SPF et DKIM

Par défaut, tous les messages que vous envoyez sont considérés comme "susceptibles d'être non sollicité" par le serveur messagerie de votre destinataire.
La plupart du temps, le message est accepté mais déposé dans le dossier "Courrier indésirable" de votre destinataire.

Pour permettre une meilleure appréhension des messages que vous envoyez, ce que l'on appelle "délivrabilité", deux mécanismes peuvent être utilisés : SPF et DKIM

Pour plus d'efficacité, SPF et DKIM sont à utiliser en adéquation : l'un venant compléter les informations de l'autre.

Les serveurs des destinataires (GMAIL, OUTLOOK.COM, ORANGE, etc...) qui reconnaissent ces deux systèmes déposeront les messages dans la boite de réception du destinataire et plus dans les "spams".

SPF ou Sender Policy Framework autorise le propriétaire du domaine à lister les serveurs ayant l'autorisation d'envoyer des messages en son nom.
Comment ça marche ?
Quand un serveur reçoit un message envoyé avec votre adresse email, il vérifie si le serveur qui lui remet est autorisé à le faire en faisant une requête en DNS sur un champ spécifique qui liste les serveurs autorisés (Adresses IP et nom d'hôte).

Exemple, SPF pour le domaine religo.net :
"v=spf1 a mx a:mx.religo.net a:out.religo.net a:out2.religo.net a:slow.religo.net ip4:167.114.253.60 ip4:91.121.33.227 ip4:167.114.255.209 ip4:91.121.229.203 ~all"
ou
version : v=spf1
+ a
+ mx
+ a mx.religo.net
+ a out.religo.net
+ a out2.religo.net
+ a slow.religo.net
+ ip4 : 167.114.253.60
+ ip4 : 91.121.33.227
+ ip4 : 167.114.255.209
+ ip4 : 91.121.229.203
+ ~all
Traduction : si GMAIL (par exemple) reçoit un message de "telle-adresse@religo.net", il va intercepter le nom et l'adresse IP du serveur qui lui a envoyé le message et vérifier la présence d'un enregistrement SPF.
Dans notre exemple, le nom et l'adresse IP du serveur doivent figurer dans l'enregistrement SPF : dans le cas contraire, le message est susceptible d'être classé comme spam...

DKIM ou Domain Keys Identified Mail est un protocole de cryptographie basé sur un système de clé privée - clé publique.
Comment ça marche ?
Dans chaque message que vous envoyez, une signature est générée à partir de la clé privée associée à votre domaine. La clé publique est générée à partir de la clé privée et se trouve dans un enregistrement DNS accessible au public.
Quand un serveur de messagerie comme Gmail ou Outlook reçoit votre message, il va chercher la clé publique et vérifie la signature présente dans le message, ce qui légitime votre email.
Sans cette signature, le message sera perçu comme un spam ou un phishing.

Exemple : la clé publique associée au domaine religo.net
p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJF5FpDLG12NjU7X~vC7zf4Hyi1aQG0/YjGlQMbAil7k6XA2bUbxUCAwEAAQ==
 Traduction : quand vous envoyez un message via religo, celui-ci ajoute une signature DKIM (extrait ci-dessous)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=religo.net; s=rlo;
        h=disposition-notification-to:thread-index:content-language:x-mailer:content-type:
        mime-version:message-id:date:subject:to:from:return-receipt-to;
        bh=3ozMaWYqXh6ePVPMychl/zYwikXtaCYjcw3joQDv42w=;b=I0hfCGAMBX9+O5H8bci
        Py2u2M6VKLJ/IdzVEujfH4aicTuRApDlXJGN193BZn1X+dZth2QtAZs7sxue+xCqHgA==
Cette signature DKIM est interceptée par le serveur du destinataire qui va chercher sur l'internet la clé publique publiée en DNS. La clé est utilisée pour tester l'empreinte de la signature : si elle correspond avec un test réalisé à partir de la clé publique, alors la preuve est faite que c'est bien LE SERVEUR de l'expéditeur qui a "crypté" la signature du message mais également que le message n'a pas été altéré pendant son transit sur l'internet.
Votre message n'est alors pas considéré comme un spam.



Add Feedback