Envoyer des e-mails, ça fait parti de notre quotidien.
Et quand on travaille sur Internet, on envoie énormément d’e-mails. Certains n’ont que peu d’importance, d’autres sont critiques.
Autant dire que, dans tous les cas, on a très envie de les voir arriver chez nos correspondants, surtout quand il s’agit de factures ou d’éléments pouvant impacter la santé financière de l’entreprise.
Ici, une notion sera au cœur de la problématique qu’on va examiner ici : la délivrabilité des e-mails.
La délivrabilité des e-mails, c’est quoi ?
Le spam, c’est la maladie du Web. Sous toutes ses formes : les pages, les contenus, les pubs, les e-mails. Pour faire face à ce fléau, les providers e-mails ont mis en place un véritable arsenal pour filtrer les indésirables tentants de s’infiltrer dans nos boîtes.
Il ne suffit donc pas d’envoyer un E-mail pour que celui-ci soit livré : il faut vraiment montrer patte blanche auprès du destinataire du courriel, car les serveurs de messagerie guettent pour éradiquer définitivement les pourriels.
Il y a donc plusieurs indicateurs qui montrent qu’un e-mail peut être du spam :
- Certains mots-clés
- L’adresse de l’expéditeur
- L’adresse IP de l’expéditeur
- Le domaine de l’expéditeur
- La propreté du code qui compose des mails
- Certains enregistrements DNS
- D’autres facteurs
Quand quelqu’un tire trop sur la corde, son adresse, son domaine ou même carrément l’IP du serveur qui a fait les envois peuvent être black listé, auprès de plusieurs instances sur le Web, qui transmettront le message aux providers d’e-mails afin de limiter la casse chez les autres.
Parmi tous les types de spam qui sévissent, il y en a un qui va motiver ce tutoriel : le spoofing DNS.
Le spoofing DNS, qu’est-ce que c’est ?
Le spoofing DNS, c’est l’art de tromper le DNS pour usurper l’identité de quelqu’un sur Internet. C’est ce qui m’est arrivé il y a deux jours sur ma boîte digitale cookie.
J’étais déjà bien coutumier du fait sur des boîtes que j’utilise sur GDM-Pixel, car j’utilisais les e-mails fournis par OVH. J’avais déjà bien travaillé la problématique de la sécurité des e-mails, mais il y a un point sur lequel je ne pouvais rien faire : c’était l’ajout d’une clé DKIM, cette fonctionnalité n’étant pas prise en charge chez OVH (mais WTF). Et hier, ça été la goutte d’eau qui a fait déborder le vase, et qui m’a fait changer de providers.
Ajouter une clé DKIM
Une clé DKIM, c’est une clé qui va être constituée de deux parties, une clé publique et une clé privée. La clé privée est installée sur le serveur de mail, et elle signera tous les e-mails qui sortent de votre boîte.
Lorsque votre destinataire reçoit votre mail, son serveur de messagerie va voir que celui-ci est signé par la clé privée. Il consultera alors la clé publique, qui est stockée côté DNS, pour s’assurer qu’il y a bien correspondance entre les deux. Si c’est le cas, il est sûr et certain que votre e-mail provient bien de votre boîte.
En revanche, si la signature ne correspond pas, alors le mail est considéré comme du spam et n’est pas livré.
Dans ce tutoriel, ce qu’on va regarder, c’est comment mettre en place la clé DKIM, sur des boîtes mail qu’on va acheter chez NameCheap.
Procédure pour ajouter un enregistrement DKIM
La procédure est relativement simple : elle va consister en trois étapes.
Acquérir une boîte e-mail chez un provider qui permet la signature DKIM
Ici, on a choisi Namecheap, parce que c’est pas cher et que ça fonctionne bien. Désolé OVH, notre histoire concernant l’hébergement d’e-mails s’arrête ici.
Modifier les enregistrements DNS
On va avoir quelques enregistrements à changer dans la zone DNS de notre domaine, pour plusieurs raisons.
- Il faut modifier les champs MX pour utiliser ceux du nouveau provider
- Il faut ajouter un nouvel enregistrement SPF
- Il faut ajouter la clé publique DKIM dans un enregistrement de type TXT
L’opération prend quelques minutes, et nécessite cinq ou six copier-coller, rien de bien méchant.
Migrer les e-mails sur la nouvelle boîte
Je vous renvoie au tutoriel que j’ai fait il y a peu sur la migration via le OVH mail migrator.
Résultats de la signature DKIM
Une fois que vous avez pu mettre en place ce type de sécurité sur vos mails, mail-tester vous donne le score de 10/10 à la délivrabilité de vos mails. Vous êtes sûrs que ça ne passera plus jamais en spam, et que le spoofing DNS ne sera plus possible.