Authentification en emailing

Imaginez que votre téléphone sonne. Sur l’écran, le numéro de votre meilleur ami s’affiche. Vous décrochez et là, à votre plus grande surprise, ce n’est pas votre meilleur ami qui vous dit bonjour, mais la voix d’un serveur téléphonique commercial.

Impossible me direz-vous ! En effet, avec un téléphone c’est impossible. Par contre, en matière d’emailing, rien de plus simple. Vous pouvez envoyer un email au nom de marc.zukerberg@facebook.com à tous vos amis si vous le souhaitez. En fait, à la base, le protocole SMTP ne prévoit pas de mécanisme d’authentification, tout le monde peut envoyer un email au nom de… tout le monde !

L’e-mail a été conçu pour être une chose simple. C’est dans cet esprit que le protocole d’envoi “SMTP” (pour Simple Mail Transfer Protocol) a été créé. Le plus gros défaut de SMTP, c’est qu’il n’a pas été défini avec des contraintes de sécurité, et est totalement dépourvu de systèmes d’authentification. Conçu pour le simple échange entre pairs, il n’avait pas pour vocation de se prévenir des pratiques actuelles de spam et de phishing.

C’est pour ce motif que SMTP-AUTH a été créé. Mais se retrouvant rapidement obsolète, il laissa progressivement sa place à d’autres protocoles tels que SPF, SenderID, DKIM ou encore DMARC pour octroyer à SMTP une sécurité accrue.

 

Pourquoi s’authentifier ?

Bien plus qu’un problème de sécurité, c’est aussi un problème pour votre délivrabilité. En effet, bien que vous n’optimiserez pas vraiment la bonne réception de vos e-mails avec les méthodes suivantes, soyez sûr que les filtres anti-spam seront de moins en moins tolérants vis-à-vis de vos envois si vous n’avez rien prévu. L’authentification est recommandée car vous enverrez de bons signaux aux filtres anti-spam lorsqu’ils jugeront la qualité de vos envois lors de vos campagnes.

 

Comment ca marche ?

DKIM est l’acronyme de « Domain Keys Identified Mail » en anglais. Il s’agit d’une méthode d’authentification de cryptage utilisée par de nombreux fournisseurs de services pour savoir si le message provient d’un système autorisé. Il empêche ainsi les spammeurs de se faire passer pour des entités légitimes.

DKIM permet d’ajouter une signature à l’en-tête de chaque message envoyé (là où se trouvent toutes les caractéristiques du message). Cette signature est propre à votre domaine, elle est générée par une clé privée. La clé publique qui y correspond est ajoutée à votre domaine, dans un enregistrement DNS.

Quand un serveur de réception (Gmail, Hotmail, ou n’importe quel serveur d’entreprise par exemple) reçoit votre message, il vérifie la clé publique pour déterminer si votre clé privée à été utilisée pour générer la signature du message. Si cette clé privée n’est pas utilisée, le message est alors considéré comme une tentative de phishing ou de spam.image

NOTE : Vous authentifiez ne suffit pas pour délivrer.

Si vous voulez vraiment arriver dans la boîte de réception de vos abonnés, intéressez-vous à ces sujets qui représentent votre véritable process vers une délivrabilité optimale :

  • La notion de réputation (l’idée que se font les FAI, services de messagerie, routeurs et filtres anti-spam de vos campagnes), assez complexe mais qui impacte énormément sur le long-terme,
  • le corps de votre e-mail, la forme qu’il prendra sur les différents périphériques et les éléments pour booster le taux d’ouverture,
  • la maîtrise des bonnes pratiques à respecter pour éviter les mauvaises surprises, si courantes dans ce domaine,
  • le respect de la liste de diffusion et des abonnés qui a aussi droit à son lot de bonnes pratiques.