Lorsqu’un domaine utilise des services tiers comme Zoho Invoice pour l’envoi d’e-mails, il est essentiel de s’assurer que l’ensemble des protocoles d’authentification (SPF, DKIM, DMARC) sont correctement configurés. Voici le déroulé complet d’une intervention visant à résoudre des erreurs de délivrabilité observées dans des rapports DMARC.
Prise de connaissance du problème
Deux rapports DMARC provenant de Google ont été analysés. Ils couvrent deux journées consécutives pour un domaine dénommé ici exemple.fr. Le domaine applique une politique DMARC stricte : reject, ce qui signifie que tout e-mail non authentifié doit être rejeté.
Dans le premier rapport (jour 1), trois IP différentes ont envoyé des e-mails depuis ce domaine. Pour chacune, SPF a été validé mais DKIM a échoué. Aucun message n’a été explicitement rejeté, mais cela suggère une mauvaise configuration DKIM ou une absence de signature.
Dans le second rapport (jour 2), deux cas distincts apparaissent :
- Une IP envoie avec un DKIM valide mais un SPF invalide. Le domaine utilisé dans le SPF est
eu-sender.zohoinvoice.com. - Une autre IP envoie avec DKIM et SPF tous deux valides.
Ce dernier cas est conforme, mais le premier fait apparaître une erreur SPF sur un message pourtant signé par DKIM.
Clarification sur le comportement du SPF
Une question importante est alors posée : Un échec SPF empêche-t-il l’envoi du mail ?
La réponse est non, pas nécessairement. Si DKIM passe et est aligné avec le domaine expéditeur, le message peut quand même être accepté. Dans une politique DMARC reject, le mail est uniquement rejeté si SPF et DKIM échouent tous les deux ou ne sont pas alignés.
Dans le cas mentionné, l’échec du SPF n’a donc pas entraîné de rejet, car le DKIM était valide.
Analyse de la configuration SPF existante
Le domaine concerné utilise alors la configuration suivante pour son enregistrement SPF :
v=spf1 +a +mx +ip4:109.234.162.154 +include:spf.jabatus.fr +include:eu-sender.zohoinvoice.com -all
Cette configuration est correcte pour :
- Le serveur principal
- Le prestataire
jabatus.fr - Zoho Invoice
Mais il manque include:zoho.com, nécessaire pour les services génériques de Zoho (comme Zoho Mail ou CRM).
Vérification du statut de l’authentification dans Zoho
Une capture d’écran provenant de l’interface Zoho Invoice montre que le domaine est bien authentifié. Cela confirme que la clé DKIM est bien active. Toutefois, cela ne résout pas les problèmes liés à SPF.
Le domaine utilisé dans l’erreur était eu-sender.zohoinvoice.com, ce qui implique que le mail était envoyé par une infrastructure propre à Zoho Invoice, distincte du domaine principal.
Solution mise en place
La recommandation est alors de modifier l’enregistrement SPF comme suit :
v=spf1 a mx ip4:109.234.162.154 include:spf.jabatus.fr include:zoho.com include:eu-sender.zohoinvoice.com -all
Ce nouvel enregistrement permet de couvrir l’ensemble des serveurs utilisés :
- Serveur principal via
ip4: - Prestataire de service via
include:spf.jabatus.fr - Tous les services Zoho via
include:zoho.com - L’infrastructure de facturation Zoho Invoice via
include:eu-sender.zohoinvoice.com
Les + préfixant les mécanismes n’étaient pas utiles et ont été supprimés pour plus de clarté.
Après cette modification, il est conseillé de :
- Vérifier que le nombre de requêtes DNS ne dépasse pas 10
- Laisser le temps de propagation DNS
- Tester l’envoi de mails via des outils comme mail-tester.com ou dmarcian.com
Conclusion et recommandation
Cette intervention a permis de comprendre l’origine d’un échec SPF mal aligné, alors que DKIM était conforme. La bonne configuration des enregistrements DNS pour SPF et DKIM est indispensable lorsque des outils externes comme Zoho sont utilisés.
En cas de doute sur la façon de configurer les émetteurs ou de corriger les erreurs DMARC, SPF ou DKIM, il est vivement recommandé de se faire accompagner. Un audit de configuration ou une intervention spécifique peut être réalisée via un ticket de support à partir de 75€.
0 commentaires