Le guide définitif de la sécurité des e-mails de Red Sift
Dernière mise à jour : novembre 2025
En bref :
Ce guide complet couvre les protocoles d’authentification d’email (SPF, DKIM, DMARC, MTA-STS) essentiels pour protéger les domaines contre l’usurpation et le phishing en 2026.
À retenir :
- L’email reste vulnérable : 3,4 milliards de courriels de phishing envoyés chaque jour, l’email étant le principal vecteur d’attaque des cybercriminels
- SPF et DKIM seuls ne suffisent pas : Ils authentifient les expéditeurs mais n’empêchent pas l’usurpation exacte du domaine
- DMARC est désormais obligatoire : Exigé par Google, Yahoo et Microsoft pour les expéditeurs en masse (plus de 5 000 emails/jour) dès 2024-2025, un standard en 2026
- Calendrier de mise en œuvre : Red Sift OnDMARC permet aux organisations d’atteindre une politique de rejet (p=reject) en 6 à 8 semaines (le plus rapide du secteur)
- Bénéfices pour l’entreprise : Stoppe le phishing, protège la réputation de la marque, améliore la délivrabilité, active BIMI, favorise la conformité (NIS2, DORA, PCI DSS, RGPD)
- Défis techniques résolus : Le SPF dynamique élimine la limite des 10 recherches ; des outils automatisés accélèrent le dépannage
- MTA-STS ajoute une sécurité de transport : Chiffre les emails en transit entre serveurs de messagerie
En résumé : En 2026, l’authentification email n’est plus une option, elle est indispensable. Les organisations ont besoin du DMARC à p=reject pour une protection totale, les plateformes modernes permettant une mise en place rapide et fiable.
Qu’est-ce que ce guide sur la sécurité de l’email et pourquoi la sécurité de l’email est-elle importante ?
L’email est un outil incontournable pour la communication professionnelle partout dans le monde. Il est tellement crucial au bon fonctionnement quotidien des organisations, grandes ou petites, que beaucoup le considèrent aussi essentiel que l’électricité ou l’eau.
Mais c’est justement cette importance qui rend l’email vulnérable du point de vue de la cybersécurité. En 2026, les attaquants affinent constamment leurs méthodes. Avec 3,4 milliards de courriels de phishing envoyés chaque jour, il est clair que les systèmes de messagerie sont la cible privilégiée des cybercriminels qui cherchent à accéder à votre entreprise. Il suffit qu’un seul collaborateur tombe dans le piège d’une arnaque bien ficelée, clique sur un lien infecté ou télécharge une pièce jointe malveillante pour que toute votre activité soit paralysée.
Compte tenu de l’importance de la sécurisation des emails pour les organisations, nous avons conçu ce guide complet afin d’aider aussi bien les novices que les responsables d’achat à répondre à leurs questions en matière de sécurité email. Dans les chapitres qui suivent, vous trouverez des informations détaillées sur :
- Comment les attaquants exploitent les portes d’entrée faibles, les enregistrements DNS mal configurés et les domaines non surveillés
- Pourquoi SPF, DKIM et DMARC sont plus efficaces lorsqu’ils sont utilisés ensemble, et comment MTA-STS renforce la sécurité du transport
- La checklist d’achat : profondeur de reporting, automatisation, application des politiques, ROI, et délai de mise en œuvre
Bonne lecture !
Si vous êtes architecte ou analyste en sécurité de l’email et recherchez un guide plus technique, consultez notre Guide technique de configuration des emails. Ce manuel complet explore SPF, DKIM, DMARC, MTA-STS et plus encore, apportant conseils et astuces pratiques pour renforcer la sécurité de votre messagerie.
Foire aux questions : Guide de la sécurité des e-mails
Toutes les mesures de sécurité des e-mails (à l'exception de DMARC) sont inefficaces pour détecter qu'un e-mail malveillant semble provenir d'un domaine légitime. Cela s'explique par une faille dans le protocole Simple Mail Transfer Protocol (SMTP). En octobre 2008, le Network Working Group a officiellement qualifié ce protocole d'« intrinsèquement non sécurisé », déclarant que n'importe qui pouvait usurper un domaine et l'utiliser pour envoyer des e-mails frauduleux en se faisant passer pour le propriétaire du domaine.
Une personne ayant des connaissances très basiques en codage peut facilement trouver les étapes nécessaires pour usurper l'identité e-mail de quelqu'un via une simple recherche Google. Le résultat est un e-mail qui semble légitime et ne montre aucun signe classique de phishing. Avec 3,4 milliards d'e-mails de phishing envoyés chaque jour, les systèmes de messagerie restent une cible de choix pour les cybercriminels.
SPF (Sender Policy Framework) vérifie qu'un e-mail est envoyé depuis une adresse IP autorisée par l'enregistrement SPF du domaine expéditeur grâce à un enregistrement DNS TXT listant les serveurs d'envoi autorisés.
DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée via une clé publique dans le DNS, pour confirmer que le contenu de l'e-mail n'a pas été modifié et qu'il provient d'un domaine autorisé. Les deux sont essentiels à la sécurité des e-mails, mais aucun ne permet d'empêcher l'usurpation exacte d'un domaine.
Alors que ces protocoles informent le destinataire de l'origine de l'e-mail, ce dernier ne dispose d'aucune instruction sur la marche à suivre avec cette information. Les principaux fournisseurs de boîtes mail exigent désormais SPF et DKIM pour les expéditeurs d'e-mails en masse en 2026.
DMARC signifie "Domain-based Message Authentication, Reporting and Conformance". Il s'agit d'un protocole de sécurité pour les e-mails sortants qui permet aux propriétaires de domaine d'indiquer aux boîtes de réception de refuser les e-mails usurpés. DMARC fonctionne en combinant les résultats de SPF et DKIM pour déterminer si votre e-mail est authentique et autorisé.
La politique DMARC (définie par le tag "p=" dans votre enregistrement DNS) indique ensuite aux serveurs destinataires comment agir. DMARC empêche l’usurpation exacte de domaine en instruisant les serveurs à ne pas accepter les e-mails non authentifiés. En 2026, DMARC est devenu une exigence standard pour les organisations effectuant des envois en masse.
La spécification SPF limite les recherches DNS à 10. Si votre enregistrement SPF dépasse ce nombre, SPF échouera. Les mécanismes SPF comptabilisés sont : a, ptr, mx, include, redirect et exists. En réalité, 10 recherches DNS ne suffisent pas car la plupart des entreprises utilisent plusieurs outils d'envoi d'e-mails.
G Suite à lui seul consomme 4 recherches DNS ; en ajoutant HubSpot pour le marketing, qui en utilise 7, vous dépassez déjà la limite. Dès que vous dépassez 10 recherches SPF, le trafic e-mail commence à échouer aléatoirement la validation. C'est pourquoi, en 2026, les organisations passent à une gestion dynamique de SPF au lieu d'essayer de maintenir manuellement des enregistrements plats.
Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet le chiffrement des messages entre deux serveurs de messagerie. Elle spécifie que les e-mails ne peuvent être envoyés que via une connexion chiffrée Transport Layer Security (TLS), ce qui empêche l'interception par les cybercriminels. SMTP seul n'apporte pas de sécurité, le rendant vulnérable aux attaques de type "man-in-the-middle" où la communication est interceptée (et potentiellement modifiée).
De plus, le chiffrement avec SMTP est optionnel, ce qui signifie que les e-mails peuvent être envoyés en clair. Sans MTA-STS, un attaquant peut intercepter la communication et forcer l'envoi du message en clair. En 2026, MTA-STS est devenu un contrôle de sécurité standard pour les organisations traitant des communications sensibles.
La mise en œuvre de DMARC vous permet de bloquer les tentatives de phishing qui semblent provenir de vous, d'instaurer une confiance accrue auprès de vos clients, de réduire le risque cyber et de répondre aux exigences d’expéditeurs en masse de Google, Yahoo ou Microsoft.
DMARC renforce la conformité avec PCI DSS 4.0 et accroît la résilience organisationnelle face à l’évolution des menaces cyber. Une fois à p=reject (enforcement), DMARC bloque la fraude aux fournisseurs, la prise de contrôle de comptes et l'usurpation d’e-mail en empêchant les acteurs malveillants d’utiliser votre domaine pour envoyer des messages de phishing et opérer des compromissions de messagerie d’entreprise (BEC). Selon le rapport Data Breach Investigations Report 2025 de Verizon, les attaques BEC représentent plus de 17 à 22 % de tous les incidents d’ingénierie sociale.
Red Sift OnDMARC accélère le déploiement de DMARC grâce à la découverte de vos expéditeurs, des recommandations prescriptives, la détection d’anomalies et des accès par rôle pour les équipes mondiales. Dès 2026, les principales plateformes permettent aux entreprises d’atteindre le niveau p=reject (enforcement) en 6 à 8 semaines alors que cela prenait parfois six mois auparavant.
L’un des bénéfices les plus souvent cités d’OnDMARC est un délai moyen de 6 à 8 semaines pour obtenir le plein enforcement. La puissante automatisation de la plateforme analyse en continu l’activité de votre domaine, affichant des alertes sur les zones nécessitant des changements. Dès l’ajout de votre enregistrement DMARC unique dans le DNS, OnDMARC commence sous 24h à collecter et afficher les rapports DMARC dans des tableaux de bord clairs.
Les principaux fournisseurs de messagerie tels que Microsoft, Google et Yahoo rendent désormais DMARC obligatoire pour les expéditeurs en masse (organisations envoyant plus de 5 000 e-mails par jour) depuis 2024-2025, et ces exigences se sont généralisées en 2026.
Au-delà des exigences des fournisseurs de messagerie, certains secteurs et réglementations gouvernementales tendent également à rendre DMARC obligatoire. Les agences fédérales américaines doivent utiliser DMARC, tout comme les établissements de paiement régulés par DORA. En outre, la mise en place de DMARC renforce la conformité avec PCI DSS 4.0, le RGPD et NIS2. Pour les équipes cybersécurité, sécurité email et IT, il est essentiel de garantir que la sécurité e-mail de votre organisation soit conforme aux pratiques et exigences internationales de référence.