# Sécuriser l’envoi d’email depuis le domaine secondaire

Vous venez d'acheter votre domaine secondaire pour l'outbound. Vous devez maintenant sécuriser ce domaine pour l'envoi d'emails.

Sans cette configuration, <mark style="color:red;">l</mark><mark style="color:red;">**es chances que vos messages atterrissent dans la boîte de réception de vos prospects sont..**</mark><mark style="color:red;">.</mark> <mark style="color:red;"></mark><mark style="color:red;">**très faibles**</mark>**&#x20;:** votre domaine sera considéré comme non sécurisé et donc potentiellement utilisé par des spammeurs !

Une configuration propre vous protègera aussi des attaques par phishing et de la fraude en garantissant l'authenticité de vos messages.

Autant vous prévenir de suite. Si vous aviez prévu de vous lancer dans cette partie en fin de journée pour vous détendre avant de déconnecter, c'est une mauvaise idée.

On vous recommande plutôt de vous lancer lorsque votre cerveau sera bien d'attaque.

Promis, ce n'est qu'un mauvais moment à passer. Le reste de la méthode sera tout autre :innocent:

{% hint style="info" %}
On parlera ici de "<mark style="color:green;">**délivrabilité**</mark>", c'est à dire de la capacité d'un email à arriver dans la boîte de réception principale de son destinataire.

On aura la joie de retrouver ce concept clé dans la prospection mailing tout au long de notre méthode 🙂.
{% endhint %}

## &#x20;Les paramètres à configurer

Vous allez vous concentrer sur la configuration de 3 paramètres :

* le **SPF** pour montrer que vous êtes un expéditeur autorisé à envoyer des emails depuis ce nom de domaine,
* le **DKIM** pour montrer que le nom de domaine n’a pas été usurpé avant et pendant l’envoi,
* le **DMARC** pour assurer de votre identité les messageries et fournisseurs d’accès à internet lorsque le DKIM et le SPF ont échoué.

Ci-dessous on vous détaille un exemple de configuration pour un domaine secondaire acheté chez OVH et pour des emails envoyés par Google.

## Exemple de configuration pour un domaine OVH avec des emails envoyé par Google

Pour cet exemple, on va supposer que :

* vous envoyez vos emails depuis [stallone@monproduit.com](mailto:stallone@achete.monproduit.com)
* vous avez configuré Google Workspace pour gérer vos emails
* vous avez les accès à votre fournisseur de nom de domaines (OVH, GoDaddy, etc.)

{% hint style="info" %}
Si vous utilisez un autre service pour gérer vos emails, il existe de multiples ressources en ligne pour vous indiquer la marche à suivre (ex. pour [Microsoft 365](https://learn.microsoft.com/en-us/defender-office-365/email-authentication-about))
{% endhint %}

### Etat des lieux

Rien de plus facile que de savoir où vous en êtes.

Il existe plusieurs outils pour cela, par exemple <https://dmarcian.com/fr/domain-checker/> :

* Insérez le nom de votre domaine
* Pour le moment, SPF, DKIM et DMARC ne devraient pas être paramétrés
* Vous devriez voir apparaître ce type de résultat :<br>

  <figure><img src="/files/ew25LbxLKksHMvytFMNb" alt=""><figcaption></figcaption></figure>

{% hint style="success" %}
:point\_right: Si vous suivez bien le guide, tout devrait passer au vert dans quelques minutes !
{% endhint %}

### Configurer le SPF

Rendez-vous sur la configuration des DNS de votre hébergeur.

Chez OVH, ça ressemble à ça :&#x20;

<figure><img src="/files/zALNriigQuj2yhp2aif0" alt="" width="497"><figcaption></figcaption></figure>

#### Choisissez de créer une entrée SPF :

<figure><img src="/files/YJf8mLomcrNHtDgMwQeY" alt="" width="455"><figcaption></figcaption></figure>

#### Là, vous avez quelques champs à remplir :

* Laissez le 1er champ vide&#x20;
* Le champ TTL à 3600 secondes
* Il y a peu de chances que vous ayez besoin d'envoyer des emails directement depuis votre IP /serveur donc vous pouvez répondre non à cette question
* Vous avez toujours besoin de laisser Google envoyer vos emails donc vous devez autoriser les serveurs MX à envoyer des emails
* Enfin le plus important, dans votre champ SPF, indiquez "include:\_spf.google.com"

<img src="https://t2580905.p.clickup-attachments.com/t2580905/ab36d6b0-7c69-4d8c-9307-5bcfac5160c8/Group%20508.png" alt="" width="563">

{% hint style="info" %}
Si vous avez plusieurs services qui envoient des emails pour vous, vous pouvez les rajouter à la suite : "include:spf.mailjet.com include:\_spf.google.com"
{% endhint %}

À ce stade, vous pouvez retourner sur l'adresse de vérification pour voir si tout fonctionne : <https://dmarcian.com/fr/domain-checker/>

Normalement vous devriez découvrir ça :

<img src="https://t2580905.p.clickup-attachments.com/t2580905/2e65f927-f1c5-41d0-9c3c-06a4542038fd/image.png" alt="" width="563">

{% hint style="success" %}
Vous êtes entré dans la cour des grands qui ont un SPF configuré !
{% endhint %}

{% hint style="info" %}
Bon à savoir : l'enregistrement et la propagation des DNS peut prendre quelques minutes... et jusqu'à 48 heures maximum.
{% endhint %}

### Configurer le DKIM

Google va générer une clé DKIM pour vous.

1. Pour ça, rendez vous sur Google Workspace via le lien Google admin : <https://accounts.google.com/> \
   Et suivez ce chemin : Applications > Workspace > Gmail > Authentifier les emails
2. Sélectionnez le bon domaine (ou sous-domaine si vous avez atteint l'étape suivante) et cliquez sur :<br>

   <figure><img src="/files/x9tfuQL6LeiERDJ5tstB" alt=""><figcaption></figcaption></figure>
3. Là, il vaut mieux sélectionner une clé 1024 bits. D'expérience, la clé 2048 ne fonctionne pas chez tous les fournisseurs de domaines.
4. Vous allez voir apparaître un champ texte commençant par "v=DKIM1; k=rsa; p=...."\
   Copiez-le, vous allez vous en servir juste après.
5. Retournez chez votre fournisseur de noms de domaines dans la section "Zones DNS".
6. Choisissez de créer une nouvelle entrée "TXT" et remplissez-la avec les champs suivants :<br>

   <figure><img src="/files/y1caoyL8QEex0QhY7eyG" alt="" width="563"><figcaption></figcaption></figure>

{% hint style="info" %}
Ici, on a utilisé un **domaine principal** (google.\_domainkey). Mais si vous utilisez un sous-domaine, il suffit juste de mettre "google.\_domainkey.achete" :point\_right: remplacez "achete" par le nom de votre sous-domaine
{% endhint %}

7. Copiez la clé générée dans la Console Admin dans le champ "Valeur".
8. Retournez dans la Console Admin Google et cliquez sur **Activer l'authentification par DKIM**.

{% hint style="success" %}
Une fois que c'est validé, vous pouvez de nouveau retourner sur le [contrôleur de domaine](https://dmarcian.com/fr/domain-checker/) pour vérifier que tout est OK !
{% endhint %}

### Configurer le DMARC

Le DMARC sert à dire aux destinataires comment traiter un email qui n'a pas passé les tests SPF/DKIM. Il va donc falloir faire un choix.

* Le paramètre p précise ce qu'il faut faire avec les emails qui ne passent pas le test. Vous avez le choix entre "none", "quarantine" et "reject".\
  À ce stade, comme vous configurez ça pour la première fois, **on vous incite fortement à utiliser la directive "p=none"** - elle vous permettra d'identifier des erreurs éventuelles de configuration.
* Le paramètre "rua" qui indique à qui il faut envoyer les rapports en cas de problème. Vous pouvez préciser une adresse email que vous utilisez régulièrement.

Les étapes de configuration sont les suivantes :&#x20;

1. Retournez donc chez votre fournisseur de domaines et créez une entrée TXT dans la zone DNS :\
   \&#xNAN;**"v=DMARC1;p=none;rua=mailto:<stallone@gmail.com>"**
2. Pour le domaine vous devez impérativement entrer **"\_dmarc"**.\
   Si vous utilisez un sous-domaine pour envoyer vos emails , utilisez "\_dmarc.sousdomaine" \
   (ex : \_dmarc.achete.)<br>

   <figure><img src="/files/DvEqxHfGfLCEx5ScDOi1" alt="" width="563"><figcaption></figcaption></figure>

   Plus tard, vous pourrez renforcer la politique (p=quarantine ou p=reject) après analyse des rapports.

{% hint style="success" %}
Vous pouvez valider, vérifier que tout est ok dans le [contrôleur de domaine](https://dmarcian.com/fr/domain-checker/) et savourer votre accession au club restreint des *Propriétaires d'Emails Correctement Configurés* !
{% endhint %}

***

Votre domaine envoie maintenant tous les signaux positifs aux serveurs de messagerie.&#x20;

Bien entendu, vos campagnes mail ne vont pas être envoyées depuis Gmail ou Microsoft. Vous allez utiliser un outil dédié.&#x20;

Dans le prochain article, on va voir pourquoi il est nécessaire d'intégrer dans votre stack d'outils une solution de Sales Automation puis vous aider à choisir laquelle.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://academie-outbound.pharow.com/premiere-campagne-email/outillage/securiser-lenvoi-demail-depuis-le-domaine-secondaire.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.