SOBOO : Comment envoyer des courriels conformes à la norme DMARC au nom d'autres personnes ?
Une partie de la série SOBOO (Sending On Behalf Of Others)
L'envoi d'e-mails d'autres personnes dans le respect de la norme DMARC peut être réalisé de différentes manières. Cet article est destiné aux fournisseurs de services de messagerie électronique (ESP) et à toute entreprise qui envoie des e-mails en utilisant les domaines de ses propres clients (exemples : CRM, sociétés de gestion des talents, systèmes de facturation, etc.)
dmarcian gère le centre de ressources sur les opérations DMARC, qui comprend un répertoire des sources de courrier électronique indiquant comment configurer une source pour se mettre en conformité avec DMARC.
Ce répertoire fait gagner beaucoup de temps à un tas de gens :
- Les propriétaires de domaines peuvent découvrir si leur système de CRM/gestion des talents/facturation est capable d'envoyer des courriels conformes à la norme DMARC, et si oui, comment le faire. Plus besoin de passer des heures à fouiller dans les archives d'Internet, à téléphoner au service d'assistance ou à essayer de trouver une solution à partir d'informations partielles.
- Les chefs de produit d'une source de courrier électronique peuvent savoir exactement ce que les gens demandent lorsqu'ils demandent la prise en charge de DMARC. Cela permet de clarifier les exigences, d'accélérer la mise en œuvre et d'obtenir une fonctionnalité livrée qui fait le bonheur des clients.
Cet article explique comment obtenir l'autorisation d'envoyer des messages au nom d'un domaine, quelles sont les capacités requises pour envoyer des messages conformes à la norme DMARC, les changements potentiels à apporter au processus d'accueil des clients et ce qu'il faut faire une fois la norme DMARC en place.
Comment envoyer en utilisant le domaine d'un client
Les e-mails conformes à la norme DMARC sont faciles à identifier et fonctionnent en créant un lien entre le domaine d'un client et un e-mail. Voici une courte vidéo sur le fonctionnement de DMARC.
Il existe plusieurs façons de s'associer au domaine d'un client afin de pouvoir envoyer des courriels conformes à la norme DMARC au nom d'un client.
REMARQUE : DMARC vous permet d'envoyer des courriers électroniques authentifiés en utilisant un sous-domaine (tel que email.company.com), tout en étant en mesure d'utiliser le domaine de premier niveau dans le cadre de l'initiative From: (par exemple, l'en-tête From: offers@company.com).
Les meilleures approches sont énumérées en premier, suivies des approches moins efficaces :
Délégation de domaine
Lorsqu'un client délègue un sous-domaine que vous devez gérer (par exemple email.company.com), vous serez en mesure d'envoyer des messages électroniques qui s'authentifient sur le sous-domaine et, dans la plupart des cas, vous serez autorisé à envoyer des messages électroniques en utilisant le domaine de premier niveau dans l'option From: (par exemple, l'en-tête From: Best Offers <offers@company.com>). Tout ce qui concerne l'envoi d'e-mails conformes à la norme DMARC est désormais géré pour le compte du client, puisque vous contrôlez et exploitez l'ensemble du sous-domaine. Il existe deux façons de mettre en œuvre la délégation de sous-domaine :
Délégation complète
Le client délègue un sous-domaine entier pour que vous le gériez. Ce faisant, vous devenez responsable du sous-domaine et de tout ce qui s'y trouve (y compris les sous-domaines du sous-domaine). La délégation du sous-domaine est la seule chose que votre client doit faire, ce qui en fait une approche privilégiée.
CNAMEs
Le client crée plusieurs CNAME qui pointent vers votre propre domaine. Il s'agit effectivement d'une forme de délégation, sauf que les services individuels sont délégués par chaque CNAME. C'est comme la délégation complète, sauf que le client doit initialement créer plus d'entrées DNS, ce qui en fait une approche proche de la délégation complète.
Les CNAME sont généralement créés pour :
- SPF et traitement des rebonds. Par exemple, un client crée un CNAME qui pointe sur
marketing.customer-domain.orgàbounces.email-service-provider.com. L'email envoyé au nom du client utilise une adresse de rebond de@marketing.customer-domain.org. Non seulement l'enregistrement SPF correspondant est géré par vous (puisqu'il s'agit en fait de l'enregistrement SPF pourbounces.email-service-provider.com), mais tous les rebonds vous seront renvoyés au lieu d'être envoyés à votre client. (Nous avons publié une courte vidéo de présentation du SPF ici.) - DKIM. Le client peut créer plusieurs enregistrements CNAME qui pointent vers vos propres clés publiques publiées, et vous pouvez utiliser ces enregistrements CNAME pour ajouter des signatures DKIM aux e-mails que vous envoyez au nom du client. La mise en place de plusieurs CNAME vous permet de faire tourner les clés DKIM sans que le client ait à faire quoi que ce soit.(Nous avons publié une courte vidéo de présentation de DKIM ici).
- Mappage des liens avec le courrier électronique vers le domaine du client. Au lieu d'intégrer des liens qui pointent vers votre propre domaine, vous pouvez ajouter des liens dans l'e-mail de votre client qui utilisent le domaine de ce dernier. Lorsque quelqu'un clique sur un lien dans l'e-mail, le CNAME renvoie à vos propres services pour le suivi, etc.
Relayage
Le relais est parfois une option si seule une petite quantité d'e-mails est envoyée au nom du client. Permettre à un client de configurer son courrier électronique pour qu'il soit relayé par un serveur de messagerie différent est un moyen d'assurer la conformité DMARC si le relais lui-même est capable d'envoyer des messages conformes à DMARC.
Il y a deux façons de le faire :
Relais SMTP
Permettez aux clients de configurer un relais SMTP pour tous les e-mails que vous envoyez en leur nom.(Nous avons une courte vidéo de présentation sur le SMTP, mais elle ne couvre pas le relais.) La personne qui gère le relais devient alors responsable de la conformité DMARC.
Voici les inconvénients :
- Le traitement des rebonds disparaît sauf si le relais est capable de vous renvoyer les rebonds pour traitement.
- La livraison du courrier électronique devient la responsabilité de l'opérateur du relais, ce qui signifie que votre service de courrier électronique dépend désormais d'un élément exploité par votre client.
Configurer les informations d'identification de l'utilisateur
Permettez aux clients de configurer les informations d'identification des utilisateurs. Pour cela, le client doit approvisionner un compte pour votre service, puis configurer votre service pour utiliser les informations d'identification du nouvel utilisateur. Vous enverrez alors tous les e-mails comme si vous étiez l'utilisateur.
Voici les inconvénients :
- Vous devez gérer l'accès des utilisateurs à une multitude de plateformes de messagerie, car votre propre client peut utiliser Gmail, Yahoo, Microsoft, Exchange, etc.
- Vous utilisez les ressources de vos clients pour envoyer des e-mails en leur nom.
Configuration manuelle
Au lieu d'exploiter un sous-domaine délégué (ou d'utiliser des CNAME), vous pouvez demander aux clients de configurer leur domaine de manière à pouvoir envoyer des e-mails conformes à la norme DMARC :
SPF
Vous pouvez demander à votre client d'ajouter vos propres netblocks dans l'enregistrement SPF du client. Il s'agit d'une demande courante, mais elle est souvent faite pour la mauvaise raison. Cela vous permettra d'envoyer des e-mails autorisés au nom du client , mais uniquement si le domaine du client est utilisé dans l'adresse de rebond des e-mails que vous envoyez.
Inconvénients :
- Les messages rebondis seront acheminés vers votre client au lieu de vous être renvoyés. Vous n'aurez aucune visibilité sur les problèmes qui affectent vos performances en tant qu'expéditeur d'e-mails et votre client vivra une mauvaise expérience utilisateur.
- Votre client doit penser à vous tout en maintenant son enregistrement SPF. C'est ennuyeux pour vos clients qui doivent gérer un tas d'autres expéditeurs qui ont demandé à être inclus dans leur enregistrement SPF pour de mauvaises raisons.
DKIM
Vous pouvez demander aux clients d'ajouter des clés liées à DKIM dans leur domaine.
Inconvénients :
- Votre client doit couper et coller de grosses chaînes de caractères dans son logiciel de gestion de domaine. Ce faisant, des erreurs se produisent souvent, ce qui ennuie les utilisateurs et vous-même.
- Vous ne pouvez pas faire tourner les clés DKIM sans demander à votre client d'effectuer une tâche. Au mieux, cette tâche est fastidieuse. Dans le pire des cas, une clé DKIM doit être changée en raison d'une urgence (pendant un jour férié !), et il s'agit probablement de la pire interaction possible avec le client : "Votre clé est utilisée pour envoyer des e-mails frauduleux. Pouvez-vous tout laisser tomber maintenant pour nous aider à régler ce problème ?"
N'hésitez pas à nous faire savoir si vous avez découvert une nouvelle méthode qui mérite d'être partagée.
Capacités requises
Comme décrit ci-dessus, l'envoi d'e-mails conformes à la norme DMARC pour le compte de vos propres clients peut être réalisé par le biais de diverses approches. Chacune d'entre elles consiste en un compromis entre "facile pour moi" et "facile pour mon client". Comme il y a une quantité fixe de configuration et de travail opérationnel à effectuer, vous pouvez :
- Effectuez ce travail pour le compte de votre client,
- partager le travail entre vous et votre client, ou
- faire faire le travail par votre client.
Quelle que soit l'approche retenue, il y a toujours un certain travail à faire pour pouvoir envoyer des documents au nom de votre client :
Délégation de sous-domaine
Client
Configuration unique du domaine pour mettre en œuvre les sous-domaines/CNAMEs.
Vous
- Fonctionnement du système de domaine pour gérer/vérifier/surveiller les délégations de sous-domaines/CNAMEs.
- Fonctions du serveur de messagerie permettant d'utiliser le sous-domaine du client dans l'adresse de rebond et dans les signatures DKIM.
- Maintenance de l'enregistrement SPF.
Relayage
Client
- Le client doit apporter sa propre ressource de relais.
- Configuration unique pour ajouter des informations sur les relais à votre système.
Vous
- Fonctionnalités du serveur de messagerie permettant d'utiliser le relais du client et - si vous voulez sérieusement envoyer des e-mails - de traiter les rebonds. Étant donné que pratiquement tous les serveurs de messagerie prennent en charge la capacité de relayer les e-mails, le travail consiste ici à exposer cette fonctionnalité aux clients pour qu'ils en tirent parti.
Configuration manuelle
Client
- Configuration unique du domaine pour ajouter les enregistrements SPF et les clés de signature DKIM.
- Configuration supplémentaire si les enregistrements SPF doivent être mis à jour ou si les clés de signature DKIM doivent être remplacées.
Vous
- Fonctions du serveur de messagerie permettant d'utiliser le domaine du client dans l'adresse de rebond et dans les signatures DKIM.
- Maintenance de l'enregistrement SPF, et veiller à ce que les clients mettent à jour leur enregistrement SPF lorsque vous modifiez votre infrastructure. Ceci est soit facile si vos clients
include:votre infrastructure via SPF, ou difficile si vous avez des clients qui ajoutent des choses commeip4:dans leurs enregistrements SPF.
Le lecteur avisé notera que certains changements doivent être apportés, quelle que soit l'approche adoptée. Les fonctionnalités du serveur de messagerie sont nécessaires dans tous les cas.
Il existe une grande quantité de "capacités requises" communes entre les approches sans relais, les principales différences portant sur les différentes manières dont le client peut configurer son domaine pour vous permettre d'envoyer des messages en son nom. Sur la base de cet aperçu, il vaut la peine de faciliter la tâche de vos clients si vous vous êtes déjà engagé à envoyer des e-mails en leur nom.
Embarquement des clients
La première approche (délégation de sous-domaine) est efficace du point de vue de la minimisation de ce qu'un client doit mettre en œuvre avant que vous puissiez envoyer des e-mails conformes à DMARC en son nom.
La deuxième approche (le relais) consiste essentiellement à décharger l'envoi d'e-mails conformes à la norme DMARC sur votre client. Cette approche peut être privilégiée si vous envoyez très peu d'e-mails pour le compte de vos clients et que l'investissement nécessaire à l'envoi d'e-mails conformes à la norme DMARC ne se justifie pas.
La troisième approche (configuration manuelle) nécessite la même mise en œuvre par le client que l'approche de délégation de sous-domaine, sauf que des changements plus spécifiques sont nécessaires pour démarrer.
En outre, la troisième approche peut être considérée comme fragile : les changements apportés à votre propre infrastructure peuvent obliger votre client à apporter les modifications correspondantes à la configuration du domaine. La coordination de ce type de changement peut être fastidieuse, coûteuse et sujette à des erreurs.
Envoi d'e-mails au nom des clients
L'envoi d'e-mails conformes à la norme DMARC présente de nombreux avantages pour vous et pour votre client et contribue grandement à faciliter l'identification de vos e-mails. Si vous souhaitez envoyer les meilleurs e-mails(ou même simplement des e-mails qui sont livrés !), pensez à aller plus loin et à utiliser le domaine de votre client dans tout ce qui est lié à un e-mail :
- Les liens des courriels peuvent sembler provenir du domaine de votre client, mais lorsque quelqu'un clique sur un lien, il peut être desservi par votre propre infrastructure.
- Il en va de même pour les images et autres objets : ils semblent provenir du domaine de votre client, mais sont servis par votre propre infrastructure.
- Les noms de serveurs liés à la livraison du courrier électronique peuvent être modifiés pour refléter le domaine de votre client.
Les changements ci-dessus sont possibles si l'on utilise l'approche par sous-domaine. En procédant ainsi, les courriels que vous envoyez au nom de vos clients sont incroyablement faciles à identifier et à distribuer.
Si vous souhaitez figurer dans le répertoire des sources de courrier électronique, contactez-nous à l'adresse support@dmarcian.com.
Des questions/commentaires ? Écrivez-nous à support@dmarcian.com.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
