Instructions aux Email Service Providers
Depuis plusieurs années, le ministère renforce la sécurité de ses plateformes de messagerie en mettant en place une politique DMARC positionnée au minimum à quarantine sur tous les domaines qu’il gère. En cela, il ne fait que s’aligner sur les plus grands fournisseurs de boîtes aux lettres, à commencer par Gmail et Outook.com. C’est la raison pour laquelle, avec l’arrivée de DMARCbis, en tant que gestionnaire technique du DNS .gouv.fr, nous allons positionner le marquage pnd=y sur ce domaine comme substitution à la Public Suffix List.
Pour des envois sans souci
Vu les volumes de messages échangés par nos plateformes (on compte en millions quotidiennement), il n’est pas possible de faire de traitement sur-mesure. Les demandes de whitelist, même quand elles sont retransmises par les services, ne peuvent et ne doivent pas prospérer : il suffit de réaliser des envois conformes, ce qui est le minimum attendu quand on fait appel à des professionnels, désignés comme ESP dans le métier.
Donc rappelons les pré-requis vis-à-vis de ceux-ci :
- signature DKIM (clé ≥ 2048 bits) et
return-pathpersonnalisés (pas de clé DKIM mutualisée entre clients, i.e. avec un CNAME) - transmission chiffrée par TLS
- supervision des IP dans les principales blacklist publiques, comme Spamhaus
- inclusion exceptionnelle d’IP dans nos enregistrements SPF limitée à 20 % du nombre d’IP déjà désignées (pas de réseaux cloud via inclusion ou redirection)
Les commanditaires des ESP sont généralement des services de communication ou des directions métiers (Transports, Logement, Énergie, Biodiversité…). Par conséquent, ce ne sont pas des experts de l’email, contrairement aux ESP qui sont des prestataires spécialisés. Il ne revient donc pas à ces derniers d’imposer leurs conditions, par exemple via leurs CGU, mais de s’adapter au cadre du ministère, qui n’a rien d’exorbitant car aligné sur les grands fournisseurs de BAL.
Désabonnements en 1 clic
A ce titre, la gestion des désabonnements s’est aussi renforcée ces dernières années, en spécifiant plus précisément les conditions d’accès au désabonnement dans la RFC 8058. Ainsi toutes les lettres d’information (par opposition aux emails inter-personnels ou ceux de transaction) doivent inclure les entêtes de désabonnement en un clic, comme l’exige Gmail, même si elles sont commanditées par un service interne : dans ces conditions, l’email peut supprimer le lien « Se désabonner » du pied de message.
À défaut de le faire, le risque est bien connu : les utilisateurs cliquent sur le bouton désignant le message comme indésirable et les systèmes de supervision comme la console Gmail Postmaster finissent par pénaliser la livraison de tous les messages du domaine.