Aller au contenu principal
Sécurité

DNSSEC, SPF, DKIM, DMARC : pourquoi la sécurité de vos e-mails professionnels est cruciale

David Patiashvili 8 min de lecture
Illustration : DNSSEC, SPF, DKIM, DMARC : pourquoi la sécurité de vos e-mails professionnels est cruciale
Photo by Stephen Phillips - Hostreviews.co.uk / Unsplash
Sommaire

    Introduction : vos e-mails sont-ils vraiment sécurisés ?

    Vous envoyez des dizaines d’e-mails professionnels chaque jour. Factures, contrats, informations confidentielles… Mais avez-vous déjà vérifié si vos messages arrivaient bien à destination ? Et surtout, êtes-vous certain que personne ne peut envoyer des e-mails en se faisant passer pour vous ?

    En 2024, 91 % des cyberattaques ont commencé par un e-mail (source Vade Secure). Et parmi ces attaques, une grande partie exploite une faille simple : l’absence de protocoles de sécurité sur les serveurs de messagerie. Des protocoles aux noms barbares - DNSSEC, SPF, DKIM, DMARC - qui sont pourtant essentiels pour protéger votre entreprise.

    Dans cet article, nous allons démystifier ces technologies et vous expliquer pourquoi elles devraient être une priorité pour votre organisation.

    Le problème : pourquoi vos e-mails sont vulnérables ?

    L’e-mail, un protocole conçu dans les années 1970

    Le protocole SMTP (Simple Mail Transfer Protocol) qui permet d’envoyer des e-mails a été créé en 1982. À cette époque, Internet était un réseau académique où tout le monde se faisait confiance. Résultat : aucun mécanisme d’authentification n’a été prévu à l’origine.

    Concrètement, cela signifie que n’importe qui peut techniquement envoyer un e-mail en prétendant être vous. C’est comme si vous pouviez écrire n’importe quel nom d’expéditeur sur une lettre postale, sauf que, dans le cas des courriels, les conséquences peuvent être désastreuses.

    Cette vulnérabilité historique a donné naissance à des milliards d’e-mails de spam et de phishing chaque année. Les cybercriminels exploitent cette faille pour

    Les risques sont concrets pour votre entreprise.

    • Usurpation d’identité (fraude au président) : Un attaquant envoie un e-mail à votre comptable en se faisant passer pour le PDG, demandant un virement urgent de 45 000 € vers un compte étranger. Ce type de fraude a coûté plus de 26 milliards de dollars aux entreprises mondiales entre 2016 et 2023.
    • Phishing ciblé (spear phishing) : Vos clients reçoivent des e-mails frauduleux semblant provenir de votre entreprise, leur demandant de mettre à jour leurs coordonnées bancaires ou de télécharger une pièce jointe infectée.
    • Perte de réputation et blacklistage : Si votre domaine est utilisé pour du spam, il sera ajouté aux listes noires. Le résultat n’est pas sans conséquence puisque même vos vrais e-mails seront bloqués par les serveurs destinataires.
    • Non-livraison chronique : Sans les bons protocoles, vos e-mails légitimes finissent dans les spams de vos destinataires. Vos devis, confirmations de commande et factures n’arrivent jamais.
    • Responsabilité juridique : En cas de fuite de données suite à un phishing utilisant votre identité, votre responsabilité peut être engagée si vous n’avez pas mis en place les mesures de protection standard.

    Pour approfondir les mécanismes de protection contre ces attaques, découvrez notre article sur comment se protéger contre l’usurpation d’identité grâce à la signature numérique des e-mails.

    Les 4 protocoles qui protègent vos e-mails

    1. DNSSEC : sécuriser les fondations

    De quoi s’agit-il ? DNSSEC (Domain Name System Security Extensions) est une couche de sécurité ajoutée au système DNS. Le DNS, c’est l’annuaire d’Internet : il traduit les noms de domaine (exemple.fr) en adresses IP.

    Pourquoi est-ce important ? Sans DNSSEC, un attaquant peut “empoisonner” cet annuaire et rediriger vos e-mails vers ses propres serveurs. Cette attaque, appelée “DNS spoofing”, permet d’intercepter vos communications sans que vous ne vous en rendiez compte. Avec DNSSEC, chaque entrée DNS est signée cryptographiquement, garantissant ainsi son authenticité.

    Analogie simple : C’est comme si chaque page de l’annuaire téléphonique était tamponnée par un notaire. Avant d’appeler le numéro, vous pouvez vérifier que la page n’a pas été falsifiée.

    En pratique : L’activation de DNSSEC se fait au niveau de votre registrar (OVH, Gandi, etc.). C’est généralement une simple case à cocher, mais tous les hébergeurs ne le proposent pas encore.

    2. SPF : déclarer vos serveurs légitimes

    De quoi s’agit-il ? SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des e-mails pour votre domaine.

    Comment ça marche ? Quand un serveur reçoit un e-mail de votre domaine, il vérifie si le serveur expéditeur figure dans votre liste SPF. Si ce n’est pas le cas, l’e-mail est marqué comme suspect ou rejeté.

    Exemple concret : Votre enregistrement SPF pourrait ressembler à :
    v=spf1 include:_spf.google.com include:sendgrid.net -all
    Cela signifie : “Seuls les serveurs de Google Workspace et SendGrid peuvent envoyer des e-mails pour mon domaine. Rejetez tout le reste.”

    Analogie simple : C’est comme si vous affichiez à l’entrée de votre entreprise la liste des personnes autorisées à parler en votre nom. Toute personne non listée est considérée comme un imposteur.

    3. DKIM : signer numériquement chaque e-mail

    De quoi s’agit-il ? DKIM (Domain Keys Identified Mail) ajoute une signature cryptographique à chaque e-mail envoyé. Cette signature prouve que l’e-mail n’a pas été modifié en transit et qu’il provient bien de votre domaine.

    Comment ça marche ? Votre serveur de messagerie signe chaque e-mail avec une clé privée (gardée secrète). Le destinataire vérifie cette signature avec votre clé publique, publiée dans votre DNS. Si la signature correspond, l’e-mail est authentique et n’a pas été altéré.

    Ce que DKIM détecte :

    • Modification du contenu de l’e-mail en transit,
    • Modification de l’objet ou de l’expéditeur,
    • Tentative d’usurpation de votre domaine.

    Analogie simple : C’est comme un sceau de cire sur une lettre médiévale. Si le sceau est intact et correspond bien à l’emblème de l’expéditeur, vous savez que le message n’a pas été ouvert ni falsifié en route.

    4. DMARC : orchestrer la protection

    De quoi s’agit-il ? DMARC (Domain-based Message Authentication, Reporting and Conformance) est la couche qui coordonne SPF et DKIM. Il définit ce que les serveurs destinataires doivent faire quand un e-mail échoue aux vérifications.

    Les 3 politiques DMARC :

    • p=none : Observer sans agir. Vous recevez des rapports mais les e-mails suspects passent quand même. C’est le mode “surveillance” pour commencer.
    • p=quarantine : Mettre en spam les e-mails qui échouent. Il s’agit d’une protection intermédiaire.
    • p=reject : Rejeter complètement les e-mails non authentifiés. La protection est maximale.

    Le super pouvoir de DMARC : les rapports.
    DMARC vous envoie des rapports quotidiens détaillant toutes les tentatives d’envoi d’e-mails utilisant votre domaine. Vous pouvez ainsi détecter les attaques, identifier les services légitimes que vous aviez oubliés (newsletters, CRM…) et ajuster votre politique progressivement.

    Comment vérifier si votre entreprise est protégée ?

    Étape 1 : Tester votre configuration actuelle

    Plusieurs outils gratuits permettent d’analyser votre domaine en quelques secondes :

    • MXToolbox (mxtoolbox.com/SuperTool). C’est l’outil de référence. Il effectue une analyse complète de vos enregistrements DNS, SPF, DKIM, DMARC et bien plus. Il identifie également les erreurs de configuration.
    • Mail-tester (mail-tester.com). Envoyez un e-mail à l’adresse fournie et obtenez un score de délivrabilité sur 10, avec des recommandations précises.
    • DMARC Analyzer (dmarcanalyzer.com). Vérification spécifique de votre politique DMARC et aide à l’interprétation des rapports.
    • Google Admin Toolbox. Proposé aux utilisateurs de Google Workspace, il s’agit d’un outil intégré permettant de diagnostiquer les problèmes d’authentification.

    Étape 2 : Interpréter les résultats

    Un domaine correctement configuré devrait avoir :

    • ✅ Un enregistrement SPF valide (sans erreurs de syntaxe),
    • ✅ Une signature DKIM fonctionnelle (clé de 2 048 bits minimum),
    • ✅ Une politique DMARC (idéalement “quarantine” ou “reject”),
    • ✅ DNSSEC activé sur le domaine,
    • ✅ Pas plus de 10 lookups DNS dans le SPF (limite technique).

    Étape 3 : Planifier la correction

    Si des protocoles manquent, voici l’ordre de priorité recommandé :

    1. SPF => Le plus simple à mettre en place, impact immédiat ;
    2. DKIM => Nécessite une configuration côté serveur de messagerie ;
    3. DMARC => À activer une fois SPF et DKIM en place ;
    4. DNSSEC => Dépend de votre registrar.

    Les erreurs courantes à éviter

    Voici les erreurs les plus courantes à éviter, celles qui donnent un faux sentiment de sécurité tout en exposant votre messagerie à des risques bien réels.

    Liste des erreurs

    Erreur n° 1 : "On a configuré SPF, c'est suffisant."

    SPF seul ne suffit pas. Sans DKIM, vos e-mails ne sont pas signés cryptographiquement et peuvent donc être modifiés en transit. Sans DMARC, il n'y a pas de politique claire pour les destinataires sur la marche à suivre. Les trois protocoles sont complémentaires et forment un ensemble cohérent.

    Erreur n° 2 : "Notre hébergeur s'en occupe."

    Pas toujours. Beaucoup d'hébergeurs proposent les outils, mais c'est à vous de les activer et de les configurer. Certains hébergeurs low-cost ne proposent même pas DKIM. Vérifiez systématiquement votre configuration avec les outils mentionnés plus haut.

    Erreur n° 3 : "DMARC en mode reject dès le premier jour."

    Mauvaise idée. Commencez par le mode "none" pendant 2 à 4 semaines pour analyser les rapports. Vous découvrirez probablement des services légitimes que vous aviez oubliés : votre CRM qui envoie des e-mails, votre outil de newsletter, votre plateforme de facturation... Passer directement en "reject" pourrait bloquer ces services et créer des problèmes opérationnels.

    Erreur n° 4 : Oublier les sous-domaines.

    Par défaut, votre politique DMARC ne s'applique pas automatiquement aux sous-domaines. Un attaquant pourrait utiliser "facturation.votredomaine.fr" pour vous usurper. Pensez à ajouter la directive "sp=reject" ou à configurer explicitement chaque sous-domaine.

    Erreur n° 5 : Ne pas surveiller les rapports DMARC.

    Les rapports DMARC sont une mine d'or d'informations. Ils vous alertent sur les tentatives d'usurpation et vous permettent d'affiner votre configuration. Utilisez un outil comme DMARC Analyzer ou Postmark pour les rendre lisibles.

    FAQ : vos questions sur la sécurité e-mail

    Cette FAQ a pour objectif de répondre simplement aux questions les plus fréquentes sur la sécurité des e-mails professionnels, afin de vous aider à mieux comprendre les enjeux, éviter les pièges courants et faire des choix éclairés pour votre domaine.

    Liste des questions

    Combien coûte la mise en place de ces protocoles ?

    La configuration de SPF, DKIM et DMARC est gratuite. Ce sont des enregistrements DNS standards. Le coût réside dans le temps de configuration (comptez 1 à 3 heures selon votre infrastructure et vos compétences) ou dans l'accompagnement par un prestataire (généralement 200 à 500 € pour une mise en place complète avec formation).

    Cela garantit-il que mes e-mails ne finiront plus en spam ?

    Non, mais c'est un prérequis indispensable. Depuis février 2024, Gmail, Microsoft et Yahoo exigent ces protocoles pour les expéditeurs de volume. Sans eux, vos e-mails ont de grandes chances d'être filtrés. Mais la délivrabilité dépend aussi d'autres facteurs : réputation de votre IP, qualité de votre contenu, engagement de vos destinataires...

    Mon entreprise utilise Microsoft 365 / Google Workspace. Suis-je automatiquement protégé ?

    Partiellement. Ces services configurent automatiquement DKIM pour leur domaine technique, mais vous devez configurer SPF et DMARC manuellement pour votre propre domaine. De plus, si vous utilisez d'autres services (newsletters, CRM, facturation), ils doivent être ajoutés à votre SPF.

    Que faire si je détecte des tentatives d'usurpation dans les rapports DMARC ?

    C'est normal et fréquent. Ne paniquez pas. L'important est que ces e-mails soient bloqués grâce à votre politique "quarantine" ou "reject". Si vous êtes encore en mode "none", c'est le signal pour passer progressivement à une politique plus stricte. Conservez les rapports : ils peuvent servir en cas de plainte.

    Mes e-mails internes sont-ils aussi concernés ?

    Oui. Les protocoles protègent tous les e-mails envoyés depuis votre domaine, y compris entre collaborateurs. C'est particulièrement important pour éviter les attaques "internes" où un attaquant usurpe l'identité d'un collègue.

    Conclusion : agir maintenant, pas demain !

    La sécurité de vos e-mails n’est pas un luxe. C’est une nécessité dans un monde où 91 % des cyberattaques commencent par un simple message. DNSSEC, SPF, DKIM et DMARC sont vos quatre piliers de protection et leur mise en place est gratuite.

    Les 3 actions à faire cette semaine :

    1. Testez votre domaine avec MXToolbox (5 minutes),
    2. Identifiez les protocoles manquants,
    3. Planifiez leur mise en place (seul ou avec un prestataire).

    Et n’oubliez pas : la sécurité de vos e-mails commence aussi par celle de vos mots de passe. Découvrez comment créer des mots de passe solides pour compléter votre protection.

    Vous avez des questions sur la sécurisation de vos e-mails professionnels ? Contactez ChallengeMyProject pour un audit gratuit de votre configuration.

    #Sécurité #E-mailing #Bonnes pratiques
    Partager

    En savoir plus

    Nos prestations associées

    À lire aussi

    Tous les articles →