DMARC peut être mis en œuvre dans le secteur du courrier électronique lorsque les organisations ont besoin d'une garantie supplémentaire qu'un message électronique n'est pas frauduleux ou usurpé.
Ces politiques sont conçues pour empêcher les transmissions falsifiées qui pourraient être utilisées dans le cadre d'attaques par hameçonnage, de pourriels et de déni de service distribué.
Malheureusement, des courriels légitimes peuvent également échouer à la validation DMARC - avec un message indiquant "courriel rejeté selon la politique DMARC" - ce qui peut nuire à l'expérience de l'utilisateur.
Les causes possibles sont les suivantes :
- Les enregistrements SPF ne sont pas mis en œuvre correctement
- DKIM ne fonctionne pas comme prévu
- Les enregistrements DNS ne sont pas configurés correctement.
Nous allons étudier en détail les raisons qui peuvent amener les serveurs de réception à renvoyer l'erreur "email rejected per DMARC policy", dans notre prochaine section.
E-mails rejetés par la politique DMARC : Les raisons et leur dépannage
Recevez-vous des messages indiquant "email rejected per DMARC policy" ? Découvrez la cause profonde de ce problème et comment vous pouvez le résoudre.
Raison 1 : l'enregistrement d'authentification DKIM n'est pas défini.
Le site DKIM est nécessaire pour que votre courriel passe le test DMARC.
Cet enregistrement permet au destinataire de voir que le courriel provient d'une personne qui possède le nom de domaine en question. Plutôt que d'un imposteur qui tente de se faire passer pour cette personne.
Par conséquent, le domaine à partir duquel vous envoyez des messages doit disposer d'un enregistrement valide pour DKIM pour que les courriels passent le contrôle DMARC et soient remis à l'utilisateur.
Comment résoudre les problèmes ?
Vous pouvez résoudre le problème "email rejected per DMARC policy" en configurant et en activant l'authentification DKIM.
Lorsque DKIM est activé, le serveur de messagerie de votre domaine génère une signature numérique unique pour chaque message envoyé par le domaine. Et l'ajoutera à l'en-tête du message.
Le récepteur télécharge ensuite la clé publique nécessaire pour vérifier la signature numérique et la décrypte à l'aide de sa clé privée.
Pour configurer l'authentification DKIM, vous devez suivre les étapes suivantes :
1. Configurez votre serveur de noms de domaine de manière à ce qu'il publie des informations sur votre domaine, notamment les clés publiques et privées associées aux signatures DKIM.
- Vous pouvez trouver la paire de clés publique et privée de votre domaine de messagerie dans les paramètres de votre serveur web ou sur le site web de votre fournisseur DNS.
- Si vous n'en avez pas encore, vous pouvez le générer en utilisant un outil en ligne tel que Outil de génération d'enregistrements DKIM
2. Allez dans vos paramètres DNS. Créez un enregistrement TXT qui contient la clé publique, que vous utiliserez pour signer les e-mails sortants. Créez un enregistrement DKIM, qui contient la clé privée et d'autres informations sur l'implémentation DKIM de votre domaine.
Cela ressemblera à quelque chose comme ceci :
| exemple.com IN TXT "v=DKIM1 ; k=rsa ; p=[clé publique]" |
3. Configurez votre logiciel de messagerie pour qu'il utilise les signatures DKIM lors de l'envoi de courrier depuis votre domaine. (Vous devrez peut-être consulter votre fournisseur de services de messagerie).
OU,
Vous pouvez également mettre en œuvre SPF à la place de DKIM, ce qui vous aidera également à résoudre le problème.
Raison 2 : Le SPF pour le domaine est configuré pour ne pas autoriser les alias de courriel.
Lorsque des courriels sont envoyés via un alias, ils peuvent être rejetés par la politique SPF du domaine récepteur. Cela signifie que les courriels envoyés par un alias ne sont pas reconnus comme légitimes. Et sont donc rejetés par le domaine récepteur.
Par exemple, si vous avez une adresse électronique john@example.com et que vous envoyez un courrier électronique via un alias Gmail, tel que johndoe@gmail.com il sera rejeté parce que la politique SPF est configurée pour ne pas autoriser les alias de courriel.
Comment résoudre les problèmes ?
L'ajout d'un enregistrement SPF d'alias de courriel à l'enregistrement SPF de votre domaine est un processus simple. Mais il est important de s'assurer que vous le faites correctement.
1. Tout d'abord, vous devez obtenir l'enregistrement SPF correct pour votre alias de messagerie.
Par exemple, si vous envoyez par Gmail, vous pouvez trouver l'enregistrement SPF de l'alias de Gmail. enregistrement SPF de l'alias Gmail en allant sur la page de documentation des développeurs de Google pour copier l'enregistrement qui est :
| v=spf1 include:_spf.google.com ~all |
Si vous utilisez Outlook ou Yahoo comme fournisseur de messagerie, vous devez ajouter leurs enregistrements SPF à l'enregistrement SPF de votre domaine. Vous pouvez les trouver sur leurs sites Web ou en les recherchant en ligne. Nous avons listé ci-dessous quelques suggestions pour les principaux fournisseurs :
Email rejeté par la politique DMARC pour zoho.com
Pour résoudre cette erreur, vous devez configurer SPF, DKIM, et DMARC pour Zoho en utilisant les spécifications explicitement mentionnées par eux, tous les articles qui ont été couverts sur notre page de solutions.
Le support de Zoho recommande également d'essayer d'envoyer des e-mails uniquement par Zoho Webmail ou à partir d'un serveur SMTP authentifié pour éviter les rejets d'e-mails.
Email rejeté par la politique DMARC pour yahoo.co.uk
Vous pouvez rencontrer ce message pour les raisons suivantes, énumérées par le support Yahoo :
- Vous envoyez des e-mails à partir d'un serveur non authentifié.
- Vous n'avez pas inclus yahoo.co.uk comme source d'envoi autorisée dans l'enregistrement SPF de votre domaine.
Vous pouvez facilement résoudre cette erreur en apportant les modifications nécessaires à vos enregistrements DNS.
2. Maintenant, allez dans l'outil de gestion des DNS de votre registraire de domaine. Et cherchez une entrée TXT avec le nom _spf. Cela vous mènera aux enregistrements SPF des adresses e-mail de votre domaine.
3. Collez maintenant l'enregistrement SPF de l'alias d'email (que vous avez copié à l'étape 1) dans le fichier d'enregistrement SPF de votre domaine.
Raison 3 : Le champ "FROM" doit être mis à jour.
Lorsque vous envoyez un courriel à partir d'une adresse qui ne correspond pas à celle indiquée dans le champ "FROM" de votre message, celui-ci sera rejeté par DMARC comme étant du spam ou du phishing.
Pour que ce message soit livré avec succès, vous devez mettre à jour le champ "FROM" en utilisant la page de paramètres du fournisseur de messagerie.
Au lieu d'utiliser le paramètre "FROM", vous pouvez utiliser le paramètre "REPLY-TO" pour envoyer des messages électroniques à partir de n'importe quelle adresse conforme à la norme DMARC. Vous pourrez ainsi envoyer vos messages sans qu'ils soient rejetés par le fournisseur de services de messagerie du destinataire.
Comment résoudre les problèmes ?
Pour résoudre ce problème, vous devez mettre à jour votre champ "FROM" pour utiliser l'adresse électronique de votre marque. Vous pouvez le faire en mettant à jour les paramètres de configuration de votre compte de messagerie.
Par exemple, si vous utilisez Gmail, vous devez suivre les étapes suivantes :
- Allez dans votre boîte de réception et cliquez sur le message de Gmail.
- Sur le côté droit de la boîte de message, il devrait y avoir un bouton qui dit "Plus d'actions". Cliquez sur ce bouton, puis sur "Afficher l'original".
- Dans la nouvelle fenêtre qui s'ouvre, faites défiler la liste jusqu'à ce que vous voyiez "À :" et remplacez-la par l'adresse électronique de votre marque.
- Cliquez ensuite sur "Enregistrer les modifications" au bas de la page.
- Vous devriez maintenant être en mesure d'envoyer des courriels par l'intermédiaire de Gmail sans qu'ils soient marqués comme "email rejected per DMARC policy".
Voici un exemple :
| $headers = 'From : user@example.com' . " " .
Reply-To : user@gmail.com' . " " . 'X-Mailer : PHP/" . phpversion() ; |
Plus d'informations
Lorsque nous parlons de rebond d'e-mail, nous parlons généralement de l'e-mail qui renvoie à l'expéditeur parce qu'il n'a pas pu être livré en raison d'erreurs de politique DMARC. Mais il existe plusieurs autres raisons pour lesquelles un courriel peut ne pas arriver.
Rebonds d'e-mails
Les rebonds d'e-mails sont un problème courant qui se produit lorsqu'un e-mail est envoyé à un destinataire, mais que la boîte aux lettres du destinataire est pleine (soft bounce) ou n'existe pas (hard bounce). Votre courriel peut alors vous être renvoyé avec un message d'erreur.
Emails envoyés dans le dossier Spam
Lorsque vous envoyez un courrier électronique, celui-ci passe par plusieurs serveurs et réseaux avant d'atteindre sa destination. Chaque serveur et réseau doit examiner le message pour y déceler des caractéristiques de spam avant de le transmettre à l'étape suivante. Si un serveur ou un réseau estime qu'un message présente suffisamment de caractéristiques de spam, il le rejette et l'envoie dans le dossier spam.
De nombreux filtres anti-spam examinent le nombre de fois qu'un courriel a été envoyé et la fréquence à laquelle il a été ouvert. Si votre message est envoyé à 100 personnes qui ne l'ont jamais ouvert auparavant, c'est un signal d'alarme. Si toutes ces personnes cessent soudainement de l'ouvrir, c'est un autre signal d'alarme. Et si votre lien de désabonnement se trouve au bas d'un courriel et n'est pas facile à trouver, c'est également un signal d'alarme.
Alors comment faire pour que vos courriels ne soient pas classés comme spam ?
Tout d'abord, assurez-vous que tous les destinataires figurent sur votre liste. Vous devez également éviter d'envoyer de grandes quantités de messages en une seule fois. Attendez au moins 24 heures entre chaque lot. Ainsi, vos contacts auront la possibilité de les ouvrir.
Deuxièmement, veillez à ce que votre lien de désabonnement soit visible dans tous les messages que vous envoyez. Ainsi, les destinataires peuvent facilement se désabonner des messages indésirables sans avoir à les chercher.
Conclusion
L'essentiel est que si vous voulez que vos courriels soient reçus correctement par les destinataires, vous devez vous assurer qu'ils sont conformes à la politique politique DMARC. La bonne nouvelle est que ce n'est pas difficile à faire. Il suffit de vérifier que l'enregistrement DKIM est présent, de mettre à jour l'enregistrement SPF si nécessaire et de s'assurer que le champ "FROM" est correctement défini.
Et si vous avez besoin d'aide pour configurer vos enregistrements ou si vous voulez simplement vous assurer que tout est en ordre pour votre domaine, nous sommes là pour vous aider ! Inscrivez-vous à un essai gratuit de DMARC avec PowerDMARC et confiez-nous le reste de vos implémentations, le suivi et la gestion !
