Qu'on délègue une grande partie ou qu'on fasse tout soi-même, il faut paramétrer diverses choses dans le DNS afin que les mails puissent être envoyés, reçus, et passer les filtres antispam.

Il y a un concept important à bien comprendre, la différence entre le nom de domaine associé au mail (pour l'exemple, mondomaine.org, qui sera associé à l'adresse mail moi@mondomaine.org) et le domaine lié à la machine autorisée à gérer réellement les envois et réceptions de mail (ici, relai.org). Certaines choses sont à paramétrer sur le domaine associé au mail, d'autres concernent uniquement le relai.

Tout ce qui concerne la vérification de l'identité dans le DNS (mesures anti-spoofing) est toujours associé au domaine du mail (mondomaine.org) et non au relai ! Donc, SPF, DKIM, DMARC entre autre (mais il y en a d'autres et je complèterais à mesure…).

Bien configurer SPF, DKIM, DMARC va nous donner une bonne déliverabilité chez la majorité des acteurs (oui, même les gros). Cela ne suffit pas pour tout, mais ça aide vraiment. Accessoirement cela rend plus difficile à un acteur malveillant de se faire passer pour “nous”, alors pas de raison de s'en priver.

Et puis c'est vraiment faisable quand on gère soi-même toute la chaîne. Ça va bien se passer… tant que je ne perds pas la doc !

Concernant les déclarations dans le DNS, il faut obligatoirement déclarer les divers relais mail autorisés à gérer l'envoi de nos mails. Et oui, pour éviter les soucis, mieux vaut en avoir au moins deux.