đĄïž spf-dmarc-dkim
Test zone -> https://www.appmaildev.com/fr/dkim Modifier
Lâenregistrement SPF
Lâenregistrement SPF, pour Sender Policy Framework, est un enregistrement tout bĂȘte qui permet dâindiquer au niveau des enregistrements DNS quels serveurs mails sont autorisĂ©s Ă envoyer des mails en votre nom. Rien dâautre. Le principe est trĂšs simple, lâenregistrement devrait lâĂȘtre aussi.
Ce que je vous conseille, et que normalement vous avez dĂ©jĂ , câest dâavoir des enregistrements MX pour chacun de vos serveurs dâenvoi dâemail. Si vous avez ça, alors, lâenregistrement SPF sera le plus simple du monde. Vous faites simplement lâenregistrement suivant de type SPF (pour nâimporte quel domaine) :
v=spf1 mx -all
La premiĂšre partie, câest la version de SPF, mx  sert Ă indiquer que lâon doit se rĂ©fĂ©rer aux MX existants sur le domaine pour avoir le serveur dâenvoi et le -all permets de rejeter tous les emails qui ne sont pas envoyĂ©s de vos serveurs. Alors ça câest la version tout le monde il est beau, tout le monde il est content, en production, jâĂ©viterais quand mĂȘme.
Personnellement, jâindique MX , au cas oĂč on oublierait de modifier les DNS, mais je rajoute tous les enregistrements A: avec les enregistrements de mes serveurs. Aussi, il est possible que les enregistrements MX globaux soit mal traitĂ©s par lâantispam de destination (problĂšmes software ou autre).
DerniĂšre chose, je remplace le -all par ~all , ce qui permet de ne pas rejeter tout ce qui ne correspond pas en cas dâerreur lĂ©gĂšre sur le traitement du SPF (toujours si vous avez un antispam mal foutu de lâautre cĂŽtĂ©).
En gros, lâenregistrement rĂ©el pour mon domaine câest ça :
v=spf1 mx a:mx1.nicolas-simond.ch a:mx2.nicolas-simond.ch a:mx3.nicolas-simond.ch ~all
Lâenregistrement DKIM
Je rĂ©sume vite fait, DKIM ajoute une signature chiffrĂ©e dans chaque entĂȘte dâemail sortant (et juste une partie de lâentĂȘte, pas la totalitĂ©). Cette signature, lorsque lâon rĂ©ceptionne lâemail permettra de savoir aprĂšs dĂ©chiffrement si lâemail a Ă©tĂ© altĂ©rĂ© en cours de route. La mise en place de DKIM se fait dans votre serveur email avant se faire dans le DNS.
Pour Exchange : https://www.abyssproject.net/2020/04/mettre-en-place-dkim-avec-exchange-2019/
Pour Office 365 : https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email?view=o365-worldwide
Pour tout ce qui est basé sur Postfix (le reste en gros) : https://wiki.debian-fr.xyz/Opendkim
dkim=selector
dkim._domainkey 14400 TXT "v=DKIM1;k=rsa;t=s;s=email;p=..key.." Lâenregistrement DMARC
Le dernier concurrent pour la fin. Toujours de façon simple, DMARC permets dâindiquer dans vos DNS ce qui doit se passer au cas oĂč un serveur mail de destination aurait un souci avec vos enregistrements SPF ou DKIM, histoire que vous soyez prĂ©venu.
Le cĂŽtĂ© maboulien du truc, câest que vous pouvez indiquer depuis vos DNS de traiter tous VOS emails si jamais le destinataire nâarrive pas Ă valider votre SPF ou votre DKIM par exemple.
Si vous ne voulez pas que vos emails arrivent en quarantaine, mais que vous voulez avoir des rapports en cas de soucis, alors créez une rÚgle comme ceci :
Enregistrement : _dmarc
Type : TXT
Contenu : "v=DMARC1;p=none;sp=none;pct=100;rua=mailto:dmarc@domaine.com" Comme pour le SPF, on commence par la version du protocole.
S Â et SP câest respectivement les actions Ă appliquer pour les emails non conformes aux enregistrements SPF/DKIM venant de votre domaine ou dâun sous-domaine ( none , quarantine ou block ).
PCT câest le pourcentage dâemail qui tombent sous le coup de DMARC, on indique 100 pour filtrer tous les emails.
RUA câest lâadresse email qui recevra les rapports en cas de souci de conformitĂ© sur SPF et/ou DKIM.
Test Modifier
Attendez bien 30 minutes avant de vous lancer dans cette section.
Selon votre hĂ©bergeur, cela pourrait mĂȘme prendre jusquâĂ 48h avec les propagations DNS.
Rendez-vous sur https://www.mail-tester.com/ , le site vous fournira une adresse mail, envoyez-y simplement un email de test depuis nâimporte quelle adresse de votre Exchange et cliquez sur « Check your score ».
Ătendez la troisiĂšme rubrique et regardez tout ce qui est en rouge sur ma capture, vous devriez ĂȘtre pareil pour le DKIM, le SPF et le DMARC :
Â