Comment configurer DomainKeys (DKIM) et SPF dans mes entrées DNS sur Mailjet ?
Que signifie SPF (Sender Policy Framework) ?
Il vous est sûrement déjà arrivé de recevoir des mails qui semblaient provenir de votre banque, d'une compagnie de carte bancaire ou même de vous-mêmes, mais qui étaient faux. Les spammeurs peuvent en effet falsifier l'adresse d'expédition pour envoyer ce genre de messages. C'est là que le SPF (pour "Sender Policy Framework") intervient.
SPF est un système de validation qui permet aux services de messagerie (comme Gmail, Yahoo, etc.) de vérifier si un message qui leur parvient a été envoyé depuis un serveur autorisé. En se basant sur l'adresse IP utilisée lors de l'envoi ainsi que sur les enregistrements DNS de votre nom de domaine, ces services peuvent déterminer si le serveur qui les a contactés est autorisé à le faire. Si le message provient d'un serveur non-autorisé, il sera marqué comme spam pour ne pas leurrer le destinataire !
NB : L'authentification SPF et DKIM ne peut pas être effectuée pour les clients de messagerie gratuits tels que Google, Yahoo ou Hotmail. Vous devez utiliser uniquement des adresses email qui sont liées à votre site Internet, et non des adresses de clients de messagerie gratuits.
2.** Que signifie DKIM (Domain Keys Identified Mail) ?**
L’acronyme DKIM signifie « Domain Keys Identified Mail ». Il s’agit d’une méthode d’authentification par cryptage utilisée par de nombreux FAI pour établir si le courrier électronique provient d’un système autorisé et empêche les spammeurs de voler l’identité d’entités légitimes.
Comment ça marche exactement ?
DKIM permet d’ajouter une signature unique à l’en-tête du message pour chaque e-mail que vous envoyez.
Cette signature est spécifique à votre domaine et est générée par une clé privée. La clé publique correspondante est ajoutée à un enregistrement DNS pour votre domaine.
Lorsqu’un serveur de messagerie reçoit votre e-mail, il vérifie la clé publique pour déterminer si votre clé privée a été utilisée pour générer la signature
électronique. Si votre clé privée n’a pas été utilisée, l’e-mail est considéré comme une tentative de phishing ou de spam.
3.** Authentification SPF et DKIM**
Les systèmes d'authentification SPF et DKIM informent les fournisseurs de messagerie (comme Gmail et Yahoo!) que les emails entrants ont été envoyés par un expéditeur légitime, sans spam ni usurpation d’adresse.
Vous souhaitez définir Mailjet comme expéditeur légitime ? Vous devez pour cela configurer les paramètres d’authentification SPF et DKIM pour chacun de vos domaines d’envoi. Qui dit « enregistrements SPF et DKIM personnalisés » dit également « délivrabilité renforcée » : vous maximiserez ainsi vos chances d’atterrir dans la boîte de réception des destinataires plutôt que dans le dossier spam.
L’authentification SPF et DKIM passe par la configuration de votre domaine ; elle n’est donc compatible qu’avec un domaine personnalisé ou un domaine que vous possédez. Cela veut aussi dire que l’authentification SPF et DKIM est impossible pour les services de messagerie gratuits comme Gmail, Yahoo! et Hotmail.
Aperçu de la configuration
Pour configurer les paramètres d’authentification SPF et DKIM de votre domaine, il vous faut accéder aux enregistrements DNS de votre compte d’hébergement (OVH, 1&1, HostGator, etc.). Si vous ne les trouvez pas ou n'y avez pas accès, votre fournisseur d’hébergement est là pour vous aider !
Pour faire simple, l’authentification de votre nom de domaine nécessite de copier les clés SPF et DKIM de votre compte Mailjet pour les insérer dans les enregistrements DNS SPF et DKIM de votre compte d’hébergement.
Voici un exemple d’enregistrement SPF configuré :
Et un exemple d’enregistrement DKIM configuré :
5. Valeurs SPF et DKIM
A partir de la page de configuration des noms de domaine, vous pouvez consulter tous vos domaines d’envoi et leurs statuts SPF et DKIM respectifs.
Repérez le nom de domaine que vous souhaitez authentifier, puis cliquez sur « Gérer » pour consulter les valeurs SPF et DKIM.
Ne fermez surtout pas cette page : vous allez devoir copier-coller certaines des informations présentes dans vos enregistrements DNS.
6. Enregistrements DNS
Ouvrez un nouvel onglet ou une nouvelle fenêtre, puis rendez-vous dans la section dédiée à la création et à la consultation de vos enregistrements DNS, en vous connectant si besoin à votre compte d'hébergement. (Si vous ne savez pas exactement où se trouvent vos enregistrements DNS, votre fournisseur d’hébergement pourra vous renseigner.)
Dans cet exemple, nous allons utiliser un compte OVH.
Sachez que si l’affichage et les intitulés des enregistrements DNS diffèrent parfois, chaque DNS possède un nom, une valeur (des données) et un type d’enregistrement.
Afin d'authentifier votre domaine, vous aurez besoin d’un enregistrement DNS de type TXT pour votre SPF et d’un autre pour votre DKIM.
7. Configuration d'un enregistrement DNS pour l’authentification SPF
Deux choses sont à retenir à propos des enregistrements SPF.
1- Un enregistrement SPF est un enregistrement de type TXT – à ne pas confondre avec le type SPF (utilisable, mais déconseillé).
2- Il ne doit y avoir qu'un seul enregistrement SPF par domaine. (Si vous avez plusieurs enregistrements DNS SPF, les opérateurs de messagerie ne sauront pas lequel utiliser, ce qui pourrait causer des problèmes d’authentification.)
Consultez vos enregistrements DNS depuis votre compte d’hébergement : vous ne voyez aucun enregistrement SPF ? Alors créez-en un. Sinon, vous modifierez l’enregistrement SPF existant.
Pour créer un nouvel enregistrement SPF
Ajoutez un nouvel enregistrement DNS de type TXT
Collez dans le champ Hôte le nom d’hôte figurant sur votre page Mailjet.
Dans certains cas, le fournisseur de nom de domaine a déjà renseigné le champ Hôte avec votre nom de domaine. Vérifiez bien que le nom d'hôte se termine par un point.
Pour authentifier un sous-domaine, c’est très simple : ajoutez le nom du sous-domaine suivi d'un point au début du champ Hôte.
Astuce : saviez-vous que le signe @ pouvait être utilisé dans le champ Hôte puisqu'il représente votre nom de domaine ? Au lieu de copier-coller vos valeurs, vous pouvez donc simplement insérer @
Insérez dans le champ Valeur TXT la valeur SPF figurant sur votre page Mailjet. (Selon votre fournisseur, vous devrez peut-être entourer la valeur TXT de guillemets doubles. En cas de doute, contactez votre hébergeur.)
Sauvegardez votre enregistrement.
Pour modifier un enregistrement SPF
Si un enregistrement SPF figure déjà, ajoutez simplement la partie « include » de votre valeur SPF au champ Valeur TXT de votre enregistrement SPF, puis enregistrez vos modifications.
Dans cet exemple, insérez include:spf.mailjet.com dans votre enregistrement SPF…
La nouvelle valeur TXT devient alors :
Une fois les changements enregistrés, il ne vous reste plus qu'à vérifier le statut DNS depuis votre page Mailjet.
8. Configuration d'un enregistrement DNS pour l’authentification DKIM
Pour bénéficier de l’authentification DKIM, vous allez devoir créer un nouvel enregistrement DKIM. (Votre domaine peut comprendre plusieurs enregistrements DNS DKIM sans que cela ne pose problème, contrairement à l’authentification SPF.)
Depuis votre compte d’hébergement, créez un nouvel enregistrement DNS de type TXT.
Dans le champ Hôte, ajoutez la valeur suivante : mailjet._domainkey.votredomaine.com.
(où votredomaine correspond au nom de domaine que vous souhaitez authentifier.)
Deuxième étape : copiez l’interminable valeur DKIM dans le champ Valeur TXT.
Selon votre hébergeur, vous devrez peut-être insérer des guillemets autour de la valeur TXT. (Vous ne savez pas s'il faut ajouter des guillemets ? Contactez l’équipe de support de votre fournisseur.)
De plus, certains fournisseurs ajouteront automatiquement le nom de domaine à la fin de la valeur du texte dans le champ "Hôte". Veuillez vérifier le texte dans le champ "Hôte" après avoir sauvegardé l'enregistrement.
Une fois votre nouvel enregistrement DKIM configuré, il ne vous reste plus qu'à vérifier le statut DNS depuis votre page Mailjet.
9. Vérification du statut DNS
Après le paramétrage de vos enregistrements SPF et DKIM, direction votre compte Mailjet pour cliquer sur le bouton « Forcer le rafraîchissement »
Une fois votre domaine authentifié, vous verrez apparaître le message vert « Tout va bien ! ».
Veuillez noter que vous devez forcer l’actualisation pour vérifier le statut, car Mailjet ne vérifie pas automatiquement les modifications SPF et DKIM. Les modifications de votre DNS peuvent prendre jusqu’à 24 heures pour atteindre le système Mailjet.
L’authentification ne fonctionne toujours pas 24 heures après la configuration ? Consultez la section Résolution des problèmes ou contactez votre hébergeur de domaine.
10. Résolution des problèmes
En cas de problèmes d’authentification, veuillez effectuer les vérifications suivantes.
SPF:
• L’enregistrement SPF est de type TXT
• Il n'y a qu'un seul enregistrement SPF pour votre domaine
• Le nom d’hôte est suivi d'un point
• Il faut peut-être inscrire la valeur TXT entre guillemets, selon votre hébergeur
DKIM:
• L’enregistrement DKIM est de type TXT
• Il peut exister plusieurs enregistrements DKIM pour votre domaine
• Le nom d’hôte est suivi d'un point
• Il faut peut-être entourer la valeur TXT de guillemets, selon votre fournisseur
Si, 24 heures après la configuration, l’authentification ne fonctionne pas, contactez votre fournisseur de nom de domaine.
Il vous est sûrement déjà arrivé de recevoir des mails qui semblaient provenir de votre banque, d'une compagnie de carte bancaire ou même de vous-mêmes, mais qui étaient faux. Les spammeurs peuvent en effet falsifier l'adresse d'expédition pour envoyer ce genre de messages. C'est là que le SPF (pour "Sender Policy Framework") intervient.
SPF est un système de validation qui permet aux services de messagerie (comme Gmail, Yahoo, etc.) de vérifier si un message qui leur parvient a été envoyé depuis un serveur autorisé. En se basant sur l'adresse IP utilisée lors de l'envoi ainsi que sur les enregistrements DNS de votre nom de domaine, ces services peuvent déterminer si le serveur qui les a contactés est autorisé à le faire. Si le message provient d'un serveur non-autorisé, il sera marqué comme spam pour ne pas leurrer le destinataire !
NB : L'authentification SPF et DKIM ne peut pas être effectuée pour les clients de messagerie gratuits tels que Google, Yahoo ou Hotmail. Vous devez utiliser uniquement des adresses email qui sont liées à votre site Internet, et non des adresses de clients de messagerie gratuits.
2.** Que signifie DKIM (Domain Keys Identified Mail) ?**
L’acronyme DKIM signifie « Domain Keys Identified Mail ». Il s’agit d’une méthode d’authentification par cryptage utilisée par de nombreux FAI pour établir si le courrier électronique provient d’un système autorisé et empêche les spammeurs de voler l’identité d’entités légitimes.
Comment ça marche exactement ?
DKIM permet d’ajouter une signature unique à l’en-tête du message pour chaque e-mail que vous envoyez.
Cette signature est spécifique à votre domaine et est générée par une clé privée. La clé publique correspondante est ajoutée à un enregistrement DNS pour votre domaine.
Lorsqu’un serveur de messagerie reçoit votre e-mail, il vérifie la clé publique pour déterminer si votre clé privée a été utilisée pour générer la signature
électronique. Si votre clé privée n’a pas été utilisée, l’e-mail est considéré comme une tentative de phishing ou de spam.
3.** Authentification SPF et DKIM**
Les systèmes d'authentification SPF et DKIM informent les fournisseurs de messagerie (comme Gmail et Yahoo!) que les emails entrants ont été envoyés par un expéditeur légitime, sans spam ni usurpation d’adresse.
Vous souhaitez définir Mailjet comme expéditeur légitime ? Vous devez pour cela configurer les paramètres d’authentification SPF et DKIM pour chacun de vos domaines d’envoi. Qui dit « enregistrements SPF et DKIM personnalisés » dit également « délivrabilité renforcée » : vous maximiserez ainsi vos chances d’atterrir dans la boîte de réception des destinataires plutôt que dans le dossier spam.
L’authentification SPF et DKIM passe par la configuration de votre domaine ; elle n’est donc compatible qu’avec un domaine personnalisé ou un domaine que vous possédez. Cela veut aussi dire que l’authentification SPF et DKIM est impossible pour les services de messagerie gratuits comme Gmail, Yahoo! et Hotmail.
Aperçu de la configuration
Pour configurer les paramètres d’authentification SPF et DKIM de votre domaine, il vous faut accéder aux enregistrements DNS de votre compte d’hébergement (OVH, 1&1, HostGator, etc.). Si vous ne les trouvez pas ou n'y avez pas accès, votre fournisseur d’hébergement est là pour vous aider !
Pour faire simple, l’authentification de votre nom de domaine nécessite de copier les clés SPF et DKIM de votre compte Mailjet pour les insérer dans les enregistrements DNS SPF et DKIM de votre compte d’hébergement.
Voici un exemple d’enregistrement SPF configuré :
Et un exemple d’enregistrement DKIM configuré :
5. Valeurs SPF et DKIM
A partir de la page de configuration des noms de domaine, vous pouvez consulter tous vos domaines d’envoi et leurs statuts SPF et DKIM respectifs.
Repérez le nom de domaine que vous souhaitez authentifier, puis cliquez sur « Gérer » pour consulter les valeurs SPF et DKIM.
Ne fermez surtout pas cette page : vous allez devoir copier-coller certaines des informations présentes dans vos enregistrements DNS.
6. Enregistrements DNS
Ouvrez un nouvel onglet ou une nouvelle fenêtre, puis rendez-vous dans la section dédiée à la création et à la consultation de vos enregistrements DNS, en vous connectant si besoin à votre compte d'hébergement. (Si vous ne savez pas exactement où se trouvent vos enregistrements DNS, votre fournisseur d’hébergement pourra vous renseigner.)
Dans cet exemple, nous allons utiliser un compte OVH.
Sachez que si l’affichage et les intitulés des enregistrements DNS diffèrent parfois, chaque DNS possède un nom, une valeur (des données) et un type d’enregistrement.
Afin d'authentifier votre domaine, vous aurez besoin d’un enregistrement DNS de type TXT pour votre SPF et d’un autre pour votre DKIM.
7. Configuration d'un enregistrement DNS pour l’authentification SPF
Deux choses sont à retenir à propos des enregistrements SPF.
1- Un enregistrement SPF est un enregistrement de type TXT – à ne pas confondre avec le type SPF (utilisable, mais déconseillé).
2- Il ne doit y avoir qu'un seul enregistrement SPF par domaine. (Si vous avez plusieurs enregistrements DNS SPF, les opérateurs de messagerie ne sauront pas lequel utiliser, ce qui pourrait causer des problèmes d’authentification.)
Consultez vos enregistrements DNS depuis votre compte d’hébergement : vous ne voyez aucun enregistrement SPF ? Alors créez-en un. Sinon, vous modifierez l’enregistrement SPF existant.
Pour créer un nouvel enregistrement SPF
Ajoutez un nouvel enregistrement DNS de type TXT
Collez dans le champ Hôte le nom d’hôte figurant sur votre page Mailjet.
Dans certains cas, le fournisseur de nom de domaine a déjà renseigné le champ Hôte avec votre nom de domaine. Vérifiez bien que le nom d'hôte se termine par un point.
Pour authentifier un sous-domaine, c’est très simple : ajoutez le nom du sous-domaine suivi d'un point au début du champ Hôte.
Astuce : saviez-vous que le signe @ pouvait être utilisé dans le champ Hôte puisqu'il représente votre nom de domaine ? Au lieu de copier-coller vos valeurs, vous pouvez donc simplement insérer @
Insérez dans le champ Valeur TXT la valeur SPF figurant sur votre page Mailjet. (Selon votre fournisseur, vous devrez peut-être entourer la valeur TXT de guillemets doubles. En cas de doute, contactez votre hébergeur.)
Sauvegardez votre enregistrement.
Pour modifier un enregistrement SPF
Si un enregistrement SPF figure déjà, ajoutez simplement la partie « include » de votre valeur SPF au champ Valeur TXT de votre enregistrement SPF, puis enregistrez vos modifications.
Dans cet exemple, insérez include:spf.mailjet.com dans votre enregistrement SPF…
La nouvelle valeur TXT devient alors :
Une fois les changements enregistrés, il ne vous reste plus qu'à vérifier le statut DNS depuis votre page Mailjet.
8. Configuration d'un enregistrement DNS pour l’authentification DKIM
Pour bénéficier de l’authentification DKIM, vous allez devoir créer un nouvel enregistrement DKIM. (Votre domaine peut comprendre plusieurs enregistrements DNS DKIM sans que cela ne pose problème, contrairement à l’authentification SPF.)
Depuis votre compte d’hébergement, créez un nouvel enregistrement DNS de type TXT.
Dans le champ Hôte, ajoutez la valeur suivante : mailjet._domainkey.votredomaine.com.
(où votredomaine correspond au nom de domaine que vous souhaitez authentifier.)
Deuxième étape : copiez l’interminable valeur DKIM dans le champ Valeur TXT.
Selon votre hébergeur, vous devrez peut-être insérer des guillemets autour de la valeur TXT. (Vous ne savez pas s'il faut ajouter des guillemets ? Contactez l’équipe de support de votre fournisseur.)
De plus, certains fournisseurs ajouteront automatiquement le nom de domaine à la fin de la valeur du texte dans le champ "Hôte". Veuillez vérifier le texte dans le champ "Hôte" après avoir sauvegardé l'enregistrement.
Une fois votre nouvel enregistrement DKIM configuré, il ne vous reste plus qu'à vérifier le statut DNS depuis votre page Mailjet.
9. Vérification du statut DNS
Après le paramétrage de vos enregistrements SPF et DKIM, direction votre compte Mailjet pour cliquer sur le bouton « Forcer le rafraîchissement »
Une fois votre domaine authentifié, vous verrez apparaître le message vert « Tout va bien ! ».
Veuillez noter que vous devez forcer l’actualisation pour vérifier le statut, car Mailjet ne vérifie pas automatiquement les modifications SPF et DKIM. Les modifications de votre DNS peuvent prendre jusqu’à 24 heures pour atteindre le système Mailjet.
L’authentification ne fonctionne toujours pas 24 heures après la configuration ? Consultez la section Résolution des problèmes ou contactez votre hébergeur de domaine.
10. Résolution des problèmes
En cas de problèmes d’authentification, veuillez effectuer les vérifications suivantes.
SPF:
• L’enregistrement SPF est de type TXT
• Il n'y a qu'un seul enregistrement SPF pour votre domaine
• Le nom d’hôte est suivi d'un point
• Il faut peut-être inscrire la valeur TXT entre guillemets, selon votre hébergeur
DKIM:
• L’enregistrement DKIM est de type TXT
• Il peut exister plusieurs enregistrements DKIM pour votre domaine
• Le nom d’hôte est suivi d'un point
• Il faut peut-être entourer la valeur TXT de guillemets, selon votre fournisseur
Si, 24 heures après la configuration, l’authentification ne fonctionne pas, contactez votre fournisseur de nom de domaine.
Mis à jour le : 25/06/2021
Merci !