Parmi les quatre certificats d’authenticité d’expéditeurs d’emails qui existent, un seul se généralise en France. Pourtant leur adoption est considérée comme fondamentale pour renforcer la délivrabilité des campagnes.
Les marques sont fortement encouragées à mettre en place des certificats qui permettent au serveur du destinataire de vérifier l’authenticité de l’expéditeur et ainsi d’offrir des gages de qualité aux services de messagerie. “Plus on disposera de certificats, plus les serveurs de messagerie feront confiance à l’expéditeur”, assure Alexandre Baverel-Schmit, responsable délivrabilité chez Sarbacane. C’est ce qui permettra à l’annonceur, en plus de l’adoption de nombreuses bonnes pratiques d’envoi d’email, de ne pas avoir ses adresses bloquées ou ses campagnes automatiquement traitées comme des spam. Sauf que, malgré leur relative ancienneté, le premier certificat datant de 2014, leur adoption est encore très inégale en France.
Parmi les quatre certificats existants (SPF, DKIM, DMARC et le dernier né BIMI), seul le premier se généralise en France. “Le SPF est la base, le passage obligé pour toute marque souhaitant rassurer les services de messagerie”, poursuit Alexandre Baverel-Schmit. Le SPF, pour Sender Policy Framework, est une norme de vérification : elle permet de connaître la liste de serveurs (des adresses IP) autorisés à shooter des emails pour le domaine auquel le certificat est associé ainsi que les IP interdits de le faire. Cette liste se trouve sur un enregistrement TXT placé dans le DNS du serveur expéditeur.
Le DKIM, pour DomainKeys Identified Mail, est quant à lui un protocole plus sophistiqué d’authentification basé sur une signature crytographique composée d’une clé privée, installée sur le serveur de l’expéditeur, et d’une clé publique disponible sur le DNS. Il sert à garantir que l’email reçu appartient bien au nom de domaine de l’expéditeur et qu’il n’a pas été détourné en chemin.
La DMARC, pour Domain-based Message Authentication Reporting and Conformance, est une politique d’usage : elle sert à regrouper les deux certificats, SPF et DKIM, pour indiquer au récepteur du message comment prendre en compte ces deux protocoles – s’il est nécessaire de se baser sur les deux à la fois ou s’il suffit qu’un des deux protocoles fonctionne pour accepter l’email.
Une étude publiée en avril 2023 sur le site de l’Afnic, l’office d’enregistrement du .fr, indique que sur un peu plus de 3 millions de domaines publiant des informations sur le serveur de messagerie utilisé (MX), 57,8% affichent une liste SPF, 23,1% publient au moins une clé DKIM et seuls 7,8% adoptent une politique DMARC. Ces taux sont légèrement supérieurs quand le nom de domaine est associé à un site web. “Aujourd’hui, moins de 10% des noms de domaine publiés dans la zone .fr exploitent pleinement le DNS pour assurer l’authenticité de leurs envois d’e-mails”, en conclut Marc van der Wal, ingénieur R&D de l’Afnic, auteur de l’étude.
Rappelons au passage que les outils de routage d’emails (type Brevo, MailChimp, ou Sarbacane) orientent leurs clients sur comment configurer ces certificats et peuvent, selon le service et le contrat proposé, prendre en charge pour ces derniers leur gestion. Dans le cas de Sarbacane par exemple, la majorité des clients lui délèguent la gestion de leur domaine y compris des certificats (SPF et DKIM) et des politiques de marque (DMARC).
Adoption des BIMI : un vœu pieux ?
Avec de si basses statistiques d’adoption des certificats DKIM et DMARC, ce n’est pas une surprise si très peu d’entreprises adoptent le dernier né des certificats, le BIMI, pourtant compatible avec Gmail depuis 2021 et avec Laposte.net, depuis l’été 2022. BIMI, pour Brand Indicator for Message Identification, est un protocole tout particulièrement intéressant pour les annonceurs car il permet d’associer l’email expédié au logo de la marque via un processus d’authentification qui peut inclure de dépôt d’un certificat de propriété intellectuelle. Mais pour l’adopter, il faut disposer du DMARC. Et mettre la main à la poche : 1 200 euros par an par expéditeur, selon un client que nous avons pu consulter.
Même chez Sarbacane, l’adoption du BIMI n’est pas encore live. “Il y a déjà eu des cas d’usurpation de BIMI à cause d’un mauvais stockage du certificat. C’est pour cela que nous sommes encore en phase de tests avant de le proposer à nos clients”, explique Alexandre Baverel-Schmit. Le spécialiste reste pourtant convaincu de l’intérêt d’une telle démarche : “BIMI va renforcer encore plus la délivrabilité des emails des annonceurs par les services de messagerie. Une marque qui prend la peine de disposer d’un SPF et d’un DKIM propres, une politique de marque nette et qui dispose d’un certificat BIMI n’est certainement pas un spammeur ! De plus, quand le consommateur recevra ses emails avec son logo associé il sera rassuré.”
Ceci étant, disposer d’un BIMI ne suffira pas non plus pour voir son logo affiché chez les destinataires. “Un enregistrement BIMI correctement configuré ne garantit pas que le fournisseur de services de messagerie d’un destinataire affiche le logo de votre marque. Certains fournisseurs peuvent utiliser d’autres critères tels que la réputation, des vérifications anti-abus ou les plaintes d’utilisateurs pour déterminer si votre logo s’affichera ou non”, peut-on lire sur le site d’Hubspot, plateforme d’inbound marketing. D’où l’importance pour l’annonceur de déployer des bonnes pratiques en matière d’emailing, en plus des certificats sur le serveur, et notamment pour garantir la délivrabilité de ses campagnes.