Pourquoi mes emails tombent en spam ? Paramétrer le SPF, DKIM, DMARC

En début d'année, l'annonce par Google et Yahoo de l'intensification de leurs mesures contre le spam a suscité de vives réactions parmi les professionnels du marketing digital et les administrateurs de systèmes de messagerie. Avec l'entrée en vigueur de nouvelles règles le 1er février 2024, la nécessité de s'adapter à ces changements est devenue une priorité pour tous ceux qui s'appuient sur l’email marketing comme pilier de leur stratégie d’acquisition. Au cœur de ces nouvelles exigences se trouvent trois acronymes essentiels : SPF, DKIM, DMARC. Mais quels sont-ils exactement, et comment les paramétrer, notamment sur des plateformes telles que HubSpot et Gmail ? Cet article vous guide pas à pas.

Qu’est-ce que SPF, DKIM, DMARC ?

Ces acronymes SPF, DKIM, DMARC peuvent sembler obscurs pour les non-initiés, mais ils jouent un rôle crucial dans l'authentification des emails et la lutte contre le spam et le phishing.

• SPF (Sender Policy Framework) offre une méthode permettant aux serveurs de réception de vérifier que les emails reçus proviennent d'un domaine ayant explicitement autorisé l'IP de l'expéditeur. En définissant un enregistrement SPF dans le DNS du domaine de l'expéditeur, les entreprises peuvent ainsi empêcher l'usurpation de leur domaine.
• DKIM (DomainKeys Identified Mail) va plus loin en attachant une signature numérique à chaque email envoyé. Cette signature est ensuite vérifiée à l'aide d'une clé publique enregistrée dans le DNS du domaine de l'expéditeur. Cette méthode garantit l'intégrité du message, confirmant que le contenu n'a pas été modifié après l'envoi.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) combine SPF et DKIM en une politique de sécurité qui spécifie comment les emails, qui échouent aux vérifications SPF et/ou DKIM, doivent être traités. DMARC protège les domaines contre l'abus en fournissant des rapports sur la performance de l'email, ce qui aide les organisations à ajuster et à améliorer leurs pratiques d'authentification.

Maintenant que vous comprenez les termes SPF, DKIM, DMARC, passons aux annonces de Google et Yahoo en matière de lutte contre les spams.

Les nouvelles règles de Google : une réponse au défi croissant du spam

Face à l'augmentation des attaques de phishing et à la sophistication des techniques de spam, Google a décidé de renforcer ses politiques de sécurité en exigeant une conformité stricte aux protocoles SPF, DKIM et DMARC. Ces nouvelles règles visent à améliorer la sécurité des utilisateurs en filtrant plus efficacement les emails frauduleux, tout en assurant que les communications légitimes atteignent leur destination sans encombre.

La mise en application de ces standards d'authentification souligne leur importance non seulement pour la sécurité de l'écosystème de messagerie dans son ensemble mais aussi pour la réputation des expéditeurs.

L’authentification SPF, DKIM et DMARC était déjà fortement recommandée, notamment pour les personnes qui expédient plus de 5 000 emails par jour. Ces exigences deviennent désormais obligatoires pour quiconque envoient des emails, quelle que soit la quantité.

Ces nouvelles règles ne sont pas à prendre à la légère car les emails qui ne sont pas correctement authentifiés risquent d'être rejetés ou classés comme spam, ce qui peut gravement affecter la capacité des entreprises à communiquer avec leurs clients et partenaires.

Configuration de SPF, DKIM, DMARC : le guide pratique

La mise en conformité nécessite une compréhension technique de la manière de configurer SPF, DKIM et DMARC. Voici comment procéder, avec un focus particulier sur HubSpot et Gmail.

Configuration pour l’envoi d’email sur HubSpot

Si vous utilisez le Hub Marketing de HubSpot pour envoyer vos emails marketing, vous devez configurer le SPF, DKIM et DMARC spécialement pour HubSpot.

Un des gros avantages de HubSpot, c’est qu’il vous donne les infos que vous devrez saisir dans les DNS de votre domaine. Pour cela, suivez le chemin suivant :

• Étape 1 : Paramètres > Site Web > Domaines et URL > en bas de cette page Domaines d’envoi
• Étape 2 : Cliquer sur Connecter un domaine et laissez-vous guider

• Étape 3 : Ici HubSpot vous donne les éléments à copier-coller dans les DNS de votre domaine.

Attention : Il vous faudra modifier le SPF fourni par HubSpot pour ajouter Gmail dedans. Autrement, vous ne pourrez plus envoyer d’emails via Gmail car le SPF indique les serveurs qui sont autorisés à envoyer des emails en votre nom. Je vous explique cela dans la partie dessous.

• Étape 4 : Une fois les éléments saisis dans vos DNS, vous pouvez lancer la vérification. Chaque type d'enregistrement DNS aura l'un des statuts suivants qui vous aide à comprendre le problème :
  • Non authentifié : aucune des trois méthodes d'authentification n'a été entièrement mise en place ou doit encore être vérifiée.
  • Partiellement authentifié : DKIM a été correctement mis en place et vérifié, mais SPF ou DMARC doivent encore être entièrement vérifiés. L’outil vous précise d’où vient plus précisément le problème.
  • Authentifié : SPF, DKIM, DMARC ont été entièrement mis en place et vérifiés.

Configuration pour l’envoi d’email sur Gmail

Félicitations, vous avez configuré l’envoi d’email via HubSpot ! Mais si vous envoyez également des emails via votre adresse Gmail, il ne faut pas oublier de bien le paramétrer également, autrement vos emails risquent de ne pas s’envoyer.

Voici les étapes à suivre pour vous assurer que vos emails envoyés par Gmail ne seront pas bloqués par les paramètres HubSpot :

DMARC

• Concernant le DMARC, HubSpot vous a fourni le niveau minimal recommandé. Vous pouvez personnaliser votre politique si vous le souhaitez, mais cela n’est pas une obligation. Google vous donne ici les balises qu’il est possible de personnaliser.

SPF

• Le SPF, c’est l’élément qui va bloquer vos emails s’il est exclusivement paramétré pour HubSpot.
• Voici ce que vous devez saisir : v=spf1 include:[Ici copier-coller la donnée HubSpot] include:_spf.google.com ~all. La différence ici est donc l’ajout de Gmail comme domaine autorisé à envoyer des emails.
• Vous ne pouvez avoir qu’un seul SPF paramétré dans vos DNS, il faut donc combiner tous vos domaines d’envoi en un seul.

DKIM

• Vous devez avoir un DKIM pour HubSpot et un autre pour Gmail. Contrairement au SPF, vous pouvez avoir plusieurs DKIM sur votre domaine. Celui de HubSpot étant déjà paramétré, passons à celui de Gmail.
• Ouvrez la console Admin Google (vous devez être admin de la console) > Applications > Google Workspace > Gmail > Authentifier les emails > Générer nouvel enregistrement
• Choisissez une longueur de bit de la clé DKIM de 2048
• Cliquez sur Générer.
• Copier-coller la valeur de l’enregistrement TXT dans vos DNS
• Retournez sur Google Workspace puis cliquez sur “Démarrer l’authentification”.

Félicitations, vous avez réussi à paramétrer avec succès vos SPF, DKIM et DMARC ! Il ne vous reste maintenant plus qu’à tester pour vérifier le bon paramétrage. Je vous recommande l’outil Bounce Doctor de Loops. Cet outil est gratuit et vous permet rapidement de savoir si le sujet est maîtrisé.

Il faut s’attendre à de nombreux durcissements sur la protection des données des utilisateurs dans les prochains mois et prochaines années. La CNIL avec le RGPD ne va cesser d’augmenter le niveau de sécurité attendu et les acteurs tels que Google et HubSpot vont devoir se conformer. Assurez-vous donc d'activer tous les bons paramètres pour respecter le RGPD avec HubSpot.