Comprendre l'authentification des e-mails et l'usurpation d'adresse e-mail (spoofing) de domaine : SPF, DKIM et DMARC

Votre entreprise est la cible d'attaques de hameçonnage et d'usurpation d'adresse e-mail (spoofing). Si vos e-mails ne sont pas authentifiés, des attaquants peuvent facilement usurper l'identité de votre domaine. Sans authentification, n'importe qui sur Internet peut envoyer un e-mail en se faisant passer pour vous.

Essayez Proton Mail gratuitement pendant 14 jours Demander une démonstration

Que signifie l'authentification des e-mails ?

L'authentification des e-mails est un ensemble de normes techniques qui vérifient que l'expéditeur d'un e-mail est bien celui qu'il prétend être. Elle a été développée car le protocole de messagerie d'origine (Simple Mail Transfer Protocol, ou SMTP) ne dispose d'aucune fonctionnalité intégrée pour empêcher la falsification de l'adresse de l'expéditeur.

Pour comprendre l'authentification, il est utile de savoir qu'un e-mail comporte deux adresses d'expéditeur :

1. L'expéditeur de l'enveloppe (RFC 5321)

Également appelée adresse MAIL FROM, expéditeur P1 ou chemin de retour (return-path), il s'agit de l'adresse technique utilisée en arrière-plan par les serveurs de messagerie pour le routage et la distribution.

Objectif : elle indique au serveur de réception où envoyer les messages automatisés, tels que les notifications de rebond ou les rapports de non-remise (NDR).
Visibilité : généralement, les destinataires ne voient jamais cette adresse dans leur client de messagerie, car elle fait partie de l'« enveloppe » masquée du message.
Rôle de sécurité : il s'agit de l'adresse vérifiée par le protocole SPF.

2. L'expéditeur de l'en-tête (RFC 5322)

Également appelée adresse De : ou expéditeur P2, il s'agit de l'adresse visible dans votre boite de réception (par exemple, De : votre-banque@exemple.com).

Objectif : il s'agit de l'adresse "conviviale" conçue pour l'interaction humaine, indiquant au destinataire de qui le message semble provenir.
Visibilité : c'est la seule adresse que la plupart des utilisateurs voient lorsqu'ils ouvrent leur boite de réception.
Rôle en matière de sécurité : cette adresse est celle que les attaquants usurpent le plus souvent, et elle constitue l'objectif principal des vérifications d'alignement DMARC.

Cette conception rend l'usurpation d'adresse e-mail (spoofing) (falsification de l'adresse De :) très simple. Un attaquant peut utiliser un expéditeur d'enveloppe valide qu'il contrôle pour passer les vérifications de base des serveurs, tout en utilisant un expéditeur d'en-tête frauduleux pour tromper le destinataire. Les protocoles d'authentification des e-mails comme DMARC résolvent ce problème en exigeant l'alignement des domaines de ces deux expéditeurs.

Pourquoi l'authentification des e-mails est-elle essentielle pour les entreprises ?

Pour les entreprises, la mise en œuvre de l'authentification des e-mails est une défense non négociable. Elle :

Bloque l'usurpation d'adresse e-mail (spoofing) et le hameçonnage : empêche les attaquants d'envoyer des e-mails frauduleux depuis votre domaine.

Protège la réputation de votre marque : évite que votre marque ne soit associée à des spams et à des arnaques de hameçonnage.

Améliore la délivrabilité des e-mails : signale aux autres fournisseurs de messagerie que vous êtes un expéditeur légitime, ce qui évite que vos e-mails ne finissent dans le dossier des indésirables.

Les 3 principales méthodes d'authentification des e-mails

Une défense solide repose sur la collaboration de trois normes : SPF, DKIM et DMARC. Chacune s'appuie sur la précédente pour créer une défense multicouche.

1. Sender Policy Framework (SPF)

Le protocole Sender Policy Framework (SPF) est une liste publique de tous les serveurs (par adresse IP) autorisés à envoyer des e-mails pour votre domaine.

Comment ça fonctionne

Vous publiez cette liste sous la forme d'un enregistrement DNS TXT pour votre domaine. Lorsqu'un serveur de messagerie de réception reçoit un message, il compare l'adresse IP du serveur d'envoi à cette liste. Si l'adresse IP figure sur la liste, le message passe la vérification SPF ; sinon, il échoue.

La faiblesse

Le protocole SPF vérifie uniquement l'adresse d'envoi technique utilisée par les serveurs de messagerie, et non l'adresse De : visible que les utilisateurs voient dans leur boite de réception. Cette faille permet aux usurpateurs de passer les vérifications SPF. Puisque SPF est un protocole basé sur le chemin d'accès, il échoute également souvent lorsqu'un e-mail est transféré via une liste de diffusion ou un serveur partenaire. Le serveur de transfert ne figurant pas sur votre liste d'autorisation, la vérification échoue.

2. DomainKeys Identified Mail (DKIM)

Le protocole DomainKeys Identified Mail (DKIM) ajoute une signature numérique unique et inviolable au contenu du message, y compris à l'en-tête De :.

Comment ça fonctionne

Cette signature est créée à l'aide d'une clé privée que seul votre serveur connaît. La clé publique correspondante est publiée dans votre DNS. Les serveurs de réception utilisent cette clé publique pour vérifier la signature. Si elle est valide, elle prouve que l'e-mail provient de votre domaine et que son contenu n'a pas été modifié en transit.

La faiblesse

Tout comme SPF, DKIM n'empêche pas intrinsèquement l'usurpation d'adresse e-mail (spoofing). La signature prouve que le message est authentique pour le domaine qui l'a envoyé, et non pas nécessairement pour le domaine indiqué dans l'adresse De :.

3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Le Domain-based Message Authentication, Reporting, and Conformance (DMARC) est la politique qui associe le SPF et le DKIM. DMARC est la règle qui indique aux serveurs de messagerie de ne faire confiance aux e-mails que si l'adresse De : que vous voyez correspond aux vérifications d'authentification effectuées en arrière-plan. Elle comble la faille que les attaquants exploitent en utilisant SPF ou DKIM seuls.

Comment ça fonctionne

DMARC exige que le domaine figurant dans l'adresse De : visible corresponde au domaine utilisé dans la vérification SPF ou DKIM réussie. Cette étape essentielle associe l'adresse de l'expéditeur visible à la vérification technique.

Elle indique également aux serveurs ce qu'ils doivent faire : votre politique DMARC (p) indique aux serveurs de réception comment gérer les échecs :

p=none (surveillance) : n'entreprendre aucune action. Vous envoyer simplement des rapports indiquant qui envoie des e-mails depuis votre domaine.
p=quarantine (mise en quarantaine) : envoyer les e-mails qui échouent dans le dossier indésirables/spam.
p=reject (rejet) : bloquer complètement les e-mails qui échouent.

Protégez votre entreprise contre l'hameçonnage et l'usurpation d'adresse e-mail (spoofing) de domaine

Plus de 90 % de toutes les fuites de données commencent par une attaque d'hameçonnage ou d'usurpation d'adresse e-mail (spoofing). L'implémentation de SPF, DKIM et DMARC constitue votre première ligne de défense, mais elle doit être associée à un fournisseur de messagerie électronique sécurisé par défaut.

Proton Mail for Business est conçu pour bloquer ces menaces avant même qu'elles n'atteignent votre équipe. Notre détection avancée de l'usurpation d'adresse e-mail (spoofing), la technologie PhishGuard et le chiffrement de bout en bout offrent une défense complète et simple à gérer.

Essayez Proton Mail gratuitement pendant 14 jours Demander une démonstration

Comment configurer l'authentification de la messagerie (étape par étape)

La sécurisation de votre domaine implique l'ajout de quelques enregistrements dans vos paramètres DNS (Domain Name System), gérés par votre registraire de domaine (comme GoDaddy, Namecheap ou Cloudflare).

Étape 1

Créez votre enregistrement SPF

Tout d'abord, identifiez tous les services que vous utilisez pour envoyer des e-mails (par exemple, votre fournisseur de messagerie électronique, un service de newsletter comme Mailchimp, un CRM). Votre enregistrement SPF doit tous les inclure. Par exemple, l'enregistrement SPF de Proton Mail est v=spf1 include:_spf.proton.me mx ~all. Vous devez ajouter cet enregistrement en tant qu'enregistrement TXT dans vos paramètres DNS.

Étape 2

Configurez votre signature DKIM

Dans votre console d'administration Proton Mail (ou celle d'un autre fournisseur), accédez aux paramètres du domaine. Le système générera une clé DKIM unique pour vous. Le processus de configuration de DKIM dans Microsoft 365, Google Workspace ou Proton est similaire : vous copiez la clé générée et créez un nouvel enregistrement TXT dans vos DNS comme indiqué.

Étape 3

Implémentez votre politique DMARC

L'ajout de la politique DMARC (p) est la dernière étape. Elle doit être déployée par étapes afin d'éviter de bloquer vos propres e-mails légitimes :

Commencez par p=none : créez un enregistrement DMARC avec une politique de p=none. Ce mode de surveillance vous permet de recevoir des rapports sur les échecs de distribution des e-mails sans affecter la distribution de vos messages.
Analysez les rapports : utilisez les rapports DMARC pour identifier les services légitimes qui échouent aux vérifications et ajoutez-les à vos enregistrements SPF et DKIM.
Passez à p=quarantine : une fois que vous êtes sûr de vous, remplacez votre politique par p=quarantine. Cela enverra les e-mails qui échouent dans le dossier indésirables/spam.
Passez à p=reject : après une période de surveillance supplémentaire, passez à p=reject pour bloquer la distribution de tous les e-mails frauduleux.

Pour obtenir des instructions de configuration détaillées, y compris des captures d'écran et des valeurs d'enregistrement, consultez le guide d'assistance de Proton.

Au-delà des principes fondamentaux : ARC et BIMI

Une fois que vos protocoles SPF, DKIM et DMARC sont en place, deux normes facultatives peuvent apporter une valeur ajoutée :

Chaîne de réception authentifiée (ARC)

Conserve vos résultats d'authentification intacts lorsque les e-mails sont transférés (comme via des listes de diffusion), ce qui rompt souvent le SPF ou le DKIM.

Indicateurs de marque pour l'identification des messages (BIMI)

Permet au logo officiel de votre entreprise de s'afficher à côté de vos e-mails dans les boîtes de réception compatibles. Considérez cela comme un « badge de vérification » pour les e-mails. Pour y être éligible, vous devez disposer d'une politique DMARC stricte (quarantine ou reject).

Comment Proton Mail sécurise la messagerie de votre entreprise

Configurer l'authentification de la messagerie est essentiel, mais ce n'est qu'un élément d'une stratégie de sécurité complète. Proton Mail ajoute des niveaux de protection supplémentaires pour protéger votre entreprise contre les menaces avancées.

Détection avancée de l'usurpation d'adresse e-mail (spoofing)

Proton Mail vérifie automatiquement les protocoles SPF, DKIM et DMARC sur tous les messages entrants. Les messages qui échouent à ces vérifications sont clairement marqués, ce qui réduit le risque d'usurpation d'identité.

PhishGuard

PhishGuard identifie les liens suspects, les schémas récurrents et d'autres signaux d'alerte que les filtres de base ne détectent pas toujours, ce qui permet de bloquer les tentatives de hameçonnage avant qu'elles n'atteignent vos collaborateurs.

Chiffrement de bout en bout et à accès zéro

Les e-mails échangés entre les utilisateurs de Proton sont automatiquement chiffrés de bout en bout. Toutes vos données sont stockées à l'aide d'un chiffrement à accès zéro, ce qui signifie que même nous ne pouvons pas lire vos messages.

Confirmation de lien

Lorsque les utilisateurs cliquent sur un lien dans un message, Proton Mail affiche un aperçu complet de l'URL de destination, ce qui permet d'éviter les clics accidentels sur des sites malveillants.

Essayez Proton Mail gratuitement pendant 14 jours Demander une démonstration

Sécurisez vos communications professionnelles

Protégez votre entreprise contre le hameçonnage, l'usurpation d'adresse e-mail (spoofing) et les fuites de données grâce au service de messagerie qui place la sécurité et le respect de la vie privée au premier plan. Mettez en œuvre une authentification forte des messages et bénéficiez d'un chiffrement de bout en bout ainsi que d'une protection avancée contre le hameçonnage, le tout dans une solution simple et sécurisée.

Essayez Proton Mail for Business Demander une démonstration

Questions fréquentes

Quelle est la différence entre SPF et DKIM ?: Le SPF vérifie qui est autorisé à envoyer des messages pour votre domaine en vérifiant le serveur d'envoi.
Le DKIM vérifie que le message lui-même n'a pas été falsifié à l'aide d'une signature numérique.
Ils résolvent des problèmes différents, vous avez donc besoin des deux (ainsi que du DMARC) pour une défense complète.
Comment les serveurs de messagerie vérifient-ils l'authentification ?: Lorsqu'un serveur de messagerie reçoit un message, il consulte les enregistrements SPF, DKIM et DMARC de l'expéditeur. Il enregistre les résultats (comme spf=pass ou dkim=fail) dans un en-tête masqué appelé Authentication-Results. Votre fournisseur de messagerie électronique utilise ensuite ces informations, ainsi que de nombreux autres signaux, pour décider s'il doit distribuer le message dans votre boîte de réception, le marquer comme spam ou le bloquer.
Combien de temps faut-il pour que DMARC soit opérationnel ?: L'enregistrement DNS est généralement actif sous quelques heures. Mais déployer DMARC en toute sécurité prend du temps : vous commencez par une politique de surveillance uniquement (p=none), vous analysez les rapports, vous corrigez les expéditeurs légitimes qui échouent, puis vous passez progressivement à des politiques plus strictes (p=quarantine ou p=reject). Ce processus prend souvent plusieurs semaines ou mois.
Que se passe-t-il si des escrocs usurpent mon adresse e-mail ?: DMARC inclut une fonctionnalité de rapport qui vous indique si quelqu'un tente d'usurper l'identité de votre domaine. Si vous découvrez cela, vous devriez alerter votre personnel, informer vos clients et signaler l'escroquerie aux forces de l'ordre et aux organisations de lutte contre le hameçonnage comme la FTC ou l'Anti-Phishing Working Group.
Cela peut-il arrêter toutes les attaques de hameçonnage ?: Aucun outil unique ne permet de tout arrêter. Le SPF, le DKIM et le DMARC sont excellents pour bloquer l'usurpation d'adresse e-mail (spoofing) directe de domaine. Mais les attaquants utilisent également des techniques telles que les domaines similaires ou les comptes compromis. C'est pourquoi l'authentification doit faire partie d'une défense multicouche, aux côtés de la formation des utilisateurs et de fonctionnalités de protection avancées comme PhishGuard de Proton.