Pourquoi les alias d'e-mails échouent à DMARC (et comment les corriger)

Blog

Des problèmes avec les alias DMARC ? Découvrez pourquoi vos e-mails alias sont bloqués et comment corriger l'alignement SPF pour une meilleure délivrabilité.

par Milena Baghdasaryan

Temps de lecture : 5 min
Pourquoi les alias d'e-mails échouent à DMARC (et comment les corriger)
Table des matières-

Un alias de courrier électronique est une adresse électronique alternative qui redirige les messages vers une boîte de réception principale. Un alias n'a pas sa propre boîte aux lettres et est simplement chargé de transférer les messages vers une ou plusieurs adresses électroniques désignées. 

DMARC peut échouer pour les alias d'email en fonction de la façon dont le message est modifié pendant le transfert. Dans ce blog, nous allons analyser les différents scénarios qui affectent le protocole DMARC pour les alias d'email.

Points clés à retenir

  • Les alias de courrier électronique sont souvent incompatibles avec DMARC en raison d'un mauvais alignement des domaines SPF et DKIM lors de la transmission.
  • SPF échoue parce que le serveur de transfert n'est pas autorisé dans l'enregistrement SPF de l'expéditeur d'origine.
  • DKIM peut survivre, mais peut échouer si le contenu du message est modifié (par exemple, ajout de pieds de page).
  • ARC préserve les résultats d'authentification originaux, ce qui permet aux courriels légitimes transférés de passer DMARC.
  • Pour garantir une installation en douceur, commencez avec DMARC p=none, surveillez les rapports et appliquez progressivement des politiques plus strictes.
  • PowerDMARC aide à éviter les défaillances de DMARC en fournissant une assistance humaine pratique et rapide ainsi que des services gérés.

Raisons de l'échec de DMARC pour les alias de courrier électronique

DMARC peut échouer pour les alias de courrier électronique, en fonction de la configuration de l'alias et de la manière dont le processus de transfert modifie le message d'origine. Que vous envoyiez des courriels personnalisés parfaitement légitimes, les scénarios suivants peuvent affecter l'authentification :  

1. Le transfert peut rompre le SPF

SPF vérifie si une adresse IP d'envoi est autorisée à envoyer des courriels au nom d'un domaine. Lorsqu'un alias de messagerie transfère un courriel, le serveur de transfert devient alors l'"expéditeur", qui peut ne pas figurer dans l'enregistrement SPF du domaine expéditeur. Cela entraîne l'échec de SPF .

Par exemple :

DMARC vérifie que le domaine figurant dans l'adresse "From" visible correspond aux domaines utilisés pour l'authentificationSPF ou DKIM). Dans ce cas, si votre politique DMARC repose uniquement sur l'authentification SPF , DMARC échouera également. 

2. DKIM peut survivre, mais pas toujours

DKIM peut survivre aux scénarios de transfert car l'authentification dépend du contenu du message. Lorsqu'un alias transfère un courrier électronique, le contenu du message reste souvent intact, avec des modifications de l'en-tête. Toutefois, ce n'est pas toujours le cas. Certains transitaires modifient également le contenu du message et insèrent des pieds de page supplémentaires, ce qui peut entraîner l'échec de la norme DKIM.

Dans ce cas, même si votre politique DMARC s'appuie également sur DKIM, DMARC échouera inévitablement pour le message. 

Comment diagnostiquer les échecs des alias DMARC ?

Voici deux étapes simples à suivre pour diagnostiquer les échecs des alias DMARC. 

Méthode manuelle : Vérifier les rapports DMARC pour détecter les défauts d'alignement

Examinez vos rapports DMARC globaux ou d'échec pour les messages envoyés à partir de domaines alias.

Look for alignment failures in DMARC aggregate reports under the <policy_evaluated> section, where you’ll see <spf>fail</spf> or <dkim>fail</dkim>.

Exemple de rapport d'échec :

"reason" : "spf fail",
 "header_from" : "[email protected]",
 "disposition" : "reject"

Cela signifie que le courriel provenant de votre alias n'a pas passé l'alignement SPF . Il a déclenché votre politique DMARC et provoqué un rejet.

Méthode automatisée : Utilisation d'un analyseur de rapports DMARC 

Vous pouvez utiliser l'outil DMARC Report Analyzer de PowerDMARC pour convertir des rapports DMARC XML complexes en tableaux et graphiques faciles à comprendre. Cet outil vous aide à

  • Surveillez en permanence le trafic de votre courrier électronique
  • Suivre les problèmes de délivrabilité et les échecs d'authentification
  • Interpréter facilement et efficacement les données d'authentification 
  • Programmer des rapports PDF à la demande qui peuvent être exportés au format PDF ou CSV

Gain de visibilité granulaire sur les échecs du DMARC

Correction des problèmes liés aux alias DMARC 

Avant d'effectuer l'une des corrections ci-dessous, examinez toujours ces changements avec votre équipe technique. 

1. Alignement SPF pour les alias

Ajouter les IP d'envoi ou les mécanismes d'inclusion du service de transfert ou du service tiers à l'enregistrement SPF du domaine de l'alias.

Exemple :

v=spf1 include:_spf.google.com include:helpscout.com ~all

Cela permet de s'assurer que les serveurs de transfert sont autorisés dans SPF, de la même manière qu'une liste blanche d'expéditeurs de confiance. Cela permettra au bouncerSPF) de les laisser entrer sans conflit ni problème.

2. Signature DKIM pour le domaine alias

Configurez votre système de messagerie ou votre fournisseur d'accès pour qu'il signe les courriels sortants avec DKIM en utilisant le domaine de l'alias, et pas seulement l'adresse de redirection.

C'est comme si vous apposiez l'emblème de votre famille(signature DKIM) sur chaque lettre que vous envoyez depuis votre maison (domaine alias). De cette manière, tout le monde saura exactement d'où vient la lettre, même si quelqu'un d'autre la distribue.

3. Activer l'ARC pour votre domaine

Chaîne de réception authentifiée (ARC) préserve les résultats de l'authentification originale d'un messageSPF, DKIM et DMARC) lorsque le courrier électronique passe par des serveurs intermédiaires. Enfin, elle permet au serveur de réception final (par exemple, Gmail, Outlook) de faire confiance à l'authentification d'origine, même si elle est interrompue en cours de route. Cependant, il est important de noter que tous les fournisseurs de messagerie ne respectent pas l'ARC (par exemple, certains peuvent encore rejeter les courriels transférés).

4. Stratégie des sous-domaines

Au lieu d'utiliser des alias, créez des sous-domaines dédiés à des fins différentes (par exemple, [email protected]).

Pour mieux comprendre cela, pensez à créer des boîtes aux lettres séparées pour chaque membre de la famille (sous-domaines) au lieu d'en partager une. De cette manière, chacun dispose de sa propre clé et de sa propre adresse, ce qui facilite grandement la gestion et la sécurisation du courrier.

Recommandations DMARC pour les alias

Suivez les recommandations DMARC ci-dessous qui s'appliquent aux alias, mais aussi à d'autres cas d'utilisation.

Commencez avec p=none

Commencez par p=none pour surveiller l'activité DMARC sans affecter la distribution du courrier électronique. Cela permet d'identifier les problèmes d'alignement liés aux alias sans risquer de compromettre la distribution du courrier électronique. C'est comme installer des caméras de sécurité avant de verrouiller les portes. Cela vous permet d'abord d'observer ce qui se passe, afin de savoir exactement où se situent les problèmes.

Mise en œuvre progressive

Ne passez à quarantine qu'après avoir résolu les problèmes d'alignement SPF pour vos alias. Cela permet de filtrer les courriels suspects tout en minimisant l'impact sur les messages légitimes. Il s'agit de placer les messages suspects dans une zone d'attentequarantine) au lieu de les jeter, jusqu'à ce que vous soyez sûr qu'ils sont sûrs.

Passer à p=rejeter avec prudence

N'utilisez p=reject que si vous savez que tous les alias sont entièrement authentifiés et alignés. Un rejet strict peut bloquer des messages légitimes si les alias ne sont pas correctement configurés. L'utilisation prématurée du rejet peut bloquer des messages légitimes, entraînant des problèmes de délivrabilité du courrier électronique. 

Conseils de pro pour éviter les problèmes futurs

Voici quelques conseils pour éviter les problèmes liés aux alias à l'avenir.

Utiliser des analyseurs DMARC

Suivez toujours les défaillances DMARC spécifiques aux alias à l'aide d'outils d'analyse et de surveillance DMARC tels que PowerDMARC. Ces outils peuvent vous aider à repérer et à résoudre rapidement les problèmes liés aux courriels transférés ou aux alias.

Tester avant de déployer

La moindre erreur peut entraîner des problèmes d'authentification et de délivrabilité. Utilisez des outils en ligne tels que les vérificateurs SPF, DKIM et DMARC de PowerDMARC pour vérifier vos configurations DNS d'authentification du courrier électronique. 

Documentation

Enfin, conservez toujours des enregistrements détaillés de tous les changements SPF et DKIM. Avec une bonne documentation, le dépannage sera beaucoup plus facile. Elle est également très utile pour les audits ou lors de la mise à jour de votre configuration de messagerie.

Résumé 

Les échecs des alias DMARC sont souvent dus à un mauvais alignement des en-têtes. Ce problème peut être résolu par un contrôle régulier, l'autorisation d'intermédiaires connus et l'utilisation de protocoles d'authentification comme ARC. Commencer par une politique DMARC p=none et passer progressivement à quarantine et/ou p=reject peut vous aider à mettre en œuvre efficacement DMARC tout en évitant les échecs de délivrabilité. 

Si vous avez besoin de l'aide d'un expert pour commencer à utiliser l'authentification par courriel, nous pouvons vous aider ! Planifiez une démonstration gratuite dès aujourd'hui pour découvrir les avantages des services d'authentification des courriels gérés par PowerDMARC !

CTA

Derniers messages de Milena Baghdasaryan (voir tous)
Étude de cas MSP : Comment PowerDMARC a changé la donne pour HispaColex Tech Co...Qu'est-ce que l'usurpation d'identité par courriel ?