Activer DKIM et DMARC sur un domaine de listes

Pour améliorer la distribution des messages de vos listes, l'utilisation des mécanismes SPF, DKIM et DMARC est indispensable. Voici comme les activer.

Valider et activer DKIM et DMARC sur vos listes

L'opération se déroule en trois étapes :

  1. Copier votre clé DKIM, qui est affichée dans Ouvadmin
  2. Créer des enregistrements DNS
  3. Activer DKIM et DMARC sur vos listes

Si votre domaine de listes est en @quelquechose.listes2.vox.coop ou @quelquechose.ouvaton.net, vous pouvez passer directement à l'étape 3.

Si vous avez créé votre domaine de listes après le 23 décembre 2019, vous pouvez passer directement à l'étape 3.

Étape 1 : la clé DKIM

Pour afficher la clé DKIM de votre domaine de listes, rendez-vous sur Ouvadmin, lien "Listes" dans le menu supérieur.

Vos domaines de listes s'affichent, et une colonne "Clé publique DKIM" est visible, contenant l'enregistrement DNS à ajouter. Copiez cet enregistrement dans le presse-papier (triple-clic sur l'enregistrement, qui est alors surligné, puis clic droit sur le texte et "Copier").

Exemple d'affichage des clés DKIM

Étape 2 : les enregistrements DNS

Maintenant que le contenu de l'enregistrement DNS est dans le presse-papier, il faut aller créer cet enregistrement. Toujours sur Ouvadmin, lien "Domaines" dans le menu supérieur. En bas de page vous trouverez la liste de vos domaines d'hébergement. Cliquez sur la troisième icône de la ligne du domaine d'hébergement concerné, sous "Actions", pour accéder aux enregistrements DNS du domaine.

Une fois sur la page des enregistrements DNS, vous pouvez, en bas de page, ajouter votre enregistrement comme ci-dessous (les indications en noir sont à inscrire telles quelles ; ce qui est écrit en orange doit être adapté en fonction de votre nom de domaine de listes) :

  • nom : default._domainkey.sousdomaine
  • type : TXT
  • destination : copiez ici l'enregistrement qui est dans le presse-papier, avec un clic-droit sur le champ du formulaire, puis "Coller"
  • priorité : 0

Ajout de l'enregistrement DNS

Le nom de l'enregistrement doit être adapté à votre domaine de listes. Pour un domaine comme "listes.votredomaine.tld" (et donc des listes en "quelquechose@listes.domaine.tld"), l'enregistrement doit être "default._domainkey.listes". Si votre domaine de liste est votre nom de domaine, comme "votredomaine.tld" (et donc des listes en "quelquechose@domaine.tld"), l'enregistrement doit être nommé "default._domainkey".

Et enfin enregistrer l'ajout de l'enregistrement DNS en cliquant sur l'icône en bout de ligne, sous "Actions". Assurez-vous qu'il ne reste aucun espace en bout de ligne !

Deux enregistrements supplémentaires sont à créer, s'ils n'existent pas. Il s'agit d'abord de l'enregistrement pour DMARC, et il doit être comme ci-dessous :

  • nom : _dmarc.sousdomaine
  • type : TXT
  • destination : v=DMARC1;p=none
  • priorité : 0

Comme pour DKIM, le nom de l'enregistrement DMARC doit être adapté à votre domaine de listes.

Et ensuite l'enregistrement pour SPF, et il doit être comme ci-dessous :

  • nom : sousdomaine
  • type : TXT
  • destination : v=spf1 +a +mx include:spf.ouvaton.coop -all
  • priorité : 0

Pour cet enregistrement SPF, pensez aussi à adapter le texte en orange en fonction de votre nom de domaine de listes.

Attention, un enregistrement SPF très semblable à celui ci-dessus existe probablement déjà, mais sans nom. Il faut impérativement en créer un second avec comme nom votre sous domaine.

Étape 3 : activation de DKIM/DMARC

Nous arrivons maintenant à la dernière étape : activer DKIM et DMARC sur vos listes !

Rendez-vous sur l'interface web de votre domaine de listes, et connectez-vous avec le compte du listmaster (compte du gestionnaire du domaine de listes qui est en général celui utilisé pour créer le domaine de listes). Pour chacune de vos listes, allez dans "Admin → Configurer la liste → DKIM/DMARC/ARC".

Sur cette page assurez-vous que pour DKIM :

  1. Les catégories de messages de liste qui seront signés avec DKIM. (dkim_signature_apply_on) soit bien sur "Tout message (any)"

Et que pour DMARC :

  1. modes de protection (mode) soit bien sur "Tous (all)"

Pour Nouveau format de nom From (phrase), vous pouvez choisir l'option qui convient le mieux à votre usage de la liste.

Reste à cliquer sur "Mise à jour" une fois les informations bien renseignées, et voilà !

Explications complémentaires

Pour les curieux, voici quelques explications techniques sur le fonctionnement de SPF, DKIM et DMARC.

Le SPF "Sender Policy Framework"

Le SPF est une norme informatique de vérification qui permet de spécifier via un enregistrement DNS les machines autorisées à envoyer des courriers électroniques pour un nom de domaine.

Plus de détails sur https://fr.wikipedia.org/wiki/Sender_Policy_Framework.

Mettre en place SFP sur votre domaine de listes

L'ajout de l'enregistrement DNS pour SPF est automatique chez Ouvaton. Par défaut, il est comme ci-dessous :

v=spf1 +a +mx include:spf.ouvaton.coop -all

Cet enregistrement autorise uniquement (le -all bloque toutes adresses non listées préalablement dans l'enregistrement) les machines suivantes à envoyer des messages :

  • +a : le domaine (votre site par exemple, pour la fonction mail() de PHP)
  • +mx : les serveurs de mails du domaine
  • include:spf.ouvaton.coop : toutes les machines que nous autorisons dans notre SPF, ce qui nous permet de mettre à jour les adresses de nos serveurs SMTP sans que vous ne soyez obligé de les mettre à jour de votre coté

Vous pouvez modifier cet enregistrement pour y ajouter des adresses si vous le souhaitez.

Le DKIM "DomainKeys Identified Mail"

Le DKIM est une norme informatique d'authentification qui permet de s'assurer que l'expéditeur d'un courrier électronique est bien le nom de domaine qu'il prétend être, et qui garantit l'intégrité du message.

Plus de détails sur https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail.

Mettre en place DKIM sur votre domaine de listes

Voir la première partie de cette page pour des explications détaillées.

Le DMARC "Domain-based Message Authentication, Reporting, and Conformance"

Le DMARC apporte une couche supplémentaire d'authentification en normalisant SPF et DKIM, et en indiquant au destinataire ce qu'il doit faire si SPF et DKIM échouent.

Plus de détails sur https://fr.wikipedia.org/wiki/DMARC.

Mettre en place DMARC sur votre domaine de listes

L'ajout de l'enregistrement DNS pour DMARC est automatique chez Ouvaton. Par défaut, il est comme ci-dessous :

  • nom : _dmarc.sousdomaine
  • type : TXT
  • destination : v=DMARC1;p=none
  • priorité : 0

Le nom de l'enregistrement doit être adapté à votre domaine de listes. Pour un domaine de listes comme "listes.votredomaine.tld" (et donc des listes en "quelquechose@listes.domaine.tld"), l'enregistrement doit être "_dmarc.listes". Si votre domaine de liste est votre nom de domaine, comme "votredomaine.tld" (et donc des listes en "quelquechose@domaine.tld"), l'enregistrement doit être nommé "_dmarc".

Vous pouvez bien sûr modifier cet enregistrement. Pour activer DMARC, voir la première partie de cette page pour des explications détaillées.