Vue d'ensemble de l'authentification par e-mail

Pour vous assurer que vos e-mails marketing envoyés via HubSpot sont conformes aux normes d'authentification et aux politiques d'envoi appliquées par les principaux fournisseurs de messagerie (par exemple, Gmail et Yahoo Mail), vous pouvez connecter votre domaine d'envoi d'e-mails à HubSpot. Le processus de connexion au domaine implique la mise en place de trois types de fiches d'informations DNS distincts dans les paramètres de votre fournisseur DNS : DKIM, SPF et DMARC.

Cet article donne un aperçu de la nature de ces fiches d'informations et du fonctionnement des protocoles d'authentification qui leur sont associés.

Une fois que vous êtes prêt à authentifier votre domaine d'envoi d'e-mails, vous pouvez commencer le processus de configuration DNS ou consulter votre statut d'authentification actuel dans HubSpot.

Remarque : Votre gestionnaire de compte HubSpot ou les membres du support HubSpot peuvent vous aider à comprendre les meilleures pratiques et comment utiliser les outils HubSpot pour mettre en place l'authentification, mais ils ne peuvent pas prendre ces décisions pour vous, ni gérer vos paramètres DNS. Vous devrez travailler avec votre équipe informatique ou votre administrateur d'e-mail pour configurer complètement l'authentification de l'e-mail. Vous pouvez également contacter un service tiers de conseil ou de rapport DMARC pour obtenir une aide supplémentaire.

Comprendre l'impact des e-mails authentifiés

Impact sur votre compte HubSpot

Bien que DKIM, SPF et DMARC ne soient pas strictement nécessaires pour envoyer des e-mails via HubSpot, vous ne pouvez pas envoyer d'e-mails avec votre domaine dans l'Adresse de l'expéditeur (par exemple, employee@example.com) tant que vous n'avez pas connecté ce domaine à HubSpot en configurant DKIM. Cela permettra également d'augmenter la capacité d'envoi d'e-mails pour ce domaine.

Les domaines non connectés en tant que domaine d'envoi d'e-mail dans votre compte seront modifiés en domaine variable hébergé par HubSpot. Pour en savoir plus sur les e-mails non authentifiés, consultez cet article.

Impact sur les performances des e-mails

La plupart des fournisseurs de messagerie préfèrent les e-mails authentifiés par DKIM. Les e-mails envoyés sans l'authentification DKIM sont plus susceptibles d'être rejetés, mis en quarantaine ou classés comme spam. Les e-mails mis en quarantaine apparaîtront comme livrés dans HubSpot, mais ne seront pas visibles pour la plupart des destinataires, c'est pourquoi il est fortement recommandé de configurer DKIM pour améliorer la délivrabilité.

Remarque : Certains fournisseurs de messagerie, tels que Google et Yahoo, exigeront que DMARC, DKIM et SPF soient entièrement configurés pour tout domaine envoyant des e-mails en masse à leurs utilisateurs. Si vous ne remplissez pas ces conditions, les e-mails provenant de votre domaine seront rejetés. Ces rejets seront classés comme des rejets DMARC ou Politique.

Guide de DKIM

DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails visant à empêcher l'usurpation d'adresse e-mail, technique utilisée par des acteurs malveillants pour envoyer des e-mails avec de fausses adresses d'expéditeur.

Vous serez guidé pour configurer DKIM dans HubSpot en utilisant deux fiches d'informations CNAME dans votre fournisseur DNS. Une fois que vous avez configuré vos fiches d'informations DKIM dans votre fournisseur DNS à l'aide d'une clé publique que HubSpot vous fournit, un serveur de messagerie de réception (par exemple Gmail) sera en mesure de vérifier la signature de votre e-mail envoyé qui est associé à votre domaine.

Apprenez à ajouter ces fiches d'informations en suivant les instructions données dans cet article.

Une fois que vous avez ajouté ces fiches d'informations DNS et qu'ils ont été vérifiés par HubSpot et votre fournisseur de messagerie, la signature DKIM sera incluse dans les en-têtes de vos e-mails envoyés, en corrélation avec les entrées CNAME associées que vous avez configurées.

Guide du SPF

SPF (Sender Policy Framework) est une norme d'authentification des e-mails utilisée pour vérifier que le serveur d'envoi est autorisé à envoyer des e-mails au nom d'un domaine spécifique.

SPF est traditionnellement requis pour le domaine du chemin de retour de l'enveloppe, qui est l'adresse à laquelle les messages non sollicités seront envoyés. HubSpot a déjà configuré cette option pour les e-mails de marketing envoyés via ses serveurs partagés. Tous les clients avec une adresse IP dédiée sont tenus de configurer SPF sur leur domaine de retour d'enveloppe dans le cadre de leur configuration IP initiale.

Il est également fortement recommandé d'ajouter la fiche d'informations SPF de HubSpot à votre domaine Adresse de l'expéditeur. Il sera configuré comme une fiche d'informations TXT dans votre fournisseur DNS, en utilisant la valeur fournie dans les paramètres de votre domaine HubSpot. Cette fiche d'informations fournira une liste régulièrement mise à jour des adresses IP que HubSpot utilisera pour envoyer des e-mails marketing à partir de votre domaine Adresse de l'expéditeur.

Vous pouvez suivre ce guide pour ajouter HubSpot à votre fiche d'informations SPF.

Une fois que vous avez ajouté la fiche d'informations SPF et que le processus de vérification est terminé, lorsqu'un serveur d'e-mails traite l'un de vos e-mails, il peut vérifier que HubSpot figure sur la liste d'inclusion des expéditeurs valides de votre domaine.

Guide de DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification des e-mails qui protège davantage les propriétaires de domaines d'e-mails contre l'usurpation d'identité et d'autres utilisations non autorisées de leur domaine.

En configurant une fiche d'informations DMARC, les fournisseurs de messagerie peuvent confirmer comment traiter les e-mails envoyés depuis votre domaine qui ne réussissent pas les contrôles SPF et DKIM. Un DMARC fournit également un mécanisme de rapport permettant aux propriétaires de domaines de savoir à quelle fréquence les serveurs des destinataires du monde entier reçoivent des e-mails envoyés depuis leur domaine, et quel pourcentage est correctement authentifié.

Pour en savoir plus sur les valeurs de politique disponibles et sur quelques exemples de politiques, voir les sections ci-dessous. Lorsque vous êtes prêt à configurer votre fiche d'informations DMARC, consultez les instructions sur cet article.

Valeurs politiques

Une politique DMARC peut être définie en ajoutant une fiche d'informations TXT dans les paramètres de votre fournisseur DNS, avec une valeur qui peut inclure les propriétés suivantes, séparées par des points-virgules :

• v : la version de DMARC.
• p : le type de politique qui dicte la manière de traiter les e-mails qui sont rejetés. La politique peut être définie sur l'un des types suivants :
  
  • aucun : utilisé pour recueillir des commentaires et obtenir une visibilité sur les flux d'e-mails sans avoir d'impact sur les flux existants.
  • quarantaine : permet de filtrer les e-mails dont l'authentification a échoué dans la quarantaine du destinataire.
  • rejet : permet de rejeter les e-mails dont l'authentification a échoué.
• sp : utilisé pour appliquer une politique à un sous-domaine de la fiche d'informations DMARC.
• pct : le pourcentage du nombre total d'envois uniques dont l'authentification a échoué, auquel cette politique doit s'appliquer. Par exemple, si votre fiche d'informations DMARC comprend p=reject; pct=25, et que 100 e-mails ont échoué à l'authentification, seuls 25 d'entre eux seront rejetés, tandis que les 75 autres seront remis à leurs destinataires.
  
  • La définition de cette propriété permet d'accélérer la mise en œuvre de votre politique d'authentification et de s'assurer qu'elle fonctionne comme prévu.
  • Notez que ce paramètre est parfois ignoré par certains fournisseurs de services de messagerie.
• ruf & rua : deux paramètres facultatifs qui indiquent l'adresse e-mail à laquelle envoyer les données de rapport DMARC. Ils doivent être fournis au format URI mailto (par exemple, mailto:reporting@example.com). Les données de rapport envoyées diffèrent en fonction du paramètre :
  • rua : un rapport agrégé de tout le trafic de votre domaine.
  • ruf : données de rapport d'échec qui comprennent des copies expurgées des messages individuels dont l'authentification a échoué.
• adkim & aspf : indique le mode d'alignement pour DKIM et SPF. Ils doivent tous deux être réglés sur r (c'est-à-dire un alignement détendu). L'alignement détendu devrait être le paramètre par défaut de DMARC pour les services DNS.

Une fois que vous avez ajouté et vérifié la fiche d'informations DMARC dans votre fournisseur DNS, tous les serveurs de réception d'e-mails peuvent authentifier les e-mails entrants provenant de votre domaine et traiter les échecs conformément à la politique que vous avez spécifiée.

Exemples de politiques

Vous pouvez adapter votre politique DMARC aux besoins de votre entreprise. Voici quelques exemples :

Politique neutre

v=DMARC1; p=none;

Il s'agit d'un exemple de politique DMARC neutre sans paramètres supplémentaires. Une politique neutre est utile pour les expéditeurs qui commencent à se familiariser avec DMARC. C'est le strict minimum pour que DMARC fonctionne.

Politique stricte en matière de rapports agrégés

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

L'exemple ci-dessus définit une politique DMARC stricte pour renvoyer tous les e-mails qui échouent à l'authentification, et fournit une adresse e-mail à laquelle envoyer les données de rapport agrégées.

Politique de quarantaine avec rapport d'échec

v=DMARC1; p=quarantine; pct=25; ruf=mailto:reporting@example.com;

Cet exemple définit une politique qui met en quarantaine 25 % des e-mails qui n'ont pas été authentifiés, tandis que les 75 % restants sont autorisés à être distribués. La politique fournit également une adresse de rapport où un e-mail de notification individuel peut être envoyé pour chaque e-mail dont l'authentification échoue.

La définition d'une valeur pour la propriété pct peut vous permettre de tester un échantillon aléatoire de messages qui ont échoué à DMARC, afin de vérifier que les e-mails légitimes sont toujours délivrés correctement.

Remarque : Le support HubSpot ne peut pas vous aider à configurer les fiches d'informations DMARC. La politique DMARC que vous configurez est propre aux besoins de votre entreprise et à votre fournisseur DNS. Vous devez consulter votre administrateur informatique ou la personne qui gère vos paramètres DNS pour obtenir de l'aide sur la configuration de DMARC. Vous pouvez également faire appel à des services de conseil ou de rapport DMARC tiers pour obtenir une aide supplémentaire.