Comment envoyer des courriels conformes à DMARC au nom d'autres personnes

By 9 décembre 2015 Sans commentaires

L'envoi du courrier électronique d'autres personnes d’une manière compatible avec DMARC peut se faire de plusieurs manières différentes. Cet article est destiné aux fournisseurs de services de messagerie électronique (ESP) et à toute entreprise qui envoie des courriers électroniques en utilisant les domaines de ses propres clients (exemples : les CRM, les sociétés de gestion des talents, les systèmes de facturation, etc.).

dmarcian gère le centre de ressources opérationnelles DMARC qui comprend un répertoire des sources de courrier électronique et indique si ces sources peuvent envoyer du courrier électronique conforme aux normes DMARC. Si c'est le cas, des notes sont incluses sur la façon de configurer la source pour qu'elle soit conforme au DMARC.

Ce répertoire permet de gagner beaucoup de temps à beaucoup de personnes:

  • Les propriétaires de domaines peuvent voir tout de suite si leur système de gestion des relations avec la clientèle, de gestion des talents et de facturation peut envoyer du courrier électronique conforme à la norme DMARC, et si oui, comment le faire. Plus besoin de passer des heures à fouiller dans les archives d'Internet, à téléphoner pour obtenir de l'aide, ou à essayer de trouver une solution basée sur des informations partielles.
  • Les sources de courrier électronique évitent les demandes d'assistance des personnes qui veulent savoir si DMARC est disponible.
  • Les chefs de produits d'une source de courrier électronique peuvent savoir exactement ce que les gens demandent lorsqu'ils sollicitent une assistance DMARC. Cela permet de clarifier les exigences, d'accélérer la mise en œuvre et d'obtenir une fonctionnalité livrée qui fait des clients satisfaits.

Cet article explique comment obtenir l'autorisation d'envoyer au nom d'un domaine, quelles sont les capacités requises pour envoyer un courrier électronique conforme à la norme DMARC, les changements potentiels dans le processus d'intégration d'un client et ce qu'il faut faire une fois que la norme DMARC est en place.

Comment envoyer en utilisant le domaine d'un client

Le courrier électronique conforme à DMARC est facile à identifier et fonctionne en créant un lien entre le domaine du client et un courrier électronique. Nous avons mis en ligne ici une courte vidéo sur le fonctionnement de DMARC.

Il y a plusieurs façons de s'associer au domaine d'un client afin de pouvoir envoyer un courrier électronique conforme à la norme DMARC au nom d'un client. REMARQUE : DMARC vous permet d'envoyer un courrier électronique authentifié en utilisant un sous-domaine (tel que email.company.com ), et toujours être capable d'utiliser le domaine de premier niveau dans l'en-tête From:(par exemple From: offers @ company.com).

Les meilleures approches sont énumérées en premier, suivies des approches moins efficaces :

Délégation de domaine

Lorsqu'un client vous délègue un sous-domaine à gérer (par exemple, email.company.com), vous pourrez envoyer un courrier électronique qui s'authentifie dans le sous-domaine et, dans la plupart des cas, vous serez autorisé à envoyer un courrier électronique en utilisant le domaine de premier niveau dans l'en-tête From: (par exemple From: Best Offers <offers@company.com>). Tout ce qui concerne l'envoi de courrier électronique conforme à la norme DMARC est désormais géré pour le compte du client, puisque vous contrôlez et gérez l'ensemble du sous-domaine. Il existe deux façons de mettre en œuvre la délégation de sous-domaine :

Délégation complète

Le client vous délègue un sous-domaine entier à gérer. Ce faisant, vous devenez responsable du sous-domaine et de tous ses éléments (y compris les sous-domaines du sous-domaine). La délégation du sous-domaine est la seule chose que votre client doit faire, ce qui en fait une approche privilégiée.

CNAME

Le client crée plusieurs CNAME qui renvoient à votre propre domaine. Il s'agit en fait d'une forme de délégation, mais les services individuels sont délégués par chaque CNAME. C'est comme une délégation complète, mais le client doit d'abord créer plus d'entrées DNS, ce qui la rapproche de l'approche de délégation complète préférée.

Les CNAME sont généralement créés pour :

  • SPF et traitement des rebonds. Par exemple, un client crée un CNAME qui pointe de marketing.customer-domain.org à rebonds.email-service-provider.com. Le courriel envoyé au nom du client utilise une adresse de rebond de @ marketing.customer-domain.org. Non seulement l'enregistrement SPF correspondant est géré par vous (puisqu'il s'agit en fait de l'enregistrement SPF pour rebonds.email-service-provider.com), mais tout rebond sera renvoyé à vous plutôt qu'à votre client. (Nous avons publié une courte vidéo présentant SPF ici.)
  • DKIM. Le client peut créer plusieurs enregistrements CNAME qui pointent vers vos propres clés publiques publiées, et vous pouvez utiliser ces enregistrements CNAME pour ajouter des signatures DKIM au courriel que vous envoyez au nom du client. Le fait d'avoir plusieurs CNAME en place vous permet de faire pivoter les clés DKIM sans que le client n'ait à faire quoi que ce soit. (Nous avons publié une courte vidéo de présentation de SPF ici)
  • Connexion de liens a des courriers électroniques avec le domaine du client. Au lieu d'intégrer des liens qui pointent vers votre propre domaine, vous pouvez ajouter dans le courriel de votre client des liens qui utilisent le domaine de votre client. Lorsque quelqu'un clique sur un lien dans le courrier électronique, le CNAME revient vers vos propres services pour le suivi, etc.

Transmission

La transmission est parfois une option si seule une petite quantité de courrier électronique est envoyée au nom du client. Permettre à un client de configurer son courrier électronique pour qu'il soit relayé par un autre serveur de courrier électronique est une façon de mettre en place la conformité DMARC... si la transmission elle-même est capable d'envoyer du courrier électronique conforme à la norme DMARC.

Deux façons de permettre cela :

Relais SMTP

Permettez aux clients de configurer un relais SMTP pour tous les courriers électroniques que vous envoyez en leur nom. (Nous avons une courte vidéo de présentation sur le SMTP, mais elle ne couvre pas le relais). Celui qui gère le relais devient alors responsable de la conformité au DMARC. Inconvénients :

  • La gestion des rebonds disparaît à moins que le relais ne soit capable de vous renvoyer les rebonds pour traitement.
  • La livraison du courrier électronique devient la responsabilité de l'opérateur du relais, ce qui signifie que votre service de courrier électronique dépend désormais d'un élément géré par votre client.

Configurer les identifiants de l'utilisateur

Permettez aux clients de configurer les informations d'identification des utilisateurs. Pour cela, le client doit créer un compte pour votre service, puis configurer votre service pour utiliser les informations d'identification du nouvel utilisateur. Vous enverrez alors n'importe quel courriel comme si vous étiez l'utilisateur. Inconvénients :

  • Vous devez gérer l'accès au niveau utilisateur à une multitude de plateformes de courrier électronique, car votre propre client pourrait utiliser Gmail, Yahoo, Microsoft, Lotus, Exchange, etc.
  • Vous utilisez les ressources de votre client pour envoyer des courriers électroniques en son nom.

Configuration manuelle

Au lieu d'exploiter un sous-domaine délégué (ou d'utiliser des CNAME), vous pouvez demander aux clients de configurer leur domaine afin de pouvoir envoyer des courriers électroniques conformes à la norme DMARC :

SPF

Vous pouvez demander à votre client d’ajouter vos propres blocs réseau à son enregistrement SPF. C'est une demande courante, mais souvent faite de mauvaises raisons. Cela vous permettra d'envoyer un courrier électronique autorisé au nom du client, mais seulement si le domaine du client est utilisé dans l'adresse de rebond du courrier électronique que vous envoyez. Désavantages :

  • Les messages rebondis seront acheminés vers votre client plutôt que vers vous. Vous n'aurez aucune visibilité sur les problèmes qui ont une incidence sur vos performances en tant qu'expéditeur de courrier électronique, et votre client aura une expérience d'utilisateur médiocre.
  • Votre client doit penser à vous au moment d'entretenir son enregistrement SPF. Cela est ennuyeux pour vos clients qui doivent gérer un tas d'autres expéditeurs qui ont demandé à être inclus dans leur enregistrement SPF pour de mauvaises raisons.

DKIM

Vous pouvez demander aux clients d'ajouter des clés liées à DKIM dans leur domaine. Inconvénients :

  • Votre client doit couper et coller de grosses chaînes dans son logiciel de gestion de domaine. Des erreurs se produisent souvent en le faisant, ce qui ennuie les utilisateurs et vous-même.
  • Vous ne pouvez pas faire pivoter les clés DKIM sans demander à votre client d'effectuer une tâche. C'est fastidieux au mieux. Au pire, une clé DKIM doit être tournée en raison d'une urgence (pendant les vacances !), ce qui est probablement la pire interaction client possible : « Votre clé est utilisée pour envoyer un courriel frauduleux. Pouvez-vous tout laisser tomber maintenant pour nous aider à résoudre ce problème ? »

Nous ajouterons d'autres approches au fur et à mesure que nous les découvrirons. N'hésitez pas à nous faire savoir si vous avez découvert une nouvelle façon qui mérite d'être partagée.

Capacités requises

Comme décrit ci-dessus, l'envoi de courrier électronique conforme à DMARC au nom de vos propres clients peut être réalisé par diverses approches. Chaque approche finit par être un compromis de capacité entre "facile pour moi" et "facile pour mon client". Comme il y a une quantité fixe de travail de configuration et de fonctionnement à effectuer, vous pouvez :

  • faire ce travail pour le compte de votre client,
  • partager le travail entre vous et votre client, ou
  • demander à votre client de faire le travail.

Quelle que soit l'approche adoptée, il y a toujours une certaine quantité de travail à faire pour vous permettre d'envoyer au nom de votre client :

Délégation de sous-domaine

Client

Configuration de domaine unique pour implémenter le sous-domaine / CNAME.

Vous

  • Gestion du système de domaine pour gérer / vérifier / surveiller la délégation de sous-domaine / CNAME.
  • Fonctionnalités du serveur de courrier électronique permettant d'utiliser le sous-domaine du client dans l'adresse de rebond et dans les signatures DKIM.
  • Maintenance de l'enregistrement SPF.

Transmission

Client

  • Le client doit apporter sa propre ressource de relais.
  • Configuration unique pour ajouter des informations de relais à votre système.

Vous

  • Les fonctions de serveur de messagerie permettent d’utiliser le relais du client et - si vous êtes sérieux au sujet de l’envoi de courriels - de traiter les rebonds. Étant donné que pratiquement tous les serveurs de messagerie prennent en charge la capacité de relayer le courrier électronique, consiste ici à exposer cette fonctionnalité aux clients pour qu'ils en tirent profit.

Configuration manuelle

Client

  • Configuration de domaine unique pour ajouter les enregistrements SPF et les clés de signature DKIM.
  • Configuration supplémentaire si les enregistrements SPF doivent être mis à jour ou les clés de signature DKIM doivent être remplacées.

Vous

  • Fonctionnalités du serveur de messagerie pour utiliser le domaine du client en adresse de rebond et en signatures DKIM.
  • Maintenance d’enregistrements SPF et s’assurer que les clients mettent à jour leur enregistrement SPF lorsque vous modifiez votre infrastructure. Ceci est, soit facile si vos clients incluent: votre infrastructure via SPF, soit difficile si vous avez des clients qui ajoutent des éléments comme ip4: dans leurs enregistrements SPF.

Le lecteur avisé remarquera que certaines modifications doivent être apportées quelle que soit l'approche choisie. Les fonctionnalités du serveur de messagerie sont requises dans tous les cas.

Il existe de nombreuses « capacités requises » communes aux approches sans relais, les principales différences concernant les différentes manières dont le client peut configurer son domaine pour vous permettre d'envoyer des données en son nom. Sur la base de ces informations, il est judicieux de simplifier la tâche de vos clients si vous vous êtes déjà engagé à envoyer un courrier électronique en leur nom.

Intégration des clients

La première approche (délégation de sous-domaines) est efficace dans la mesure où elle permet de réduire au minimum les efforts qu'un client doit déployer avant que vous puissiez envoyer en son nom des courriers électroniques conforme aux normes DMARC.

La deuxième approche (relais) décharge essentiellement sur votre client l’envoi de courrier électronique conforme à la norme DMARC. Cette approche peut être préféreé si vous envoyez très peu courrier électronique au nom de vos clients et que l'investissement requis pour envoyer du courrier électronique conforme à la norme DMARC ne s'additionne pas.

La troisième approche (configuration manuelle) nécessite la même quantité d'implémentation pour le client que l'approche de délégation de sous-domaines, sauf que des modifications plus spécifiques sont nécessaires pour démarrer.

En outre, la troisième approche peut être considérée comme fragile : les modifications de votre propre infrastructure peuvent obliger votre client à modifier la configuration du domaine en conséquence. La coordination de ce type de changement peut être lourde, coûteuse et sujette à des erreurs.

Envoi de courrier électronique au nom des clients

L'envoi de courrier électronique conforme aux normes DMARC présente de nombreux avantages pour vous et votre client, et contribue grandement à rendre votre courrier électronique facile à identifier. Si vous souhaitez envoyer le meilleur courrier électronique de sa catégorie (ou même juste envoyer des courriels !), pensez à faire un effort supplémentaire et à utiliser le domaine de votre client pour tout ce qui concerne un courrier électronique :

  • Les liens des courriels peuvent sembler provenir du domaine de votre client, mais lorsque quelqu'un clique sur un lien, il peut être pris en charge par votre propre infrastructure.
  • Il en va de même pour les images et autres objets : ils semblent provenir du domaine de votre client, mais sont desservis par votre propre infrastructure.
  • Les noms de serveurs liés à la livraison de courrier électronique peuvent être modifiés pour refléter le domaine de votre client.

Les modifications ci-dessus sont possibles si l'approche par sous-domaine est utilisée. Cela facilite grandement l'identification et l'envoi du courrier électronique que vous envoyez au nom de vos clients.

Si vous souhaitez figurer dans le répertoire des sources de courrier électronique, contactez-nous à l'adresse support@dmarcian.com.

Si vous avez des questions ou commentaires, n'hésitez pas à commenter ci-dessous ou envoyez-nous un message à support@dmarcian.com.