Résumé de l'IA
L'année dernière, les faux courriels ont coûté plus de 10 milliards de dollars aux entreprises et aux particuliers. Toutes les trois secondes, quelqu'un clique sur un courriel de phishing. Ces attaques se produisent parce que le courrier électronique a un gros problème : n'importe qui peut se faire passer pour n'importe qui d'autre.
Lorsque vous envoyez un courriel, il n'y a pas de moyen intégré de prouver qu'il vient bien de vous. Les escrocs utilisent cette faiblesse pour envoyer des millions de faux courriels chaque jour. Ils se font passer pour des banques, des entreprises ou même votre patron.
Sans la protection adéquate, les fournisseurs de services de messagerie ne peuvent pas faire la différence entre les vrais et les faux courriels. SPF, DKIM et DMARC résolvent ce problème. Il s'agit d'un contrôle d'identité en trois parties pour chaque courrier électronique que vous envoyez.
Dans cet article, j'expliquerai comment DMARC, SPF et DKIM fonctionnent ensemble pour vérifier votre courrier sortant et s'assurer que vos messages arrivent toujours à destination.
Ai-je vraiment besoin de SPF, DKIM et DMARC pour mon courrier électronique ?
Oui, vous avez besoin des trois, et voici pourquoi ce n'est plus facultatif.
À partir de février 2024, Google et Yahoo ont rendu ces protocoles obligatoires pour toute personne envoyant plus de 5 000 courriels par jour. Mais même si vous n'envoyez que 10 courriels par mois, vous en avez besoin. Sans une authentification appropriée des courriels, jusqu'à 76 % de vos courriels légitimes risquent de se retrouver dans des dossiers de spam ou d'être complètement rejetés.
Les chiffres sont effrayants. Selon le rapport 2024 du FBI sur la criminalité sur Internet, les escroqueries de type Business Email Compromise (BEC) ont coûté aux victimes 2,9 milliards de dollars rien que l'année dernière. Et ce, rien qu'aux États-Unis. Ces attaques fonctionnent parce que la plupart des domaines n'utilisent pas encore une sécurité adéquate pour les courriels.
Si vous n'avez pas mis en place SPF, DKIM et DMARC, des criminels peuvent envoyer des courriels qui semblent provenir de vous. Voici ce que fait chacun d'entre eux et pourquoi vous ne pouvez pas les ignorer :
- SPF empêche l'usurpation de serveur. Il crée une liste de serveurs autorisés à envoyer des courriels pour votre domaine. Mais SPF ne fonctionne pas lorsque les courriels sont transférés. C'est le problème numéro un.
- DKIM ajoute une signature. Chaque courrier électronique reçoit une signature cryptée unique qui prouve qu'il n'a pas été modifié. Mais la norme DKIM ne suffit pas à empêcher quelqu'un d'utiliser votre nom de domaine. C'est le deuxième problème.
- DMARC relie tout. Il indique aux serveurs destinataires ce qu'ils doivent faire lorsque SPF ou DKIM échouent. Sans DMARC, les deux autres ne sont que des suggestions que les serveurs peuvent ignorer.
Conclusion ? L'authentification des courriels ne consiste plus à suivre des règles ou à éviter les dossiers de spam. Il s'agit de protéger votre entreprise, votre réputation et toutes les personnes qui font confiance à vos e-mails.
Corrigez vos emails WordPress dès maintenant
Où dois-je ajouter les enregistrements SPF, DKIM et DMARC ?
La mise en place de SPF, DKIM et DMARC prend environ 15 minutes si vous savez où chercher. Ces trois éléments sont ajoutés en tant qu'enregistrements TXT dans les paramètres DNS de votre domaine. Il s'agit du même endroit où vous gérez les serveurs de noms de votre site web et d'autres enregistrements.
Trouver vos enregistrements DNS prend 30 secondes :
- Si vous avez acheté le domaine et l'hébergement ensemble : Connectez-vous à votre compte d'hébergement (comme Bluehost, SiteGround ou HostGator). Cherchez "DNS Zone Editor" ou "DNS Management" dans votre panneau de contrôle.
- Si vous les avez achetés séparément : Allez chez votre registraire de domaine (GoDaddy, Namecheap, Google Domains). Trouvez "Paramètres DNS" ou "Gérer les DNS" dans le tableau de bord de votre domaine.
- Si vous utilisez Cloudflare ou un outil similaire : Accédez à votre tableau de bord Cloudflare, sélectionnez votre domaine, puis cliquez sur l'onglet "DNS" dans le menu de gauche. Voici un exemple de Cloudflare :
L'ordre d'installation est important (la plupart des gens se trompent) :
Premièrement, ajouter SPF → Attendre 1 heure → Ajouter DKIM → Attendre 1 heure → Ajouter DMARC
Pourquoi cette commande ?
DMARC vérifie si SPF et DKIM fonctionnent. Si vous ajoutez DMARC en premier, il échoue immédiatement et peut bloquer vos courriels. De nombreux fournisseurs ne vous laisseront même pas ajouter DMARC tant que SPF n'aura pas été validé.
Ce que vous ajouterez en fait :
- SPF : Un enregistrement TXT commençant par "v=spf1" (prend 2 minutes)
- DKIM : un ou deux enregistrements TXT avec de longues chaînes de caractères (durée : 3 minutes)
- DMARC : Un enregistrement TXT à "_dmarc.yourdomain.com" (prend 2 minutes)
Durée jusqu'à ce qu'ils fonctionnent :
- SPF : actif en 5-30 minutes
- DKIM : actif dans 1-4 heures
- DMARC : actif dans 1 à 24 heures (mais il faut d'abord que SPF/DKIM fonctionnent)
Les erreurs d'installation les plus courantes qui cassent tout :
- Avoir deux enregistrements SPF (les combiner en un seul)
- Nom du sélecteur DKIM incorrect (vérifiez le format exact de votre fournisseur de messagerie)
- Démarrer DMARC avec p=reject (toujours commencer avec p=none, puis augmenter)
- Ajouter des enregistrements au mauvais sous-domaine
- Espaces ou guillemets supplémentaires dans les valeurs d'enregistrement
Test rapide après l'installation :
Envoyez un courriel de test à Gmail et vérifiez les en-têtes du message (cliquez sur les trois points, puis sur Afficher l'original). Recherchez les lignes suivantes :
- SPF : PASS
- DKIM : PASS
- DMARC : PASS
Que sont DMARC, SPF et DKIM ?
Qu'est-ce que DMARC ?
DMARC aide à prévenir l'usurpation de domaine et génère des rapports de courrier électronique si une activité suspecte est détectée. DMARC est l'acronyme de Domain-based Authentication, Reporting, and Conformance (authentification, rapport et conformité basés sur le domaine), ce qui signifie que l'indice se trouve en partie dans le nom.
À la base, votre enregistrement DMARC sert de ciment entre vos enregistrements SPF et DKIM. Il remplit trois fonctions :
- Il compare l'IP d'envoi avec l'expéditeur autorisé pour le domaine en regardant SPF et DKIM. C'est ainsi que ces trois enregistrements fonctionnent ensemble pour empêcher les courriels de WordPress d'aller dans les spams.
- Si ce contrôle échoue, il indique au serveur de messagerie ce qu'il doit faire. Par exemple, le courriel peut être rejeté ou mis en quarantaine.
- DMARC peut également générer des rapports s'il détecte des courriels qui ne sont pas correctement authentifiés. Dans l'enregistrement DMARC, vous pouvez spécifier l'adresse électronique qui recevra ces rapports. Ils vous seront envoyés sous forme de fichiers XML.
Si vous recevez des rapports DMARC, ne vous inquiétez pas. Votre enregistrement DMARC fait le travail qu'il est censé faire. Il est important de ne pas ignorer les rapports, car ils peuvent être le signe que quelqu'un abuse de votre domaine pour envoyer des spams. Vous pouvez transmettre le rapport à votre fournisseur de services de messagerie si vous avez besoin d'aide pour en comprendre le contenu.
Comment ajouter un enregistrement DMARC
Si votre fournisseur de messagerie vous donne un enregistrement DMARC spécifique, vous devez l'ajouter à votre DNS. Si votre fournisseur ne vous indique pas quoi inclure, consultez notre article sur ce qu'est un enregistrement DMARC et comment en créer un. Vous y trouverez un enregistrement DMARC générique que vous pouvez copier et coller et qui fonctionnera pour n'importe quel domaine.
La seule fois où vous ne DMARC est nécessaire lorsque vous envoyez des messages à partir d'un domaine que vous ne contrôlez pas. Par exemple, un compte Gmail avec un @gmail.com n'a pas besoin de DMARC, mais un compte Google Workspace avec un nom de domaine personnalisé en a besoin.
Qu'est-ce que le SPF ?
L'enregistrement SPF est un enregistrement TXT dans votre DNS. Son nom signifie Sender Policy Framework. SPF est chargé de vérifier qu'une adresse IP est autorisée à envoyer des courriels à partir du domaine d'envoi. Il fonctionne un peu comme l'adresse de retour d'une lettre.
Si vous n'avez pas d'enregistrement SPF, vos courriels WordPress seront probablement marqués comme spam. Dans certains cas, ils seront rejetés.
Par exemple, Gmail bloque les emails sans authentification SPF. Un enregistrement SPF manquant est donc une cause fréquente de non-envoi d'emails par WordPress.
En fait, WordPress peut générer des courriels et les envoyer sans problème. Mais les courriels sont probablement rejetés en aval parce qu'il n'y a pas d'enregistrement SPF pour les valider.
N'utilisez pas plus d'un enregistrement SPF
La création d'un enregistrement SPF est importante, et votre fournisseur vous donnera des instructions sur ce qu'il faut ajouter à votre DNS.
Lorsque vous faites cela, n'oubliez pas qu'il est également important que vous n'ayez qu'un seul enregistrement SPF sur votre domaine, et que vous devez donc d'abord vérifier les règles existantes.
Par exemple, vous avez peut-être déjà créé un enregistrement SPF pour votre fournisseur de services de marketing par courriel. Si vous souhaitez ensuite en ajouter un autre pour votre fournisseur de messagerie transactionnelle, vous devrez combiner ces enregistrements SPF en un seul.
Consultez notre guide sur la fusion de plusieurs enregistrements SPF pour connaître la méthode la plus simple.
Qu'est-ce que DKIM ?
Votre enregistrement DKIM est chargé de vérifier votre domaine à l'aide d'une clé. Il s'agit de DomainKeys Identified Mail.
L'objectif principal de DKIM est de prouver que le contenu n'a pas été modifié entre l'expéditeur et le destinataire. DKIM est donc un peu comme si vous apposiez votre propre signature sur chaque courriel que vous envoyez.
Dans votre DNS, vous aurez une partie de l'enregistrement DKIM : la clé publique. Le serveur de messagerie détient quant à lui la clé privée correspondante. En comparant ces deux clés, les serveurs de messagerie peuvent vérifier que le courrier électronique provient bien de vous.
Plus tard, l'enregistrement DMARC vérifie cette vérification et décide ensuite si le courrier électronique est légitime.
Comment ajouter un enregistrement DKIM
Pour ajouter un enregistrement DKIM à votre DNS, vous devez contacter votre fournisseur de messagerie pour savoir ce qu'il faut inclure. La plupart des fournisseurs fournissent des instructions dans leur documentation d'installation.
Si vous utilisez WP Mail SMTP, nous avons des instructions détaillées pour tous les fournisseurs d'email supportés :
| Mailers disponibles dans toutes les versions | Mailers dans WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo (anciennement Sendinblue) | Zoho Mail |
| Espace de travail Google / Gmail | |
| Arme à feu | |
| Le cachet de la poste | |
| SendGrid | |
| SparkPost | |
| Autres SMTP |
Il peut arriver que vous deviez diviser un enregistrement DKIM en deux lignes. Nous avons un guide sur la façon de diviser un enregistrement DKIM qui explique comment le faire.
Enfin, nous allons jeter un coup d'œil rapide à une méthode simple pour vérifier vos enregistrements DNS dans WordPress.
Comment vérifier DMARC, SPF, DKIM dans WP Mail SMTP
Si vous envoyez des emails depuis WordPress, vous devez vous assurer que DMARC, SPF et DKIM sont correctement configurés sur votre domaine. WP Mail SMTP rend cela facile.
Vous pouvez envoyer un email de test à tout moment pour vous assurer que vos emails WordPress fonctionnent, et cela vérifiera également ces 3 enregistrements DNS importants en même temps.
Si le plugin détecte que l'un de vos enregistrements DNS est manquant ou défectueux, il vous en informera immédiatement.
Et pour une tranquillité d'esprit totale, vous verrez également les alertes du Domain Checker sur votre écran Site Health. Et c'est tout ! Vous savez maintenant comment DMARC, SPF et DKIM fonctionnent ensemble pour améliorer la délivrabilité des e-mails.
FAQ sur les enregistrements SPF, DKIM et DMARC
Vous avez d'autres questions sur les enregistrements DNS et la délivrabilité des e-mails ? J'y répondrai ci-dessous.
Comment créer un enregistrement DMARC ?
Vous pouvez copier et coller un enregistrement DMARC et l'ajouter à la zone DNS de votre domaine. Vous trouverez un exemple d'enregistrement DMARC dans notre guide sur la façon de créer un enregistrement DMARC et de l'ajouter à votre domaine.
Comment ajouter des enregistrements SPF pour WordPress et WP Mail SMTP ?
Tout d'abord, trouvez vos paramètres DNS chez votre fournisseur de domaine (comme GoDaddy ou Namecheap). Ajoutez un nouvel enregistrement TXT avec votre nom de domaine comme hôte. Pour la valeur, commencez par "v=spf1" et incluez votre serveur de messagerie.
Pour WP Mail SMTP, l'enregistrement exact dépend de l'expéditeur que vous avez choisi. Si vous utilisez SendLayer, ajoutez : "v=spf1 includesendlayer.net ~all". Pour Gmail, utilisez : "v=spf1 include:sendlayer.net ~all" : "v=spf1 include:_spf.google.com ~all".
L'erreur la plus fréquente ? Ajouter deux enregistrements SPF. Vous ne pouvez en avoir qu'un seul. Si vous avez besoin de plusieurs services, combinez-les comme suit : "v=spf1 includesendlayer.net include:_spf.google.com ~all". Enregistrez l'enregistrement et attendez environ 15 minutes. C'est tout.
Pourquoi WP Mail SMTP a-t-il besoin d'une configuration DKIM ?
WP Mail SMTP a besoin de DKIM car WordPress ne signe pas lui-même les emails. Lorsque vous envoyez un email via WordPress, il n'est pas signé. Les fournisseurs d'accès comme Gmail considèrent les emails non signés comme suspects, même s'ils sont réels.
DKIM ajoute une signature spéciale à chaque courriel que vous envoyez. Pensez-y comme à un sceau de cire sur une vieille lettre. Cette signature prouve deux choses : l'e-mail provient réellement de votre site web et personne ne l'a modifié en cours de route.
Sans DKIM, environ 30 % de vos courriels WordPress risquent d'aller dans les dossiers de spam. Avec DKIM, votre taux de distribution passe à plus de 95 %. Le plugin facilite l'installation de DKIM. Il génère les clés pour vous et vous indique exactement ce qu'il faut ajouter à votre DNS.
Quel enregistrement SPF dois-je utiliser pour l'hébergement WP Engine ?
Pour WP Engine, utilisez cet enregistrement SPF : "v=spf1 include:mail1.wpengine.com ~all"
Mais voici ce qui surprend les gens : si vous utilisez WP Engine pour l'hébergement mais que vous envoyez des courriels par l'intermédiaire d'un autre service, vous avez besoin du SPF de ce service à la place. De nombreux utilisateurs de WP Engine envoient leur courrier via SendGrid ou Mailgun. Dans ce cas, vous devez utiliser leurs enregistrements SPF, et non ceux de WP Engine.
Si vous avez besoin des deux, combinez-les : "v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all". Ajoutez ceci en tant qu'enregistrement TXT dans votre DNS. Ne l'ajoutez pas dans le panneau de configuration de WP Engine, mais dans les paramètres DNS de votre registraire de domaine.
Puis-je utiliser DMARC sans SPF ni DKIM ?
Oui, DMARC fonctionne avec un seul d'entre eux, mais c'est risqué. DMARC passe lorsque SPF ou DKIM passe et s'aligne sur votre domaine. Techniquement, vous n'en avez donc besoin que d'un seul.
Mais voici pourquoi c'est une mauvaise idée : SPF est rompu lorsque les courriels sont transférés. DKIM peut être défaillant si votre service de messagerie modifie les messages. Lorsque vous n'en avez qu'un et qu'il est défaillant, DMARC échoue complètement. Vos messages électroniques sont rejetés.
J'ai vu des entreprises perdre des milliers de dollars parce qu'elles se fiaient uniquement au FPS. Un client a transmis sa facture à la comptabilité, le SPF s'est rompu et la facture n'est jamais arrivée. Commencez par SPF et DKIM, puis ajoutez DMARC. Cela ne prend que 20 minutes au total et permet d'éviter d'énormes maux de tête par la suite.
Quelle est la différence entre SPF, DKIM et DMARC ?
SPF est une liste de serveurs autorisés à envoyer du courrier électronique pour votre domaine. C'est comme dire "seuls ces bureaux de poste peuvent envoyer mon courrier". Le problème ? Il vérifie le serveur, et non l'expéditeur réel.
DKIM est une signature qui prouve qu'un courriel n'a pas été modifié. Chaque courriel reçoit un cachet chiffré unique. Mais DKIM n'empêche pas quelqu'un d'utiliser votre nom de domaine sur un autre serveur.
DMARC est le chef qui vérifie si SPF ou DKIM ont été acceptés, puis indique aux serveurs destinataires ce qu'ils doivent faire en cas d'échec. Sans DMARC, les deux autres ne sont que des suggestions. Les serveurs peuvent les ignorer.
La vérité est simple : SPF indique qui peut envoyer, DKIM prouve que les courriels sont authentiques et DMARC fait respecter les règles. Vous avez besoin des trois car chacun corrige ce que les autres n'ont pas vu.
Comment puis-je vérifier que SPF, DKIM et DMARC fonctionnent correctement ?
Envoyez un courriel de test à un compte Gmail que vous contrôlez. Une fois qu'il est arrivé, ouvrez-le et cliquez sur le menu à trois points. Sélectionnez "Afficher l'original" pour voir les détails techniques.
Recherchez ces trois lignes :
- SPF : PASS (avec votre domaine)
- DKIM : PASS (affiche 'header.d' avec votre domaine)
- DMARC : PASS
Si l'un d'entre eux affiche FAIL, vous avez un problème. Les échecs SPF sont dus à une mauvaise configuration du serveur. Les échecs DKIM sont dus à des enregistrements DNS ou des clés incorrects. Les échecs DMARC surviennent lorsque SPF et DKIM ne correspondent pas à votre domaine "From".
Pour des tests rapides, vous pouvez utiliser la fonction de test d'email de WP Mail SMTP. Envoyez un email à n'importe quelle adresse de test et obtenez des résultats instantanés.
Dois-je m'authentifier à la fois avec SPF et DKIM, ou seulement avec l'un d'entre eux ?
Vous devez configurer les deux, même si, techniquement, un seul suffit pour l'authentification de base. Google et Yahoo exigent désormais les deux pour toute personne envoyant plus de 5 000 courriels par jour. Mais même les petits expéditeurs ont intérêt à utiliser les deux.
Voici ce qui se passe avec un seul d'entre eux : SPF seul échoue lorsque quelqu'un transfère votre courrier électronique. DKIM seul ne prouve pas quel serveur a envoyé le courrier électronique. Lorsque vous avez les deux, l'un d'entre eux peut échouer et votre courrier électronique est toujours transmis.
Exemple concret : Un client n'avait que le SPF. Sa lettre d'information fonctionnait bien jusqu'à ce que les abonnés commencent à la transférer à leurs amis. Tous les courriels transférés étaient renvoyés. L'ajout de DKIM a immédiatement réglé le problème.
Comment corriger les échecs de DMARC dans WordPress ?
Les échecs DMARC dans WordPress sont généralement dus au fait que l'adresse "From" ne correspond pas à votre domaine. WordPress utilise par défaut "[email protected]", mais votre site peut envoyer des messages à partir de "[email protected]". Il s'agit d'une erreur.
Corrigez le problème en allant dans les paramètres SMTP de WP Mail. Réglez le "From Email" sur une adresse de votre propre domaine. N'utilisez jamais Gmail, Yahoo ou d'autres adresses gratuites comme expéditeur. Ensuite, assurez-vous que votre enregistrement SPF inclut votre serveur de messagerie. Si vous utilisez SMTP.com, votre SPF doit inclure "include:smtp.com".
Vérifiez que le DKIM est actif et que les enregistrements DNS sont corrects. Le sélecteur (généralement "default" ou le nom de votre service) doit correspondre exactement. Un seul caractère erroné suffit à tout faire échouer.
Ensuite, vérifiez votre enregistrement PTR
Pendant que vous vérifiez votre DNS, il est bon de vérifier votre enregistrement PTR. L'enregistrement PTR est un type d'enregistrement spécial qui joue également un rôle dans la prévention du spam. Pour en savoir plus, consultez notre article intitulé Qu'est-ce qu'un enregistrement PTR (et en ai-je besoin ?).
Corrigez vos emails WordPress dès maintenant
Prêt à réparer vos emails ? Commencez dès aujourd'hui avec le meilleur plugin WordPress SMTP. Si vous n'avez pas le temps de réparer vos emails, vous pouvez obtenir une assistance complète de White Glove Setup en tant qu'achat supplémentaire, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.
Si cet article vous a aidé, n'hésitez pas à nous suivre sur Facebook et Twitter pour d'autres conseils et tutoriels WordPress.
