Dans l’article Stop au Spam : Le trio indispensable (SPF, DKIM, DMARC) j’ai expliqué ce que j’avais découvert sur les réglages DMARC, DKIM et SPF nécessaires pour éviter que les newsletter BREVO ne deviennent des spams. Quelques jours après je me suis rendue compte que le sujet doit être élargi au paramétrage de toutes les adresses mails que j’utilise. Alors j’ai fait des recherches complémentaires et j’explique ici quels réglages faire selon les cas. C’est une sorte d’aide mémoire.
A quoi ressemble un « bon » mail ?
Dans le client de messagerie gmail, on peut « afficher l’original » d’un mail en cliquant sur les trois points empilés en haut à droite (juste à côté de la flèche pour répondre) au dessus du mail à examiner.
Un « bon » mail contient ces trois lignes dans l’en-tête (ici pour un mail reçu d’OVH) :
Google et Yahoo ont mis en place des exigences de sécurité accrues en 2024. Il n’est plus possible d’échouer au test DMARC ou DKIM.
DKIM, DMARK, SPF, c’est quoi ?
Le DKIM (DomainKeys Identified Mail) est une signature numérique qui prouve que l’email n’a pas été altéré. C’est le domaine qui le génère.
Le DMARC (Domain-based Message Authentication, Reporting & Conformance) sert à garantir que le mail provient bien du domaine dont il semble émaner. Il permet d’éviter l’usurpation d’identité.
Le SPF (Sender Policy Framework) liste les liste les serveurs autorisés pour un domaine.
Jusqu’à présent je réglais les SPF mais jamais DKIM et DMARC. Il faut que je change mes habitudes. Alors, comment faire ?
Les situations où il faut faire des réglages
Lorsqu’on utilise une adresse gmail classique pour expédier des mails à partir du client de messagerie gmail, on n’a aucun réglage à réaliser. Gmail a tout géré pour nous. C’est probablement le cas pour d’autres fournisseurs d’adresses mail lorsqu’on utilise leur client de messagerie intégré.
Mais dans d’autres situations on a besoin de faire des ajustements assez techniques pour que nos mails ne se retrouvent pas en spam.
On va voir 5 cas différents :
- cas1@domaineA.com : c’est un domaine géré sur ovh, avec des mails gérés par OVH (les enregistrements MX du domaine contiennent mx0.mail.ovh.net). Pour ces mails je les lis et je les écris soit sur le webmail OVH (rarement), soit sur mon client de messagerie Gmail. On a donc deux situations, le CAS n°1 et le CAS n°4.
- cas2@domaineB.com : c’est un domaine géré sur ovh, avec des mails gérés par Google Workspace (les enregistrements MX du domaine contiennent ALT1.ASPMX.LGOOGLE.COM). Je recommande, on dispose ainsi de toute la sécurité des messageries gmail. C’est le CAS n°2.
- Il m’arrive aussi d’envoyer des mails par un système tiers (newsletter brevo). J’en parle dans les cas 1, 2 et 3.
- Certains mails sont envoyés en mon nom par un site WordPress. C’est le CAS n°3.
CAS n°1 – domaine et mails gérés par OVH
Je peux envoyer des mails d’une adresse gérée par OVH à partir de l’interface webmail d’OVH (c’est rare) ou de mon client de messagerie gmail (beaucoup plus fréquent). Mais des mails sont également expédiés par le site WordPress correspondant (géré par infomaniak pour moi) ou par une newsletter Brevo. C’est un cas particulier que j’évoque dans un article dédié. Pour le présent article on considérera que Brevo peut également envoyer des mails au nom de l’adresse concernée.
Les réglages ci-dessous conviennent aussi pour une adresse qu’on utilise dans un client de messagerie gmail (on envoie « en tant que », voir plus bas les explications).
Le champ SPF
SPF (pour Sender Policy Framework) permet aux serveurs de réception des emails que vous envoyez de vous identifier comme expéditeur légitime,
ATTENTION : Il ne doit y avoir qu’un seul champ SPF par domaine.
Le champ contient les éléments suivants (on peut enlever la partie google et la partie brevo si on ne les utilise pas) :
SPF v=spf1 include:_ include:mx.ovh.com spf.google.com include:spf.brevo.com ~allLes clés DKIM
Le DKIM est une signature numérique qui prouve que l’email n’a pas été altéré. Ils ont été ajoutés automatiquement par OVH dans les zones DNS des noms de domaine. Il peut y avoir plusieurs clés DKIM (chacune dans un champ TXT). Elles sont créées automatiquement par OVH :
| ovhmo2688674-selector2._domainkey.DOMAINE.fr. | 0 | CNAME | ovhmo2688674-selector2._domainkey.934872.qn.dkim.mail.ovh.net. | |
| ovhmo2688674-selector1._domainkey.DOMAINE.fr. | 0 | CNAME | ovhmo2688674-selector1._domainkey.934873.qn.dkim.mail.ovh.net. |
Si utilisation de BREVO pour envoyer des mails, ajouter deux clés DKIM Brevo
| brevo1._domainkey.parcours-performance.com. | 0 | CNAME | b1.parcours-performance-com.dkim.brevo.com. | |
| brevo2._domainkey.parcours-performance.com. | 0 | CNAME | b2.parcours-performance-com.dkim.brevo.com. |
Configurer le DMARC
Le DMARC indique aux serveurs destinataires quoi faire si le SPF ou le DKIM échouent.
Il ne peut y en avoir qu’un seul, attention ! Par contre on peut décider de mettre plusieurs destinataires de mail, comme ci-dessous.
Si on utilise les newsletter BREVO, il doit y avoir un mail BREVO pour le champ TXT du DMARC :
| _dmarc.DOMAINE.com. | 0 | TXT | « v=DMARC1; p=none; rua=mailto:rua@dmarc.brevo.com, contact@parcours-performance.com » |
Si on veut mettre le DMARC OVH, voir plus bas.
CAS n°2 – domaine OVH, gestion des mails par google
C’est le cas d’un domaine dont les champs MX contiennent 1 aspmx.l.google.com. ou aspmx2.googlemail.com. On a le meilleur des deux mondes : un nom de domaine qui se gère comme tous les autres noms de domaines et des adresses mails qui bénéficient de l’incroyable sécurité des mails gmail.
On fait comme pour un mail géré par OVH mais :
Dans le champ SPF il doit y avoir _spf.google.com dans les éléments inclus. Il n’y a pas besoin d’OVH ;
Pour le DKIM google, allez dans la console Admin Google > Gmail > Authentification. Générez la clé. Ajoutez-la dans OVH avec le sélecteur google (ex: google._domainkey.domaineB.com).
Pour le DMARC on peut ajouter l’adresse mail d’administration du nom de domaine à l’adresse de brevo comme précédemment (cas n°1)
CAS n°4 – envoi par un site wordpress
WordPress, par défaut, utilise une fonction PHP basique qui part du serveur (souvent OVH).
- Le problème : Ces mails partent avec l’IP du serveur web, souvent mal réputée, et sans signature DKIM.
- La solution recommandée : N’utilisez pas la fonction mail par défaut. Installez un plugin SMTP (comme « WP Mail SMTP » ou le plugin « Brevo »).
- Pour Domaine A : Configurez le plugin pour utiliser le SMTP d’OVH (ssl0.ovh.net) avec vos identifiants. Ainsi, les mails du site seront signés DKIM par OVH.
- Pour Domaine B : Configurez le plugin pour utiliser le SMTP de Google (smtp.gmail.com) avec vos identifiants Workspace. Ainsi, les mails du site seront signés DKIM par Google.
Je ne l’ai pas encore fait mais je vais le faire rapidement.
CAS n°5- envoi « en tant que » sur gmail
Vous êtes dans Gmail (compte pro ou perso) et vous envoyez un mail avec l’adresse contact@domaineA.com (OVH). Lors des réglages Gmail > Comptes > « Envoyer des e-mails en tant que » > Modifier les informations, il faut choisir les serveurs SMTP du gestionnaire de mail (serveur ssl0.ovh.net, port 465 ou 587, vos identifiants OVH).
Gmail envoie le mail au serveur OVH, qui le signe (DKIM OVH) et l’expédie. Tout est OK.
IL NE FAUT PAS : Choisir « Utiliser Gmail » (en mode alias). Sinon, le mail part des serveurs Google mais avec une adresse OVH. Sans signature DKIM alignée, cela risque le Spam.
Cas particulier Configurer un DMARC OVH
Dans l’onglet zones DNS du domaine concerné, cliquer sur « Ajouter une entrée » puis choisir champ mails > DMARC
Voir https://help.ovhcloud.com/csm/fr-dns-zone-dmarc?id=kb_article_view&sysparm_article=KB0059153 si doutes.
Sous-domaine _dmarc
Règle none
mailto:contact@domaineA.fr
Puis SUIVANT
Puis SUIVANT
Attention il faut prévoir un temps de propagation de 24 h.
Et maintenant ?.
C’est sacrément compliqué je trouve. Mais c’est le prix à payer pour que nos gestionnaires de messagerie puissent mieux nous préserver des spams.
