Présentation de l'authentification des e-mails

Pour garantir que vos e-mails marketing envoyés via HubSpot sont conformes aux normes d'authentification et aux politiques d'envoi appliquées par les principaux fournisseurs de messagerie (par exemple, Gmail et Yahoo Mail), vous pouvez connecter votre domaine de messagerie à HubSpot. Le processus de connexion du domaine implique la mise en place de trois types d'enregistrements DNS distincts dans les paramètres de votre fournisseur DNS : DKIM, SPF et DMARC.

Cet article présente la nature de ces fiches d'informations et le fonctionnement des protocoles d'authentification qui leur sont associés.

Une fois que vous êtes prêt à authentifier votre domaine d'envoi d'e-mails, vous pouvez commencer le processus de configuration DNS ou consulter votre statut d'authentification actuel dans HubSpot.

Remarque : Votre gestionnaire de compte HubSpot ou les membres du support HubSpot peuvent vous aider à comprendre les bonnes pratiques et comment utiliser les outils HubSpot pour mettre en place l'authentification. Toutefois, ils ne peuvent pas prendre ces décisions pour vous, ni gérer vos paramètres DNS. Vous devrez solliciter votre équipe informatique ou votre administrateur de messagerie pour configurer complètement l'authentification des e-mails. Vous pouvez également contacter un service de conseil ou de reporting DMARC tiers pour obtenir une aide supplémentaire.

Comprendre l'impact des e-mails authentifiés

E-mails non authentifiés et domaines de messagerie variables

Tous les e-mails marketing et les e-mails transactionnels envoyés via HubSpot qui n'utilisent pas un domaine de messagerie connecté sont soumis à un domaine variable géré par HubSpot. Cela permet de détecter et de supprimer automatiquement votre domaine non authentifié sans annuler l'envoi. Ce processus peut avoir un effet négatif sur la façon dont vos destinataires interagissent avec vos e-mails.

Par exemple, si vous tentez d'envoyer un e-mail à partir d'un domaine non authentifié, tel que user@yourcompany.com, HubSpot modifiera l'adresse e-mail pour utiliser un domaine géré par HubSpot (par exemple, hs-domain.com), de sorte que l'adresse d'envoi résultante apparaîtra comme user=yourcompany.com@hs-domain.com.

Découvrez-en davantage sur la vérification de vos e-mails automatisés pour savoir s'ils nécessitent une adresse d'expéditeur authentifiée.

Impact sur votre compte HubSpot

Bien que DKIM, SPF et DMARC ne soient pas strictement nécessaires pour envoyer des e-mails via HubSpot, vous ne pouvez pas envoyer d'e-mails avec votre domaine dans l'adresse d'expéditeur (par exemple, employee@example.com) si vous n'avez pas connecté ce domaine à HubSpot en configurant DKIM. Cela permettra également d'augmenter la délivrabilité des e-mails pour ce domaine.

Les domaines non connectés en tant que domaines de messagerie dans votre compte seront modifiés pour devenir des domaines système hébergés par HubSpot. 

Impact sur les performances des e-mails

La plupart des fournisseurs de messagerie préfèrent les e-mails authentifiés par DKIM. Les e-mails envoyés sans l'authentification DKIM seront plus susceptibles d'être rejetés, mis en quarantaine ou classés comme spam. Les e-mails mis en quarantaine apparaîtront comme remis dans HubSpot, mais ne seront pas visibles pour la plupart des destinataires. Par conséquent, il est fortement recommandé de configurer DKIM pour améliorer la délivrabilité.

Remarque : Certains fournisseurs de messagerie, tels que Google et Yahoo, exigeront que DMARC, DKIM et SPF soient entièrement configurés pour tout domaine envoyant des e-mails en masse à leurs utilisateurs. Si vous ne remplissez pas ces conditions, les e-mails provenant de votre domaine seront rejetés. Ces rejets seront classés comme des rejets DMARC ou Politique.

Guide DKIM

DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails visant à empêcher l'usurpation d'adresse e-mail, une technique utilisée par des acteurs malveillants pour envoyer des e-mails avec de fausses adresses d'expéditeur.

Vous serez guidé pour configurer DKIM dans HubSpot en utilisant deux enregistrements CNAME dans votre fournisseur DNS. Une fois que vous avez configuré vos fiches d'informations DKIM dans votre fournisseur DNS à l'aide d'une clé publique fournie par HubSpot, un serveur de messagerie de réception (par exemple Gmail) sera en mesure de vérifier la signature de votre e-mail envoyé qui est associée à votre domaine.

Apprenez à ajouter ces fiches d'informations en suivant les instructions données dans cet article.

Une fois que vous avez ajouté ces enregistrements DNS et qu'ils ont été vérifiés par HubSpot et votre fournisseur de messagerie, la signature DKIM sera incluse dans les en-têtes de vos e-mails envoyés, en corrélation avec les entrées CNAME associées que vous avez configurées.

Guide SPF

SPF (Sender Policy Framework) est une norme d'authentification des e-mails utilisée pour vérifier que le serveur d'envoi est autorisé à envoyer des e-mails au nom d'un domaine spécifique.

SPF est traditionnellement requis pour le domaine du chemin de retour, qui est l'adresse à laquelle les messages rejetés seront envoyés. HubSpot a déjà configuré cette option pour les e-mails de marketing envoyés via ses serveurs partagés. Tous les clients avec une adresse IP dédiée sont tenus de configurer SPF sur leur domaine de retour d'enveloppe dans le cadre de leur configuration IP initiale.

Il est également fortement recommandé d'ajouter l'enregistrement SPF de HubSpot à votre domaine d'expéditeur. Il sera configuré comme un enregistrement TXT dans votre fournisseur DNS, via la valeur fournie dans les paramètres de votre domaine HubSpot. Cette fiche d'informations fournira une liste régulièrement mise à jour des adresses IP que HubSpot utilisera pour envoyer des e-mails marketing à partir de votre domaine d'expéditeur.

Vous pouvez suivre ce guide pour ajouter HubSpot à votre fiche d'informations SPF.

Une fois que vous avez ajouté l'enregistrement SPF et que le processus de vérification est terminé, lorsqu'un serveur de messagerie traite l'un de vos e-mails, il peut vérifier que HubSpot figure sur la liste d'inclusion des expéditeurs valides de votre domaine.

Guide DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification des e-mails qui protège davantage les propriétaires de domaines de messagerie contre l'usurpation d'identité et d'autres utilisations non autorisées de leur domaine.

En configurant une fiche d'informations DMARC, les fournisseurs de messagerie peuvent vérifier comment traiter les e-mails envoyés depuis votre domaine qui ne passent pas les contrôles SPF et DKIM. DMARC fournit également un mécanisme de reporting permettant aux propriétaires de domaines de savoir à quelle fréquence les serveurs des destinataires du monde entier reçoivent des e-mails envoyés depuis leur domaine, et quel pourcentage est correctement authentifié.

Pour en savoir plus sur les valeurs de politique disponibles et sur quelques exemples de politiques, consultez les sections ci-dessous. Lorsque vous êtes prêt à configurer votre fiche d'informations DMARC, consultez les instructions sur cet article.

Valeurs de politique

Une politique DMARC peut être définie en ajoutant un enregistrement TXT dans les paramètres de votre fournisseur DNS, avec une valeur qui peut inclure les propriétés suivantes, séparées par des points-virgules :

• v : la version de DMARC.
• p : le type de politique qui dicte la manière de traiter les e-mails qui sont rejetés. La politique peut être définie sur l'un des types suivants :
  
  • none : utilisé pour recueillir des commentaires et obtenir une visibilité sur les flux d'e-mails sans avoir d'impact sur les flux existants.
  • quarantine : permet de filtrer les e-mails dont l'authentification a échoué dans la quarantaine du destinataire.
  • reject : permet de rejeter les e-mails dont l'authentification a échoué.
• sp : utilisé pour appliquer une politique à un sous-domaine de l'enregistrement DMARC.
• pct : le pourcentage du nombre total d'envois uniques dont l'authentification a échoué, auquel cette politique doit s'appliquer. Par exemple, si votre enregistrement DMARC comprend p=reject; pct=25, et que 100 e-mails ont échoué à l'authentification, seuls 25 d'entre eux seront rejetés, tandis que les 75 autres seront remis à leurs destinataires.
  
  • La définition de cette propriété permet d'accélérer la mise en œuvre de votre politique d'authentification et de s'assurer qu'elle fonctionne comme prévu.
  • Notez que ce paramètre est parfois ignoré par certains fournisseurs de services de messagerie.
• ruf & rua : deux paramètres facultatifs qui indiquent l'adresse e-mail à laquelle envoyer les données de rapport DMARC. Ils doivent être fournis au format URI mailto (par exemple, mailto:reporting@example.com). Les données de rapport envoyées diffèrent en fonction du paramètre :
  • rua : un rapport agrégé de tout le trafic de votre domaine.
  • ruf : données de rapport d'échec qui comprennent des copies expurgées des messages individuels dont l'authentification a échoué.
• adkim & aspf : indique le mode d'alignement pour DKIM et SPF. Ils doivent tous deux être définis sur r (c'est-à-dire un alignement relâché). L'alignement relâché doit être le paramètre par défaut de DMARC pour les services DNS.

Une fois que vous avez ajouté et vérifié l'enregistrement DMARC dans votre fournisseur DNS, tous les serveurs de réception d'e-mails peuvent authentifier les e-mails entrants provenant de votre domaine et traiter les échecs conformément à la politique que vous avez spécifiée.

Exemples de politiques

Vous pouvez adapter votre politique DMARC aux besoins de votre entreprise. Voici quelques exemples :

Politique neutre

v=DMARC1; p=none;

Il s'agit d'un exemple de politique DMARC neutre sans paramètres supplémentaires. Une politique neutre est utile pour les expéditeurs qui commencent à se familiariser avec DMARC. C'est le strict minimum pour que DMARC fonctionne.

Politique stricte en matière de rapports agrégés

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

L'exemple ci-dessus définit une politique DMARC stricte pour rejeter tous les e-mails qui échouent à l'authentification, et fournit une adresse e-mail vers laquelle envoyer les données de rapport agrégées.

Politique de quarantaine avec rapport d'échec

v=DMARC1; p=quarantine; pct=25; ruf=mailto:reporting@example.com;

Cet exemple définit une politique qui met en quarantaine 25 % des e-mails qui n'ont pas été authentifiés, tandis que les 75 % restants sont autorisés à être distribués. La politique fournit également une adresse de rapport à laquelle un e-mail de notification individuel peut être envoyé pour chaque e-mail dont l'authentification échoue.

La définition d'une valeur pour la propriété pct peut vous permettre de tester un échantillon aléatoire de messages qui n'ont pas répondu aux critères DMARC, afin de vérifier que les e-mails légitimes sont toujours correctement remis.

Remarque : Le support HubSpot ne peut pas vous aider à configurer les enregistrements DMARC. La politique DMARC que vous configurez est spécifique aux besoins de votre entreprise et à votre fournisseur DNS. Vous devez consulter votre administrateur informatique ou la personne qui gère vos paramètres DNS pour obtenir de l'aide sur la configuration DMARC. Vous pouvez également faire appel à des services tiers de conseil ou de reporting concernant DMARC pour obtenir une aide supplémentaire.