GNU/Linux >> Tutoriels Linux >  >> Panels >> Plesk

Comment créer des enregistrements de validation de courrier :SPF, DKIM, DMARC

Avez-vous déjà eu :

  • Un e-mail a été renvoyé avec une réponse énigmatique telle que "5.7.1 Commande rejetée", ou quelqu'un vous a-t-il envoyé un e-mail uniquement pour recevoir un message similaire ?
  • Un rebond d'e-mail avec une réponse claire concernant un enregistrement SPF ou un échec d'enregistrement DKIM (ou DomainKeys) ?
  • Vos e-mails arrivent dans le dossier spam de la destination ou n'arrivent pas du tout ?

Qu'est-ce qui cause ça ? Pourquoi est-il rejeté ou filtré comme spam ? Bien qu'il puisse y avoir d'autres raisons pour qu'un message soit filtré comme spam, le plus souvent, l'un des problèmes ci-dessus se produira en raison d'un problème avec la configuration de la protection contre l'usurpation d'e-mail du domaine d'envoi.

Ces protections sont appelées SPF, DKIM et DMARC, et chacune prend la forme d'un ou deux enregistrements DNS qui peuvent être configurés pour garantir que la réputation d'envoi d'e-mails de votre domaine reste solide.

Bien qu'individuellement, ces enregistrements ne garantissent pas la prévention des adresses falsifiées, combinés, ils font beaucoup pour aider à l'empêcher. Les spammeurs utilisent couramment la falsification de l'expéditeur pour essayer de tromper leurs destinataires afin qu'ils lisent leurs e-mails SPAM.

Astuce :DKIM a également un en-tête de courrier correspondant, et donc à cause de cela, si vous choisissez d'utiliser un enregistrement DNS DKIM, vous devrez vous assurer que tous les e-mails sont acheminés via votre serveur SMTP — il ne peut pas y avoir de sources de courrier supplémentaires, ou serveurs de messagerie alternatifs utilisés, alors que vous avez un enregistrement DNS DKIM publié.

Voici une ventilation de chaque type d'enregistrement et de leur fonctionnement.

Enregistrement SPF

Les enregistrements SPF sont un moyen pour un propriétaire/gestionnaire de domaine d'indiquer quels serveurs sont autorisés à envoyer du courrier au nom de ce domaine. Cela permet d'empêcher les spammeurs ou autres acteurs malveillants d'envoyer des messages qui semblent provenir de votre domaine.

Besoin d'aide pour obtenir votre enregistrement SPF correct ? Faites défiler jusqu'à notre générateur d'enregistrements SPF ci-dessous.

Donc comment ça fonctionne? Un enregistrement SPF est un enregistrement DNS pour votre domaine (un enregistrement de type TXT) qui ressemble à ceci :

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

Décomposons cela. Chaque partie de l'enregistrement signifie quelque chose de différent et est séparée par des espaces :

  1. v=spf1 –> Cela indique qu'il s'agit d'un enregistrement SPF, version 1 (par défaut/standard)
  2. inclure :_spf.websavers.ca –> Inclure les instructions signifie inclure les enregistrements SPF disponibles à l'adresse fournie. Celui-ci signifie notamment d'inclure tous les serveurs de messagerie sortants que Websavers a jugés acceptables. Ils sont publiés sur _spf.websavers.ca (vous ne pouvez pas y aller dans un navigateur Web pour les voir, ils ne sont visibles que pour les requêtes DNS)
  3. +a +mx –> Autoriser les serveurs résidant aux adresses d'enregistrement A et MX à envoyer des e-mails. Vous pouvez faire une recherche de votre domaine pour savoir à quoi correspondent les enregistrements A et MX, ou simplement regarder dans Plesk ou chez votre hébergeur DNS si le DNS n'est pas hébergé chez nous.
  4. +ip4:2.2.2.2 –> Le serveur avec l'adresse IP 2.2.2.2 est autorisé à envoyer des e-mails depuis votre domaine
  5. -tous –> Ne pas autoriser d'autres serveurs à envoyer des messages.

Vous pourriez voir d'autres utiliser ~all (avec un tilde plutôt qu'un tiret), qui est un faible équivalent de notre "-all" par défaut. Utiliser un ~, c'est un peu comme dire "si cela ne correspond pas à ceux-ci, c'est à vous de décider si c'est légitime ou non". Nous vous recommandons fortement d'utiliser "-all" comme indiqué ci-dessus. Cela indique une déclaration beaucoup plus ferme de "seuls ces serveurs sont valides".

Si vous souhaitez en savoir plus sur SPF, comme des options supplémentaires pour ce que vous pouvez inclure, consultez le site Web OpenSPF.

Tous les serveurs qui n'apparaissent pas dans votre enregistrement SPF en utilisant l'une des méthodes décrites ci-dessus ne sont pas autorisés à envoyer des e-mails en utilisant l'une des adresses e-mail de ce domaine, et tous les messages envoyés via ces serveurs sont susceptibles d'être signalés comme spam ou bloqués entièrement à destination.

Vous utilisez une messagerie externe ? Même si vous passez à un fournisseur de messagerie externe, mais gardez votre site Web hébergé chez nous, il est toujours important de conserver à la fois +a et inclure :_spf.websavers.ca dans votre dossier SPF. En effet, votre site Web envoie souvent des e-mails directement à partir du serveur sur lequel il est hébergé (par exemple :e-mails d'inscription ou de notification de commande) plutôt que de les envoyer via votre fournisseur de messagerie, et vous souhaitez toujours autoriser l'envoi de ces e-mails avec succès.

Générateur d'enregistrements SPF

Nous avons créé un outil pour vous aider à générer le bon enregistrement SPF pour votre domaine. Veuillez remplir le formulaire ci-dessous et il générera un enregistrement SPF que vous pourrez utiliser.

Référence de configuration SPF commune

Les valeurs suivantes ne sont pas l'intégralité de l'enregistrement SPF, uniquement la partie que vous souhaitez ajouter à votre enregistrement SPF pour permettre aux serveurs SMTP de l'entreprise correspondante d'envoyer des e-mails au nom de votre domaine.

Lors de l'ajout, assurez-vous qu'il y a des espaces entre ces ajouts et les autres parties de l'enregistrement SPF. Assurez-vous également que votre enregistrement commence par v=spf1 et se termine soit par ~all (en vrac) ou -tout (plus strict). Voir l'exemple d'enregistrement en haut de cette page pour une représentation visuelle de l'endroit où insérer ces enregistrements.

  • Économiseurs Web : inclure :_spf.websavers.ca
  • Google : inclure :_spf.google.com (détails)
  • Bellnexxia : +ptr:bellnexxia.net
  • Eastlink : inclure :_spf.eastlink.ca
  • Microsoft Office 365 :inclure:spf.protection.outlook.com (détails)
  • GoDaddy : inclure :spf.secureserver.net
  • Yahoo : Pas possible. Utilise DMARC à la place et force leur SMTP à être utilisé uniquement par les comptes Yahoo.
  • Shopify : inclure :shops.shopify.com (détails)

Enregistrement DKIM

Les enregistrements DKIM ne sont pas un composant strictement requis, mais ils ajouteront plus de confiance, donc si vous pouvez les utiliser, vous devriez.

Le plus gros problème avec les enregistrements DKIM est qu'il s'agit d'un système de validation en deux parties :à la fois un enregistrement DNS ET un en-tête qui est ajouté à chaque e-mail par votre serveur de courrier sortant (SMTP). Pour cette raison, vous devez absolument vous assurer que tous les e-mails envoyés depuis les adresses @votredomaine.com passent par le même serveur SMTP. Cela signifie que les messages envoyés via votre site Web, CRM et tout autre outil Web ou serveur qui envoie des e-mails au nom de votre domaine doivent également être configurés pour utiliser votre serveur SMTP pour transmettre les messages.

  • Hébergeur de messagerie externe  :Si votre e-mail est hébergé en externe, je crains que vous n'ayez besoin de parler à votre fournisseur de messagerie pour obtenir le bon enregistrement DNS à appliquer.
  • Courrier d'échange Websavers : Notre service Exchange est l'un de ces services qui ne prend pas en charge DKIM, vous pouvez donc ignorer cette section.
  • Hébergement Plesk Websavers : Si vous êtes hébergé chez nous sur un partage, un revendeur ou un VPS (avec Plesk Panel), vous pouvez simplement activer DKIM dans Plesk et il configurera à la fois le serveur SMTP et votre DNS en conséquence ! Consultez ce guide Plesk pour savoir comment activer DKIM. Si votre DNS est externe, vous pouvez vérifier l'enregistrement DNS Plesk créé à cet effet et vous devrez les dupliquer chez votre hôte DNS. Notez que nous ne pouvons vous aider dans ce processus que si votre DNS est hébergé chez nous, sinon votre hôte DNS devra être votre source d'assistance.

Enregistrement DMARC

Là où DKIM et SPF sont utilisés pour vérifier que les e-mails proviennent des bons serveurs, DMARC s'appuie sur ces outils (en particulier SPF) et est utilisé pour vérifier que l'enveloppe et les adresses e-mail sont correctes. Il aide également les expéditeurs à savoir comment se comporte leur courrier avec les grands fournisseurs tels que Google et Microsoft en publiant une adresse e-mail à laquelle vous (en tant qu'expéditeur) souhaitez recevoir des rapports sur la capacité de livraison.

Alors que l'enregistrement SPF n'utilise aucun sous-domaine et s'applique directement à votre domaine racine (@), DMARC utilise le sous-domaine _dmarc . Voici à quoi cela ressemble dans sa forme la plus simple :

  • Sous-domaine :_dmarc
  • Type :TXT
  • Valeur :v=DMARC1 ; p=aucun

Mais cet enregistrement dit essentiellement "hé, j'ai un enregistrement SPF et peut-être un enregistrement DKIM, mais je ne souhaite pas que vous (le récepteur) fassiez quelque chose de spécial avec DMARC". Allons un peu plus loin et proposons quelques valeurs alternatives à utiliser. Notez qu'avec chacun d'entre eux, le sous-domaine et le type sont toujours les mêmes que ci-dessus et vous ne devez jamais publier plusieurs enregistrements DMARC.

L'exemple d'enregistrement suivant indique de mettre en quarantaine (cela signifie généralement mettre en spam, mais certains fournisseurs cachent littéralement le message aux destinataires jusqu'à ce qu'un administrateur de messagerie l'autorise) tous les messages qui ne correspondent pas (SPF, DKIM, Enveloppe). Il indique également que pour 20 % de tous les messages reçus de votre domaine, s'il y a des échecs, envoyez un rapport sur chaque échec à l'adresse e-mail spécifiée.

v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

L'enregistrement suivant indique :rejeter tous les messages qui ne correspondent pas ; que vous souhaitez recevoir des rapports sur 100 % des échecs ; que DKIM doit être traité comme assoupli ; que le SPF doit être traité comme strict ; que vous ne souhaitez pas voir les rapports *individuels* sur chaque échec de message (ruf ), mais obtenez plutôt un rapport agrégé (rua ). Je pense que les rapports sont généralement envoyés mensuellement, mais cela peut être à la discrétion du fournisseur destinataire, comme Google ou Microsoft.

v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

Vous devrez entrer l'adresse e-mail réelle à laquelle vous souhaitez recevoir ces rapports, sinon laissez de côté l'option rua/ruf et l'option pct, car cela ne sert à rien si vous ne voulez pas voir les rapports. Vous pouvez utiliser pct et ruf/rua avec p=none. Cela signifiera simplement que le serveur de réception transmettra le message normalement même s'il échoue aux vérifications DKIM, SPF, DMARC.

Les options adkim et aspf apparaissent par défaut sur assouplies si vous les omettez.

Conseil :vous devez toujours utiliser DMARC, même si DKIM n'est pas activé. Mais assurez-vous que le SPF est correctement configuré, sinon DMARC ne vous sera d'aucune utilité.

Où puis-je placer ces enregistrements DNS ?

Si votre DNS est hébergé chez nous, voici comment modifier vos enregistrements DNS. Dans ce guide, vous chercherez à modifier un enregistrement existant de type TXT .

Si votre DNS est hébergé ailleurs, vous devrez vous connecter à leur panneau pour modifier ou ajouter votre enregistrement SPF.

Avec notre hébergement Plesk, nous configurons tous ces enregistrements pour vous, mais si vous rencontrez des problèmes de délivrabilité, vous devez vérifier qu'ils sont corrects. Vous avez peut-être une ancienne version de l'enregistrement qui n'est pas optimale, ou vous ou quelqu'un ayant accès à votre compte peut l'avoir modifié sans en connaître les implications.

Veuillez ne pas créer plusieurs enregistrements SPF. Si vous en voyez un existant dans vos paramètres DNS, assurez-vous de le modifier plutôt que d'en ajouter un second . Les enregistrements en double feront souvent en sorte qu'aucun d'entre eux ne fonctionne.

Comme il s'agit d'enregistrements DNS, les modifications que vous apportez à vos paramètres DNS prendront quelques heures (jusqu'à 48 heures) pour s'appliquer dans le monde entier. Veuillez patienter.

Dépannage

Erreur SPF Trop de recherches : Si vous voyez une erreur avec un vérificateur d'enregistrement SPF concernant trop de recherches, l'interprétation simple est qu'il y a trop d'éléments dans votre enregistrement. La seule façon de résoudre ce problème est de supprimer les éléments les moins importants de votre enregistrement SPF et/ou de consolider les services de messagerie afin de ne pas en utiliser autant. Si vous utilisez un service de liste de diffusion, vous pouvez modifier sa configuration pour utiliser un sous-domaine tel que mailing-list.mydomain.com et déplacer cette partie de votre enregistrement SPF vers l'enregistrement SPF du sous-domaine à la place.

En savoir plus sur l'erreur SPF Too Many Lookups dans cet article détaillé ici.

Si vous utilisez un service de messagerie externe tel que Google Workspace (anciennement G Suite), le mieux pour réduire le nombre total de recherches consiste à supprimer la partie Websavers de l'enregistrement SPF (include:_spf.websavers.ca ). Mais si vous faites cela, assurez-vous absolument que tous les sites Web que vous avez hébergés chez nous sont configurés pour envoyer des e-mails à l'aide du service SMTP de votre fournisseur de messagerie externe (tel que Google Workspace dans cet exemple). Cela garantira que tous les messages provenant du site Web transitent par un serveur SMTP qui reste autorisé dans votre enregistrement SPF, et non par nos serveurs qui ne resteront pas dans votre enregistrement SPF.

Si vous devez supprimer la déclaration "include", conservez-la à la place, car elle permettra à notre principal relais de messagerie de continuer à traiter votre courrier :

+ip4:149.56.38.109

Messages livrés aux spams ou indésirables : si vous avez configuré avec succès tous les enregistrements DNS ci-dessus et que cela fait 48 heures que vous l'avez fait (rappelez-vous que les modifications DNS prennent du temps à se propager), mais que vos e-mails atterrissent toujours dans les dossiers indésirables de vos destinataires, veuillez consulter notre guide de dépannage ici.


Plesk

  1. Comment installer DKIM sur le serveur Ubuntu

  2. Comment créer des enregistrements SRV dans l'hébergement mutualisé

  3. Comment créer un compte de messagerie dans Plesk

  4. Comment créer ou ajouter un groupe de messagerie dans Plesk

  5. Comment utiliser un DNS externe avec Plesk

Comment créer un compte de messagerie dans le panneau Plesk

Comment gérer les enregistrements SPF sur cPanel ?

Comment gérer les enregistrements DKIM sur cPanel ?

Comment configurer les enregistrements SPF et DKIM

Comment configurer les enregistrements DMARC dans cPanel

Comment ajouter ou modifier un enregistrement DNS dans Plesk