaine d'un tiers

    Cet enregistrement autorise le courrier électronique provenant d'une plage d'adresses IPv4 spécifique, de l'espace de travail Google et d'un service tiers supplémentaire, en marquant comme suspect ce qui ne figure pas sur la liste.

    v=spf1 ip6:2001:db8::/32 include:_spf.google.com ~all

    Autorise les courriels provenant de :

    • Serveurs dont l'adresse IP est comprise entre 2001:db8:0000:0000:0000:0000:0000 et 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Espace de travail Google

    Cet enregistrement permet d'envoyer des courriels à partir d'un large éventail d'adresses IPv6 et de l'espace de travail Google, en marquant les sources non répertoriées comme suspectes.

    v=spf1 a:mail.exampledomain.com ip4:198.51.100.0/24 ip6:2001:db8::/32 include:_spf.google.com ~all

    Autorise les courriels provenant de :

    • Serveur de messagerie mail.exampledomain.com

    • Serveurs dont l'adresse IP est comprise entre 198.51.100.0 et 198.51.100.255

    • Serveurs dont l'adresse IP est comprise entre 2001:db8:0000:0000:0000:0000:0000 et 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Espace de travail Google

    Cet enregistrement couvre à la fois les plages IPv4 et IPv6, l'espace de travail Google et un serveur de messagerie spécifique, les autres étant considérés comme suspects.

  4. Ajoutez un enregistrement SPF : Pour activer SPF pour votre domaine, ajoutez un enregistrement SPF dans la console de gestion de votre fournisseur de domaine :

    1. Connectez-vous à la console de gestion du fournisseur de domaine : Connectez-vous à la console de gestion fournie par votre fournisseur de domaine. Localisez la page ou le tableau de bord dédié à la mise à jour des enregistrements DNS TXT pour votre domaine.

    2. Entrez ces valeurs :

      Nom du champ

      Valeur à saisir

      Type

      Texte

      Hôte

      • Pour le domaine racine : @

      • Lors de la configuration d'un enregistrement SPF, utilisez @ dans le champ Host pour le domaine racine et consolidez tous les éléments (par exemple, include :, ip4 :, ip6 :, a :) en un seul enregistrement TXT, car un domaine ne peut avoir qu'un seul enregistrement TXT SPF.

      Valeur

      • Si vous n'utilisez que Google Workspace, entrez : v=spf1 include:_spf.google.com ~all

      • - Si vous utilisez des expéditeurs de courrier électronique supplémentaires, entrez l'enregistrement SPF que vous avez créé.

      Temps de vie (TTL)

      1 heure ou 3600 secondes

Résoudre les problèmes liés au SPF

Remarque

Pour obtenir de l'aide concernant les informations de connexion au domaine tu, les paramètres ou les enregistrements TXT, contactez le fournisseur du domaine tu.

Si vous avez configuré SPF (Sender Policy Framework) mais que vous rencontrez des problèmes tels que l'échec de l'authentification SPF, le rejet des courriels ou l'arrivée des messages dans les dossiers de spam, suivez les étapes de dépannage suivantes :

  1. Vérifier la configuration de l'enregistrement SPF

    • Vérifiez l'enregistrement SPF existant: Utilisez un site tool comme MXToolbox ou l'interface de gestion DNS de votre domaine pour confirmer qu'un enregistrement SPF existe pour votre domaine.

    • Définissez et ajoutez un enregistrement SPF: Assurez-vous que votre enregistrement SPF est correctement formaté et qu'il inclut tous les serveurs de messagerie concernés. Par exemple, un enregistrement SPF peut ressembler à v=spf1 ip4:192.168.0.1 include:_spf.example.com -all.

  2. Vérifier les résultats de l'authentification SPF

    • En-têtes du courrier électronique: Dans Gmail, ouvrez un courriel, cliquez sur les trois points dans le coin supérieur droit et sélectionnez "Show original" pour afficher les résultats SPF dans la section "Authentication-Results".

    • Boîte à outils d'administration Google: Copiez les en-têtes de l'e-mail et utilisez la boîte à outils Google Admin Messageheader tool pour analyser les résultats SPF.

  3. Assurez-vous que tous les expéditeurs sont inclus dans l'enregistrement SPF

    • Examinez les entrées SPF: Assurez-vous que tous les serveurs de messagerie et les services qui envoient des courriels pour votre domaine sont inclus. Il s'agit notamment des fournisseurs de courrier électronique tiers et des formulaires de site web.

    • Mettez à jour l'enregistrement SPF: Ajoutez les adresses IP ou les domaines manquants à l'enregistrement SPF. Par exemple, si vous utilisez un service de marketing par courriel, assurez-vous que les adresses IP d'envoi ou les mécanismes d'inclusion sont ajoutés à votre enregistrement.

  4. Résoudre les problèmes de transfert d'e-mails

    • Vérifiez les détails de la redirection : Utilisez la recherche dans le journal des courriels pour vérifier si les courriels transférés ne sont pas conformes à la norme SPF. Recherchez l'adresse du destinataire initial pour vérifier s'il s'agit d'une réexpédition.

    • Contactez le service de transfert: Contactez le service de transfert tiers pour vérifier s'il peut adapter sa méthode de transfert ou fournir des informations sur les problèmes SPF.

  5. Dépannage avancé du FPS

    • Analysez les en-têtes des messages : Regardez la section "Authentication-Results" pour les résultats SPF comme "softfail," " fail," ou "neutral" et adressez-vous en fonction du résultat. Par exemple :

      • Pas d'entrée SPF: Assurez-vous que l'enregistrement SPF est correctement configuré.

      • Softfail ou Fail: Vérifiez que toutes les adresses IP d'envoi légitimes sont incluses dans l'enregistrement SPF.

      • TempError ou PermError: Vérifiez les problèmes de DNS ou le dépassement de la limite de 10 consultations.

  6. Vérifier les consultationsDNS

    • Surveillez le nombre de consultations : Les enregistrements SPF sont limités à 10 consultations DNS. Ainsi, un enregistrement SPF TXT ne peut contenir plus de 10 références à d'autres domaines. Chacun de ces mécanismes, y compris les recherches imbriquées, dans un enregistrement SPF entraîne une recherche : a, mx, include, ptr. Utilisez tool, comme Check MX de Google Admin Toolbox, pour surveiller le nombre de consultations et adapter votre enregistrement SPF afin d'éviter de dépasser cette limite.

Configurer les enregistrements TXT DKIM pour votre domaine

DKIM, ou DomainKeys Identified Mail, est une méthode essentielle d'authentification des courriels qui permet de protéger votre domaine contre l'usurpation d'identité et d'éviter que les messages sortants ne soient marqués comme étant du spam. Le spoofing est une pratique trompeuse qui consiste à falsifier l'adresse de l'expéditeur pour faire croire qu'il s'agit d'une organisation ou d'un domaine légitime. DKIM joue un rôle crucial en détectant toute modification non autorisée du contenu des messages, y compris les changements de l'adresse "From". Sans DKIM, les courriels envoyés à partir de votre domaine sont plus susceptibles d'être signalés comme spam par les serveurs de messagerie destinataires. Pour garantir la fiabilité des messages tu, en particulier pour les utilisateurs de Gmail, il est recommandé de mettre en place l'authentification DKIM et SPF (Sender Policy Framework) pour le domaine tu. Cela permet de respecter les directives de Google relatives à l'envoi d'e-mails et d'améliorer l'authentification des e-mails de votre organisation.

Remarque

Pour obtenir de l'aide concernant les informations de connexion au domaine tu, les paramètres ou les enregistrements TXT, contactez le fournisseur du domaine tu.

Avant de configurer DKIM, assurez-vous que vous avez :

  • Accès à l'administration de Google: Informations d'identification pour se connecter à la console d'administration de Google. Vous obtiendrez votre clé DKIM à partir de votre console d'administration Google.

  • Accès au fournisseur de domaine: Informations d'identification pour se connecter à la console de gestion du fournisseur de domaine. tu ajoutera les informations de la clé DKIM de la console d'administration de Google aux paramètres des fournisseurs de domaines.

  • Paramètres des passerelles de courrier sortant configurés pour ne pas modifier les messages après leur envoi: vérifiez que les paramètres des passerelles de courrier sortant n'interfèrent pas avec le bon fonctionnement de l'authentification DKIM pour les messages sortants, car des modifications telles que l'ajout de pieds de page ou la réécriture du contenu après l'envoi du message peuvent entraîner l'échec de la vérification DKIM.

    • Soit vous configurez la passerelle de manière à ce qu'elle ne modifie pas les messages sortants, soit vous configurez la passerelle de manière à ce qu'elle modifie d'abord le contenu du message, puis qu'elle ajoute la signature DKIM.

  • (Facultatif) Clé DKIM existante: Vérifiez s'il existe une clé DKIM pour votre domaine.

Pour configurer DKIM :

  1. Connectez-vous à la console d'administration Google: Accédez à la console d'administration de Google. Vous devez être connecté en tant que super administrateur pour obtenir la clé DKIM.

  2. Vérifiez la clé DKIM existante: Si vous utilisez déjà une clé DKIM pour votre domaine, il peut s'agir de Google Workspace ou d'un autre système de messagerie.

    1. Dans la console d'administration Google, allez dans Menu et sélectionnez Apps, sélectionnez Google Workspace et cliquez sur Gmail.

    2. Cliquez sur Authentifier la messagerie et sélectionnez le domaine à vérifier dans le menu Domaine sélectionné.

    3. Localisez la section Nom d'hôte DNS (nom de l'enregistrement TXT):

      • Si vous n'avez jamais configuré DKIM dans Google Workspace, ce champ sera vide.

      • Si ce champ a une valeur, notez le texte qui précède ._domainkey. Il s'agit du préfixe de votre sélecteur.

    4. Naviguez vers la boîte à outils Google Admin et entrez votre nom de domaine dans le champ Nom de domaine.

    5. Cliquez sur le bouton Run Checks ! et attendez la fin du test.

    6. Une fois le test terminé, vérifiez lequel de ces messages est affiché :

      • Authentification DKIM Configuration du DNS : Une clé DKIM est configurée pour le domaine et le sélecteur.

      • DKIM n'est pas configuré : Aucune clé DKIM n'existe pour le domaine avec le sélecteur de préfixe saisi. Pour résoudre ce problème, définissez une nouvelle clé en utilisant le sélecteur fourni (le sélecteur par défaut est google).

  3. Générer la clé DKIM :

    1. Dans la console d'administration Google, allez dans Menu et sélectionnez Apps, sélectionnez Google Workspace et cliquez sur Gmail.

    2. Cliquez sur Authentifier le courrier électronique et sélectionnez le domaine dans lequel vous souhaitez configurer DKIM dans le menu Domaine sélectionné.

    3. Cliquez sur le bouton Générer un nouvel enregistrement.

    4. Sélectionnez les paramètres de la clé DKIM :

      Paramètres

      Options

      Longueur des bits de la clé DKIM

      2048. Si votre fournisseur de domaine prend en charge les clés de 2048 bits, sélectionnez cette option. Les clés longues sont plus sûres que les clés courtes. 1024. Si votre hôte de domaine ne prend pas en charge les clés de 2048 bits, sélectionnez cette option.

      1024. Si votre hôte de domaine ne prend pas en charge les clés de 2048 bits, sélectionnez cette option.

      Sélecteur de préfixe

      Le préfixe du sélecteur par défaut est google. Nous vous recommandons d'utiliser la valeur par défaut. Mais si votre domaine utilise déjà une clé DKIM avec le préfixe google, entrez un préfixe différent.

    5. Cliquez sur Générer et copiez les valeurs DKIM affichées dans la fenêtre Authentifier l'e-mail :

      • Nom d'hôte DNS (nom de l'enregistrement TXT) - Ce texte est le nom de l'enregistrement DKIM TXT que vous ajouterez aux enregistrements DNS de votre fournisseur de domaine.

      • Valeur de l'enregistrement TXT : ce texte est la clé DKIM que tu ajouteras à l'enregistrement TXT DKIM.

  4. Ajoutez une clé DKIM : Notez qu'après l'ajout d'une clé DKIM, l'authentification DKIM peut prendre jusqu'à 48 heures pour commencer à fonctionner.

    1. Connectez-vous à la console de gestion du fournisseur de domaine : Connectez-vous à la console de gestion fournie par votre fournisseur de domaine. Localisez la page ou le tableau de bord dédié à la mise à jour des enregistrements DNS TXT pour votre domaine.

    2. Ajouter un nouvel enregistrement TXT pour DKIM : entrez les valeurs suivantes, puis enregistrez les modifications.

      Nom du champ

      Valeur à saisir

      Nom de l'enregistrement TXT (dans le premier champ, sous le nom d'hôte DNS)

      Saisissez le nom d'hôte DNS (nom de l'enregistrement TXT) affiché dans la console d'administration de Google.

      Valeur de l'enregistrement TXT (dans le deuxième champ)

      Saisissez la valeur de l'enregistrement TXT (clé DKIM) affichée dans la console d'administration de Google.

  5. Activez la signature DKIM : Notez que la page Authentifier le courrier électronique dans la console d'administration de Google peut continuer à afficher ce message pendant 48 heures : "Vous devez mettre à jour les enregistrements DNS pour ce domaine. Si vous avez correctement ajouté votre clé DKIM auprès de votre fournisseur de domaine, vous pouvez ignorer le message".

    1. Dans la console d'administration Google, allez dans Menu et sélectionnez Apps, sélectionnez Google Workspace et cliquez sur Gmail.

    2. Cliquez sur Authentifier le courrier électronique et sélectionnez le domaine dans lequel vous souhaitez configurer DKIM dans le menu Domaine sélectionné.

    3. Cliquez sur le bouton Démarrer l'authentification.

  6. Vérifiez l'authentification DKIM :

    1. Envoyez un message électronique à une personne qui utilise Gmail ou Google Workspace. tu ne peut pas vérifier que DKIM est activé en lui envoyant un message test).

    2. Ouvrez le message dans la boîte de réception du destinataire et recherchez l'en-tête complet du message. (Les étapes pour afficher l'en-tête du message diffèrent selon les applications de messagerie. Pour afficher les en-têtes des messages dans Gmail, cliquez sur Plus Afficher l'original en regard de Répondre).

    3. Dans l'en-tête du message, recherchez Authentication-Results. Les services récepteurs utilisent des formats différents pour les en-têtes des messages entrants, mais les résultats DKIM devraient contenir quelque chose comme DKIM=pass ou DKIM=OK. Si l'en-tête du message ne contient pas de ligne concernant DKIM, les messages envoyés depuis ce domaine ne sont pas signés avec DKIM.

Résoudre les problèmes liés à DKIM

Remarque

Pour obtenir de l'aide concernant les informations de connexion au domaine tu, les paramètres ou les enregistrements TXT, contactez le fournisseur du domaine tu.

Si les courriels provenant de votre domaine ne passent pas l'authentification DKIM ou sont rejetés ou marqués comme spam, suivez ces étapes pour dépanner et résoudre les problèmes DKIM :

  1. Vérifier la configuration de DKIM

    1. Obtenez la clé DKIM : Dans la console d'administration de tu, obtenez la clé DKIM requise pour le domaine de tu.

    2. Ajouter la clé DKIM : Ajoutez la clé DKIM en tant qu'enregistrement TXT dans les paramètres DNS de votre fournisseur de domaine. Assurez-vous que la clé est correctement saisie et complète.

    3. Activer DKIM : Dans la console d'administration, activez la signature DKIM pour votre domaine.

  2. Vérifier les résultats de l'authentification DKIM

    1. Vérifiez les messages : Envoyez un courriel de test à un compte de messagerie personnel (par exemple, Gmail) pour exclure les problèmes liés à des serveurs de réception spécifiques.

    2. Examinez les en-têtes des courriels : Dans Gmail, cliquez sur "Show original" pour afficher le statut DKIM sous l'en-tête "Authentication-Results".

    3. Utilisez la boîte à outils Google Admin : Analysez les en-têtes des messages à l'aide de la boîte à outils d'administration Google Messageheader tool pour vérifier les résultats de la norme DKIM.

  3. Confirmer l'intégrité de la clé DKIM

    1. Vérifiez l'enregistrement DKIM TXT : Assurez-vous que l'enregistrement DKIM TXT n'est pas tronqué et qu'il est correctement formaté. Les clés DKIM de plus de 255 caractères peuvent être divisées en plusieurs enregistrements TXT.

    2. Comparez les enregistrements : Utilisez la boîte à outils Google Admin Dig tool pour vérifier que la valeur de l'enregistrement TXT correspond à la clé dans la console d'administration. Saisissez votre enregistrement DKIM (par exemple, google._domainkey) suivi de tu domaine pour comparer les résultats.

  4. Résoudre les problèmes de transmission des messages

    1. Vérifiez s'il y a des modifications : Inspectez l'en-tête "Authentication-Results" à la recherche de messages "body hash did not verify", ce qui indique que le courrier électronique a été modifié au cours du transfert.

    2. Passerelles sortantes : Veillez à ce que les passerelles de sortie ne modifient pas le contenu des messages sortants, car cela peut entraîner des échecs de la norme DKIM.

    3. Vérifiez la redirection : Utilisez Email Log Search pour vérifier si les messages transférés sont à l'origine des problèmes DKIM. Contactez le service d'expédition si nécessaire.

  5. Contactez les administrateurs pour les messages signés DKIM rejetés

    1. Reach Out : Si le DKIM est correctement configuré mais que les messages sont toujours rejetés ou envoyés en spam, contactez l'administrateur du serveur de messagerie qui les rejette pour obtenir de l'aide.

  6. Vérifier les limites de caractères des enregistrements TXT

    • Examinez les limites : Assurez-vous que les enregistrements TXT de tu DKIM respectent les limites de caractères de tu fournisseur de domaine. La plupart des enregistrements TXT peuvent contenir jusqu'à 255 caractères. Pour les enregistrements TXT comprenant plus de 255 caractères, DNS additionne plusieurs chaînes dans un seul enregistrement.

      Si vous utilisez une clé DKIM de 2048 bits, vous ne pouvez pas la saisir sous la forme d'une chaîne de texte unique dans un enregistrement DNS limité à 255 caractères. Au lieu de cela, prenez les mesures suivantes :

      1. Divisez les caractères clés en plusieurs chaînes de texte.

      2. Mettez chaque chaîne entre guillemets.

      3. Saisissez les chaînes l'une après l'autre dans le champ Valeur de l'enregistrement TXT chez votre fournisseur de domaine.

Configurer les enregistrements DMARC TXT pour votre domaine

Le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification du courrier électronique qui s'appuie sur les protocoles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) pour prévenir les attaques par usurpation d'identité et par hameçonnage. Grâce à DMARC, les propriétaires de domaines peuvent indiquer aux serveurs de messagerie destinataires comment traiter les courriers électroniques qui échouent aux contrôles SPF et DKIM.

Les principaux éléments de DMARC sont les suivants :

  • Politique (p) : Spécifie l'action à entreprendre lorsqu'un courriel échoue aux contrôles d'authentification. Les options de politique sont les suivantes : aucune (surveillance uniquement), quarantaine (marquer comme spam) ou rejet (ne pas délivrer).

  • Rapport (rua=mailto :): Spécifie où les rapports DMARC doivent être envoyés. Ces rapports fournissent des informations détaillées sur les courriels qui réussissent ou échouent aux contrôles d'authentification.

Avant de mettre en place DMARC, assurez-vous que vous avez :

  • Accès au fournisseur de domaine : Informations d'identification pour se connecter à la console de gestion du fournisseur de domaine. DMARC est activé chez l'hébergeur de votre domaine, pas dans la console d'administration de Google.

  • SPF et DKIM déjà activés : Avant d'implémenter DMARC, assurez-vous que Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) sont activés pour votre domaine. Cette authentification est essentielle pour le fonctionnement de DMARC, qui indique aux serveurs de messagerie destinataires ce qu'ils doivent faire lorsqu'ils reçoivent un message qui semble provenir de votre organisation, mais qui ne passe pas les contrôles d'authentification SPF et/ou DKIM.

    Attention

    • Si vous ne configurez pas SPF et DKIM avant d'activer DMARC, les messages envoyés à partir de votre domaine connaîtront probablement des problèmes de livraison.

    • Attendez 48 heures après la mise en place de SPF et DKIM avant de mettre en place DMARC.

  • (Facultatif) Enregistrement DMARC existant : Vérifiez s'il existe un enregistrement DMARC pour votre domaine.

  • Authentification du courrier par des tiers: Veillez à ce que les messages envoyés par des fournisseurs tiers soient authentifiés afin de respecter les politiques DMARC. Pour améliorer l'authentification des messages envoyés par des fournisseurs tiers :

    • Confirmez auprès de votre fournisseur tiers que DKIM est correctement configuré.

    • Assurez-vous que le domaine de l'expéditeur de l'enveloppe utilisé par le fournisseur correspond à votre domaine.

    • Ajoutez les adresses IP des serveurs de messagerie du fournisseur d'accès à l'enregistrement SPF de votre domaine.

Configurer DMARC

Pour configurer DMARC :

  1. Connectez-vous à la console de gestion de tu Domain Provider : Accédez à la plateforme de votre fournisseur de domaine et naviguez jusqu'à la section de gestion des enregistrements DNS TXT.

  2. Vérifiez l'enregistrement DMARC existant: Avant d'installer DMARC, vérifiez si votre domaine possède déjà un enregistrement DNS TXT DMARC. Si c'est le cas, examinez les rapports DMARC pour confirmer que l'authentification et la livraison des messages ont été effectuées avec succès. Pour vérifier auprès de votre fournisseur de domaine s'il existe un enregistrement TXT pour DMARC :

    1. Connectez-vous à la console de gestion fournie par votre fournisseur de domaine.

    2. Localisez la page ou le tableau de bord dédié à la mise à jour des enregistrements DNS TXT pour votre domaine.

    3. Examinez les enregistrements DNS TXT associés à votre domaine. Si un enregistrement DMARC existe, il commence généralement par v=DMARC.

  3. Définissez votre enregistrement DMARC: Pour définir votre enregistrement DMARC, vous devez créer un enregistrement TXT qui définit la rigueur avec laquelle DMARC doit vérifier les messages et les actions recommandées pour les serveurs de réception.

    Lorsque vous commencez à mettre en œuvre DMARC, nous vous suggérons de commencer par une politique d'application souple, réglée sur "none." Au fur et à mesure que tu apprendras comment les messages provenant du domaine tu sont authentifiés par les serveurs de réception, tu adaptera progressivement sa politique de "none" à "quarantine" et finalement à "reject."

    L'enregistrement DMARC se présente sous la forme d'une ligne de texte brut composée d'une liste de valeurs DMARC tag, séparées par des points-virgules. Certains sites tag sont obligatoires et d'autres facultatifs. Exemple : v=DMARC1 ; p=rejet ; rua=mailto:mailbox@example.com, mailto:dmarc@example.com ; pct=10 ; adkim=r ; aspf=r

    tag

    Nécessaire ?

    Description

    Valeurs

    v

    Demande

    Spécifie la version de DMARC.

    Doit être DMARC1.

    p

    Obligatoire ?

    Indique au serveur de messagerie destinataire les mesures à prendre en cas d'échec de l'authentification.

    none - Ne rien faire, transmettre le message et l'enregistrer. Les rapports sont envoyés à l'adresse électronique spécifiée dans le rua tag.

    quarantaine - Marquer le message comme spam et l'envoyer dans le dossier spam. Les destinataires peuvent en vérifier la légitimité.

    rejeter - Rejeter le message et généralement envoyer un message de rebond à l'expéditeur.

    pct

    Obligatoire ?

    Définit le pourcentage de messages soumis à la politique DMARC.

    Il doit s'agir d'un nombre entier compris entre 1 et 100. Si elle n'est pas spécifiée, la politique s'applique à 100 % des messages.

    rua

    Facultatif

    Obtenez des rapports DMARC envoyés à une adresse électronique. L'adresse électronique doit inclure mailto :.

    Pour envoyer des rapports DMARC à plusieurs courriels, séparez chaque adresse électronique par une virgule et ajoutez le préfixe mailto : devant chaque adresse.

    Exemple : mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (remplacez exemple.com par votre domaine).

    sp

    Facultatif

    Définit la politique pour les sous-domaines du domaine primaire.

    none - Ne rien faire, transmettre le message et l'enregistrer. Les rapports sont envoyés à l'adresse électronique spécifiée dans le rua tag.

    quarantaine - Marquer le message comme spam et l'envoyer dans le dossier spam. Les destinataires peuvent en vérifier la légitimité.

    rejeter - Rejeter le message et généralement envoyer un message de rebond à l'expéditeur.

    S'il n'est pas spécifié, les sous-domaines héritent de la politique du domaine parent.

    adkim

    Facultatif

    Spécifie la politique d'alignement pour DKIM, indiquant dans quelle mesure le domaine de l'expéditeur doit correspondre au nom de domaine d=dans les signatures DKIM.

    s-Alignement strict. Le nom de domaine de l'expéditeur doit correspondre exactement au nom de domaine correspondant dans les en-têtes du courrier DKIM.

    r-Alignement relâché (par défaut). Permet des correspondances partielles. Tout sous-domaine valide de d=domain dans les en-têtes de courrier DKIM est accepté.

    adspf

    Facultatif

    Spécifie la politique d'alignement pour SPF, indiquant dans quelle mesure le domaine de l'expéditeur doit correspondre au domaine de la commande SMTP MAIL FROM.

    s-Alignement strict. Le domaine de l'expéditeur doit correspondre exactement au domaine indiqué dans la commande SMTP MAIL FROM.

    r-Alignement relâché (par défaut). Permet des correspondances partielles. Tout sous-domaine valide du nom de domaine est accepté.

  4. Ajoutez un enregistrement DMARC : Notez que DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant d'activer DMARC.

    1. Connectez-vous à la console de gestion du fournisseur de domaine: Connectez-vous à la console de gestion fournie par votre fournisseur de domaine. Localisez la page ou le tableau de bord dédié à la mise à jour des enregistrements DNS TXT pour votre domaine.

    2. Ajouter un nouvel enregistrement TXT pour DMARC. Saisissez les valeurs suivantes, puis enregistrez vos modifications.

      Nom du champ

      Valeur à saisir

      Nom de l'enregistrement TXT (dans le premier champ, sous le nom d'hôte DNS)

      Entrez _dmarc.exampledomain.com (remplacez exampledomain.com par votre domaine)

      Valeur de l'enregistrement TXT (dans le deuxième champ)

      Saisissez le texte de votre politique DMARC.

      Par exemple, entrez v=DMARC1 ; p=none ; rua=mailto:dmarc-reports@exampledomain.com (remplacez exampledomain.com par votre domaine).

  5. Étendre aux sous-domaines et aux domaines supplémentaires (le cas échéant). Si vous avez plusieurs domaines ou sous-domaines, chaque domaine peut avoir une politique différente et des options de rapport différentes (définies dans l'enregistrement). Pour définir une politique DMARC pour les sous-domaines, utilisez la politique sp tag dans l'enregistrement DMARC du domaine parent. Si vous ne créez pas de politique DMARC pour les sous-domaines, ils héritent de la politique DMARC du domaine parent.

Surveiller les rapports DMARC

Surveillez régulièrement les rapports d'activité DMARC pour votre domaine. Ces rapports, envoyés à l'adresse électronique spécifiée dans la politique DMARC (rua tag), fournissent des informations sur l'activité du serveur de messagerie. Ajustez votre politique DMARC si nécessaire en fonction de ces rapports.

Examinez les rapports pour le savoir :

  • Quels sont les serveurs ou les expéditeurs tiers qui envoient du courrier pour votre domaine ?

  • Quel est le pourcentage de messages provenant de votre domaine qui passent le DMARC ?

Recherchez les tendances problématiques, telles que

  • Les messages valides sont marqués comme spam

  • Messages de rebond ou d'erreur de la part des destinataires

Mettre en quarantaine un petit pourcentage de messages

Commencez par une politique DMARC souple, dont l'application est réglée sur "none". Cela vous permet de commencer à recevoir des rapports sans risquer que les messages de votre domaine soient rejetés ou marqués comme spam par les serveurs de réception. Après avoir observé les rapports DMARC pendant au moins une semaine, réglez votre politique sur "quarantaine" et ajoutez l'option pct tag pour appliquer la politique à un petit pourcentage de votre courrier.

Pour mettre en quarantaine un petit pourcentage de messages :

  1. Connectez-vous à la console de gestion fournie par votre hébergeur de domaine pour mettre à jour l'enregistrement DMARC DNS TXT.

  2. Ajoutez une politique qui affecte un petit pourcentage de messages et applique la quarantaine. Par exemple, une politique qui ne s'applique qu'à 5 % des courriels entrants et qui dirige les messages qui échouent aux contrôles DMARC vers les dossiers de spam des destinataires :

    v=DMARC1 ; p=quarantine ; pct=5 ; rua=mailto:dmarc-reports@exampledomain.com

Conseil

Les grandes entreprises devraient augmenter progressivement le pourcentage de messages concernés afin de minimiser le risque de rejet ou de marquage de spam. Par exemple, une petite organisation peut commencer par mettre en quarantaine 10 % des données, tandis qu'une grande entreprise peut commencer par mettre en quarantaine 1 % des données.

Dépannage des problèmes DMARC

Si les courriels provenant de votre domaine échouent à l'authentification DMARC, sont rejetés par les serveurs de réception ou atterrissent dans les dossiers spam des destinataires, suivez les étapes suivantes pour dépanner et résoudre les problèmes DMARC :

  1. Vérifier l'enregistrement DMARC

    • Vérifiez la configuration : Assurez-vous que l'enregistrement DMARC est correctement configuré. Vérifiez que l'enregistrement DMARC est correctement configuré auprès de votre fournisseur de domaine et qu'il est présent dans vos paramètres DNS.

  2. Assurez-vous que SPF et DKIM sont activés

    • Activer SPF et DKIM: Confirmez que SPF et DKIM sont activés et correctement configurés pour votre domaine. Les deux doivent être actifs pendant au moins 48 heures avant d'activer DMARC.

    • Configuration détaillée: Suivez les instructions de configuration pour SPF et DKIM afin de vous assurer qu'ils sont correctement mis en œuvre.

  3. Vérifier les résultats de l'authentification

    • Examiner les en-têtes: Inspectez les en-têtes des messages électroniques pour vérifier les résultats SPF, DKIM et DMARC. Dans Gmail, cliquez sur "Afficher l'original" pour afficher ces résultats.

    • Utiliser Diagnostic tool: Saisissez les en-têtes de message dans la boîte à outils Google Admin Messageheader tool pour vérifier l'état de l'authentification.

  4. Vérifier les rapports DMARC

    • Vérifier les rapports: Vérifiez les rapports tu DMARC pour vous assurer que les messages passent les contrôles SPF, DKIM et DMARC. Vous pouvez utiliser une analyse de rapport DMARC tool ou un service pour obtenir des informations complètes.

  5. Remédier aux défaillances de DMARC

    • Résolvez les échecs: Si les messages sortants échouent au test DMARC, vérifiez les paramètres SPF et DKIM. Veillez à ce que les messages passent au moins l'un de ces contrôles pour respecter les politiques DMARC.

    • Révisez la politique DMARC: Vérifiez votre politique DMARC et les paramètres d'alignement. Une politique stricte peut entraîner une augmentation des taux de rejet ou du nombre de spams.

    • Vérifiez les rapports quotidiens: Examinez les rapports quotidiens DMARC pour identifier les messages sortants qui ne passent pas SPF, DKIM ou DMARC.

  6. Évaluer les pratiques d'envoi de courrier

    • Respectez les meilleures pratiques: Veillez à respecter les meilleures pratiques en matière d'envoi de courriels, en particulier si vous envoyez de gros volumes. Consultez les lignes directrices pour l'envoi de courriels aux utilisateurs de Gmail.

  7. Utilisez la recherche de journaux d'e-mails pour obtenir des informations

    • Recherche détaillée : Utilisez la fonction de recherche dans le journal des courriers électroniques pour obtenir des informations détaillées sur des messages spécifiques envoyés par l'intermédiaire de l'espace de travail Google. Recherchez l'adresse IP de l'expéditeur et examinez les détails du message pour diagnostiquer les problèmes.

Was this article helpful?

Retour en haut