Skip to main content

Activer DKIM et DMARC sur un domaine de listes

Pour améliorer la distribution des messages de vos listes, l'utilisation des mécanismes SPF, DKIM et DMARC est indispensable. Voici comme les activer.

Valider et activer DKIM et DMARC sur vos listes

L'opération se déroule en trois étapes :

  1. Copier votre clé DKIM, qui est affichée dans Ouvadmin
  2. Créer des enregistrements DNS
  3. Activer DKIM et DMARC sur vos listes

📌 Si votre domaine de listes est en @quelquechose.listes2.vox.coop ou @quelquechose.ouvaton.net, vous pouvez passer directement à l'étape 3.

📌 Si vous avez créé votre domaine de listes après le 23 décembre 2019, vous pouvez aussi passer directement à l'étape 3.

Étape 1 : la clé DKIM

Pour afficher la clé DKIM de votre domaine de listes, rendez-vous sur Ouvadmin, puis cliquez sur Listes dans le menu principal.

Vos domaines de listes s'affichent, et une colonne Clé publique DKIM est visible, contenant l'enregistrement DNS à ajouter. Copiez cet enregistrement dans le presse-papier (triple-clic sur l'enregistrement, qui est alors surligné, puis clic droit sur le texte et Copier).

Exemple d'affichage des clés DKIM

Étape 2 : les enregistrements DNS

Maintenant que le contenu de l'enregistrement DNS est dans le presse-papier, il faut aller créer cet enregistrement. Toujours sur Ouvadmin, lien Domaines dans le menu principal. Dans la seconde moitié de la page vous trouverez la liste de vos domaines d'hébergement. Cliquez sur la troisième icône de la ligne du domaine d'hébergement concerné, sous Actions, pour accéder aux enregistrements DNS du domaine.

Une fois sur la page des enregistrements DNS, vous pouvez, en bas de page, ajouter votre enregistrement comme ci-dessous (à adapter en fonction de votre nom de domaine de listes) :

  • nom : default._domainkey.sousdomaine
  • type : TXT
  • destination : copiez ici l'enregistrement qui est dans le presse-papier, avec un clic-droit sur le champ du formulaire, puis Coller
  • priorité : 0

Ajout de l'enregistrement DNS

Le nom de l'enregistrement doit être adapté à votre domaine de listes. Pour un domaine comme listes.votredomaine.tld (et donc des listes en quelquechose@listes.domaine.tld), l'enregistrement doit être default._domainkey.listes. Si votre domaine de liste est votre nom de domaine, comme votredomaine.tld (et donc des listes en quelquechose@domaine.tld), l'enregistrement doit être nommé default._domainkey.

Et enfin, enregistrez l'ajout de l'enregistrement DNS en cliquant sur l'icône en bout de ligne, sous Actions. Assurez-vous qu'il ne reste aucun espace en bout de ligne !

Deux enregistrements supplémentaires sont à créer, s'ils n'existent pas déjà. Il s'agit d'abord de l'enregistrement pour DMARC, et il doit être comme ci-dessous :

  • nom : _dmarc.sousdomaine
  • type : TXT
  • destination : v=DMARC1;p=none
  • priorité : 0

Comme pour DKIM, le nom de l'enregistrement DMARC doit être adapté à votre domaine de listes.

Et ensuite l'enregistrement pour SPF, et il doit être comme ci-dessous :

  • nom : sousdomaine
  • type : TXT
  • destination : v=spf1 +a +mx include:spf.ouvaton.coop -all
  • priorité : 0

Pour cet enregistrement SPF, pensez aussi à adapter le texte en orange en fonction de votre nom de domaine de listes.

⚠️ Attention, un enregistrement SPF très ressemblant à celui ci-dessus existe probablement déjà, mais sans nom. Il faut impérativement en créer un second avec comme nom votre sous domaine.

Étape 3 : activation de DKIM/DMARC

Nous arrivons maintenant à la dernière étape : activer DKIM et DMARC sur vos listes !

Rendez-vous sur l'interface web de votre domaine de listes, et connectez-vous avec le compte du listmaster (compte du gestionnaire du domaine de listes qui est en général celui utilisé pour créer le domaine de listes). Pour chacune de vos listes, allez dans Admin > Configurer la liste > DKIM/DMARC/ARC.

dkim-dmarc-activation-610x1024.png

Sur cette page assurez-vous que pour DKIM :

  • Les catégories de messages de liste qui seront signés avec DKIM. (dkim_signature_apply_on) soit bien sur Tout message (any)

Et que pour DMARC :

  • modes de protection (mode) soit bien sur Tous (all)

Pour Nouveau format de nom From (phrase), vous pouvez choisir l'option qui convient le mieux à votre usage de la liste.

Reste à cliquer sur le bouton Mise à jour une fois les informations bien renseignées.

Explications complémentaires

Pour les curieux, voici quelques explications techniques sur le fonctionnement de SPF, DKIM et DMARC.

Le SPF "Sender Policy Framework"

Le SPF est une norme informatique de vérification qui permet de spécifier via un enregistrement DNS les machines autorisées à envoyer des courriers électroniques pour un nom de domaine.

Plus de détails sur Wikipédia.

Mettre en place SFP sur votre domaine de listes

L'ajout de l'enregistrement DNS pour SPF est automatique chez Ouvaton. Par défaut, il est comme ci-dessous :

v=spf1 +a +mx include:spf.ouvaton.coop -all

Cet enregistrement autorise uniquement (le -all bloque toutes adresses non listées préalablement dans l'enregistrement) les machines suivantes à envoyer des messages :

  • +a : le domaine (votre site par exemple, pour la fonction mail() de PHP)
  • +mx : les serveurs de mails du domaine
  • include:spf.ouvaton.coop : toutes les machines que nous autorisons dans notre SPF, ce qui nous permet de mettre à jour les adresses de nos serveurs SMTP sans que vous ne soyez obligé de les mettre à jour de votre coté

Vous pouvez modifier cet enregistrement pour y ajouter des adresses si vous le souhaitez.

Le DKIM "DomainKeys Identified Mail"

Le DKIM est une norme informatique d'authentification qui permet de s'assurer que l'expéditeur d'un courrier électronique est bien le nom de domaine qu'il prétend être, et qui garantit l'intégrité du message.

Plus de détails sur Wikipédia.

Mettre en place DKIM sur votre domaine de listes

Voir la première partie de cette page pour des explications détaillées.

Le DMARC "Domain-based Message Authentication, Reporting, and Conformance"

Le DMARC apporte une couche supplémentaire d'authentification en normalisant SPF et DKIM, et en indiquant au destinataire ce qu'il doit faire si SPF et DKIM échouent.

Plus de détails sur Wikipédia.

Mettre en place DMARC sur votre domaine de listes

L'ajout de l'enregistrement DNS pour DMARC est automatique chez Ouvaton. Par défaut, il est comme ci-dessous :

  • nom : _dmarc.sousdomaine
  • type : TXT
  • destination : v=DMARC1;p=none
  • priorité : 0

Le nom de l'enregistrement doit être adapté à votre domaine de listes. Pour un domaine de listes comme listes.votredomaine.tld (et donc des listes en quelquechose@listes.domaine.tld), l'enregistrement doit être _dmarc.listes. Si votre domaine de liste est votre nom de domaine, comme votredomaine.tld (et donc des listes en quelquechose@domaine.tld), l'enregistrement doit être nommé _dmarc.

Vous pouvez bien sûr modifier cet enregistrement. Pour activer DMARC, voir la première partie de cette page pour des explications détaillées.

Back to top