L'impact des exigences de Google et Yahoo en matière d'expéditeur sur les entreprises européennes
En février 2024, Google et Yahoo ont commencé à mettre en œuvre une série de mesures graduelles pour les organisations qui envoient plus de 5 000 courriels par jour, également définies comme des expéditeurs de courriels en masse. Ces mesures sont particulièrement importantes pour l'authentification, le signalement et la conformité des messages basés sur le domaine(DMARC).
Avec cette initiative, Google et Yahoo entendent réduire le nombre total de spams et de contenus usurpés envoyés sur l'internet, en se concentrant notamment sur l'authentification de l'infrastructure de courrier électronique d'une organisation. Cette initiative, qui vise à lutter contre le spam et à améliorer la sécurité du courrier électronique, implique l'utilisation des normes Sender Policy Framework(SPF), DomainKeys Identified Mail(DKIM) et DMARC.
Cet article couvre les spécifications des exigences de Google et Yahoo et se concentre sur les impacts potentiels sur les entreprises européennes. Il aborde notamment les complications liées à la mise en œuvre de DMARC dans l'écosystème européen de la messagerie électronique et les mesures nécessaires pour se conformer à l'application de la loi.
- Impact sur les expéditeurs européens de courriels : Un examen plus approfondi
- Les défis de la mise en œuvre de DMARC
- Intersection avec le GDPR
- Directives et mandats DMARC en Europe
- Se préparer au changement : Les étapes de la mise en conformité
Impact sur les expéditeurs européens de courriels : Un examen plus approfondi
Fournisseurs de services de messagerie électronique les plus populaires en Europe
Le paysage européen de la messagerie électronique comprend des fournisseurs tels que GMX, T-Online, Orange et BT Internet, qui sont populaires aux côtés de Gmail. Le respect des nouvelles règles est essentiel pour les entreprises qui utilisent ces plateformes pour communiquer avec leurs clients.
Par exemple, des fournisseurs de services de courrier électronique tels que GMX et T-Online sont les mieux notés en Allemagne. Une entreprise allemande utilisant ces services doit aligner ses pratiques en matière de courrier électronique sur DMARC afin de garantir la délivrabilité et la réputation de ses produits. Si une entreprise allemande de vente au détail ne met pas en œuvre DMARC correctement, ses courriels de marketing risquent d'être rejetés ou marqués comme du spam, ce qui aura un impact considérable sur la prospection de la clientèle.
Un autre exemple nous vient de France, où Orange est un service de courrier électronique très répandu. Les entreprises françaises, en particulier celles qui pratiquent le commerce électronique, doivent respecter les normes DMARC pour maintenir une communication efficace avec leurs clients. En cas de non-respect de ces normes, des courriels transactionnels importants, tels que des confirmations de commande ou des avis d'expédition, pourraient être filtrés, ce qui entraînerait le mécontentement des clients et une perte potentielle d'activité.
Une multinationale européenne peut utiliser plusieurs systèmes de messagerie électronique pour répondre aux préférences régionales. Par exemple, elle peut utiliser BT Internet pour ses opérations au Royaume-Uni et KPN pour les Pays-Bas. Assurer la conformité DMARC de ces différents systèmes peut s'avérer difficile, car cela nécessite un effort coordonné et éventuellement des configurations différentes pour répondre aux exigences spécifiques de chaque fournisseur de messagerie.
Dans d'autres pays comme l'Espagne et l'Italie, le niveau de sensibilisation à DMARC pourrait être plus faible. Ce manque de sensibilisation peut entraîner un ralentissement de l'adoption du DMARC par les petites et moyennes entreprises (PME), ce qui les rend plus vulnérables aux attaques par usurpation d'adresse électronique et par hameçonnage.
Les défis de la mise en œuvre de DMARC
Technique
La mise en œuvre de DMARC dans l'infrastructure de messagerie d'une organisation peut s'avérer complexe, car elle repose sur deux protocoles, DKIM et SPF, qui doivent tous deux être "alignés" sur le domaine de messagerie présenté dans l'adresse "From" de chaque message.
L'alignement est un concept clé de DMARC : le domaine utilisé pour un résultat SPF ou DKIM doit correspondre au domaine de l'en-tête From dans le corps du message électronique.
Dans certaines régions d'Europe, il pourrait être nécessaire de mieux faire connaître les avantages et la nécessité de DMARC. Cela est particulièrement vrai pour les secteurs qui ne sont pas traditionnellement à l'aise avec la technologie. Par exemple, un réseau de petites bibliothèques italiennes pourrait ne pas savoir comment DMARC peut protéger leurs communications par courrier électronique, ce qui les rendrait vulnérables aux attaques par hameçonnage et par usurpation d'identité.
En outre, de nombreuses entreprises européennes sont des PME qui pourraient éprouver des difficultés à s'adapter à ces changements en raison de contraintes de ressources. Ces entreprises peuvent avoir besoin de conseils ou d'une aide extérieure pour mettre en œuvre efficacement les protocoles SPF, DKIM et DMARC.
Une organisation qui ne dispose pas d'une expertise informatique interne peut avoir du mal à mettre en œuvre DMARC avec succès. Chez dmarcian, notre mission est de rendre DMARC facile pour tout le monde, et nous avons l'expertise technique nécessaire pour vous guider à travers chaque étape du processus. Nous disposons également d'un réseau de partenaires stratégiques qui peuvent aider les organisations à déployer DMARC.
Lois locales sur la protection des données
Dans les pays où les lois sur la protection des données sont strictes, les entreprises peuvent avoir besoin d'aide pour aligner la mise en œuvre de DMARC sur les réglementations locales. La déclaration et le traitement des données, comme l'exige DMARC, pourraient potentiellement entrer en conflit avec le GDPR ou d'autres lois locales sur la protection des données, créant ainsi un dilemme de conformité.
Un aspect essentiel des rapports DMARC est la différence entre les rapports globaux et les rapports légaux.
- Rapports agrégés (RUA): Ils offrent un résumé complet du trafic de courrier électronique utilisant votre domaine et présentent des données sur les taux de réussite ou d'échec des vérifications DMARC, sans détails spécifiques sur les courriers électroniques individuels. Ces rapports sont généralement générés chaque jour et permettent aux propriétaires de domaines d'évaluer l'efficacité de leurs stratégies d'authentification des courriels au fil du temps.
- Rapports médico-légaux (RUF): Ils fournissent des informations détaillées sur les courriels qui échouent à l'authentification DMARC, y compris les informations d'en-tête et les raisons de l'échec. Cependant, comme les rapports forensiques peuvent contenir des informations détaillées, y compris des informations personnelles identifiables (PII), il y a des considérations liées à la protection de la vie privée. C'est pourquoi de nombreux rapporteurs ne génèrent pas de rapports forensiques.
Intersection avec le GDPR
Les nouvelles exigences en matière de courrier électronique recoupent le GDPR européen, notamment en ce qui concerne le traitement des données et la protection de la vie privée lors des communications par courrier électronique. Les exigences du GDPR en matière de consentement pourraient influencer la manière dont les entreprises gèrent leurs listes d'adresses électroniques et le suivi de l'engagement, ce qui nécessite une approche prudente pour s'aligner sur les politiques DMARC et les mandats du GDPR.
L'application du GDPR varie considérablement d'un pays de l'UE à l'autre, certains étant plus actifs et plus stricts dans l'application de la réglementation. Des pays comme l'Espagne, l'Irlande, l'Italie et l'Allemagne ont été particulièrement actifs dans l'application du GDPR.
Prenons l'exemple d'un détaillant en ligne européen qui recueille les courriels de ses clients pour confirmer les commandes, les avis d'expédition et les campagnes promotionnelles. En vertu du GDPR, ce détaillant est tenu de garantir la confidentialité et l'intégrité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels.
L'approche de l'application du GDPR dans l'UE reflète un équilibre entre l'éducation et les sanctions, de nombreuses autorités préférant fournir des conseils et des outils pour promouvoir la conformité, en particulier au cours des premières années de mise en œuvre du GDPR.
Directives et mandats DMARC en Europe
Malgré l'absence de mandat unifié pour la mise en œuvre de DMARC en Europe, la Commission européenne a publié des recommandations pour améliorer son infrastructure de messagerie dans toutes les entreprises.
Sources :
- Normes Internet de l'UE
- Normes Internet de l'UE - Méthodologie
- Une analyse de l'adoption dans l'UE : Septembre 2023
L'approche de l'Europe à l'égard de la mise en œuvre du DMARC est contrastée : certains pays l'appliquent par le biais de mandats juridiques, garantissant des pratiques uniformes en matière de sécurité du courrier électronique, tandis que d'autres se contentent de formuler des recommandations, ce qui conduit à un paysage fragmenté en matière d'adoption. Vous trouverez ci-dessous une liste des pays européens qui ont adopté des lignes directrices et des mandats pour la mise en œuvre de DMARC.
Pays dont les mandats ont été publiés :
Pays ayant publié des lignes directrices :
Nous avons suivi l'évolution des mandats et des directives DMARC et mettons ces recherches à disposition.
Se préparer au changement : Les étapes de la mise en conformité
Les entreprises doivent commencer à se préparer dès maintenant pour assurer une transition en douceur. Les principales étapes consistent à configurer DMARC, SPF et DKIM et à contrôler la conformité à l'aide d'outils tels que Google Postmaster. Il est également important de maintenir les taux de spam en dessous du seuil requis et de prendre en compte les nuances de la communication par courrier électronique dans les différents pays européens.
Résumé des exigences
- Vos domaines doivent avoir une politique DMARC dans votre DNS
- Vos messages doivent passer le DMARC
- Les adresses IP d'envoi doivent disposer d'un enregistrement PTR, également connu sous le nom d'enregistrement de pointeur DNS.
- N'envoyez pas de spam
- Formulez correctement vos messages
- Ne pas usurper gmail.com ou yahoo.com
- Inclure la possibilité de se désabonner en un seul clic
Obtenez plus de détails sur les exigences de Google et Yahoo en matière d'envoi qui sont entrées en vigueur le 1er février 2024.
Il est essentiel de s'adapter à ces changements pour maintenir une communication efficace par courrier électronique et éviter les problèmes de délivrabilité. En commençant à se préparer dès maintenant, les entreprises peuvent rester en conformité et continuer à toucher leurs clients de manière efficace.
L'application des exigences de Google et Yahoo se fera progressivement, en commençant par des échecs temporaires pour une petite proportion des envois en nombre non conformes. Au cours de l'année, cette mesure évoluera vers le rejet pur et simple des courriels non conformes. Google et Yahoo continueront à fournir des lignes directrices actualisées et à aider les expéditeurs à s'adapter à ces nouvelles normes.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
