Neolane v5.1. Assurer la délivrabilité d'une plateforme d'emailing

Neolae v5.1 Assurer la délivrabilité d'ue plateforme d'emailig

Ce documet, aisi que le logiciel qu'il décrit, est fouri das le cadre d'u accord de licece et e peut être utilisé ou copié que das les coditios prévues par cet accord. Cette publicatio e peut être reproduite ou trasmise, itégralemet ou partiellemet, sous quelque forme et par quelque moye que ce soit, sauf autorisatio écrite préalable de Neolae. Ce documet est sujet à révisios. Neolae e garatit pas l'exhaustivité des iformatios coteues das ce documet. Toute référece à des oms de sociétés das les illustratios fouries 'est utilisée qu'à titre d'exemple et e fait référece à aucue société réelle. Toutes les marques citées sot la propriété de leurs déteteurs respectifs. Microsoft et Widows sot des marques ou des marques déposées de Microsoft Corporatio aux Etats-Uis et/ou das d'autres pays. Java est ue marque déposée de Su Microsystems, Ic. aux Etats-Uis et das d'autres pays. Liux est la marque déposée de Lius Torvalds aux Etats-Uis et das d'autres pays. Ce produit iclut des logiciels développés par Apache Software Foudatio (http://www.apache.org/). Pour toute questio ou requête, l'utilisateur est ivité à evoyer u message à l'adresse : doc@eolae.com. Sauf metio cotraire, les déomiatios sociales, les logos, les produits et marques cités das ce documet, sot la propriété de Neolae S.A. ou de ses filiales. Ils e peuvet être utilisés sas l'autorisatio préalable et écrite de Neolae. Neolae 18 rue Roger Simo Barboux, 94110 Arcueil - Frace +33 1 41 98 35 35 Fax +33 1 41 98 35 36 www.eolae.com

Table des matières Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig Chapitre 1. Itroductio à la délivrabilité.............. 7 Avat-propos.......................... 7 Les caractéristiques d'u spammeur................. 7 Gestio de la délivrabilité das Neolae............... 8 Chapitre 2. Recommadatios foctioelles............ 9 Lie et formulaire de désiscriptio................. 9 Adresse d'expéditeur...................... 10 Doublos........................... 10 Démarrage d'ue ouvelle plate-forme............... 11 Whitelistage auprès de tiers.................... 11 Chapitre 3. Recommadatios techiques............. 13 Reverse DNS......................... 14 SPF............................. 14 Cofiguratio de l'applicatio.................. 15 Cofiguratio DNS...................... 15 Feedback loop......................... 15 List Usubscribe........................ 16 Présetatio........................ 16 Istallatio......................... 17 DomaiKeys......................... 18 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig 3

Neolae Itroductio........................... 18 Pricipe de foctioemet..................... 19 Istallatio........................... 19 DKIM.............................. 22 Vérificatio des messages d'erreur SMTP................ 23 Vérificatio des mails rebods..................... 23 Jachère d'ip............................ 23 Hébergemet extere........................ 24 Choix des domaies........................ 24 Délégatio de domaie....................... 25 Choix de l'adresse d'expéditeur et de l'adresse de mails rebods....... 25 Autres alias........................... 25 Chapitre 4. Spécificités par domaie................. 27 AOL............................... 28 Feedback loop.......................... 28 Whitelistage........................... 28 Report Card........................... 29 MSN Hotmail........................... 29 SederID............................ 29 Feedback loop.......................... 31 Yahoo.............................. 32 Feedback loop.......................... 32 Whitelistage........................... 32 DomaiKeys........................... 33 Gmail.............................. 33 Mail.ru, ibox.ru.......................... 33 Web.de.............................. 33 Comcast............................. 34 Feedback loop.......................... 34 Outblaze............................. 34 Feedback loop.......................... 34 Usa.et.............................. 34 Feedback loop.......................... 34 Excite.............................. 34 Feedback loop.......................... 34 Mailtrust............................. 35 Feedback loop.......................... 35 Uited Olie (NetZero, Juo)..................... 35 Feedback loop.......................... 35 Whitelistage........................... 35 RoadRuer............................ 35 Feedback loop.......................... 35 EarthLik............................. 35 4 Neolae 2010

Assurer la délivrabilité d'ue plateforme d'emailig Feedback loop........................ 35 Cox............................. 36 Feedback loop........................ 36 Bluetie............................ 36 Feedback loop........................ 36 Chapitre 5. Bases de blacklistage................ 37 Spamcop........................... 38 Spamhaus.......................... 38 RFC Igorat......................... 38 SORBS........................... 38 No-more-fu......................... 38 URIBL............................ 38 ix Maitu........................... 39 Chapitre 6. Le module de délivrabilité............... 41 Présetatio......................... 41 Gestio des foctioalités de délivrabilité.............. 42 Moitorig techique...................... 42 Ibox moitorig........................ 44 Ibox rederig........................ 45 Présetatio........................ 45 Foctioemet gééral.................... 46 Utilisatio d'ue table extere.................. 47 Chapitre 7. SpamAssassi................... 53 Présetatio......................... 53 Istallatio.......................... 57 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig 5

Neolae 6 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig

CHAPITRE 1 Itroductio à la délivrabilité Table des matières Avat-propos.......................... 7 Les caractéristiques d'u spammeur.................. 7 Gestio de la délivrabilité das Neolae................. 8 Avat-propos Les problèmes de délivrabilité recotrés das l'evoi d'emails e masse sot gééralemet liés à des mesures de protectio cotre le spam mises e place par les fourisseurs d'accès à iteret et les admiistrateurs de serveurs de mail. Ces problèmes vot des problèmes d'evois, (comme le blacklistage d'ue adresse IP, pouvat provoquer u raletissemet gééral du débit de diffusio), aux problèmes de réceptio, (comme par exemple la qualificatio des messages evoyés e spam). Les caractéristiques d'u spammeur Les evois d'emails o sollicités ot des caractéristiques qu'il faut éviter le plus possible : Ue cofiguratio réseau icorrecte : les spammeurs cherchet à cacher leur véritable idetité et par coséquet redet leurs serveurs d'evoi difficilemet idetifiables. Ue cofiguratio réseau correcte, qui e cherche pas à cacher d'iformatio, est u préalable à tout evoi e masse. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Itroductio à la délivrabilité 7

Neolae Evoi à des adresses ivalides : les spammeurs utiliset parfois des géérateurs d'adresses basés sur des listes de préoms et de oms fréquets ; d'autre part, ils traitet raremet les otificatios techiques revoyées par les serveurs de messagerie. U taux d'adresses ivalides élevé das ue diffusio est souvet iterprété comme la marque d'u spammeur. Ue iscriptio par double opt-i et ue gestio rigoureuse des rebods techiques permet d'éviter cela. Taux de plaites élevés : les FAI ot systématisé la mise à dispositio d'ue foctio "Ceci est u spam" pour permettre aux utilisateurs de rapporter les emails o sollicités et e déduire les evoyeurs. Ue gestio hoête des demades, ue diffusio régulière sur sa liste, la vérificatio des iscriptios par double opt-i, la facilité de désiscriptio et so temps de prise e compte et surtout la mise e place de boucles de rétro-actio ou "feedback loop" permettet de dimiuer les taux de plaites. Evoi à des adresses pièges : les FAI et d'autres orgaisatios (voir le site http://www.projecthoeypot.org/) créet des boîtes mails e correspodat à aucue persoe physique das le but de piéger les spammeurs. Ces adresses piège ou "hoey pots" sot publiées sur le web das le but qu'elles soiet trouvées par les robots collecteurs d'adresses des spammeurs et pour aisi e déduire les expéditeurs illégitimes. U mécaisme de double opt-i empêche totalemet l'ajout de ce gere d'adresses. Quad o utilise ue liste fourie par u tiers, il faut être sûr des méthodes employées par ce derier. Vocabulaire agressif et emploi isistat d'images : das ue moidre mesure, le coteu des messages peut ameer certais filtres à détecter u spam. L'emploi de certais mots, l'usage de poits d'exclamatio das le corps ou le sujet du message doit être mesuré. Ue parade temporaire des spammeurs a cosisté a remplacer le texte iterdit par des images dot le texte e peut pas être examié automatiquemet par les filtres ati-spam. E répose à cela, u message (au format HTML) coteat ue trop forte proportio d'images peut désormais être bloqué, de même qu'u message embarquat les images e pièces-joites. Gestio de la délivrabilité das Neolae Neolae propose des foctioalités de gestio des risques de o-délivrabilité des messages, et de gestio et suivi de la délivrabilité des messages depuis votre plateforme. Voir à ce sujet les sectios Le module de délivrabilité [page 41] et SpamAssassi [page 53]. 8 Neolae 2010

CHAPITRE 2 Recommadatios foctioelles Table des matières Lie et formulaire de désiscriptio................... 9 Adresse d'expéditeur....................... 10 Doublos........................... 10 Démarrage d'ue ouvelle plate-forme................. 11 Whitelistage auprès de tiers..................... 11 Lie et formulaire de désiscriptio Par défaut, ue règle de typologie vérifie au momet de l'aalyse qu'u lie de désiscriptio est bie préset das le coteu d'ue diffusio et géère u avertissemet e cas d'absece. O peut évetuellemet modifier le iveau d'alerte de cette règle afi qu'elle géère ue erreur, de faço à ce qu'e aucu cas ue diffusio e puisse être démarrée sas ce lie. Il faut vérifier du début à la fi le bo foctioemet du lie de désiscriptio avat chaque evoi. Par exemple, lors de l'evoi du BAT, vérifiez que le lie est valide, que le formulaire est e lige et que sa validatio chage bie la valeur de Ne plus cotacter cette persoe à Oui. Cette vérificatio doit être systématique car o e peut pas exclure ue erreur humaie das la saisie du lie ou das la modificatio du formulaire. Au cas où u problème empêchat la désiscriptio e serait détecté qu'après le démarrage de la diffusio, il sera toutefois possible de désiscrire mauellemet (à l'aide d'ue mise à jour e masse, par exemple) les destiataires qui ot cliqué sur le lie de désiscriptio, même s'ils 'ot pas pu ou voulu cofirmer ce choix. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios foctioelles 9

Neolae Sauf das des cas bie particuliers, il e faut pas teter de freier la désiscriptio e demadat à l'utilisateur de remplir certais champs comme l'email, le om, etc. Le formulaire e devra compredre qu'u seul bouto de validatio et la récociliatio e se fera que sur l'idetifiat crypté. Demader ue cofirmatio supplémetaire de l'email 'est pas fiable : il se peut qu'ue même persoe possède deux adresses emails redirigées vers la même boîte (par exemple preom.om@club.fr et preom.om@club-iteret.fr). Si cette persoe e se souviet que de la première adresse et qu'elle souhaite se désiscrire via u message evoyé à la secode, le formulaire refusera la modificatio car l'idetifiat crypté et l'email saisi e correspodet pas. Adresse d'expéditeur Certais FAI vérifiet la validité de l'adresse d'expéditeur (From) avat d'accepter les messages. Ue adresse erroée peut causer u refus de la part du serveur receveur. Il faut s'assurer qu'ue adresse correcte est bie reseigée au iveau de l'istace (meu Outils>Avacé >Assistat de déploiemet...) ou das les scéarios les plus courammet utilisés. Doublos L'existece de doublos pour ue adresse email peut avoir plusieurs coséqueces : Evois multiples du même message. Même si Neolae applique par défaut ue déduplicatio sur l'adresse email avat chaque evoi, rie 'empêche d'evoyer plusieurs fois le même message par des actios différetes qui ot u même coteu lorsqu'o effectue u partage de cible. No respect de la désiscriptio. Si ue persoe se désiscrit suite à la réceptio d'u message, so profil e doublo sera quat à lui toujours éligible aux evois. Outre le o-respect de l'opt-i, cette situatio amèera probablemet les utilisateurs à cosidérer les messages comme du spam et déclecher ue actio de blacklistage de la part du FAI. Il faut être particulièremet prudet lors d'opératios sur la base : Les imports doivet être soigeusemet paramétrés, e particulier das le choix de la clé de récociliatio. Les modificatios d'adresses email peuvet être source de doublos. E particulier, il peut arriver que deux adresses qui e diffèret que par le domaie soiet routées vers la même boîte mail, par exemple das le cas d'ue société qui chage de om et qui garde u certai temps le foctioemet des deux types d'adresse : marie.dupot@acieesociete.com et marie.dupot@ouvellesociete.com. Les imports automatiques, qu'ils soiet issus de fichiers ou d'autres bases de doées sot des élémets à predre e compte das les maipulatios de profils. Que se passe-t-il si o supprime ou o déplace u profil das ue autre partitio? Il risque d'être recréé das la partitio iitiale par u import automatique, par exemple suite au passage d'ue commade. Le ragemet des profils das des dossiers différets peut être mise e oeuvre à l'aide de vues plutôt que de partitios. Aisi o s'assure que les profils sot physiquemet das la même partitio tout e permettat u affichage et ue gestio des droits adéquats. Il existe tout de même des cas où la présece de doublos etre différetes partitios est ormale. Par exemple, lorsqu'o opère des evois pour le compte de sociétés ou d'etités différetes, il est 10 Neolae 2010

Recommadatios foctioelles logique qu'ue même persoe puisse être adressée à des titres différets. Il est cepedat raremet ormal de trouver des doublos das ue même partitio. Démarrage d'ue ouvelle plate-forme Démarrer l'evoi d'emails sur ue ouvelle plate-forme est ue étape délicate car la plate-forme e possède aucu historique d'evoi, aucue réputatio (das le cas où les IP d'evoi 'ot jamais été utilisées à des fis d'evoi d'emails). Or rie 'est plus suspect pour u FAI qu'ue adresse IP qui 'a jamais evoyé d'emails et qui commece subitemet à evoyer des messages e masse. E effet, les spammeurs utiliset gééralemet des adresses IP "icoues" (c'est-à-dire qui 'ot jamais fait l'objet de blacklistage) pour evoyer u maximum de messages pedat le laps de temps où ils 'ot pas ecore été détectés. O e peut doc pas espérer atteidre le régime de croisière e termes de débit dès le début de la mise e productio. De surcroît o e doit pas essayer d'evoyer les premiers messages avec u tel débit, car cela coduirait les FAI à bloquer d'autat plus sévèremet les adresses IP d'evoi et à compromettre gravemet la poursuite du démarrage. Le démarrage d'ue plate-forme peut aller de pair avec le premier usage d'ue liste d'adresses, c'est-à-dire ue liste potetiellemet mal qualifiée. Or l'evoi à des adresses ivalides ou à des adresses pièges cotribue à abaisser la réputatio de la plate-forme. Si o dispose de la liste des adresses ivalides, o a tout itérêt à l'importer das la table des quarataies (Admiistratio/Gestio de campage/gestio des NP@I/NP@I et Adresses) avat de réaliser les premiers evois. Si o souhaite malgré tout requalifier les adresses ivalides, il est ettemet préférable de le faire ue fois la réputatio de la plate-forme établie et par petites parties afi de "diluer" das le temps l'usage des mauvaises adresses. Pour résumer les pricipes à respecter lors d'u démarrage : Si o dispose de l'iformatio, import des adresses ivalides das la table des quarataies, Limitatio du débit d'evoi (réglage techique : limitatio du ombre de mtachilds), Augmetatio progressive des volumes d'evoi : e pas cibler toute la base dès le début, mais à chaque evoi ajouter ue fractio de plus par rapport à l'evoi précédet ; cela permet d'augmeter le volume à chaque étape tout e dimiuat le taux d'adresses ivalides globalemet, Diffuser régulièremet : das ue certaie mesure il est préférable de réaliser de petits evois fréquets que des evois volumieux et sporadiques, Surveiller de près les rapports de diffusio : u idicateur d'erreur élevé peut sigifier qu'u paramétrage techique est mal cofiguré. Whitelistage auprès de tiers Des sociétés se proposet comme tiers de cofiace et itermédiaires etre FAI et evoyeurs d'emails marketig. Elles proposet e particulier des services de whitelistage pour ue plate-forme d'emailig. Le souscripteur du whitelistage devra gééralemet se soumettre à u audit des pratiques marketig et des caractéristiques techiques de sa plate-forme d'evoi ; le tiers décidera sur cette base d'ajouter ou o la plate-forme à sa whiteliste. La whiteliste Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios foctioelles 11

Neolae sera mise à dispositio des FAI qui pourrot décider de l'utiliser pour accepter certais messages sas les faire passer par les filtres habituels. L'iscriptio sur ue whiteliste est soumise à cotisatio et évetuellemet au versemet d'ue cautio qui pourra être débitée si les critères d'evois e sot plus respectés. Lorsque la cautio est épuisée, la plate-forme est retirée de la whiteliste. Le whitelistage 'est pas utilisé par tous les FAI. Voici les associatios service-fai les plus coues : Seder Score Certified (http://www.sederscorecertified.com/) : Hotmail Goodmail (http://www.goodmailsystems.com/) : AOL, Yahoo ECO Certified Seders Alliace (http://www.eco.de/servlet/pb/meu/1446034/idex.html) : FAI allemads tels que Freeet, GMX ou Web.de 12 Neolae 2010

CHAPITRE 3 Recommadatios techiques Table des matières Reverse DNS.......................... 14 SPF............................. 14 Cofiguratio de l'applicatio................... 15 Cofiguratio DNS....................... 15 Feedback loop......................... 15 List Usubscribe......................... 16 Présetatio......................... 16 Istallatio.......................... 17 DomaiKeys.......................... 18 Itroductio......................... 18 Pricipe de foctioemet.................... 19 Istallatio.......................... 19 DKIM............................ 22 Vérificatio des messages d'erreur SMTP................ 23 Vérificatio des mails rebods.................... 23 Jachère d'ip.......................... 23 Hébergemet extere....................... 24 Choix des domaies...................... 24 Délégatio de domaie..................... 25 Choix de l'adresse d'expéditeur et de l'adresse de mails rebods....... 25 Autres alias......................... 25 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 13

Neolae Reverse DNS U outil pour vérifier la cofiguratio d'u domaie : http://www.dsreport.com/ U poit idispesable de la cofiguratio réseau est d'avoir établi u reverse DNS correct pour chacue des adresses IP d'evoi. Cela sigifie que pour ue adresse IP doée, il existe u eregistremet reverse DNS (eregistremet PTR) dot la correspodace DNS (eregistremet A) reboucle sur l'adresse IP iitiale. Le choix du domaie pour u reverse DNS a u impact pour les relatios avec certais domaies. AOL, e particulier, 'accepte les feedback loop qu'avec ue adresse das le même domaie que celui du reverse DNS (voir Feedback loop [page 28]). SPF Cosulter le site http://www.opespf.org/. Il propose u assistat de créatio d'eregistremets SPF. U outil pour vérifier la cofiguratio d'u eregistremet SPF : http://www.kitterma.com/spf/validate.html Le SPF (Seder Policy Framework) est ue techique qui permet, das ue certaie mesure, de s'assurer que le domaie de l'adresse d'expéditeur d'u email 'est pas usurpé. Lorsqu'u email e proveace présumée d'u domaie est reçu, ue demade est faite auprès d'u serveur DNS du domaie. La répose est u court eregistremet (appelé eregistremet SPF) qui idique quels sot les serveurs autorisés à evoyer des emails pour le compte du domaie. Si o suppose que seul le propriétaire du om de domaie a les moyes de chager cet eregistremet, o peut cosidérer que cette techique e permet pas d'usurper ue adresse d'expéditeur, du mois das la partie à droite de "@". Das la spécificatio fiale de la RFC 4408 (http://ew.opespf.org/sv/project/specs/rfc4408.txt), deux élémets du message servet à détermier le domaie cosidéré comme expéditeur : le domaie précisé par la commade SMTP "HELO" (ou "EHLO") et le domaie précisé par l'adresse de l'e-tête "Retur-Path" (dite "MAIL FROM") qui est aussi l'adresse de mails rebods. Différetes cosidératios permettet de e predre e compte qu'ue seule des deux valeurs ; ous recommados de s'assurer que les deux sources préciset bie u domaie idetique. La vérificatio SPF produit ue évaluatio de la validité du domaie expéditeur : Noe : aucue évaluatio 'a pu être faite Neutral : le domaie iterrogé e permet pas d'évaluatio Pass : le domaie est cosidéré comme authetique Fail : le domaie est certaiemet usurpé, le message devrait être rejeté SoftFail : le domaie est probablemet usurpé, mais le message e doit pas être rejeté pour autat TempError : ue erreur temporaire 'a pas permis de faire l'évaluatio. Le message peut être rejeté. PermError : les eregistremets SPF du domaie sot icorrects Il faut bie oter que les modificatios des eregistremets au iveau des serveurs DNS peuvet mettre jusqu'à 48 heures pour être prises e compte. Ce délai est foctio de la fréquece de rafraîchissemet des caches DNS des serveurs de réceptio. 14 Neolae 2010

Cofiguratio de l'applicatio Pour défiir le domaie utilisé pour la commade HELO, il suffit d'éditer le fichier de cofiguratio de l'istace (cof/cofig-istace.xml) et de défiir u attribut "localdomai" comme suit : <servercof> <shared> <dscofig localdomai="modomaie.et"/> </shared> </servercof> Recommadatios techiques Le domaie du MAIL FROM est le domaie de l'adresse de rebods techiques. Cette adresse est défiie das l'assistat de déploiemet ou via l'optio NmsEmail_DefaultErrorAddr. Cofiguratio DNS U eregistremet SPF peut actuellemet être défii sur u serveur DNS comme u eregistremet de type TXT (code 16) ou u eregistremet de type SPF (code 99). U eregistremet SPF se présete comme ue chaîe de texte. Par exemple : v=spf1 ip4:12.34.56.78/32 ip4:12.34.56.79/32 ~all défiit les deux adresses IP 12.34.56.78 et 12.34.56.79 comme autorisées à evoyer des emails pour le domaie. ~all idique que tout autre adresse doit être iterprétée comme u SoftFail. Recommadatios pour la défiitio de l'eregistremet SPF : Ajouter ~all (SoftFail) ou -all (Fail) à la fi pour iterdire tout autre serveur que ceux qui sot défiis. Sas cela, des serveurs peuvet probablemet usurper ue idetité du domaie (avec ue évaluatio Neutral). Ne pas ajouter ptr (décoseillé par opespf.org car coûteux et peu fiable). Feedback loop Le pricipe d'ue feedback loop est de déclarer chez le FAI ue adresse email particulière pour ue plage d'adresses IP utilisées pour l'evoi de messages. Le FAI retourera sur cette boîte, de faço similaire à ce qui est fait pour les mails rebods, les messages evoyés aux utilisateurs qui ot cliqué sur "Ceci est u spam". La plate-forme devra être cofigurée pour bloquer tous les evois ultérieurs vers les utilisateurs qui se sot plaits. Il est importat de e défiitivemet plus cotacter ces persoes même si elles 'ot pas fait usage du lie de désiscriptio qui était prévu pour cela. C'est sur la base de ces plaites que le FAI va décider de blacklister ou o ue adresse IP. Suivat le FAI, le taux de plaite qui décleche le blacklistage d'ue adresse IP se situe aux eviros de 1%. U stadard est e cours d'établissemet pour défiir le format des mails de feedback loop, il s'agit de l'arf (Abuse Feedback Reportig Format). Cosulter le site http://www.mipassoc.org/arf/ pour plus de détails à ce sujet. La mise e place d'ue feedback loop pour ue istace suppose d'avoir : Ue boîte mail dédiée à l'istace, qui peut évetuellemet être la boîte de mails rebods, Des adresses IP d'evoi dédiées à l'istace. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 15

Neolae La mise e oeuvre la plus simple d'ue feedback loop das Neolae repose sur la foctioalité des mails rebods. Il s'agit d'utiliser la boîte de feedback loop comme ue boîte de mails rebods et établir ue règle de rebod qui détecte ces messages. Les adresses emails des plaigats serot alors ajoutées à la liste des quarataies. Créer ou adapter ue règle de mails rebods Feedback_loop das Admiistratio>Gestio de campage>gestio des NP@I>Jeux de règles mail avec la raiso Refusé et le type Hard. Si ue boîte a été défiie spécialemet pour la feedback loop, défiir les paramètres pour relever so coteu e créat u ouveau compte extere de type Mails rebods das Admiistratio>Plate-forme>Comptes exteres. Le mécaisme est immédiatemet opératioel pour traiter les otificatios de plaites. Pour vérifier le bo foctioemet de la règle, o peut temporairemet désactiver les comptes afi qu'ils e relèvet pas ces messages et puis vérifier le coteu de la boîte de feedback loop mauellemet. Sur le serveur, exécuter les commades suivates : lserver stop imail@istace lserver imail -istace:istace -verbose Si o est cotrait d'utiliser ue seule adresse de feedback loop pour plusieurs istaces, il faudra : Répliquer les messages reçus sur autat de boîtes qu'il existe d'istaces, Faire relever chaque boîte par ue seule istace, Cofigurer les istaces pour qu'elles e traitet que les messages qui leur sot destiés : l'iformatio d'istace est présete das l'e-tête Message-ID des messages evoyés par Neolae et se retrouve doc das les messages de feedback loop. Il suffit de préciser le paramètre checkistacename das le fichier de cofiguratio de l'istace (par défaut l'istace 'est pas vérifiée et cela pourrait ameer à qualifier abusivemet e quarataie certaies adresses) : <servercof> <imail checkistacename="true"/> </servercof> List Usubscribe Présetatio Cette techique cosiste à ajouter u e-tête à vos emails e utilisat le format suivat : List-Usubscribe :<http://domai.com/usubscribe.jsp?id=idcrypté> 16 Neolae 2010

Recommadatios techiques MSN Live et Gmail supportat cette méthode afficherot u lie de désiscriptio directemet das leur iterface. Cette techique favorise la dimiutio du taux de plaites. Istallatio Neolae vous permet d'ajouter des etêtes SMTP supplémetaires depuis l'assistat de diffusio, il coviet doc de spécifier l'u des paramètres list-usubscribe suivats : 1 List-Usubscribe: <mailto:usubscribe@domai.com> U clic sur le lie usubscribe ouvre le cliet messagerie par défaut de l'utilisateur. 2 List-Usubscribe: <http://domai.com/usubscribe.jsp> U clic sur le lie usubscribe redirige l'utilisateur vers votre formulaire de désiscriptio. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 17

Neolae Exemple : DomaiKeys Cette techologie, pricipalemet promue par Yahoo, peut être mise e oeuvre das Neolae. Itroductio DomaiKeys est ue spécificatio reposat sur la techologie des clés publiques qui permet de siger umériquemet u email afi de prouver la proveace du message. Note : Cette foctioalité est dispoible à partir du build 1933. Les domaies validat actuellemet DomaiKeys sot les suivats : Yahoo, gmail. 18 Neolae 2010

Recommadatios techiques Pricipe de foctioemet Clé privée/publique Le propriétaire d'u domaie géère ue paire de clés (privée/publique) qui sera utilisée pour siger les messages evoyés par les utilisateurs de ce domaie. La clé publique est placée das le DNS du domaie sous la forme d'u eregistremet de type TXT. La clé privée est coservée sur le serveur de messagerie qui evoie les emails pour ce domaie. Lorsqu'u email est soumis par u utilisateur du domaie, le serveur de messagerie utilise la clé privée pour siger umériquemet le message. La sigature est alors ajoutée das les e-têtes du message puis celui-ci est evoyé. Lorsqu'u message est reçu avec ue sigature, le serveur de messagerie extrait la sigature et le domaie du message, puis iterroge le DNS du domaie afi d'obteir la clé publique du domaie. Avec cette clé publique, le serveur de messagerie vérifie esuite si la sigature du message est valide. Sélecteurs (Selectors) Les sélecteurs permettet à u domaie de disposer de plusieurs clés publiques das leur DNS. L'admiistrateur peut alors admiistrer ses clés publiques et évetuellemet utiliser des clés différetes suivat le type de trafic. Si le selecteur est 'test' et le domaie est 'example.com', la clé publique sera accessible depuis l'eregistremet DNS test._domaikey.example.com de type TXT. Le om précédat _domaikey est le sélecteur. Neolae utilise default comme sélecteur par défaut. Istallatio Pré-requis Cette sectio décrit les paramétrages écessaires das Neolae pour l'activatio de la gestio des DomaiKeys. Vous devez avoir la possibilité de modifier les eregistremets DNS pour votre domaie. Géératio des clés Depuis ue ivite de commade, utiliser la sytaxe suivate : $ opessl gersa -out rsa.private 1024 Le résultat est u fichier rsa.private du type : -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQCUBBPm/6CGCw3Imbgka0GWIp95KTlE645kZVLp3MWLMox4bQUu 2Jks9+3eg/qk5ITFmxH//LB6efRgroW005E7u18Z4FPWj0rKUuGYQTbMLq7+sB KmSZNiVFcuGCl3O8oA7EPPuf0oK9B84FAwp94cBw5qzSdkvd5bMMCwkfVQIDAQAB AoGAWgo8/SmFweTZhq0UGtwk18Oecr8/pL4tNP6Yy8csHeYge132K6ER5muhszs XQByUC7r/Tf/NxIW+fVQeta0lpRki+SBvQOJyzTfXYf1S9XyyIgbPmVz8sQK2Wr KdzUeM1ueSuL82dPJXvkXaXirpm0rSHSYu0D7878/CGzxaUCQQDFUAXsIq3u+iwl 27kkMPKqAb96fUxmF14huxmoB6oMbblFwAT94IxfoXOR5lwEoHZvklcfk0wiIyk vuv+fj1/akeawap1narz6wtychft+rumai5czyfc9bmacestkvmlb3411ooql5qp m2vaeuuw3i8gmji3uzdj18gtetv6s61kwjballzeku0ogx/3zybqzpqemt3kkts pklzrpnomldkgy0g1+snxjw7mxr//ujozjffet4kp+c+goje2+9/7ceekcqgrb ptz/hj2be3vwmkoeos86hgwzk2obsrhmqzdt5t2sfw4lpt3ddavtdjhsvfpira Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 19

Neolae +zfmtsqpxz41fqzrd8cqqdccfvqumtmasfv5hgqjoplox8a6ivfnmsk7p0gpvt 2iwz49E+Os0q5AhghyOmxsmwLjUOmptLBrWMR/gt2w7Q -----END RSA PRIVATE KEY----- Note : Neolae supporte des clés de 512, 768, 1024, 1536 et 2048 bits. A ce jour aucu usage 'impose ue logueur de clé miimale mais il est admis qu'ue clé de 512 bits est potetiellemet falsifiable. Le choix de la logueur de clé a u impact sur la vitesse d'evoi (das l'hypothèse où la capacité CPU est le seul facteur limitat) : 512 bits : - 19 % par rapport à u evoi sas sigature 768 bits : - 37 % 1024 bits : -60 % 1536 bits : -80 % 2048 bits : - 90 % Pour extraire la clé publique de la clé privée, utilisez la lige de commade suivate : $ opessl rsa -i rsa.private -out rsa.public -pubout -outform PEM Le résultat est u fichier rsa.public du type : -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCUBBPm/6CGCw3Imbgka0GWIp95 KTlE645kZVLp3MWLMox4bQUu2Jks9+3eg/qk5ITFmxH//LB6efRgroW005E7u18 Z4FPWj0rKUuGYQTbMLq7+sBKmSZNiVFcuGCl3O8oA7EPPuf0oK9B84FAwp94cBw 5qzSdkvd5bMMCwkfVQIDAQAB -----END PUBLIC KEY----- Sous Widows, vous pouvez télécharger la librairie OpeSSL depuis l'url suivate : http://www.opessl.org/related/biaries.html Eregistremet de la clé publique das le DNS Créer u eregistremet DNS de type TXT pour selector._domaikey.example.com : Sytaxe pour BIND default._domaikey.example.com. IN TXT "k=rsa; t=y; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqcubbpm /6CGCw3Imbgka0GWIp95KTlE645kZVLp3MWLMox4bQUu2Jks9+3eg /qk5itfmxh/ /LB6efRgroW005E7u18Z4FPWj0rKUuGYQTbMLq7 +sbkmsznivfcugcl3o8oa7eppuf0ok9b84fawp94cbw5qzsdkvd5bmmcwkfvqidaqab" Sytaxe pour DJBDNS (TINYDNS) 'default._domaikey. example.com:k=rsa;t=y; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqcubbpm /6CGCw3Imbgka0GWIp95KTlE645kZVLp3MWLMox4bQUu2Jks9+3eg /qk5itfmxh/ /LB6efRgroW005E7u18Z4FPWj0rKUuGYQTbMLq7 +sbkmsznivfcugcl3o8oa7eppuf0ok9b84fawp94cbw5qzsdkvd5bmmcwkfvqidaqab;:86400 Les paramètres de l'eregistremet sot défiis avec la sytaxe paramètre=valeur. 20 Neolae 2010

Recommadatios techiques Les paramètres valides sot : g= permet de défiir l'applicabilité de la clé par rapport au om local de l'émetteur. g=* autorisera tous les expéditeurs du domaie example.com à utiliser la clé, g=expediteur; autorisera l'utilisatio de cette clé aux evois de expediteur@example.com. k = type de clé. Seule la valeur rsa est supportée. Ce paramètre est optioel. = ote à propos de la clé. Cette ote est destiée aux admiistrateurs et 'est pas utilisée par les processus de sigatures et de vérificatio. Ce paramètre est optioel. p = clé publique ecodée e Base64. Ue valeur vide sigifie que la clé a été révoquée. Ce paramètre est obligatoire. t = flags défiissats des attributs. U seul attribut est actuellemet défii par la spécificatio : t=y qui sigifie que le domaie utilise cette clé e phase de test. La clé publique ecodée e Base64 correspod au coteu du fichier rsa.public etre les liges. ----- BEGIN PUBLIC KEY----- et -----END PUBLIC KEY----- Vous devez aussi supprimer les espaces et les retours à la lige. Eregistremet de la clé privée das Neolae La clé privée est stockée sous la forme d'ue optio das la base Neolae. E tat qu'admiistrateur, coectez-vous à Neolae, puis créez ue optio : Nom itere : Type : Valeur : selector_rsa_private_key_domai Texte log La clé privée ecodée e Base64. Das le om itere de l'optio, la partie selector est optioelle. Le sélecteur par défaut das Neolae état default, les optios default_rsa_private_key_example.com et RSA_PRIVATE_KEY_example.com sot équivaletes. IMPORTANT : Pour la valeur domai, le poit est trasformé par Neolae e caractère uderscore "_". La clé privée reseigée das l'optio doit être exactemet le coteu du fichier rsa.private, y compris ----- BEGIN PRIVATE KEY----- et -----END PRIVATE KEY-----. Activatio de la gestio du DomaiKeys Pour activer la sigature des messages pour u domaie, allez das le dossier Admiistratio / Gestio de campages / Gestio des NP@I / Jeux de règles mail puis sélectioez Gestio des domaies das la liste. Si le domaie est déjà préset das la liste, cochez simplemet la case DomaiKeys, sio créer ue ouvelle règle pour ce domaie et cochez la case DomaiKeys. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 21

Neolae IMPORTANT : L'activatio du sederid sur le domaie forcera l'utilisatio du domaie techique pour la sigature du message. L'activatio de sederid couplé à l'activatio de DomaiKeys peut être pertiete das le cas où vous gérez plusieurs domaies d'expéditeur. Tester le paramétrage Le plus simple est de créer ue boîte de test sur yahoo.fr. Si le DomaiKeys est correctemet paramétré, vous devez avoir u message de Yahoo! sous l'adresse de l'expéditeur qui vous cofirme l'origie du message. Plus d'iformatios sot dispoibles das les e-têtes complets : DKIM DKIM est é de l'uio des pricipes d'authetificatio DomaiKeys, de Yahoo! et Idetified Iteret Mail, de Cisco et va permettre de vérifier l'autheticité du domaie expéditeur et garatir l'itégrité du message. DKIM est doc ue amélioratio de DomaiKeys et est voué, à terme, à le remplacer. 22 Neolae 2010

Recommadatios techiques Note : Foctioalité dispoible à partir du build 1937. Si vous avez déjà paramétré DomaiKeys pour votre istace Neolae, vous avez simplemet besoi de cocher dkim das les règles de gestio des domaies. Das le cas cotraire, vous devrez suivre les même étapes de cofiguratio (clé privée/publique) que pour DomaiKeys. Il est iutile d'activer DomaiKeys et DKIM pour u même domaie, DKIM état ue versio améliorée de DomaiKeys. Les domaies validat actuellemet DKIM sot les suivats : aol, gmail. Vérificatio des messages d'erreur SMTP Les erreurs SMTP qui e sot vérifiées par aucue règle sot recesées das le dossier Admiistratio/Gestio de campage/gestio des NP@I/Qualificatio des logs de diffusio. Ces messages d'erreurs sot par défaut iterprétés comme des erreurs soft iatteigable. Les erreurs les plus ombreuses doivet être idetifiées et ue règle leur correspodat doit être ajoutée das Admiistratio/Gestio de campage/gestio des NP@I/Jeux de règles mail si o souhaite qualifier correctemet les retours de serveurs SMTP. Sas cela, la plate-forme serait ameée à faire des essais d'evoi iutiles (cas d'utilisateurs icous) ou de mettre abusivemet e quarataie certais destiataires après le ombre d'essais prévus. Vérificatio des mails rebods Comme pour les erreurs SMTP, les mails rebods o traités ou traités par des règles de type Igoré doivet être surveillés pour détermier si de ouvelles règles doivet être ajoutées. Pour cela, il est possible de spécifier ue adresse vers laquelle la plate-forme fera suivre ces messages. Jachère d'ip E particulier lors du démarrage d'ue ouvelle plate-forme, il est recommadé de mettre e place u mécaisme de jachère d'ip au iveau de ses équipemets réseau. Ce mécaisme cosiste à coserver e permaece u certai ombre d'ip d'evoi de secours au cas où des IP e service seraiet blacklistées chez u FAI. O peut remettre e service les IP retirées ue fois que le blocage est levé, soit gééralemet quelques heures, au pire quelques jours. Il faut toutefois veiller à ce que chaque IP soit utilisée suffisammet régulièremet (au mois 100 messages sur ue jourée par mois) pour qu'elle e perde pas sa réputatio et e soit pas retirée des feedback loops ou whitelistes. Lorsque la réputatio de la plate-forme est solidemet établie o peut evisager d'utiliser e permaece toutes les IP. Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 23

Neolae Hébergemet extere Das le cotexte de l'evoi d'emails, o parlera d'hébergemet extere lorsque la plate-forme Neolae est : Etièremet hébergée à l'extérieur (base de doées, serveurs de trackig et serveurs d'evoi), E mode mid-sourcig : la base de doées et le serveur applicatif sot situés das le réseau itere tadis que la partie routage est exteralisée. Choix des domaies L'hébergemet extere, pour des raisos techiques, implique quasi-systématiquemet que le domaie utilisé das les adresses techiques d'evoi et les lies trackés soit différet du domaie pricipal de l'expéditeur. Par exemple : L'aoceur utilise le domaie domaie.com das toute ses commuicatios. L'hébergeur e peut pas techiquemet utiliser ce domaie pour recevoir les mails rebods car domaie.com est le domaie de la messagerie d'etreprise et cette derière 'est pas prévue pour cela. L'hébergeur e peut pas techiquemet utiliser directemet domaie.com pour le trackig car il est utilisé par le site web de l'aoceur. L'hébergeur doit doc utiliser u domaie différet, qu'o appellera domaie techique, par exemple dml.et. Ce domaie sera utilisé pour recevoir les mails rebods et rediriger les clics sur les lies trackés. Ceci état, o otera deux poits : 1 L'adresse d'expéditeur (From), qui est l'adresse courammet affichée, pourra toujours être rédigée das le domaie de l'aoceur domaie.com 2 Les lies trackés das le coteu des messages serot das le domaie techique dml.et A l'heure actuelle, e toute rigueur, ce foctioemet est permis mais : Si o se réfère au foctioemet de la messagerie Hotmail, l'applicatio de la orme SederId aura pour effet d'afficher u expéditeur de la forme De : dm-bouces@dml.et au om de Domaie Marketig (marketig@domaie.com), ce qui peut troubler le destiataire quat à l'origie du message. Si le message est supposé être expédié par u aoceur recou par le domaie domaie.com, alors u email coteat des lies utilisat le domaie dml.et peut légitimemet être cosidéré comme ue tetative de phishig. A l'extrême, certais filtres ati-spam peuvet rejeter le message par soupço sur la différece de domaie etre l'adresse de mails rebods et l'adresse d'expéditeur. Il est doc de plus e plus importat que le domaie d'evoi techique e laisse pas de doute quat à l'autheticité de l'expéditeur. A cette fi, il est recommadé d'utiliser u domaie d'evoi techique qui est u sous-domaie du domaie de l'aoceur. Das l'exemple précédet, o pourrait utiliser l.domaie.com, aisi u destiataire 'aura pas de doute sur le fait que l'expéditeur techique du message et les lies trackés du coteu émaet bie de domaie.com. L'adresse de mails rebods e l.domaie.com pourra être gérée directemet par l'hébergeur et les lies de trackig e l.domaie.com pourrot désiger ses serveurs de redirectio. 24 Neolae 2010

Délégatio de domaie Recommadatios techiques La mise e oeuvre d'u sous-domaie pour u hébergeur devra être iitiée par le propriétaire du domaie (l'aoceur). Si das l'absolu le propriétaire peut réaliser lui-même le paramétrage DNS (MX, A, SPF...) du sous-domaie, cela 'est pas recommadé car l'hébergeur est dépedat de lui pour toute modificatio DNS et cela costitue ue situatio potetiellemet périlleuse (risque de perte des mails rebods, voire pae de trackig) compte teu des cotraites d'exploitatio d'ue plate-forme d'emailig. Il est doc fortemet recommadé de mettre e oeuvre ue délégatio du sous-domaie à l'hébergeur. Pour déléguer la gestio d'u sous-domaie à u tiers, le propriétaire du domaie pricipal doit déclarer pour le sous-domaie des eregistremets NS désigat les serveurs DNS de l'hébergeur. Choix de l'adresse d'expéditeur et de l'adresse de mails rebods L'adresse d'expéditeur état l'adresse la plus visible du destiataire, elle doit e préseter aucu doute sur so idetité, elle devrait doc être défiie sur le domaie de l'aoceur, ou à défaut sur u sous-domaie, par exemple marketig@domaie.com ou marketig@l.domaie.com. Das le cas où l'eregistremet SPF du domaie de l'aoceur autorise les IP d'evoi de la plate-forme, il e sera pas écessaire d'activer le paramètre Seder ID das Neolae pour les domaies MSN Hotmail et le choix de l'adresse de mails rebods a peu de cotraites. Das le cas où l'eregistremet SPF du domaie de l'aoceur 'autorise pas les IP d'evoi de la plate-forme, il sera écessaire d'activer le paramètre Seder ID pour les domaies MSN Hotmail. Das ce cas, l'adresse de mails rebods sera présetée au destiataire das l'e-tête du message. Il coviedra doc de choisir ue adresse qui 'évoque pas u spam, c'est-à-dire ue adresse e relatio avec l'expéditeur et qui e paraît pas trop techique, par exemple marketigerr@dml.et plutôt que dm-bouces405@dml.et. Autres alias Neolae permet de défiir des alias différets pour le trackig, les pages miroir et les formulaires web et aisi défiir ue architecture adaptée aux besois de dispoibilité de ces différets services et aux cotraites d'exploitatio. Pour coserver la cohérece de domaies, o pourra par exemple défiir des sous-domaies supplémetaires pour établir u paramétrage sur le modèle suivat : Trackig : l.domaie.com Pages miroir : m.l.domaie.com Formulaires web : f.l.domaie.com Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Recommadatios techiques 25

Neolae 26 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig

CHAPITRE 4 Spécificités par domaie Table des matières AOL............................. 28 Feedback loop........................ 28 Whitelistage......................... 28 Report Card......................... 29 MSN Hotmail.......................... 29 SederID.......................... 29 Feedback loop........................ 31 Yahoo............................ 32 Feedback loop........................ 32 Whitelistage......................... 32 DomaiKeys......................... 33 Gmail............................ 33 Mail.ru, ibox.ru......................... 33 Web.de............................ 33 Comcast........................... 34 Feedback loop........................ 34 Outblaze........................... 34 Feedback loop........................ 34 Usa.et............................ 34 Feedback loop........................ 34 Excite............................ 34 Feedback loop........................ 34 Mailtrust........................... 35 Feedback loop........................ 35 Uited Olie (NetZero, Juo).................... 35 Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Spécificités par domaie 27

Neolae Feedback loop........................... 35 Whitelistage........................... 35 RoadRuer............................ 35 Feedback loop........................... 35 EarthLik............................. 35 Feedback loop........................... 35 Cox............................... 36 Feedback loop........................... 36 Bluetie.............................. 36 Feedback loop........................... 36 Cette sectio décrit les mécaismes particuliers à certais FAI, parmi les plus représetatifs das u cadre B2C. La lecture des e-têtes des messages reçus chez les fourisseurs est souvet ue boe source d'idicatios quat à la cosidératio des messages evoyés vis-à-vis du spam. Les cliets mails ou les webmails proposet gééralemet ue foctioalité permettat d'afficher la totalité des e-têtes (habituellemet seuls l'expéditeur, la date, le sujet et les destiataires apparaisset). AOL AOL met à dispositio des expéditeurs à forts volumes des services de feedback loop et de whitelistage. Le whitelistage permet aux messages e proveace de certaies adresses IP d'aboutir sas filtrage préalable. Il est idispesable de mettre e place ue feedback loop avat d'evisager ue demade de whitelistage car le whitelistage e sera accepté que si le taux de plaite sur les adresses IP d'evoi est correct, ce qui est peu probable lorsqu'ue feedback loop 'est pas e service pour des evois e masse. Il faut esuite attedre au mois trete jours d'activité régulière pour demader le whitelistage. Feedback loop Le formulaire suivat permet de demader la mise e place d'ue feedback loop : http://postmaster.aol.com/fbl/. Suite à sa validatio, u email avec u lie de cofirmatio est evoyé à l'adresse de feedback. Il faut s'assurer, avat de valider ce formulaire, que la boîte est bie e service et qu'o sera e mesure de relever so coteu. Après validatio du lie, la mise e service se fait gééralemet das les 24 heures qui suivet. La règle de mail rebod qui détecte les otificatios e proveace d'aol est déjà mise e oeuvre das Neolae Whitelistage Les demades de whitelistage se fot sur la page http://postmaster.aol.com/whitelist/idex.html. Suite à cette demade, AOL va surveiller les evois et les taux de plaites pedat trois semaies eviro. Après cette période, ue décisio sera prise et commuiquée à l'adresse de cotact précisée das le formulaire. 28 Neolae 2010

Spécificités par domaie IMPORTANT : Le formulaire de whitelistage va de pair avec ue demade de feedback loop. Si ue demade de whitelistage et de feedback loop sot faites à la fois, les mails de rétro-actio serot evoyés e double. Report Card Les jours où le taux de plaite dépasse le seuil de 0,1 %, AOL expédie automatiquemet à l'adresse postmaster du domaie d'evoi ue Report Card metioat la valeur du taux de plaite et l'exigece de la maiteir à u iveau bas. Ce sot des messages evoyés par postmaster@aol.com avec u sujet de la forme AOL email cocers for domaie.com. Cet idicateur permet d'évaluer le bo foctioemet de la feedback loop et le respect de l'opt-i. MSN Hotmail Cosultez la page http://postmaster.ms.com/. Le site propose u formulaire pour cotacter le service techique. Cosultez les taux de plaites de ses IP d'evoi sur la page : http://postmaster.ms.com/sds/. L'iscriptio à ce service permet de surveiller, au jour le jour et par adresse IP, les volumes d'evois, les taux de plaites et le ombre de messages arrivat sur des adresses pièges. Pour accéder à ce service, il faut être e mesure de recevoir les messages evoyés à ue des adresses suivates dot le om de domaie est déduit par reverse DNS et e iterrogeat la base RIPE à partir des adresses IP demadées : abuse@domaie postmaster@domaie U message avec des doées de cofirmatio sera evoyé sur ue de ces adresses, au choix. Si vous etrez e cotact avec le service de MSN Hotmail, vous appredrez que le blocage des spams est orgaisé e deux etités idépedates. Les emails reçus sot traités das u premier temps par les services de Symatec (Symatec Brightmail, <ivestigatio@review.symatec.com> pour toute questio de blocage de leur fait) qui peuvet bloquer les messages sur la base des taux de plaite et du ombre de messages arrivés e adresses pièges. Das u deuxième temps, MSN Hotmail traite les messages qui 'ot pas été bloqués par les services de Symatec mais qui sot bloqués cepedat sas e coaître les raisos. SederID MSN Hotmail met e oeuvre ue techologie de vérificatio d'adresse d'expéditeur propre, ommée SederID. Il s'agit essetiellemet d'ue variate des recommadatios SPF. La cofiguratio DNS à prévoir pour la validatio du SederID va au-delà des exigeces défiies pour le SPF. E particulier, il coviedra de vérifier l'existece des trois eregistremets SPF, MX et A pour le domaie d'evoi. Le wizard Microsoft, dispoible à cette adresse : Neolae v5.1 - Assurer la délivrabilité d'ue plateforme d'emailig - Spécificités par domaie 29

Neolae http://www.microsoft.com/mscorp/safety/cotet/techologies/sederid/wizard/default.aspx, permet de vérifier la cofiguratio DNS d'u domaie et propose de l'aide pour défiir le coteu de so eregistremet SPF. Certais e-têtes sot itéressats de ce poit de vue : X-SID-PRA: Domaie Marketig <marketig@domaie.com> X-SID-Result: TempError From: Domaie Marketig <marketig@domaie.com> Retur-Path: dm-bouces@dml.et L'e-tête X-SID-PRA est l'adresse de prétedu expéditeur (pour plus d'iformatios sur le PRA reportez-vous à la page http://www.microsoft.com/mscorp/safety/techologies/sederid/resources.mspx), calculée à partir des autres liges d'e-tête comme état l'adresse la plus probablemet représetative de l'idetité de l'expéditeur. Ce sot les domaies de cette adresse et de l'adresse de Retur-Path qui servet de référece pour la vérificatio des eregistremets SPF. S'il existe des cotraites plus particulières sur les domaies utilisés, avec ue extesio propre à la techologie SederID, il est possible de cofigurer ses eregistremets SPF de telle sorte qu'ils e s'appliquet qu'au Retur-Path ou qu'au PRA. Note : Das le cas où l'adresse d'expéditeur (From) est différete du PRA, Microsoft recommade d'afficher explicitemet das le cliet email les deux adresses, ce qui peut faire apparaître l'adresse de mails rebods au destiataire fial. Aisi, das le webmail Hotmail, o peut voir l'expéditeur affiché aisi : De : dm-bouces@dml.et au om de Domaie Marketig (marketig@domaie.com) Afi de s'assurer que l'adresse rebod 'apparait pas das l'e-tête du message, il coviet d'appliquer les recommadatios suivates : 1 Désactiver SederID das Neolae. 2 S'assurer de l'existece d'u record SPF valide pour chacu des domaies expéditeurs. 3 S'assurer de l'existece d'ue clé publique domaikey valide pour chacu des domaies expéditeurs. L'e-tête X-SID-Result doe l'évaluatio SederID du message au momet de sa réceptio. Les valeurs qui peuvet être prises sot les mêmes que celles défiies das le SPF. Si l'evoi et les eregistremets DNS sot corrects et que le résultat de l'évaluatio est TempError, il s'agit peut-être d'u problème de cache DNS obsolète. MSN Hotmail utilise u mécaisme de cache pour le foctioemet du SederID. Pour s'assurer que so eregistremet est pris e compte par le cache, il suffit de compléter le formulaire e lige à l'adresse suivate : https://support.ms.com/eform.aspx?productkey=sederid&page=support_sederid_optios_form_byemail&ct=eformts Note : Lorsque sederid est coché das Neolae, u e-tête Seder reseigé avec l'adresse de mails rebods est ajouté aux messages. Aisi, la valeur du PRA correspodra à l'adresse de mails rebods. 30 Neolae 2010