Zone DNS enregistrement SPF

j'aurai donc 2 enregistrements SPF ??

surtout pas !

J'ai déjà une ligne SPF comme suit : "v=spf1 include:mx.ovh.com ~all" Dois je la remplacer par l'enregistrement SPF shopify

vos mails sont où ?
Domaine en question ?

Apparemment je dois aussi ajouter un enregistrement DKIM...j'ai l'impression de l'avoir dans le type CNAME (j'en ai plusieurs) : dkim2, dkim3 et dkim1. Quelqu'un sait si c'est bien ca ou dois je ajouter une ligne avec le type DKIM

pourquoi, qui vous indique ça ?
Attention si vous avez joué avec DKIM alors qu'il ne fallait cela peut également être une raison pour laquelle vos mails sont refusés/mis en spam.

Cordialement, janus57

Bonjour Janus57 :)

_vos mails sont où ?_ mail pro crée avec mon nom de domaine et redirigé vers une boite mail gmail.
_Domaine en question ?_ nom de domaine sous ovh

_pourquoi, qui vous indique ça ?_ L'aide technique de Shopify m'a conseillé d'ajouter un enregistrement SPF tout en m'invitant à lire un lien m'amenant à une page centre d'aide shopify sur des infos concernant la configuration de l'adresse mail. C'est sur cette page qu'il y a des infos concernant le DKIM. Je n'étais pas vraiment sûr que j'avais besoin de prendre cela en compte. Ils m'ont dit de voir avec OVH pour avoir de l'aide car eux n'ont pas accès à mon interface OVH. Mais l'aide OVH est limité. Heureusement qu'il y a des personnes bienveillantes comme vous pour répondre et essayer de m'aider.

_Attention si vous avez joué avec DKIM alors qu'il ne fallait cela peut également être une raison pour laquelle vos mails sont refusés/mis en spam_. Je n'ai rien touché pour l'instant

J'ai l'impression qu'il me faut donc simplement remplacer la ligne SPF actuelle par celle donnée par shopify c'est bien ça?

Merci par avance
Cordialement
Nadege

J'ai l'impression qu'il me faut donc simplement remplacer la ligne SPF actuelle par celle donnée par shopify c'est bien ça?

Bonjour Nadège,

En fait il faut savoir en premier lieu qui (quelles machines, quels serveurs, quels fournisseurs) expédie les mails sortants avec des adresses e-mail de votre domaine.

* Pour un domaine familial c'est tous les membres de la famille.
* Pour un domaine pro, c'est vous, votre associé, votre comptable... et aussi votre serveur web si celui-ci expédie des mails avec votre nom de domaine.
* Pour l'armée, c'est facile: seul le serveur de l'armée est autorisé à envoyer tous les mails via un chemin unique, sans exception.
* Idem pour un banque ou Paypal.

Quand vous avez bien inventorié tout ça, on peut construire un enregistrement SPF.
Selon le niveau de qualité de cet inventaire, vous terminez par "-all" pour dire que tout ce qui n'est pas inventorié est donc une falsification, et le serveur en réception devrait refuser le mail ; "~all" si vous n'êtes pas si sûr que ça ; "?all" quand vous n'êtes pas certain du tout.

Avoir des enregistrements DKIM qui traînent dans la zone DNS ne va pas avoir d'impact. Je m'explique.

DKIM est un modèle où le serveur d'envoi appose une signature électronique d’authenticité.
Dans cette signature il y a un sélecteur "s=quelquechose".
On a besoin de ce "quelquechose" pour aller consulter la clé publique de la signature dans DNS. Sans cela, DNS ne permet pas de le retrouver. Ce qui justifie qu'un serveur mail qui reçoit un mail non signé DKIM ne peut pas savoir si ce domaine a l'habitude de signer DKIM.
(OVH n'appose pas de signatures DKIM. Par contre si les mails émis par le serveur Web Shopify contiennent des signatures DKIM, là il faut mettre les clés publiques dans votre DNS. Ce sont de longs enregistrements TXT, ou bien des CNAME vers une cible que Shopify vous indique.)

Enfin il existe DMARC qui n'est utile que quand vous avez SPF et DKIM. DMARC est surtout utile pour détecter une falsification quand un mail ne satisfait ni à SPF ni à DKIM.

Attention si vous avez joué avec DKIM alors qu'il ne fallait cela peut également être une raison pour laquelle vos mails sont refusés/mis en spam.

pas sûr, pour la raison que j'invoque plus haut.
Voici un exemple:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=twitter.com;
s=dkim-201406; t=1624688519;
bh=nLQpp338ddujuN7SxX5agEELcrEzJSZB5QXrUX6Jonk=;
h=Date:From:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:
Message-ID;
b=HzE+aBsxQe4vOIQ6jG5TnGzk7WCJHXXS920+JdAspDDqfbMkRFcj/FREs5FWTTXDn
RVq2Lv8wzLHcfdBSOOPLQmMVc2rpxUKI09ziqCzKAUmakRATn0WZmjjjEFdYVf96LU
ePPsPDa4TcQirTEvPdvKJlwEsrpIMj8lfvIsh4dICF+xpH8xcsjNqIr7chAN1PvAkg
YcNO7yC8RzC6X1iytm66fWC468n0T36e3wt5xdQAjb3WPFav/gCd0rBQmEhugWmk1P
UY8MU5UPRiItY3bK92GYxVDEApnLGYn5rhWFj3twYZAxc8seirt30C7+ZhiLjW477g
BeBy0kBLGSYkg==

La clé publique est ici:
~# dig txt **dkim-201406**._domainkey.twitter.com +short
"v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwe34ubzrMzM9sT0XVkcc3UXd7W+EHCyHoqn70l2AxXox52lAZzH/UnKwAoO+5qsuP7T9QOifIJ9ddNH9lEQ95Y/GdHBsPLGdgSJIs95mXNxscD6MSyejpenMGL9TPQAcxfqY5xPViZ+1wA1qcr" "yjdZKRqf1f4fpMY+x3b8k7H5Qyf/Smz0sv4xFsx1r+THNIz0rzk2LO3GvE0f1ybp6P+5eAelYU4mGeZQqsKw/eB20I3jHWEyGrXuvzB67nt6ddI+N2eD5K38wg/aSytOsb5O+bUSEe7P0zx9ebRRVknCD6uuqG3gSmQmttlD5OrMWSXzrPIXe8eTBaaPd+e/jfxwIDAQAB"

Bonjour Fritz2cat :)

Tout d'abord merci pour les explications qui m'aide à y voir plus claire.

J'ai réecrit à Shopify qui entre temps me conseil 2 options:
-la première est la possibilité de remplacer le SPF actuel OVH par celui de Shopify, mais à leur niveau ils n'ont pas la possibilité de savoir si j'ai l'utilité d'avoir mon SPF toujours connecté avec OVH.
-la deuxième est de simplement ajouter dans la zone SPF existante
"v=spf1 include:mx.ovh.com ~all" le include shopify ce qui donne j'imagine :
"v=spf1 include:shops.shopify.com include:mx.ovh.com ~all"
Shopify me dit que cela permet que les 2 soient actifs, ce qui me semble bien.
Qu'en pensez vous?

En ce qui concerne le DKIM j'ai posé la question à shopify.

Je regrette aujourd hui d'avoir prix mon nom de domaine sous ovh et non sous shopify cela me complique bien la vie au final. Je vous envie de comprendre tout ca!

Merci beaucoup
Cordialement
Nadege

"v=spf1 include:shops.shopify.com include:mx.ovh.com ~all"

Ceci est 100% correct.
Pour DKIM il faudrait analyser le contenu des en-têtes d'un mail généré par shopify.

Super!
merci !