SPF, DKIM, DMARC et l’impact sur votre SEO

Nous avons récemment été questionné sur l’impact sur le SEO d’un site des protocole SPF, DKIM et DMARC. Pour rappel l’envoi d’email frauduleux où l’expéditeur usurpe l’identité d’une entreprise (ce que l’on appelle le Pishing) est désormais monnaie courante. Pour tenter de palier à ce problème, les FAI ont mis en place des normes de vérification comme SPF, DKIM et DMARC.

SPF, DKIM et DMARC : définitions et objectifs

Nous ne rentrerons pas dans le détails de la configuration de ces protocoles, mais faire un rappel sur leur utilité semble cohérent pour comprendre l’impact ou non sur votre site.

Le protocole SPF

SPF (pour Sender Policy Framework) est un moyen de limiter l’usurpation d’identité en enregistrant dans votre configuration DNS de votre domaine quels sont les serveurs autorisés à envoyer des emails en votre nom. Cela permet entre autre de certifier l’expéditeur. A noter que même si un domaine disposant d’un enregistrement SPF sera plus difficile à exploiter par les spammeurs, cela ne vous garantit pas une parfaite délivrabilité de vos mailings qui pourront tout de même être considérés comme du spam à cause d’autres éléments.

Le protocole DKIM

Né en 2004 de la fusion des technologies DomainKeys de Yahoo et Identified Internet Mail de Cisco. L’objectif du protocole DKIM (DomainKeys Identified Mail) est de faire le lien entre le nom de domaine de l’expéditeur et le message en y ajoutant une signature. La clef cryptée est située dans un enregistrement DNS afin de permettre de vérifier si un message a été modifié lors de son transport (entre les différents serveurs SMTP) et de garantir que le contenu arrivera intact jusqu’au destinataire. Pour ce faire, le serveur du destinataire récupère la clé publique correspondant à la signature du serveur de messagerie déclaré comme expéditeur.

Le protocole DMARC

DMARC (pour Domain-based Message Authentication Reporting and Conformance) est une norme développée en 2011 par un consortium des grandes sociétés comme Google, Yahoo ou Microsoft et est avant tout un complément à SPF et DKIM. Son but de garantir que les serveurs de courrier de réception ne se contentent pas de vérifier l’authenticité des e-mails reçus (en utilisant les protocoles SPF et DKIM), mais prennent notamment des mesures appropriées en cas de résultats de contrôle négatifs, en accord avec le propriétaire du nom de domaine du message envoyé. En bref, le protocole DMARC permet à l’expéditeur de recevoir les résultats de l’authentification de ses envois auprès des principaux opérateurs de messagerie, et au serveur du destinataire de savoir comment il doit traiter les messages ayant échoué le test de l’authentification.

Quel est l’impact sur l’optimisation du référencement de votre site ?

Nous voilà au coeur du sujet. Comme nous venons de le rappeler, les protocoles SPF, DKIM et DMARC servent à protéger votre domaine des spammeurs et authentifier vos envois d’emails pour une meilleure délivrabilité. Concrètement ils n’influent donc pas directement sur votre référencement. En 2018, la question avait ouvertement été posée et Google avait assuré que cela n’entrait pas en compte dans le classement de votre site. Pourquoi alors en reparler aujourd’hui ? Les algorithmes des moteurs de recherche évoluent constamment. Ce qui était valable hier ne l’est peut-être plus aujourd’hui, et inversement. Actuellement, pour qu’un site soit d’avantage mis en avant dans les résultats SERP, celui-ci doit bénéficier d’une connexion sécurisée via un certificat SSL, afficher les mentions légales, être en conformité avec les lois sur la protection des données (RGPD pour les sites européens), etc. La Search Console de Google relève notamment la présence de logiciels malveillants sur les sites indexés. Tout ceci tourne autour de la sécurité, un facteur essentiel pour les moteurs de recherche qui visent constamment à proposer des contenus pertinents provenant de sites fiables et de confiance en se basant sur des critères tels que le TrustFlow, le Domain Authority, etc.

En conclusion

Même si l’absence de ces protocoles ne pénaliseront pas fortement le positionnement de vos pages, il est important de proposer aux moteurs de recherche des sites ayant la meilleure réputation possible, et donc de votre domaine qui peut-être pénalisé si celui-ci se fait usurpé via des spams. Nous relevons notamment que certains outils d’Audit n’hésitent pas à mettre des alertes sur ces vecteurs.

Exemple d’un audit SEO avec Woorank

L’audit Woorank remontent dans un onglet Sécurité si votre site est sécurité via SSL, HSTS, etc et la présence d’une configuration DMARC.
Des outils tel que MXtoolbox vous permettent notamment de vérifier la configuration DMARC, SPF et DKIM de votre domaine.