Guide de configuration des protocoles de messagerie Red Sift

Publié le :10 juin 2024
Modifié le :1 avril 2026
Chapitre :5 min de lecture
Guide :81 min de lecture
image
Découvrez notre guide
Dans ce chapitre
Dans ce chapitre

Email Security Glossary of Terms

Here is a glossary of terms that you may come across when you are setting up your email configuration, learning more about email security, or using OnDMARC.

Sender IP

The IP address of the originating server.

EHLO domain

The domain name given in the EHLO command MUST be either a primary host name (a domain name that resolves to an address resource record (RR) or, if the host has no name, an address literal.

PTR record

A PTR record is a DNS record that resolves an IP address to a domain name. It does the opposite of what an A record does.

A record

An A record resolves a domain name to an IP address. It does the opposite of what the PTR record does.

DMARC

DMARC stands for Domain-based Message Authentication, Reporting, and Conformance. It’s an outbound email security protocol that protects domains against exact impersonation.

OnDMARC simplifies the complexities of DMARC by automating processes and providing clear instructions on how to block unauthorized use of your domain.

DMARC Compliant

Being DMARC compliant means that your domain is in either a policy of quarantine p=quarantine or reject p=reject.

SPF

SPF stands for Sender Policy Framework. It was developed to combat sender address forgery. It is an authentication protocol which verifies the Return-Path/MAIL FROM or HELO/EHLO identities during email transmission.

TXT Record

TXT record is a type of DNS resource record (RR) used to associate an arbitrary text with a host.

DKIM

DKIM stands for DomainKeys Identified Mail and it is a protocol that helps organizations claim responsibility for an email. It provides a method for validating a domain name associated with an email through the use of cryptography. 

DKIM Signing Domain

This is the domain name identity that has signed the email with its cryptographic signature.

DKIM Selector

The selector is an arbitrary string travelling along with each DKIM signed email which helps the recipient to find the public key in your DNS and validate the DKIM signature. 

DKIM Canonicalization

Canonicalization is a method used by the sender to normalize or standardize the email header and body before signing it with DKIM. Two canonicalization algorithms exist - relaxed and simple for each header and body. The simple algorithm tolerates almost no modification and the relaxed algorithm tolerates common modifications such as whitespace replacement and header field line rewrapping.

DKIM Signed Headers

This is a complete and ordered list of header fields presented to the signing algorithm.

DKIM Signature

This contains the DKIM signature data of the email.

DKIM signing domain

This is the domain name identity for which DKIM signed the email.

DKIM Key Length

This is the size of the DKIM key being used when signing the email. Longer keys are considered stronger and more secure. 

TTL

TTL or time to live is a mechanism that limits the lifespan or lifetime of data in a computer or network.

From Domain

This email header displays who the message is from. This is the visible domain shown in your mail client.

Return Path

The email header is used to indicate where bounces should be sent in case an email cannot be delivered. Depending on the mail provider receiving the email an SPF check is either done on this email header first or the EHLO or both.

p=

The p= is a DMARC tag that specifies the policy used. Examples include: ​ p=none - means no policy will be applied to emails that fail DMARC p=quarantine - means quarantine emails that fail DMARC p=reject - means reject emails that fail DMARC.

pct=

The pct= is a DMARC tag that specifies to what percentage of emails the policy should be applied to. If this tag is absent then 100% of the emails will have the policy applied. Other examples:

  • p=reject; pct=20 means that the specified policy will apply to 20% of the emails, the remaining 80% will have the policy of quarantine applied as this is the next policy down.
  • p=quarantine; pct=50 means that the specified policy will apply to 50% of the emails, the remaining 50% will have the policy of none applied as this is the next policy down.
  • p=none; pct=100 means that the specified policy will apply to 100% of the emails.

rua=

The rua= is a DMARC tag that tells the recipient where to send the DMARC aggregate reports to.

ruf=

The ruf= is a DMARC tag that tells the recipient where to send the DMARC forensic reports.

SPF domain

SPF uses the Return-Path/MAIL-FROM domain of emails in order to look up the SPF record of the email sender.

sp=

The sp= is a DMARC tag that specifies the subdomain policy used. 

adkim=

adkim= is a DMARC tag that specifies whether a strict or relaxed DKIM alignment mode is required by the Domain Owner.

aspf=

aspf= is a DMARC tag which specifies whether strict or relaxed SPF alignment mode is required by the Domain Owner.

Sender Score

Score from 0 to 100 given to a sender. A score below 20 means it is a suspicious address, a score between 20 and 70 is from an average sender, and only really trustworthy senders get a score over 70.

Validity Certified Allowlist

Validity offers allowlists as a positive reputation signal to assist you with quickly identifying the best mailers and making informed decisions on message handling.

Return Path Blocklist

The Validity Blocklist (RPBL) is a real-time list of IP addresses categorized as the “worst of the worst”, based on reputation and other data we receive from our partners.

The value is a combination of the following factors:

  • botnet = IP addresses observed exhibiting botnet characteristics in message transmission
  • noauth= IP addresses transmitting messages lacking/failing SPF and DKIM authentication, and with poor Sender Score reputation
  • pristine = IP addresses with messages hitting pristine traps
  • suspect_attach = IP addresses observed transmitting messages with suspicious attachments
free trial imagefree trial image
How secure is your email setup? Check in less than a minute

Questions fréquemment posées : Guide de configuration des protocoles de messagerie

Quelle est la différence entre l’échec SPF strict (-all) et l’échec doux (~all), et lequel devrais-je utiliser en 2026 ?

Avant l’apparition de DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d’expéditeur. Cependant, les recommandations de l’industrie en 2026 privilégient désormais « ~all » afin d’équilibrer sécurité et délivrabilité, évitant ainsi le rejet inutile d’e-mails valides qui pourraient échouer à SPF mais réussir DKIM et DMARC.

Le principe est que « ~all », combiné à DMARC (avec la politique p=reject), rejettera quand même les messages non authentifiés si SPF et DKIM échouent, sans pour autant bloquer les courriels légitimes, ce qui améliore la délivrabilité globale.

La spécification DMARC (RFC 7489) précise qu’un préfixe « - » sur le mécanisme SPF d’un expéditeur, tel que « -all », peut activer le rejet de messages plus tôt dans le traitement, avant toute intervention de DMARC. Il est donc conseillé de n’utiliser « -all » que pour les domaines inactifs qui n’envoient aucun e-mail. DMARC ne prend pas en compte la nuance entre l’échec doux et strict de SPF, les considérant tous les deux comme des échecs SPF.

Comment fonctionne l’alignement DMARC et quelle est la différence entre l’alignement strict et relâché ?

DMARC n’exige pas seulement que SPF ou DKIM soient PASS, mais impose aussi qu’au moins un des domaines utilisés par SPF ou DKIM s’aligne sur le domaine figurant dans l’en-tête From. Un bon alignement est essentiel pour la délivrabilité en 2026 car les principaux fournisseurs de messagerie appliquent ces exigences.

Pour SPF, l’alignement de l’identifiant signifie que le contrôle MAIL FROM/Return-PATH doit réussir et que la partie domaine du MAIL FROM/Return-PATH doit s’aligner sur le domaine utilisé dans l’adresse From. En mode strict, les domaines doivent correspondre exactement, tandis qu’en mode relâché, les sous-domaines sont également tolérés à condition qu’ils appartiennent au même domaine organisationnel.

Par exemple, si le MAIL-FROM/RETURN-PATH est @ondmarc.com et que l’en-tête From est @knowledge.ondmarc.com, ils ne sont pas alignés en mode strict. Mais en mode relâché, DMARC considèrera l’alignement comme valide.

Que sont les rapports agrégés DMARC et les rapports judiciaires, et comment diffèrent-ils ?

Un rapport agrégé DMARC fournit des informations sur le statut d’authentification des messages envoyés au nom d’un domaine. Il s’agit d’un rapport de rétroaction XML destiné à donner de la visibilité sur les e-mails ayant réussi ou échoué aux vérifications SPF et DKIM. Ce rapport donne au propriétaire du domaine une vision précise des sources qui envoient en son nom et des actions appliquées à ces e-mails (la politique appliquée par le destinataire).

Les destinataires examinent la balise 'rua' de votre enregistrement DMARC et envoient les rapports à cette adresse. Vous pouvez spécifier l’intervalle d’envoi des rapports agrégés grâce à la balise ri (par défaut à 86 400 secondes soit 24 heures). Les rapports judiciaires contiennent des informations détaillées sur chaque échec d’authentification. Les informations personnelles identifiables (PII) sont retirées, mais tout ce qui peut aider à diagnostiquer l’échec DMARC reste, comme les détails du rejet SPF et DKIM, l’adresse From complète et l’objet du message.

L’adresse de réception des rapports judiciaires DMARC est spécifiée par la balise 'ruf' dans votre enregistrement DMARC. Tous les systèmes de réception ne prennent pas en charge l’envoi de rapports judiciaires. Red Sift OnDMARC fait partie des rares applications DMARC du marché qui reçoivent ces rapports grâce à son partenariat avec Yahoo.

Que sont les macros SPF et pourquoi pourraient-elles poser des problèmes de délivrabilité ?

Une macro SPF correspond à un mécanisme utilisé dans les enregistrements SPF pour définir des ensembles d’adresses IP réutilisables. Les macros SPF augmentent la flexibilité et la maintenance des enregistrements SPF en permettant de définir des ensembles complexes d’IP dans un seul mécanisme, qui peut être appelé dans plusieurs enregistrements SPF. Par exemple, au lieu de lister chaque adresse IP autorisée, on peut définir une macro telle que « %{i} » qui appelle l’IP de l’expéditeur du message. Gérer les SPF ainsi permet de contrôler une grande liste d’IP sans dépasser la limite de recherches SPF, et d’obscurcir les adresses IP autorisées pour les requêtes publiques.

Cependant, selon la structure de l’enregistrement SPF utilisant des macros, l’absence de développement des macros peut entraîner des erreurs SPF ou des résultats « Neutral » (indiqués par le mécanisme ?all). Si les macros SPF sont essentielles pour autoriser certains serveurs expéditeurs légitimes, les e-mails pourraient échouer les contrôles SPF ou être considérés comme suspects par les serveurs destinataires qui s’appuient sur SPF pour l’authentification.

Qu’est-ce que MTA-STS et comment le déployer sans bloquer la livraison des e-mails ?

Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle indique aux serveurs expéditeurs que les e-mails doivent obligatoirement être transférés via une connexion chiffrée TLS, ce qui empêche leur interception par des cybercriminels.

L’adoption de MTA-STS a fortement augmenté, les organisations en 2026 considérant la sécurité de la couche de transport comme essentielle pour protéger les e-mails en transit. Pour permettre l’activation de MTA-STS sur un domaine destinataire, il faut annoncer la prise en charge de MTA-STS dans le DNS du domaine et publier un fichier de politique sur le site web associé.

L’activation de MTA-STS doit être réalisée avec précaution pour éviter de bloquer la livraison. Il est conseillé de déployer d’abord MTA-STS en mode test, afin d’analyser les rapports TLS et corriger les éventuels problèmes avant de passer à une politique d’application stricte. Cette démarche progressive devrait devenir la norme en 2026 pour les organisations souhaitant mettre en œuvre la sécurité du transport.

Qu’est-ce que TLS-RPT et comment fonctionne-t-il avec MTA-STS ?

Le SMTP TLS Reporting (ou TLS-RPT) permet de signaler les problèmes de connectivité TLS rencontrés par les MTAs expéditeurs, et il est défini dans le RFC8460. Comme pour DMARC, TLS-RPT envoie des rapports par e-mail pour avertir les propriétaires de domaine lorsqu’une livraison échoue en raison d’un incident TLS. Ces rapports incluent la politique MTA-STS détectée, des statistiques de trafic, les connexions ayant échoué et les raisons des échecs.

Avec la fonctionnalité MTA-STS de Red Sift OnDMARC, vous n’avez pas à craindre une mise en place complexe. Il suffit d’ajouter les Smart Records MTA-STS fournis par OnDMARC dans votre DNS, puis Red Sift héberge le fichier de politique MTA-STS, maintient le certificat SSL et signale toute violation de politique à travers les rapports TLS. Les plateformes DMARC modernes incluent en 2026 MTA-STS hébergé comme un standard, facilitant ainsi le déploiement de la sécurité de la couche de transport.

Qu’est-ce que DANE et quelle est la différence avec MTA-STS ?

Publiée dans le RFC 7671, DANE (DNS-based Authentication of Named Entities) introduit un nouveau standard Internet pour configurer la communication TLS entre un client et un serveur, sans dépendre des autorités de certification traditionnelles (CA).

Le modèle classique de TLS par CA permet à n’importe quelle CA d’émettre un certificat pour n’importe quel domaine. DANE s’appuie sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat. Le protocole DNSSEC déjà existant garantit que les données reçues sont authentiques et n’ont pas été altérées.

DANE introduit également un nouveau type de RR DNS appelé TLSA, signalant au client qu’un serveur prend en charge TLS. Il est recommandé de configurer MTA-STS et DANE ensemble. DANE est obligatoire pour de nombreux gouvernements, et les organismes publics de l’UE doivent généralement l’implémenter.

DANE et MTA-STS sont efficaces uniquement si l’expéditeur les prend en charge. Or, la plupart des expéditeurs ne prennent en charge qu’un seul des deux, donc les utiliser ensemble renforce la sécurité. En 2026, les organisations déploient souvent d’abord MTA-STS pour une compatibilité plus large, puis ajoutent DANE pour une sécurité accrue là où c’est nécessaire.

Quel est le but de la politique de sous-domaine DMARC (balise sp) et comment l’utiliser ?

La politique de sous-domaine permet aux administrateurs de protéger différents domaines et sous-domaines selon leur niveau d’avancement DMARC. Par exemple, si tous vos services émetteurs configurés pour votre domaine principal utilisent SPF et DKIM, vous pouvez appliquer une politique DMARC de p=reject au domaine principal tout en laissant les sous-domaines en p=none, ou inversement.

Ainsi, si un service d’envoi d’e-mails n’est pas compatible DMARC (ne supporte pas SPF ou DKIM), il est possible de lui attribuer un sous-domaine distinct et de lui assigner une autre politique DMARC, sans empêcher la protection des autres domaines. Cela permet de répartir le trafic sur plusieurs sous-domaines, chacun étant protégé indépendamment.