Règle n° 217 - Le domaine de messagerie est authentifié
Les mails envoyés aux utilisateurs ont une importance capitale pour la qualité des expériences en ligne. Il faut donc veiller à ce que ceux-ci arrivent bien, ne partent pas en spam et que les serveurs de mails associés au site ou à l’application soient considérés comme de confiance sur toute la chaîne de transmission et de réception des mails. Pour cela, il est essentiel d’authentifier correctement le domaine de messagerie.
Objectif
- Protéger les utilisateurs contre les courriels frauduleux ou usurpés,
- Améliorer la délivrabilité des emails légitimes (newsletters, confirmations, alertes),
- Renforcer la réputation et la fiabilité du domaine émetteur,
- Réduire le risque que les emails soient classés comme spam,
- Respecter les exigences des principaux fournisseurs de messagerie,
- Surveiller les emails envoyés avec le nom de domaine.
Solution technique
Pour chaque domaine utilisé pour l'envoi d’emails :- SPF : Ajouter un enregistrement TXT dans le DNS du domaine listant les serveurs autorisés à envoyer des mails pour ce domaine,
- DKIM : Configurer la signature cryptographique des emails émis via une clé privée, et publier la clé publique dans le DNS du domaine,
- DMARC : Définir une politique (none, quarantine, reject) et spécifier une adresse de retour pour les rapports, via un enregistrement DNS.
Moyen de contrôle
Pour chaque domaine utilisé pour l'envoi d’emails :- Utiliser des outils de test de configuration DNS (ex : https://mxtoolbox.com, https://dmarcian.com),
- Vérifier que les enregistrements SPF, DKIM et DMARC sont présents et correctement configurés,
- Analyser les en-têtes des e-mails reçus pour confirmer la bonne application des signatures,
- S’assurer que les politiques définies (notamment DMARC) sont cohérentes avec les pratiques d’envoi du site.