Dans l'intention de lutter contre le spam, Google et Yahoo! ont annoncé qu'ils contrôleront l'authentification des courriels à destination de leurs plates-formes. Ainsi dès février 2024, les expéditeurs d'envois en nombre qui ne respectent pas les exigences de Google et Yahoo! commenceront à recevoir des erreurs temporaires (avec des codes d'erreur) sur un petit pourcentage de leur trafic non conforme. Ces erreurs temporaires ont pour but d'aider les expéditeurs à identifier les messages électroniques qui ne respectent pas les nouvelles lignes directrices.

En fait, dans la pratique, Google applique déjà des règles de rejets de mails émis par les 'nouveaux serveurs' sur le réseau, c'est-à-dire des serveurs qui assurent des services de messagerie depuis moins de quelques semaines, et qui ne mettent pas en place SPF et DKIM. Les contrôles d'authentification concerneront tous les serveurs à partir de février 2024.

Les contrôles dont il s'agit sont effectués avec les protocoles SPF, DKIM et DMARC. SPF et DKIM seront progressivement requis pour toutes les adresses email à partir d’avril, et seront obligatoires pour tous les emails en juin 2024. En revanche l'authentification DMARC, elle, sera obligatoire pour les entreprises envoyant plus de 5000 mails par jour à destination Google (Gmail) ou Yahoo!.

Pour mémoire, DMARC vous permet d'indiquer aux serveurs de réception l'action à effectuer lorsque des messages de votre domaine ne passent pas les contrôles SPF ou DKIM. Pour configurer DMARC il faut publier un enregistrement DMARC dans la zone DNS du domaine concerné. Pour passer avec succès le contrôle d'authentification DMARC, les messages doivent aussi être authentifiés par SPF et/ou DKIM. Le domaine d'authentification doit correspondre au domaine indiqué dans l'en-tête "De" du message. Du coup, cela implique que la mise en place de SPF et DKIM est obligatoire à partir de février 2024 pour les entreprises qui envoient plus de 5000 mails à Google ou Yahoo!.

Enfin Google rappelle que pour les envois en nombre (mailings), le mail envoyé doit contenir un lien de désinscription à l'envoi. Il n'est pas exclu que Google se mette à contrôler la présence de ce lien dans les messages.

Les administrateurs de serveurs de messagerie doivent bien comprendre qu'au final les contrôles SPF et DKIM ne concerneront pas que les mailings, mais bien tous les mails, même envoyés à l'unité, comme c'est déjà le cas pour les 'nouveaux serveurs', ainsi que mentionnés ci-dessus. En clair, pour qu'un seul mail puisse arriver à une adresse gmail.com, ou yahoo.com, yahoo.fr, etc. le serveur émetteur devra implémenter au moins SPF et DKIM en juin 2024.