← Retour au blog Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Envestis Team 15 min de lecture

Spoofing Email : Le Probleme Dont Personne ne Parle

Voici quelque chose que la plupart des chefs d'entreprise ignorent : n'importe qui peut envoyer un email qui semble provenir de votre domaine. En ce moment meme, sans aucune competence technique, un attaquant peut envoyer un email qui semble venir de dg@votreentreprise.ch. Le client email du destinataire affichera le nom de votre entreprise, votre domaine, et rien n'indiquera que le message est faux.

Ce n'est pas un bug. C'est ainsi que l'email a ete concu. Le Simple Mail Transfer Protocol (SMTP), cree en 1982, n'inclut aucun mecanisme integre pour verifier l'identite de l'expediteur.

Les consequences sont severes. Le FBI IC3 a rapporte que le Business Email Compromise (BEC) a cause plus de 2,9 milliards de dollars de pertes en 2023. Ce chiffre ne compte que les incidents signales aux Etats-Unis.

Trois protocoles ont ete developpes pour combler cette lacune : SPF, DKIM et DMARC. Ensemble, ils forment un systeme d'authentification en couches. Si vous dirigez une entreprise en Suisse et n'avez pas configure ces trois enregistrements, votre domaine est une cible ouverte.

Comment la Livraison Email Fonctionne Reellement

  1. Composition : L'expediteur redige l'email dans son client de messagerie.
  2. Soumission : Le client se connecte au serveur SMTP sortant et soumet le message.
  3. Routage : Le serveur expediteur recherche les enregistrements MX du domaine destinataire dans le DNS.
  4. Livraison : Le serveur expediteur se connecte au serveur destinataire et transfere le message.
  5. Reception : Le serveur destinataire stocke le message dans la boite du destinataire.

Le point critique est l'etape 4. Pendant la conversation SMTP, le serveur expediteur annonce une adresse "MAIL FROM" et le message contient un en-tete "From:". Ces deux valeurs peuvent etre completement differentes, et aucune n'est verifiee par defaut.

SPF : Sender Policy Framework

Ce que SPF Fait

SPF repond a une question : "Ce serveur est-il autorise a envoyer des emails pour ce domaine ?" Vous publiez un enregistrement DNS TXT listant chaque adresse IP et serveur de messagerie autorise.

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:sendgrid.net -all

Le mecanisme -all est critique. Beaucoup de configurations utilisent ~all (soft fail), ce qui est plus faible et ne devrait etre utilise que pendant les tests initiaux.

Limites de SPF

  • Ne valide que l'expediteur de l'enveloppe, pas l'en-tete From:
  • Se casse lors du transfert d'email
  • Limite de 10 recherches DNS

DKIM : DomainKeys Identified Mail

Ce que DKIM Fait

DKIM ajoute une signature cryptographique a chaque email sortant. Le serveur expediteur signe le message avec une cle privee. La cle publique correspondante est publiee en DNS. Le serveur destinataire verifie la signature et confirme l'integrite du message.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=votreentreprise.ch; s=selector1;
  h=from:to:subject:date:message-id;
  bh=base64encodedBodyHash;
  b=base64encodedSignature

DKIM survit au transfert d'email car la signature voyage avec le message. C'est un avantage majeur sur SPF.

DMARC : Domain-based Message Authentication, Reporting & Conformance

Ce que DMARC Fait

DMARC lie SPF et DKIM ensemble et ajoute une couche de politique. Il introduit le concept d'"alignement" : le domaine dans l'en-tete From: doit correspondre au domaine valide par SPF ou DKIM.

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votreentreprise.ch; adkim=s; aspf=s; pct=100

Le Chemin de Deploiement DMARC

  1. Surveillance (p=none) : Commencez ici. Collectez les rapports pendant 2-4 semaines.
  2. Audit : Examinez les rapports. Ajoutez les includes SPF et signatures DKIM pour chaque source legitime.
  3. Quarantaine (p=quarantine) : Les emails echoues vont dans les spams.
  4. Rejet (p=reject) : Les emails echoues sont rejetes completement.

Business Email Compromise : Scenarios Reels

La Fraude au President

Un employe des finances dans une entreprise de taille moyenne recoit un email qui semble provenir du directeur general. L'email demande un virement urgent et confidentiel. L'adresse affiche le nom du DG et le domaine de l'entreprise. L'employe execute le virement. L'argent va a un compte controle par l'attaquant.

L'Arnaque au Changement de Coordonnees Bancaires

Un attaquant envoie un email usurpant le domaine d'un fournisseur au service comptabilite : "Nos coordonnees bancaires ont change." Si le fournisseur n'a pas configure DMARC, l'entreprise receptrice n'a aucun moyen de detecter l'usurpation.

Pour en savoir plus sur les attaques de phishing ciblant les entreprises, consultez notre article sur le phishing par email professionnel.

Erreurs de Configuration Courantes

Erreur 1 : SPF avec ~all au Lieu de -all

Le soft fail ne fournit presque aucune protection. La plupart des fournisseurs modernes l'ignorent.

Erreur 2 : Depasser la Limite de 10 Recherches SPF

Chaque include: declenche une recherche DNS. Depasser la limite casse l'ensemble de votre SPF.

Erreur 3 : DMARC a p=none en Permanence

Zero protection contre l'usurpation. Uniquement des rapports.

Erreur 4 : Oublier les Expediteurs Tiers

Votre entreprise envoie probablement des emails depuis plus d'endroits que vous ne le pensez.

Erreur 5 : Ne Pas Surveiller les Rapports DMARC

Utilisez un service de reporting DMARC pour analyser les donnees. Sans surveillance, vous ne saurez pas si des emails legitimes sont bloques.

Guide de Configuration Etape par Etape

Etape 1 : Inventaire de Tous les Expediteurs

Listez chaque systeme qui envoie des emails avec votre domaine.

Etape 2 : Configurez SPF

v=spf1 include:_spf.google.com include:sendgrid.net ip4:VOTRE.SERVEUR.IP -all

Etape 3 : Configurez DKIM pour Chaque Expediteur

Chaque service fournira une cle publique a publier dans le DNS.

Etape 4 : Deployez DMARC en Mode Surveillance

v=DMARC1; p=none; rua=mailto:dmarc@votreentreprise.ch; pct=100

Etape 5 : Corrigez les Echecs d'Authentification

Etape 6 : Passez en Quarantaine, puis Rejet

v=DMARC1; p=reject; rua=mailto:dmarc@votreentreprise.ch; adkim=s; aspf=s; pct=100

Conclusion

L'authentification email n'est pas optionnelle en 2025. Si votre domaine n'a pas SPF, DKIM et DMARC configures avec une politique d'application, vous permettez activement aux attaquants d'usurper l'identite de votre entreprise. La configuration prend quelques heures et ne coute rien au-dela du temps investi.

Si vous n'etes pas sur de l'etat actuel de votre authentification email ou avez besoin d'aide, contactez notre equipe. Nous pouvons auditer vos enregistrements DNS et implementer une chaine d'authentification complete.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture
Sécurité

Certificats SSL/TLS expliques : ce qu'ils sont et pourquoi ils comptent

Un guide complet des certificats SSL/TLS : mecanisme du handshake TLS, differences entre DV, OV et EV, automatisation avec Let's Encrypt, erreurs de configuration courantes et impact sur le SEO et la confiance.

· 12 min de lecture

Contact Rapide