Blog

‹ Voltar

Pourquoi les transferts de mails échouent (et comment y remédier)

 

Transférer un email d’une adresse à une autre : en apparence, rien de plus simple. Pourtant, depuis l’adoption généralisée de DMARC, SPF et DKIM, ce processus peut souvent mal tourner. Si vous ou vos utilisateurs constatez que certains emails transférés n’arrivent jamais à destination, il y a de fortes chances que ces mécanismes de sécurité en soient la cause.

 

Le problème : quand la sécurité bloque la livraison

 

DMARC est un protocole qui protège les noms de domaine contre l’usurpation d’identité (spoofing). Pour faire simple, il vérifie que les emails envoyés en votre nom ont bien été autorisés par vous, via deux mécanismes : SPF et DKIM.

Le hic ? Ces mécanismes ne fonctionnent pas bien quand un email est transféré manuellement (ou automatiquement) d’une boîte à une autre. Typiquement :

• Vous recevez un email sur alice@entreprise.com

• Vous avez mis en place une redirection automatique vers alice@gmail.com

• Gmail rejette l’email

 

Pourquoi ? Parce que le serveur de entreprise.com devient l’expéditeur aux yeux de Gmail… alors que le domaine d’origine de l’email (disons exemple.com) ne l’a jamais autorisé à envoyer en son nom. Le SPF échoue. Et si le message a été modifié en chemin (ex. en-têtes ajoutés, signature modifiée…), DKIM peut aussi échouer. DMARC, qui se base sur l’un ou l’autre, déclenche alors le rejet.

 

 

Comment résoudre ce casse-tête ?

 

Il n’y a pas de solution parfaite, mais plusieurs options peuvent limiter les dégâts :

 

1. Utiliser SRS (Sender Rewriting Scheme)

SRS réécrit l’adresse d’expéditeur lors du transfert pour éviter que le SPF échoue. Plutôt que de relayer l’email tel quel, le serveur modifie l’adresse "MAIL FROM" pour indiquer que le message vient de son propre domaine. Gmail (ou un autre) ne vérifie alors plus le SPF du domaine d’origine, mais celui du serveur relais – ce qui passe la vérification.

 

 

💡 À noter : tous les serveurs de messagerie ne supportent pas SRS, surtout dans les configurations standard des petites entreprises.

 

2. Préférer les accès IMAP aux redirections automatiques

Plutôt que de transférer automatiquement les messages, configurez votre logiciel de messagerie (ex : Gmail, Outlook) pour récupérer les emails directement via IMAP depuis la boîte source. Cela évite les erreurs de validation SPF/DMARC, puisque les messages ne sont pas "réémis".

 

3. Encourager les expéditeurs à signer DKIM correctement

Si le message est bien signé DKIM, et que la signature reste intacte durant le transfert, alors DMARC pourra valider l’email, même si SPF échoue. Malheureusement, ce n’est pas toujours fiable – certaines signatures DKIM sont fragiles, et certains serveurs de transfert modifient les messages en route (ce qui casse la signature).

 

4. Revoir les règles DMARC trop strictes (pour les domaines expéditeurs)

Si vous gérez un domaine et appliquez une politique DMARC stricte (rejet total), il est bon de se demander si cela est adapté à tous vos usages. Une politique plus souple (p=quarantine ou p=none) peut être un compromis pour ne pas bloquer les transferts.

 

En résumé

 

Les redirections d’emails ne sont plus aussi simples qu’avant. SPF, DKIM et DMARC ont renforcé la sécurité, mais rendent certains usages classiques – comme le transfert automatique – bien plus délicats.

 

👉 Si vous constatez que des emails transférés n’arrivent plus, il est probable que ce soit une incompatibilité avec DMARC. La mise en place de SRS, ou le passage à une récupération IMAP, sont deux pistes solides pour résoudre le problème.