Vous avez associé un domaine personnalisé à Beehiiv ou reçu un avertissement critique indiquant que l'authentification DMARC est requise ? Pour garantir que la délivrabilité de votre newsletter reste optimale, vous devez configurer correctement vos protocoles d'authentification des e-mails.
Beehiiv gère SPF le DKIM de manière unique grâce à des enregistrements CNAME générés automatiquement, mais la mise en œuvre du DMARC reste une étape manuelle et obligatoire pour tous les domaines personnalisés. Ce guide présente les étapes de configuration détaillées, les particularités propres à chaque plateforme et la marche à suivre pour vérifier que votre configuration fonctionne parfaitement.
Points clés à retenir
- Génération automatisée SPF DKIM : Beehiiv génère automatiquement SPF DKIM sous forme d'enregistrements CNAME lors de la configuration d'un domaine personnalisé. Il vous suffit de les copier chez votre fournisseur DNS, sans avoir à rédiger vous-même les lignes TXT brutes.
- Retard lié au message « Not Found » de DKIM : il est tout à fait normal de voir s'afficher le statut « Not Found » immédiatement après la configuration. La vérification DKIM de Beehiiv nécessite que le trafic de courrier sortant déclenche la détection.
- Piège lié au proxy Cloudflare : si votre DNS est géré via Cloudflare, assurez-vous que vos enregistrements d'authentification sont configurés sur « DNS uniquement ». Beehiiv ne peut ni détecter ni vérifier les enregistrements « via proxy ».
- Délai d'attente de 72 heures : la propagation du domaine peut prendre jusqu'à 72 heures. Évitez de supprimer puis de rajouter vos enregistrements pendant cette période afin d'éviter toute limitation de débit imposée par le fournisseur SSL de Beehiiv.
Ce que Beehiiv configure automatiquement (et ce que vous devez encore faire)
Lorsque vous utilisez l'infrastructure de sous-domaines par défaut de Beehiiv, les protocoles d'authentification par e-mail sont entièrement préconfigurés. Cependant, dès que vous connectez un domaine personnalisé, l'authentification de la propriété du domaine relève de votre responsabilité.
Pour protéger votre marque et améliorer votre référencement :
- Sender Policy Framework (SPF): Spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Beehiiv gère cela via des clés CNAME spécialisées.
- DomainKeys Identified Mail (DKIM): Ajoute une signature numérique cryptographique aux en-têtes de vos messages, confirmant que l'e-mail a bien été envoyé par vous et qu'il n'a pas été altéré pendant son acheminement.
- Authentification, signalement et conformité des messages basés sur le domaine (DMARC): s'appuie sur les statuts SPF DKIM pour mettre en œuvre des mesures coercitives (telles que la notification, la mise en quarantaine ou le rejet des e-mails non autorisés).
Alors que Beehiiv gère les paramètres de votre domaine personnalisé à l'aide d'enregistrements de suivi dynamiques, vous devez déclarer le DMARC séparément et manuellement auprès de votre registraire de domaine.
Comment ajouter un domaine personnalisé et configurer les enregistrements SPF
Étape 1 : Lancer la configuration du domaine personnalisé
1. Connectez-vous à votre tableau de bord Beehiiv.
2. Rendez-vous dans le coin inférieur gauche et cliquez sur « Paramètres ».
3. Sélectionnez l'onglet « Domaines », puis repérez et cliquez sur le bouton « Configurer un domaine personnalisé ».
4. Saisissez votre domaine racine ou le sous-domaine de votre choix, définissez vos préférences de redirection (il est fortement recommandé d'activer la redirection www afin que votre publication soit toujours accessible) et indiquez le domaine d'envoi que vous avez choisi.
Étape 2 : Vérification et création des enregistrements DNS
1. Accédez à l'écran « Vérification et configuration » et vérifiez que les informations relatives à votre domaine sont tout à fait exactes.
2. Cliquez sur « Terminer la configuration ».
3. Beehiiv vous fournira instantanément votre configuration DNS unique. Le système génère un ensemble complet d'enregistrements Web, de routage et de liaison, parmi lesquels trois enregistrements CNAME spécifiques sont exclusivement dédiés à la mise en place de votre infrastructure SPF DKIM.
Étape 3 : Choisissez la configuration « Entri » (automatisée) ou la configuration manuelle
Beehiiv propose deux méthodes pour enregistrer des entrées auprès de votre fournisseur DNS :
- Entri (automatisé): si votre fournisseur de nom de domaine est pris en charge par le partenaire automatisé de Beehiiv, vous pouvez autoriser Entri à se connecter en toute sécurité à votre registraire et à enregistrer automatiquement les enregistrements générés. Cette option permet de réduire au minimum les erreurs liées au copier-coller manuel.
- Configuration manuelle : pour les registraires non pris en charge ou les administrateurs qui préfèrent restreindre l'accès automatisé au panneau de configuration, vous pouvez copier manuellement chaque hôte et chaque valeur « point-to ».
Étape 4 : Ajouter les enregistrements CNAME pour SPF
1. Connectez-vous directement à votre registraire de domaine ou à votre gestionnaire de DNS externe.
2. Créez une nouvelle entrée pour chacune des trois chaînes d'authentification Beehiiv générées automatiquement :
- Type : CNAME
- Hôte/Nom : collez la clé d'hôte exacte générée par Beehiiv (par exemple, bh._domainkey). Remarque : certains panneaux de gestion DNS n'exigent que le préfixe du sous-domaine ; vérifiez les règles de formatage de votre hébergeur.
- Cible/Valeur : collez la chaîne de caractères de destination fournie par le panneau.
- TTL : Laisser sur « Auto » ou « 1 heure ».
3. Remarque concernant Cloudflare : si votre DNS passe par Cloudflare, modifiez le statut du proxy pour ces enregistrements en passant de « Proxied » (nuage orange) à « DNS Only » (nuage gris). Beehiiv ne peut pas lire les enregistrements masqués par un pare-feu proxy.
4. Enregistrez chaque entrée de manière sécurisée.
Étape 5 : Vérifiez vos modifications
1. Retournez sur votre tableau de bord Beehiiv et cliquez sur « Vérifier la configuration ».
2. Un domaine dont l'authentification a abouti affichera une coche de vérification accompagnée d'une bannière d'état « E-mail » au niveau de la rubrique du domaine.
3. Si la validation n’est pas immédiatement confirmée, patientez le temps nécessaire à la mise à jour de la mise en cache globale. La propagation peut prendre jusqu’à 72 heures. Ne modifiez pas, ne supprimez pas et ne réinitialisez pas les enregistrements pendant cette période de validation, car cela entraînerait des blocages liés à la limitation du nombre de certificats émis par le service d’émission SSL de Beehiiv.
Étape 6 : Ajouter l'enregistrement DMARC de Beehiiv
Pour générer un enregistrement DMARC correct et complet, vous pouvez utiliser le générateur d'enregistrements DMARC gratuit de PowerDMARC.
1. Accédez à l'outil « DMARC Record Generator » :
Voici ce que signifient les nouvelles balises :
np (Politique relative aux sous-domaines inexistants)
La balise « np » cible les sous-domaines qui renvoient une réponse DNS « NXDOMAIN » (c'est-à-dire qui n'existent pas).
t (mode test)
La balise « t » est venue remplacer la balise « pct » (pourcentage) et vous permet de tester plus facilement les politiques strictes. Plus important encore, la valeur « t=y » ne désactive pas votre politique DMARC.
psd (domaine à suffixe public)
Le format PSD est utilisé pour le domaine organisationnel lors de l'évaluation DMARC, principalement pour les domaines à suffixe public et les hiérarchies de domaines personnalisées.
2. Sélectionnez la règle « p=none » (c'est-à-dire « surveillance uniquement ») afin de pouvoir examiner votre trafic de messagerie avant de passer à « quarantine » (application souple) ou « p=reject » (application stricte).
Remarque
Ne passez pas directement à « p=reject », car cela pourrait bloquer vos propres e-mails professionnels légitimes. Commencez toujours par « p=none ». Ce n’est qu’après avoir vérifié et vous être assuré que tous les expéditeurs légitimes sont correctement configurés que vous pourrez passer à des règles plus strictes.
3. Saisissez votre adresse e-mail dans le champ « Reporting » (Rapports) pour recevoir vos rapports agrégés DMARC RUA.
4. Copiez l'enregistrement DNS de type TXT, puis collez-le dans votre console de gestion DNS.
5. Accédez à votre console de gestion DNS. Ajoutez l'enregistrement que vous avez copié :
- Type : TXT
- Hôte/Nom : _dmarc (ou _dmarc.votredomaine.com)
- Valeur : [Collez la valeur TXT DMARC générée]
6. Enregistrez l'enregistrement.
Remarque de Cloudflare : si votre DNS passe par Cloudflare, modifiez le statut du proxy pour ces enregistrements en passant de « Proxied » (nuage orange) à « DNS Only » (nuage gris). Beehiiv ne peut pas lire les enregistrements masqués par un pare-feu proxy.
Étape 7 : Vérifier la propagation
Une fois l'enregistrement effectué, vous pouvez utiliser l'outil « DMARC Checker » de PowerDMARC pour vérifier que votre nouvel enregistrement est bien résolu à l'échelle mondiale.
Le déploiement progressif du protocole DMARC
Ne vous précipitez pas dans la mise en place d'une politique d'exécution restrictive. Une stratégie DMARC bien conçue repose sur une progression délibérée et progressive afin d'éviter de bloquer les flux de courriers légitimes.
[Phase 1 : Surveillance (p = aucune)] ➔ [Phase 2 : Quarantine quarantine)] ➔ [Phase 3 : Rejet (p = rejet)]
| Phase | Balise de politique | Impact opérationnel |
|---|---|---|
| Semaines 1 à 4 | p=none | Mode de surveillance : collecter des données de télémétrie de diagnostic au format XML. Surveillez l'ensemble de vos expéditeurs, vérifiez que Beehiiv fonctionne correctement et résolvez toute anomalie à la source sans nuire à la délivrabilité. |
| Semaines 5 à 8 | quarantine | Application souple : les e-mails qui ne passent pas les contrôles d'authentification sont automatiquement redirigés de la boîte de réception vers les dossiers de courrier indésirable ou de spam. Profitez de cette période pour vérifier qu'aucun outil légitime ne présente de dysfonctionnement. |
| Semaine 9 et suivantes | p=rejeter | Application stricte : les e-mails malveillants, non authentifiés ou usurpés qui tentent de se faire passer pour votre domaine sont immédiatement rejetés au niveau du serveur de réception. |
Remarque : les données XML DMARC brutes présentent une structure complexe et sont difficiles à lire manuellement. Le traitement de vos flux de données via notre plateforme DMARC Analyzer permet de convertir les journaux XML bruts en un tableau de bord intuitif et lisible par l'utilisateur, qui présente clairement les pourcentages de réussite et d'échec pour l'ensemble de votre profil d'expéditeur.
Problèmes courants liés à l'authentification par e-mail sur Beehiiv
DKIM affiche « Not Found » juste après la configuration
- Problème : vos éléments SPF DMARC sont signalés par des coches vertes, mais l'interface de Beehiiv indique que le DKIM est manquant ou non vérifié.
- Raison : les clés DNS statiques sont lues instantanément, mais la plateforme interne de Beehiiv valide les signatures DKIM de manière dynamique en analysant l'enveloppe d'un e-mail signé pendant son transit. Si votre nouveau domaine personnalisé ne présente aucun historique d'envoi, il n'y a donc aucun élément à évaluer.
- Solution : envoyez un e-mail de test en temps réel ou configurez une séquence d'accueil automatisée vers votre propre compte. Dès que le système de messagerie détectera une transaction active, le statut de l'interface passera à « actif ».
Le domaine ne peut pas être vérifié après l'ajout d'enregistrements dans Cloudflare
- Symptôme : chaque enregistrement reflète parfaitement les éléments de données présents dans Beehiiv, mais les contrôles de validation aboutissent systématiquement à un délai d'expiration ou échouent.
- Raison : la configuration par défaut du proxy Cloudflare masque les données DNS structurelles derrière son propre réseau d'optimisation en périphérie.
- Solution : accédez à votre console DNS Cloudflare, cliquez sur « Modifier » pour chacun des trois enregistrements CNAME pointant vers Beehiiv, puis basculez le commutateur de « Proxied » (nuage orange) à « DNS Only » (nuage gris).
La vérification est bloquée depuis plus de 72 heures
- Symptôme : l'état de traitement du domaine reste bloqué en boucle « en attente » bien au-delà de la fenêtre prévue.
- Cause : ce problème survient généralement lorsque vous supprimez puis rajoutez des enregistrements pendant la fenêtre de propagation initiale, ce qui déclenche les limites de débit de sécurité mises en place par le fournisseur SSL automatisé de Beehiiv.
- Solution : Ne modifiez en aucun cas les entrées. Si la validation reste bloquée au bout de 72 heures, utilisez l'assistant chatbot intégré à l'application Beehiiv pour alerter leur service d'assistance technique.
Conflit lié à l'adresse e-mail privée chez Namecheap
- Symptôme : vos flux de messagerie principaux cessent de fonctionner ou la configuration des domaines entraîne des blocages systématiques, exclusivement sur les domaines hébergés par Namecheap.
- Cause : le choix du mot « mail » comme sous-domaine d'envoi (par exemple, mail.votredomaine.com) entraîne un conflit d'architecture avec les règles de routage du serveur de messagerie privé de Namecheap.
- Solution : choisissez une autre variante pour le préfixe du sous-domaine utilisé pour l'envoi de votre newsletter (par exemple « news », « letters » ou « send »). Le système de validation de Beehiiv signale automatiquement ce problème spécifique lors des étapes de configuration initiale.
Le DMARC échoue alors que SPF le DKIM sont validés séparément
- Symptôme : une analyse approfondie de l'en-tête du message révèle des entrées individuelles « spf » et « dkim=pass », mais le système signale globalement une erreur « dmarc=fail ».
- Cause : erreur d'alignement. Le protocole DMARC exige que le domaine chargé de l'authentification SPF corresponde au domaine racine indiqué dans le champ « De : » visible.
- Solution : Vérifiez que la configuration de votre domaine d'envoi dans Beehiiv correspond bien à l'identité du domaine qui apparaît dans les adresses « De : » de vos campagnes publiques.
Comment vérifier que tout fonctionne correctement
Pour vérifier que la configuration de l'authentification par e-mail est correcte, suivez les étapes de validation suivantes :
- Tester l'envoi d'un e-mail sortant : envoyez un message de test depuis votre compte Beehiiv vers une boîte de réception externe (par exemple, une adresse Gmail personnelle). Ouvrez l'affichage des en-têtes bruts (« Afficher l'original » dans Gmail) et vérifiez que les mentions SPF: PASS », « DKIM : PASS » et « DMARC : PASS » apparaissent clairement dans la section d'authentification.
- Effectuez une rechercheSPF : vérifiez que vos clés publiques s'affichent correctement, sans problème de formatage syntaxique.
- Effectuez une recherche d'enregistrement DKIM: assurez-vous que les configurations de vos clés cryptographiques sont correctement publiées sur l'ensemble des serveurs de noms mondiaux.
- Lancez un outil de vérification des enregistrements DMARC: assurez-vous que les balises de votre politique correspondent bien aux paramètres d'application que vous avez définis.
- Évaluez la note globale de votre domaine : collez directement l'adresse racine de votre site web dans l'outil complet d'analyse de domaine PowerDMARC pour obtenir un score de diagnostic complet couvrant l'état de votre sécurité et de votre authentification par e-mail.
Bonnes pratiques en matière d'authentification des e-mails avec Beehiiv
- Déploiement proactif : veillez à toujours configurer vos enregistrements SPF DKIM avant de programmer l'envoi de votre première campagne d'envergure, afin de préserver votre réputation d'expéditeur dès le départ.
- Ne négligez jamais le DMARC : le DMARC est une exigence de conformité obligatoire pour tous les domaines personnalisés sur Beehiiv. Ne pas le respecter peut entraîner des problèmes de délivrabilité ou une mise en non-conformité du compte.
- Évitez une mise en œuvre précipitée : n’appliquez jamais une règle de rejet dès le premier jour. Mettez en place vos politiques progressivement, dans le cadre d’un déploiement surveillé et par étapes, afin d’éviter de bloquer accidentellement vos propres e-mails légitimes.
- Vérifier les modifications futures concernant l'envoi : si vous migrez vers des plateformes auxiliaires ou intégrez un logiciel transactionnel externe à votre domaine à l'avenir, revérifiez votre configuration DNS pour vous assurer que ces outils n'entrent pas en conflit avec votre configuration Beehiiv.
Foire aux questions
Beehiiv configure -t-il automatiquement les protocoles SPF et DKIM ?
Oui, mais uniquement si vous utilisez le sous-domaine par défaut *.beehiiv.com. Si vous hébergez votre newsletter sur un domaine personnalisé, Beehiiv génère automatiquement des enregistrements CNAME personnalisés que vous devez copier et publier dans le panneau DNS de votre domaine.
Le protocole DMARC est-il obligatoire sur Beehiiv ?
Oui. Depuis février 2024, Beehiiv impose la mise en œuvre obligatoire du protocole DMARC pour tous les domaines personnalisés, afin de se conformer aux normes de sécurité des fournisseurs de messagerie et de se prémunir contre l'usurpation de domaine.
Pourquoi mon enregistrement DKIM Beehiiv s'affiche-t-il comme « Introuvable » ?
Contrairement aux enregistrements statiques, Beehiiv vérifie le DKIM de manière dynamique en analysant les e-mails réels en cours de transmission. Il suffit d'envoyer un e-mail de test ou une newsletter depuis votre compte pour déclencher la vérification.
Combien de temps dure la vérification de domaine sur Beehiiv ?
La propagation complète des modifications DNS à l'échelle mondiale prend généralement entre quelques minutes et 72 heures. Évitez de modifier ou de rajouter vos enregistrements pendant cette période afin d'éviter les limitations de débit imposées par votre fournisseur de sécurité.
Puis-je utiliser Beehiiv avec le DNS de Cloudflare ?
Tout à fait. Cependant, vous devez modifier le statut du proxy de vos enregistrements CNAME d'authentification Beehiiv, en passant de « Proxied » (nuage orange) à « DNS Only » (nuage gris) ; sinon, les contrôles de validation échoueront.
Par quelle politique DMARC devrais-je commencer sur Beehiiv ?
Commencez toujours par une politique de « surveillance uniquement » (p = aucune). Cela vous permet de collecter des rapports de délivrabilité et de corriger d'éventuels problèmes d'alignement avant de passer en toute sécurité à des politiques d'application plus strictes, telles que quarantine le rejet.
