Picto thématique

Règle n° 217 - Le domaine de messagerie est authentifié

Les mails envoyés aux utilisateurs ont une importance capitale pour la qualité des expériences en ligne. Il faut donc veiller à ce que ceux-ci arrivent bien, ne partent pas en spam et que les serveurs de mails associés au site ou à l’application soient considérés comme de confiance sur toute la chaîne de transmission et de réception des mails. Pour cela, il est essentiel d’authentifier correctement le domaine de messagerie.

PrécédenteSuivante
#Basics #Développement #Sécurité

Objectif

  • Protéger les utilisateurs contre les courriels frauduleux ou usurpés,
  • Améliorer la délivrabilité des emails légitimes (newsletters, confirmations, alertes),
  • Renforcer la réputation et la fiabilité du domaine émetteur,
  • Réduire le risque que les emails soient classés comme spam,
  • Respecter les exigences des principaux fournisseurs de messagerie,
  • Surveiller les emails envoyés avec le nom de domaine.

Mise en œuvre

Pour chaque domaine utilisé pour l'envoi d’emails :
  • SPF : Ajouter un enregistrement TXT dans le DNS du domaine listant les serveurs autorisés à envoyer des mails pour ce domaine,
  • DKIM : Configurer la signature cryptographique des emails émis via une clé privée, et publier la clé publique dans le DNS du domaine,
  • DMARC : Définir une politique (none, quarantine, reject) et spécifier une adresse de retour pour les rapports, via un enregistrement DNS.

Contrôle

Pour chaque domaine utilisé pour l'envoi d’emails :
  • Utiliser des outils de test de configuration DNS (ex : https://mxtoolbox.com, https://dmarcian.com),
  • Vérifier que les enregistrements SPF, DKIM et DMARC sont présents et correctement configurés,
  • Analyser les en-têtes des e-mails reçus pour confirmer la bonne application des signatures,
  • S’assurer que les politiques définies (notamment DMARC) sont cohérentes avec les pratiques d’envoi du site.

Auteur Opquast - Consulter la licence

PrécédenteSuivante