Conseils TechniquesDMARC

Envoyer des courriels conformes à DMARC au nom d’autres personnes

By september 24, 2020februari 19th, 2021No Comments

L’envoi de courriels conformes à la norme DMARC pour d’autres personnes peut se faire de plusieurs façons. Cet article est destiné aux fournisseurs de services de messagerie électronique et aux entreprises qui envoient des courriers électroniques via les domaines de leurs propres clients (pensez à la gestion de la relation client, aux entreprises de gestion des talents, aux systèmes de facturation, etc.)

Ce répertoire permet à beaucoup de gens de gagner beaucoup de temps :

  • Les propriétaires de domaines peuvent voir instantanément si leur système de gestion de la relation client, de gestion des talents et de facturation peut envoyer des courriels conformes à DMARC et, si oui, comment le faire. Plus besoin de passer des heures à fouiller dans les archives d’Internet, à téléphoner à un service d’assistance ou à élaborer une solution basée sur des informations partielles.
  • Les sources de courrier électronique évitent les demandes de soutien des personnes qui veulent savoir si DMARC est disponible.
  • Les chefs de produit d’une source de courrier électronique peuvent savoir exactement ce que les gens veulent quand ils demandent l’aide de DMARC. Cela permet de clarifier les exigences, d’accélérer la mise en œuvre et d’obtenir une fonctionnalité qui satisfait les clients.

Cet article explique comment obtenir l’autorisation à envoyer au nom d’un domaine, quelles sont les options disponibles pour envoyer du courrier électronique conforme à DMARC, les modifications possibles du processus d’intégration d’un client, et ce qu’il faut faire après la mise en œuvre de DMARC.

Comment envoyer en utilisant le domaine d’un client

Le courrier électronique conforme à DMARC est facile à identifier et fonctionne en créant un lien entre le domaine du client et un courrier électronique.  Nous avons mis en ligne ici une courte vidéo sur le fonctionnement de DMARC.

Il y a plusieurs façons de s’associer au domaine d’un client afin de pouvoir envoyer des courriers électroniques conformes à la norme DMARC en son nom.

REMARQUE : Avec DMARC, vous pouvez utiliser un sous-domaine (par exemple, email.company.com) pour envoyer des courriels authentifiés tout en utilisant le domaine de premier niveau dans l’en-tête From: (par exemple, From: offers@company.com).

Les différentes approches sont énumérées ci-dessous par ordre d’efficacité :

Délegation de domaine

Lorsqu’un client vous transfère un sous-domaine (par exemple, email. company.com), vous pouvez envoyer des courriels qui s’authentifient au sous-domaine et, dans la plupart des cas, vous pouvez envoyer des courriels dont le domaine de premier niveau figure dans l’en-tête From: (par exemple, From: Best Offers <offers@company.com>). Tout ce qui est nécessaire à l’envoi de courriels conformes à DMARC est désormais géré pour le compte du client, puisque vous contrôlez et gérez l’ensemble du sous-domaine. Il existe deux façons d’établir la délégation de sous-domaines :

Délégation complète

Le client vous délègue un sous-domaine entier à gérer. Cela vous rend responsable du sous-domaine et de tout ce qui s’y trouve (y compris les sous-domaines du sous-domaine). Votre client n’a qu’à transférer le sous-domaine, ce qui en fait une approche privilégiée.

CNAME

Le client crée plusieurs CNAME qui pointent sur votre propre domaine. Il s’agit essentiellement d’une forme de délégation, seuls les services individuels sont transférés par chaque CNAME. C’est comme une délégation complète, sauf que le client doit créer plus d’entrées DNS au début, ce qui en fait l’une des approches les plus souhaitables après le transfert complet.

Les CNAME sont généralement créés pour :

  • Gérer les SPF et les rebonds. Par exemple, un client crée un CNAME qui pointe de marketing.customer-domain.org à bounces.email-service-provider.com. Le courriel envoyé au nom du client utilise l’adresse de rebond @marketing.customer-domain.org. Non seulement l’enregistrement SPF associé est géré par vous (car il s’agit en fait de l’enregistrement SPF de bounces.email-service-provider.com), mais tout rebond vous est renvoyé à la place de votre client.
  • DKIM. Le client peut créer plusieurs enregistrements CNAME qui pointent vers vos propres clés publiques publiées, et vous pouvez utiliser ces enregistrements CNAME pour ajouter des signatures DKIM aux courriels que vous envoyez au nom du client. Les CNAME multiples vous permettent d’utiliser différentes clés DKIM sans que le client n’ait à faire quoi que ce soit.
  • Connecter des liens aux courriels envoyés vers le domaine du client. Au lieu d’inclure des liens pointant vers votre propre domaine, vous pouvez inclure des liens dans les courriels de votre client qui utilisent son domaine. Lorsque quelqu’un clique sur un lien dans le courriel, le CNAME retourne à vos propres services pour le suivi, etc.

Relais

Le relais est parfois une option lorsque seule une petite quantité de courriels est envoyée au nom du client. Permettre à un client de configurer son courrier électronique pour qu’il soit relayé par un autre serveur de courrier électronique est une façon d’obtenir la conformité DMARC… si le relais lui-même peut envoyer des courriers électroniques conformes à DMARC.

Deux façons de le permettre :

Relais SMTP

Demandez aux clients de configurer un relais SMTP pour tous les courriers électroniques que vous envoyez en leur nom. Celui qui gère le relais devient alors responsable du respect des règles de la norme DMARC. Inconvénients :

  • Le traitement des rebonds tombe à moins que le relais ne puisse vous renvoyer les rebonds pour traitement.
  • La livraison du courrier électronique devient la responsabilité de l’administrateur du relais, ce qui signifie que votre service de courrier électronique dépend désormais d’un élément géré par votre client.

Configurer les identifiants de l’utilisateur

Permettez aux clients de configurer les informations d’identification des utilisateurs.  Pour cela, le client doit créer un compte pour votre service, puis configurer votre service pour utiliser les informations d’identification du nouvel utilisateur.  Vous enverrez alors n’importe quel courriel comme si vous étiez l’utilisateur. Inconvénients :

  • Vous devez gérer l’accès au niveau utilisateur à une multitude de plateformes de courrier électronique, car votre propre client pourrait utiliser Gmail, Yahoo, Microsoft, Lotus, Exchange, etc.
  • Vous utilisez les ressources de votre client pour envoyer des courriers électroniques en son nom.

Configuration manuelle

Au lieu de gérer un sous-domaine délégué (ou d’utiliser des CNAME), vous pouvez demander aux clients de configurer leur domaine afin de pouvoir envoyer des courriels conformes à DMARC :

SPF

Vous pouvez demander à votre client d’ajouter vos propres netblocks à son enregistrement SPF. C’est une pratique courante, mais elle est souvent effectuée pour de mauvaises raisons. Cela vous permet d’envoyer des courriels autorisés au nom du client, mais uniquement si le domaine du client est utilisé dans l’adresse de rebond du courriel que vous envoyez. Inconvénients :

  • Les messages refusés ou rejetés sont transmis à votre client au lieu de vous être renvoyés. Vous n’avez aucune visibilité sur les problèmes qui affectent votre performance en tant qu’expéditeur de courrier électronique et votre client obtient une mauvaise expérience utilisateur.
  • Votre client devra penser à vous tout en gérant son enregistrement SPF. Cela est ennuyeux pour vos clients qui doivent gérer de nombreux autres expéditeurs qui ont demandé à être inclus dans leur enregistrement SPF pour de mauvaises raisons.

DKIM

Vous pouvez demander aux clients d’ajouter des clés liées à DKIM à leur domaine. Inconvénients :

  • Votre client doit couper et coller de grandes chaînes de caractères dans son logiciel de gestion de domaine. Des erreurs se produisent souvent au cours du processus, ce qui peut être gênant pour les utilisateurs et pour vous-même.
  • Vous ne pouvez pas alterner entre l’utilisation de différentes clés DKIM sans devoir demander à votre client d’effectuer une tâche à chaque fois. C’est pour le moins ennuyeux. Dans le pire des cas, une clé DKIM doit être utilisée en raison d’une urgence (pendant les vacances, par exemple !).

Capacités requises

Comme décrit ci-dessus, l’envoi de courrier électronique conforme aux normes DMARC au nom de vos clients peut se faire de plusieurs manières. Chaque approche est en quelque sorte un compromis entre « facile pour moi » et « facile pour mon client ». Comme il y a un certain nombre de travaux de configuration et de fonctionnement à effectuer, vous pouvez :

  • faire ce travail pour le compte de votre client
  • partager le travail entre vous et votre client, ou
  • laisser votre client faire le travail.

Quelle que soit l’approche choisie, il y a toujours une certaine quantité de travail nécessaire pour que vous puissiez envoyer au nom de votre client :

Délégation de sous-domaine

Client

  • Configuration de domaine unique pour la mise en place des sous-domaines / CNAME.

Vous

  • Gestion du système de domaine pour le traitement, la vérification et le contrôle des délégations de sous-domaines/CNAME.
  • Le serveur de courrier électronique fonctionne de manière à utiliser le sous-domaine du client dans l’adresse de rebond et dans les signatures DKIM.
  • Entretien de l’enregistrement SPF.

Relais

Client

  • Le client doit apporter son propre relais
  • Configuration unique pour ajouter des informations de relais à votre système

Vous

  • Le serveur de courrier électronique permet d’utiliser le relais du client et, si vous voulez vraiment envoyer des courriers électroniques, de gérer le traitement des rebonds. Étant donné que presque tous les serveurs de courrier électronique prennent en charge la possibilité de transférer des courriers électroniques, il s’agit de rendre cette fonctionnalité visible aux clients pour qu’ils puissent en profiter.

Configuration manuelle

Client

  • Configuration unique du domaine pour ajouter des enregistrements SPF et des clés DKIM.
  • Configuration supplémentaire si les enregistrements SPF doivent être mis à jour ou si les clés DKIM doivent être remplacées.

Vous

  • Le serveur de messagerie permet d’utiliser le domaine du client dans l’adresse de rebond et dans les signatures DKIM.
  • Entretenez l’ enregistrement SPF et assurez-vous que les clients mettent à jour leur enregistrement SPF lorsque vous modifiez votre infrastructure. C’est soit facile si vos clients incluent votre infrastructure via le SPF : soit difficile si vous avez des clients qui incluent des choses comme l’ip4 : dans leur enregistrement SPF.

Le lecteur avisé remarquera que, quelle que soit l’approche adoptée, certains changements doivent être apportés. Les fonctions de serveur de courrier électronique sont requises dans tous les cas.

Les approches sans relais partagent de nombreuses « capacités requises » communes, les principales différences étant les différentes façons dont le client peut configurer son domaine pour vous permettre d’envoyer en son nom.  Dans cette optique, nous pensons qu’il est très important de faciliter la tâche de vos clients si vous vous êtes déjà engagé à envoyer des courriers électroniques en leur nom.

Intégration des clients

La première approche (délégation de sous-domaine) est efficace dans la mesure où le client a le moins de choses à mettre en œuvre avant que vous puissiez envoyer en son nom des courriers électroniques conformes aux normes DMARC.

La deuxième approche (le relais) consiste à déléguer l’envoi de courriels conformes à la norme DMARC à votre client. Cette approche peut être préférable si vous envoyez très peu de courriels au nom de vos clients et que l’investissement nécessaire pour envoyer des courriels conformes à la norme DMARC n’est pas rentable.

La troisième approche (configuration manuelle) exige du client qu’il mette en œuvre autant de choses que la délégation de sous-domaine, mais nécessite des modifications plus spécifiques pour démarrer.

En outre, la troisième approche n’est pas vraiment fiable : les modifications apportées à votre propre infrastructure peuvent obliger votre client à modifier en conséquence la configuration de son domaine. La coordination de ce type de changements peut être lourde, coûteuse et sujette à erreur.

Envoi de courriels au nom des clients

L’envoi de courriels conformes à la norme DMARC offre de nombreux avantages pour vous et votre client, et rend vos courriels faciles à identifier. Si vous souhaitez envoyer des courriers électroniques de qualité (ou simplement faire en sorte que des courriers électroniques soient livrés), pensez à aller plus loin et à utiliser le domaine de votre client pour tout ce qui concerne les courriers électroniques :

  • Les liens peuvent provenir du domaine de votre client, mais lorsque quelqu’un clique sur un lien, celui-ci peut être maintenu par votre propre infrastructure.
  • Il en va de même pour les images et autres objets : ils peuvent sembler provenir du domaine de votre client, mais sont desservis par votre propre infrastructure.
  • Les noms de serveurs liés à la distribution de courrier électronique peuvent être modifiés pour refléter le domaine de votre client.

Les changements ci-dessus sont possibles en utilisant l’approche par sous-domaines. Cela rend les courriers électroniques que vous envoyez au nom de vos clients incroyablement faciles à identifier et à transmettre.

Leave a Reply