Une fois identifiés, il vous faudra avec SPF/DKIM authentifier de manière optimale les e-mails émis par les systèmes émetteurs légitimes .

Cloisonnement des domaines émetteurs :

Pour faciliter l'authentification des flux e-mails et cloisonner les réputations et la sécurité "e-mail" des différents émetteurs de votre entreprise, nous vous conseillons de considérer de dédier des sous-domaines de votre domaine à chacun de vos services émetteurs d'e-mail : noreply@rh.domaine.com, noreply@marketing.domaine.com, noreply@fournisseursA.domaine.com

Cette tâche est parfois fastidieuse au début, mais elle vous permettra d'assurer une meilleure maitrise et maintenabilité des services et fournisseurs autorisés à émettre des e-mails avec votre nom de domaine.

De plus, ce cloisonnement est très important notamment pour les systèmes de "notifications" ou de "marketing automation" qui peuvent impacter la réputation des e-mails "critiques" de votre entreprise. Pour améliorer la réputation "e-mail" de votre domaine principal, il convient donc de "cloisonner" dans leurs propres sous domaines ces systèmes et applications émettant des e-mails pouvant s'apparenter à des spams pour certains destinataires.

Identifier les serveurs DNS de vos domaines et sous domaines :

L'identification des personnes en charge de la gestion des DNS autoritaires sur vos domaines et sous domaines est une étape importante. En effet, certains domaines peuvent être gérés par votre service informatique tandis que leurs sous-domaines peuvent être gérés par des filiales ou des fournisseurs.

Pour chaque intervenant il convient de connaître leurs contacts et leurs processus afin de synchroniser, avec efficacité, les configurations intervenant sur les systèmes émetteurs et la gestion des enregistrements DNS permettant l'authentification des e-mails avec SPF et DKIM.

Enfin l'identification des serveurs DNS est importante afin de s'assurer que les serveurs DNS sont configurés de manière redondante et hautement disponible. En effet, certains sous-domaines peuvent être délégués à des fournisseurs ne disposant pas de serveurs DNS hautement disponibles. Une perte de disponibilité d'un service DNS peut dans certains cas de figure impacter la délivrabilité des e-mails. Il convient donc dans le plan d'authentification des e-mails d'envisager les scénarios ou un serveur DNS ne répondrait plus.

Authentification des e-mails avec SPF/DKIM :

Après avoir défini le cloisonnement souhaité pour vos flux e-mails et avoir identifié les serveurs DNS faisant référence pour vos domaines, il est maintenant possible de commencer l'authentification de vos flux e-mails :

Pour ce faire vous devez être en mesure de savoir dans quels cas il sera judicieux d'utiliser DKIM et/ou SPF :

DKIM: Lorsque vos systèmes le supportent, nous vous conseillons d'implémenter DKIM. Son installation peut dans certains cas être compliquée pour les novices mais c'est l'authentification la plus puissante car elle "colle" à l'e-mail émis par vos systèmes même lorsque ce dernier est "redirigé/forwardé" par un système destinataire. La plupart des systèmes émetteurs vous permettent d'authentifier vos e-mails avec DKIM : M365, Gsuite, Amazon SES, Sendgrid, Sendinblue, mailchimp, mailjet, proofpoint, postfix, etc.
SPF: L'authentification SPF est beaucoup plus simple mais est à utiliser en connaissance de cause. Basée sur l'IP d'émission, cette authentification "casse" si le système de réception du destinataire "redirige/forward" cet e-mail vers un autre système. De plus, SPF concerne l'authentification de l'adresse e-mail spécifiée dans le "return path"/"envelope from" d'un mail. Cette adresse e-mail est invisible dans un client de messagerie comme Outlook/Gmail. Cette dernière sert d'adresse de retour technique afin de recevoir les notifications de non réception d'un e-mail émis. Autant dire que si vous utilisez des MTA tels que Amazon SES et Mailchimp, configurer SPF ne sert souvent à rien. En effet, sans paramétrage avancé, Mailchimp et Amazon SES émettent par défaut des e-mails avec leurs propres adresses e-mails dans le champs "return path"/"Envelope from" afin de générer des rapports de "non livraison" et pour bannir les mauvais utilisateurs qui spamment avec leurs plateformes lorsque le % de "non livraison" des e-mails atteint un certain seuil. Enfin, il est important de connaitre les limitations d'un champs SPF : taille maximale, nombre de mécanismes de redirection maximum, etc.

Configurer SPF et DKIM est chose aisée, le plus difficile est l'analyse technique initiale permettant de détecter les systèmes émetteurs légitimes et de comprendre le fonctionnement et les limites des différents systèmes émettant des e-mails au sein d'une entreprise : postfix, sendgrid, powermta, exchange online, proofpoint, mailchimp, mailjet, eskerondemand, etc.

Enfin, il convient d'être flexible dans son approche et d'être force de proposition lorsqu'aucune solution privilégiée n'est pas possible, par exemple en configurant des exceptions "DMARC" lorsqu'aucun scénario d'authentification n'est possible.