Articles

SPF ou comment améliorer la délivrabilité de vos newsletters

Vos newsletters finissent dans la boîte antispam de vos abonnés ?

Entre autres choses, une des solutions consiste à authentifier les mails délivrés par votre nom de domaine.

Pour cela vous allez devoir ajouter, dans la zone DNS de votre hébergeur favori (OVH, Hostpoint, etc), des paramètres à valeur de signatures, indiquant aux serveurs de mail (gmail, hotmail, Yahoo, etc) qu’ils peuvent faire confiance à votre nom de domaine.

SPF

SPF ou Sender Policy Framework est un système permettant aux serveurs de mails de vérifier que le mail envoyant le message est autorisé à envoyer des mails pour le nom de domaine.

Pour créer un SPF pour votre nom de domaine vous devez aller dans votre espace d’hébergement, puis dans la rubrique DNS.

Ensuite vous allez ajouter un nouvel enregistrement TXT à votre tableau de paramètres, comme celui-ci :

Name: [votre nom de domaine] (ex : buddy-wds.com)
Type: TXT
Value: “v=spf1 include:[votre serveur de messagerie] ~all" (ex : _spf.google.com si votre serveur de messagerie est Google)
TTL: 86400 (ou autre valeur proposée par votre hébergeur : 300, 3600...)

Pour en savoir plus sur les arguments qu’il est possible de passer en paramètres, voir le lien ci-dessous “Tout sur SPF”. Pour vous faciliter la mise en place de la bonne syntaxe SPF, les hébergeurs proposent parfois un assistant ou un SPF par défaut. Chez OVH par exemple l’assistant vous proposera ceci :

v=spf1 include:mx.ovh.com ~all

Par contre si vous testez votre SPF sur l’outil de test de Google, celui-ci vous proposera d’ajouter ses propres serveurs, ce qui donnera la syntaxe suivante :

v=spf1 include:mx.ovh.com include:_spf.google.com ~all

Après avoir installé votre SPF, il convient, dans l’ordre, de mettre en place d’abord le DKIM, le dernier paramètre de votre signature globale, soit le DMARC, vérifiant lui-même les 2 précédents paramètres afin d’authentifier votre signature.

DKIM

La norme DKIM ou DomainKeys Identified Mail vous fournit une clé d’identification supplémentaire attestant de votre identité.

L’usurpation d’identité, ou spoofing, est la falsification du contenu d’un e-mail pour faire croire que le message provient d’une personne ou d’un endroit autre que la source réelle. Le spoofing est une pratique illégale courante. Certains serveurs de messagerie requièrent donc la mise en œuvre de la norme DKIM pour lutter contre cette pratique.

Pour générer votre clé de domaine DKIM vous devrez vous ouvrir un compte administrateur sur G Suite. Attention, le compte est payant.

DMARC

DMARC ou Domain-based Message Authentication, Reporting, and Conformance.

L’authentification DMARC assiste les expéditeurs et destinataires d’e-mails dans la validation des messages. Elle définit également l’action à mener en cas de réception de messages suspects. Lorsqu’un message entrant ne passe pas le contrôle DomainKeys Identified Mail (DKIM), DMARC définit le traitement qui doit lui être appliqué. Trois options sont proposées :

  • N’effectuer aucune action sur le message
  • Marquer le message comme spam et le préserver à titre conservatoire pour un traitement ultérieur (mise en quarantaine)
  • Annuler le message pour qu’il ne soit pas envoyé au destinataire

Voici un exemple du format DMARC à ajouter également via votre espace DNS d’hébergement :

v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com

Seuls les paramètres v et p sont obligatoires. Ici p est en none pour indiquer qu’aucune action (quarantaine, blocage) ne doit être effectuée sur le message. Si vous souhaitez recevoir des rapports sur l’activité de votre DMARC, ajoutez le paramètre “rua”, avec pour valeur votre mail au nom de votre domaine (sinon il y aura un warning lorsque vous le testerez).

Pour une assistance au déploiement du DMARC c’est ici.

Tests et validation

Une fois vos paramètres posés, ou pour les ajuster au fur et à mesure, voici ci-dessous quelques liens qui vous aideront à tester et valider votre mise en place :


Sources :

Mise en conformité RGPD – Salle de Fitness


Mise en conformité RGPD : mise en place de la politique de confidentialité d’un site de fitness.

Détails prestation

– création page confidentialité
– mise en place notifications de confidentialité sur les pages de commande, de connexion, d’enregistrement
– mise en place case d’option à cocher de confidentialité sur le formulaire de contact
– amélioration affichage notification cookies
– paramétrage de l’effacement programmé des données clients (Woocommerce)
– vérification des accès et droits utilisateurs
– sécurisation des données et des accès au site
– mise en https/ssl


Voir le site

Mise en conformité RGPD – Boutique Cosmétiques


Mise en conformité RGPD : mise en place de la politique de confidentialité d’un site de cosmétiques.

Détails prestation

– création page de confidentialité et page de mentions légales
– mise en place notifications de confidentialité sur les pages de commande, de connexion, d’enregistrement
– mise en place case d’option à cocher de confidentialité sur le formulaire de contact
– mise en place notification cookies
– paramétrage de l’effacement programmé des données clients (Woocommerce)
– vérification des accès et droits utilisateurs
– sécurisation des données et accès au site


Voir le site

Maintenance technique – Club de fitness

Détails intervention

Mises à jour
– mises à jour (extensions, thèmes)
Corrections, extensions mineures
– des affichages
– des fonctionnalités
Tests
– formulaires contact
Optimisations et performances
– optimisations base de données et fichiers
– suivi des performances
Sécurité
– suivi des sauvegardes fichiers et base de données
– suivi des accès, verrous et autres événements de sécurité


Voir le site

Maintenance technique – Chambres d’hôtes

Détails intervention

Mises à jour
– mises à jour (extensions, thèmes)
Corrections, extensions mineures
– des affichages
– des fonctionnalités
Tests
– formulaires contact
Optimisations et performances
– optimisations base de données et fichiers
– suivi des performances
Sécurité
– suivi des sauvegardes fichiers et base de données
– suivi des accès, verrous et autres événements de sécurité


Voir le site

Les gestionnaires de documents

WP client

Les gestionnaires de documents

Plus complexe que WP Customer Area, l’extension est payante d’entrée (59$ en mode basic). Elle n’existe pas sur le centre officiel wordpress.org .

L’extension propose une solution complète avec notamment le partage de fichiers, un espace privé sécurisé, une messagerie ainsi qu’un système de devis/facturation, format pdf.

WP Customer Area

Les gestionnaires de documents

WP Customer Area est une extension utile et efficace lorsqu’il s’agit de mettre en place rapidement une petite interface utilisateur/client de partage de fichiers et/ou de pages privées.

D’entrée, en version gratuite, WP Custom Area propose cela, des extensions étant proposées en addons payants.

+ de 10.000 installations actives, note de 4.1/5.

SP Client Document Manager

sp-project

Autre extension de partage de fichiers, SP Client Document Manager compte + de 3000 installations actives et est assez bien notés (4/5).
Les fichiers peuvent être rangés dans des dossiers et un petit moteur de recherche permet en outre de faire une recherche par mot-clé.
La page et les fichiers peuvent être attribués à un utilisateur spécifique.
L’extension appelle à l’installation d’une autre, “Theme My Login”, sans être obligatoire, mais qui permet la connexion depuis le front-end du site, sans passer par l’admin de WordPress.

 

Maintenance technique – Agence Tourisme

Détails intervention

Débogages et mises à jour :
– correction fichier wp-config.php
– corrections droits fichiers/dossiers
– mise à jour fichiers noyau WordPress
– nettoyage extensions inactives
– mise à jour version php (5.6 minimum, requis pour dernières versions WordPress)
– mise à jour thème
Maintenance technique.


Voir le site

Refonte – Boutique Cosmétiques

Détails intervention

Refonte de site Php/CodeIgniter vers WordPress.

  • Transfert boutique et passerelle de paiement Crédit Lyonnais (LCL/Sherlocks) vers Woocommerce
  • Récupération contenus
  • Mise en https/SSL

Réalisation en marque blanche


Sécurisation – Fabrique de plastiques

Détails intervention

Nettoyages, mises à jour et sécurisation d’un site internet d’une fabrique d’objets en plastiques.

  • nettoyage (suppression, correction) fichiers suspects
  • nettoyage utilisateurs intrus
  • mises à jour WordPress, extensions et thèmes
  • installation extensions de pose et de suivi sécurité
  • sécurisation formulaire (login, contact) avec captcha

Réalisée en marque blanche


securisation-3

securisation-1

securisation-2

Concepts de sécurité : XSS et FTP

Concepts de sécurité: la moitié des vulnérabilités des extensions WordPress proviennent de la sécurisation XSS et FTP.

Wordfence propose une introduction pour sécuriser les sites WordPress, point de départ recommendé pour tous les administrateurs WordPress débutants ou de niveau intermédiaire.

En introduction la vidéo inclut une démonstration expliquant pourquoi il est important d’utiliser sFTP pour gérer votre site et ne jamais utiliser FTP.

En savoir plus : Wordfence

Sécurité et extensions

Sécurité et extensions : responsive, formulaire et passerelle paiement paypal

Détails intervention

– sécurisation
* formulaire contact sécurisé
* sauvegarde données
* sécurité
– corrections du rendu responsive
– formulaire et paiement en ligne (Paypal)

Accéder à la réalisation

Refonte de site – Motos BMW

Refonte de site sous WordPress

Détails intervention

– refonte de site html vers WordPress
– mise en place extensions :
– formulaire contact sécurisé
– sauvegarde données
– sécurité
– référencement
– site responsive (adapté format portable)

Accéder à la réalisation