Dialog Insight prend en charge l'ensemble de ces configurations, cliquez ici pour voir comment.

Cet article présente les éléments suivants : 

  • Authentification des courriels
  • Validation de l'authentification DMARC
  • Personnalisation des hyperliens

Authentification des courriels

L’authentification des courriels est ce qui permet de différencier les courriels légitimes des courriels indésirables qui utiliseraient votre domaine. Une bonne configuration prouve à vos destinataires que vos courriels sont légitimes et aide à bloquer les courriels qui ne le sont pas.

Une bonne authentification vous permet aussi d’établir votre réputation d’envoyeur, contribue à augmenter vos taux de livraison, réduit les risques que vos courriels soient filtrés et classés comme pourriels et à augmenter la confiance de vos destinataires envers vos communications électroniques.

À l’inverse, ne pas authentifier vos courriels vous expose à des risques. Si un serveur de réception ne peut prouver qu’un serveur a le droit de transmettre des courriels en votre nom, vous vous exposez aux conséquences principales suivantes :

  • Il sera plus difficile de créer et de maintenir une bonne réputation d’envoyeur, et cette réputation peut être facilement endommagée par une campagne de pourriels exploitant la réputation de votre domaine ;
  • Vos destinataires pourraient être avisés que les courriels « ne semblent pas provenir réellement de vos domaines », ou que l’origine du courriel ne peut être confirmée ;
  • Vos domaines pourraient facilement être exploités par des campagnes d’hameçonnage, puisque qu’il n’est pas possible de différencier vos courriels légitimes de ceux qui ne le sont pas.

Il existe deux façons d'authentifier les courriels :

  • Par signature DKIM
  • Par protocole SPF (si vous utilisez des adresses IP dédiées)

Il faut savoir que même si la signature DKIM ou le protocole SPF aident à prouver qu’un courriel est légitime, leur absence ou échec ne prouvent pas l’inverse.

Signature DKIM

La signature DKIM (Domain Keys Identified Mail) est un standard Internet qui est presqu’universellement supporté par les fournisseurs de courriels et systèmes anti-spam majeurs.

L’approche utilisée par DKIM est de valider que le courriel est autorisé par le propriétaire du domaine de l’expéditeur du courriel via l’ajout d’une signature digitale au courriel.

Cette signature est basée sur une paire de clés de cryptographie :

  • Le signataire (Dialog Insight dans ce cas) possède la partie privée de la clé, qui sert à signer les courriels.
  • La partie publique de la clé est inscrite dans les DNS du domaine pour lequel les courriels sont signés.

À la réception d’un courriel, un serveur de réception qui trouve une signature consultera les serveurs DNS pour récupérer la clé publique et utilisera cette clé pour valider la signature.

Une signature validée prouve 2 choses :

  1. Le courriel a été signé par un serveur (Dialog Insight) qui possède la clé privée. Il est donc autorisé à signer par le propriétaire du domaine (votre entreprise), puisque la présence de la clé publique dans vos DNS prouve que vous avez accepté que nous signions pour vous;
  2. Le courriel n’a pas été altéré en transit. Si le courriel avait été modifié, la signature ne serait plus valide.

La signature DKIM fonctionne de la façon suivante :

  • On insère une clé publique de plusieurs caractères alphanumériques dans les configurations de votre domaine.
  • Dialog Insight possède la clé privée. Le domaine qui reçoit le courriel vient de nos serveurs, mais comme nous possédons la clé privée, le courriel qui vient de Dialog Insight est donc authentifié.

Une clé publique DKIM ressemble à ce qui suit :

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCA"
"QEAz4XrZ/2W5t98RXqmss6SGdIezyrnUveUx0dY5ooktaYPIsxnj3cnoCh8"
"luPmHw/O1m8P/TEkQhGL8uqbegYiEO68ZeZIhhRhPk2rWGl4Ade9ROilrNK"
"GF+8EQ/pJsVPxAeLUSha3v+tgmgWuTkebVEACGQlCKWpuamcXvR/y2TTxSt"
"gOYi1QN0+VP89FcV7fn6zreI7TWiQ6kXLjCXW91RAml9ZlpL9ibTnvI1vOt"
"zWl0MhVg6E6JXjU8dfQL0jy9i0R75Glf9PgeD9fm6bGz1EY5H+T+3YjeFPm"
"eY/Zr2h3IBKzZ5TtE0n+FyypeiLH8zKtxHPkYuV3dnSdYqh6IwIDAQAB"

Pour en savoir plus sur DKIM : http://www.dkim.org/

Protocole SPF

Le protocole SPF est pris en charge automatiquement par Dialog Insight. Vous n’avez donc aucune configuration à faire pour respecter le
protocole SPF, à moins que vous n’utilisiez une adresse IP dédiée pour vos courriels. Dans un tel cas, la configuration nécessaire vous sera
fournie lors de la mise en place.

SPF (acronyme de Sender Policy Framework) est un protocole qui permet de déterminer si un courriel provient d’un serveur autorisé à utiliser un nom de domaine particulier pour livrer des courriels, en comparant son adresse IP à une liste d’adresses publiées dans les DNS du domaine de l’enveloppe SMTP du courriel.

Le schéma suivant donne un aperçu visuel de son fonctionnement.

L’enveloppe SMTP, c’est comme l’adresse de retour inscrite sur une enveloppe postale : une adresse potentiellement différente de celle inscrite en entête de la lettre qui se trouve à l’intérieur de l’enveloppe.

La configuration du protocole SPF est optionnelle puisque Dialog Insight prend en charge le SPF par défaut si vos envois se font à partir de nos adresses mutualisées.

Si vous utilisez des adresses IP dédiées, ou si vous souhaitez que les courriels transmis sur nos adresses mutualisées soient plus directement rattachés à votre domaine pour la gestion de la réputation, notre équipe technique pourra alors vous assister à configurer le SPF.

Comme pour le DKIM, il faudra alors transmettre à notre équipe technique la liste des domaines expéditeurs que vous utilisez et des entrées DNS vous seront fournies en retour. Une fois les entrées faites et validées, la configuration sera activée par notre équipe.

Validation de l'authentification DMARC

La mise en place d'une politique DMARC (Domain-based Message Authentication, Reporting and Conformance) permet à un envoyeur d'indiquer que ses courriels sont protégés par DKIM et/ou SPF et indique aux serveurs de réception ce qui devrait être fait lors de la réception d’un courriel non-authentifié – par exemple, rejeter le courriel ou le classer comme indésirable.

DMARC élimine l’incertitude à la réception : bien que le protocole SPF et la signature DKIM aident à prouver qu’un courriel est légitime, leur absence ou échec ne prouvent toutefois pas l’inverse.

Votre politique DMARC comble cette incertitude en vous permettant d’indiquer explicitement ce qui doit être fait avec un courriel non-authentifié.

 Pré-requisPour déployer une politique DMARC sécuritaire qui rejette les courriels qui échouent l’authentification, il est nécessaire que tous les courriels soient authentifiés correctement.

Comment faire

Le site https://dmarc.org contient toutes les ressources nécessaires pour permettre à votre équipe de comprendre DMARC, de préparer une politique appropriée, et de la tester.

Certains outils plus techniques sont aussi listés dans cette section : https://dmarc.org/resources/deployment-tools/

Personnalisation des hyperliens

Dialog Insight capture des statistiques sur les liens cliqués dans les communications et présente aussi certains formulaires automatiquement à vos contacts (notamment, les formulaires de désabonnement ou fonctionnalités pour consulter un message en ligne).

Pour ce faire, les liens que vous placez dans vos communications sont remplacés par des liens vers les serveurs de la plateforme.

Lorsqu'un contact clique sur un lien, ce lien dirige d’abord aux serveurs de Dialog Insight (où le clic est journalisé) avant d’être redirigé à la destination finale (sur votre site).

À la base, ces remplacements se font en utilisant un nom de domaine associé à la plateforme (exemple : app.dialoginsight.com).

Vos contacts pourraient cependant trouver ces liens suspects : pourquoi un lien dans une communication dirige-t-il à « app.dialoginsight.com», alors qu'ils ne connaissent pas ce site et ne l’associent certainement pas à votre entreprise?

Pour mettre vos destinataires en confiance et réduire les plaintes possibles d’hameçonnage, il est important de configurer un nom de domaine qui sera utilisé pour personnaliser les liens de suivi.