Comment identifier et prévenir l’usurpation d’e-mail sur votre domaine

L’usurpation d’e-mail reste l’un des vecteurs d’attaque les plus efficaces et dangereux auxquels les organisations sont confrontées aujourd’hui. En 2024, les attaques de Business Email Compromise ont coûté 2,7 milliards de dollars rien qu’aux États-Unis [1], avec plus de 57% des attaques de phishing envoyées à partir de comptes e-mail compromis [2]. Pour les professionnels de l’IT et de la sécurité, protéger votre domaine contre les attaques d’usurpation d’e-mail n’a jamais été aussi urgent.

Voici comment repérer quand des attaquants usurpent votre domaine et mettre en place des mesures de prévention robustes et réellement efficaces.

Obligatoire :

• Un accès administratif aux enregistrements DNS de votre domaine
• Un accès à votre infrastructure e-mail (serveurs de messagerie, services e-mail tiers)
• Une compréhension de base de la gestion des enregistrements DNS

Utile :

• Outils de surveillance de la sécurité des e-mails ou plateforme de rapport DMARC
• Liste de tous les services autorisés à envoyer des e-mails pour votre domaine
• Accès aux informations d’en-têtes d’e-mails depuis votre système de messagerie

Temps à prévoir : L’installation initiale demande plusieurs heures. Un suivi régulier (hebdomadaire) est nécessaire. Niveau de compétence : Intermédiaire (nécessite des connaissances DNS de base)

Ce guide vous accompagne étape par étape pour identifier les tentatives d’usurpation ciblant votre domaine et mettre en œuvre des protocoles d’authentification qui bloquent les expéditeurs non autorisés. Nous mettrons l’accent sur des actions concrètes, facilement applicables, avec un impact mesurable.

Le processus en 5 étapes :

1. Auditer l’état actuel de l’authentification e-mail de votre domaine
2. Identifier les tentatives d’usurpation et les expéditeurs non autorisés
3. Configurer l’authentification SPF et DKIM
4. Déployer DMARC avec un suivi adapté
5. Atteindre un niveau d’application optimale et maintenir la protection

Résultat attendu : Visibilité complète sur qui envoie des e-mails au nom de votre domaine, avec la capacité de bloquer les expéditeurs non autorisés et de prévenir les attaques d’usurpation.

Objectif : Vérifier si votre domaine utilise déjà des protocoles d’authentification d’e-mails et identifier les éventuelles lacunes dans votre configuration actuelle.

Comment faire :

1. Utiliser un outil DMARC en ligne pour scanner les enregistrements DNS de votre domaine à la recherche des entrées SPF, DKIM et DMARC
2. Documenter les protocoles déjà configurés et leurs politiques en place
3. Recenser tous les services légitimes d’envoi d’e-mail utilisés par votre organisation (plateformes marketing, CRM, services de notifications, etc.)
4. Vérifier que chaque service d’envoi est bien authentifié avec des enregistrements SPF et DKIM
5. Examiner la réputation actuelle e-mail de votre domaine avec des outils de surveillance de listes noires

Conseil pro : De nombreuses organisations découvrent lors de cet audit une « IT fantôme » : des services d’envoi d’e-mails utilisés par des équipes sans que la sécurité ne soit informée. Ces éléments sont essentiels à identifier avant de renforcer vos contrôles.

Succès : Vous disposez d’un inventaire complet de toutes les sources autorisées et savez quels protocoles d’authentification sont déjà en place (le cas échéant).

Résolution de problèmes : Si vous ne parvenez pas à identifier tous les services d’envoi, interrogez les responsables de département sur les outils tiers qu’ils utilisent. Les équipes marketing, RH ou « customer success » utilisent souvent des plateformes dédiées pour envoyer des e-mails au nom de votre domaine.

Objectif : Savoir détecter quand des attaquants usurpent votre domaine et reconnaître les signaux d’alerte d’une attaque.

Comment faire :

1. Analyser les en-têtes d’e-mails suspects prétendant provenir de votre domaine. Repérer les champs « Return-Path » et « From » non concordants
2. Consulter les lignes « Received » dans les en-têtes pour trouver des adresses IP d’origine qui ne correspondent pas à vos serveurs autorisés
3. Vérifier dans les en-têtes la présence de résultats d’authentification SPF, DKIM ou DMARC en échec (généralement affichés comme « fail » ou « softfail »)
4. Rester attentif aux signalements clients ou partenaires ayant reçu des e-mails suspects semblant venir de votre domaine
5. Consulter les éventuels rapports DMARC (si la surveillance est en place) pour repérer les échecs d’authentification

Conseil pro : Les attaques d’usurpation connaissent des pics pendant la période fiscale, les soldes ou lors d’annonces majeures, quand les destinataires attendent des e-mails légitimes de la part de marques. Redoublez de vigilance lors de ces périodes à risque.

Succès : Vous êtes capable d’identifier avec certitude si un e-mail provient vraiment de votre domaine ou s’il est usurpé, et vous mesurez le volume et les sources d’envois non autorisés.

Résolution de problèmes : Si vous ne recevez pas encore de rapports DMARC, vous ne disposez pas d’historique sur les tentatives d’usurpation. Vous commencerez à collecter ces données dès l’étape DMARC suivante.

Objectif : Mettre en place les protocoles fondamentaux d’authentification qui valident vos sources e-mail légitimes.

Comment faire :

1. Créer ou mettre à jour votre enregistrement SPF dans le DNS pour inclure toutes les adresses IP et domaines autorisés (format : v=spf1 include:_spf.example.com ~all)
2. S’assurer que l’enregistrement SPF ne dépasse pas la limite de 10 requêtes DNS (une cause fréquente d’échec de livraison de mails), ou collaborer avec un prestataire DMARC pour gérer ce point
3. Configurer la signature DKIM sur vos serveurs de messagerie et services d’envoi (chaque service fournit ses instructions spécifiques de configuration DKIM)
4. Ajouter les clés publiques DKIM à vos enregistrements DNS sous forme d’entrée TXT (format : selector._domainkey.votredomaine.com)
5. Vérifier le bon fonctionnement SPF/DKIM en envoyant des e-mails tests et en contrôlant les résultats d’authentification dans les en-têtes

Conseil pro : Les enregistrements SPF sont étonnamment faciles à « casser ». De nombreuses entreprises dépassent la limite de 10 requêtes DNS en multipliant les services d’envoi. La fonctionnalité Dynamic SPF de Red Sift OnDMARC permet de regrouper les services autorisés dans une seule déclaration dynamique qui ne dépasse jamais la limite.

Succès : Les e-mails tests envoyés par toutes vos sources légitimes passent avec succès les contrôles SPF et DKIM. Vous pouvez le vérifier dans les en-têtes ou via des outils de test d’authentification.

Résolution de problèmes : Si des e-mails légitimes échouent après modifications, il est probable que votre enregistrement SPF contienne une erreur de syntaxe ou qu’il dépasse la limite de requêtes. Utilisez un validateur SPF pour cerner le problème. Pour les infrastructures complexes, envisagez une solution automatisée de gestion SPF.

Objectif : Déployer DMARC afin d’indiquer aux serveurs destinataires comment traiter les messages non authentifiés, tout en collectant de précieux renseignements sur votre flux e-mail.

Comment faire :

1. Créer un enregistrement DMARC dans le DNS, en commençant par une politique de surveillance seule (format : v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com)
2. Configurer une adresse e-mail dédiée ou une plateforme de rapports pour recevoir les rapports DMARC agrégés (ces fichiers XML présentent les résultats d’authentification sur l’ensemble des e-mails émis avec votre domaine)
3. Surveiller les rapports DMARC reçus pendant la période d’observation initiale afin d’identifier les éventuelles sources légitimes oubliées lors de l’audit
4. Vérifier que tous les expéditeurs autorisés réussissent l’authentification SPF ou DKIM dans ces rapports
5. S’apprêter à renforcer progressivement votre politique DMARC de surveillance (p=none) à quarantaine (p=quarantine) puis rejet (p=reject)

Conseil pro : Les rapports DMARC sont notoirement difficiles à lire. Ils arrivent en XML, quasiment illisibles sans outils dédiés. Red Sift OnDMARC traite automatiquement ces rapports et vous livre une analyse exploitable, indiquant clairement quelles sources passent ou échouent et proposant des actions correctives précises.

Succès : Vous recevez régulièrement des rapports agrégés DMARC, vous reconnaissez les sources dans ces rapports, et tout votre trafic légitime passe systématiquement l’authentification.

Résolution de problèmes : Si vous ne recevez aucun rapport DMARC, vérifiez que l’adresse RUA déclarée dans l’enregistrement DMARC est correcte et que la boîte ne rejette pas les rapports. Certaines organisations préfèrent faire appel à des services spécialisés plutôt que de gérer leurs rapports par e-mail.

La mise en place manuelle de DMARC peut prendre plusieurs mois avant d’atteindre une politique d’application stricte, beaucoup d’organisations restant bloquées en mode surveillance du fait de la complexité des sources multiples à authentifier.

Red Sift OnDMARC permet aux organisations d’obtenir une application DMARC complète nettement plus rapidement qu’avec une gestion manuelle. Voici ce qui fait la différence :

• Services dynamiques : Pilotez SPF, DKIM, DMARC et MTA-STS directement via l’interface OnDMARC sans toucher au DNS, supprimant les erreurs de configuration et les délais
• Analyse intelligente des rapports : Transforme les rapports XML DMARC complexes en analyses claires et actionnables montrant quelles sources nécessitent votre attention
• Remédiation guidée : Fournit des instructions précises pour corriger les échecs d’authentification, supprimant les approximations lors du déploiement DMARC
• DNS Guardian : Surveille en continu les mauvaises configurations de sous-domaines et prévient les attaques « SubdoMailing » contournant DMARC
• Radar AI Assistant : Détecte et résout les problèmes de sécurité e-mail jusqu’à 10 fois plus rapidement grâce à l’analyse intelligente par IA

Quand envisager Red Sift OnDMARC :

1. Votre organisation utilise plusieurs services d’envoi d’e-mail à authentifier ensemble
2. Vous devez atteindre un niveau d’application DMARC élevé rapidement pour répondre à des exigences de conformité ou de sécurité
3. Votre équipe ne maîtrise pas totalement la gestion complexe de DMARC
4. Vous rencontrez des problèmes liés à la limite de requêtes SPF qui perturbent la délivrabilité
5. Vous souhaitez une surveillance continue et des alertes automatisées sur les menaces e-mail

Objectif : Renforcer progressivement la politique DMARC pour bloquer activement les e-mails usurpés, finalisant ainsi la protection de votre domaine.

Comment faire :

1. Après avoir validé que tous les e-mails légitimes passent l’authentification sur une période suffisante, passez la politique DMARC en quarantaine (p=quarantine)
2. Surveillez les rapports DMARC de près durant la phase de quarantaine pour repérer les légitimes échouant parfois l’authentification
3. Corrigez tout échec d’authentification légitime avant l’étape suivante
4. Un taux de 100% de réussite pour les expéditeurs autorisés permet de passer en rejet (p=reject) pour une application complète
5. Mettez en place une surveillance et des alertes automatisées pour détecter rapidement toute nouvelle anomalie

Conseil pro : Ne précipitez pas l’application stricte. Ceux qui zappent la phase de veille découvrent trop tard qu’ils bloquent des mails d’affaires essentiels. À l’inverse, ne restez pas indéfiniment en mode surveillance : basculez en application stricte une fois toutes les sources légitimes validées.

Succès : Votre politique DMARC est en rejet (p=reject), les messages non autorisés utilisant votre domaine sont bloqués par les serveurs destinataires, et tous vos e-mails professionnels légitimes sont bien livrés. Vos rapports montrent les mails usurpés refusés.

Résolution de problèmes : Si des e-mails légitimes sont rejetés après le passage en enforcement, revenez temporairement à la politique quarantaine pendant l’enquête. Consultez les rapports DMARC pour identifier quelle source d’envoi échoue et travaillez avec le prestataire concerné à corriger sa configuration SPF ou DKIM.

• Pourquoi ? Des entreprises entendent parler des obligations DMARC et ajoutent une entrée DMARC sans s’assurer du fonctionnement des autres protocoles d’authentification
• Comment éviter ? Toujours configurer et vérifier SPF et DKIM avant d’ajouter DMARC
• Si cela arrive : Votre politique DMARC n’apportera aucune protection car tous les e-mails échoueront l’authentification. Reprenez la configuration SPF et DKIM correctement

• Pourquoi ? Les équipes sécurité veulent protéger tout de suite et brûlent les étapes de surveillance et quarantaine
• Comment éviter ? Suivez la montée progressive (none → quarantine → reject) avec suffisamment de temps de surveillance à chaque étape
• Si cela arrive : Certains e-mails d’affaires légitimes risquent d’être bloqués. Revenez sans délai à la politique de surveillance et auditez correctement toutes les sources d’envoi

• Pourquoi ? Les équipes ajoutent des déclarations « include » dans SPF sans compter les requêtes DNS
• Comment éviter ? Utilisez un validateur SPF pour contrôler les requêtes avant tout changement, ou optez pour une solution SPF dynamique
• Si cela arrive : La délivrabilité e-mail est totalement rompue. Il faudra consolider l’enregistrement SPF, utiliser le « flattening » SPF ou adopter une gestion SPF sous supervision

• Pourquoi ? Certains considèrent DMARC comme un dispositif « installer et oublier » une fois le niveau d’application atteint
• Comment éviter ? Mettez en place une surveillance et des alertes automatisées sur les échecs d’authentification
• Si cela arrive : De nouveaux services d’envoi non authentifiés pourraient apparaître sans que vous le sachiez, coupant des e-mails légitimes

Indicateurs clés :

• 100% des e-mails légitimes émis par votre domaine passent l’authentification SPF ou DKIM
• Votre politique DMARC est en rejet (p=reject), bloquant activement les usurpations
• Les rapports DMARC montrent nettement moins, voire plus du tout, de tentatives d’envoi non autorisées
• Plus aucun problème de délivrabilité sur les e-mails d’affaires légitimes
• Réputation de domaine et taux d’arrivée en boîte de réception améliorés

Une fois l’application DMARC atteinte, envisagez ces protections complémentaires :

Protection des sous-domaines : Beaucoup d’attaquants se rabattent sur les sous-domaines quand le domaine principal est protégé. Définissez des enregistrements DMARC pour vos sous-domaines essentiels et surveillez le DNS pour repérer toute entrée mal configurée ou orpheline.

Mise en œuvre de BIMI : Dès passage en p=reject, déployez BIMI (Brand Indicators for Message Identification) pour afficher le logo validé de votre marque dans les messageries compatibles. Des études montrent que BIMI améliore le taux d’ouverture en faisant ressortir les e-mails dans la boîte de réception et en renforçant la confiance grâce à la vérification visuelle de la marque.

Déploiement de MTA-STS : Ajoutez Mail Transfer Agent Strict Transport Security afin d’imposer la livraison chiffrée des e-mails et empêcher les attaques de type man-in-the-middle sur votre trafic e-mail.

Surveillance continue des menaces : Utilisez des plateformes de sécurité e-mail offrant des alertes en temps réel sur les tentatives d’usurpation, les enregistrements de domaines ressemblants et les anomalies d’authentification.

Actions immédiates :

• Effectuez un test DMARC sur votre domaine pour connaître votre statut d’authentification actuel
• Commencez à lister tous les services d’envoi d’e-mails utilisés dans votre organisation
• Préparez un plan de déploiement SPF, DKIM et DMARC selon les étapes ci-dessus

Maintenance continue :

• Consultez les rapports DMARC chaque semaine pour surveiller l’état de l’authentification
• Mettez à jour vos enregistrements SPF et DKIM dès que de nouveaux services d’envoi sont ajoutés
• Surveillez la réputation de votre domaine et les taux de délivrabilité chaque mois
• Réalisez des audits réguliers pour garantir le maintien d’une authentification correcte

L’usurpation d’e-mails est une menace majeure pour la sécurité et la réputation de votre organisation. La bonne nouvelle, c’est qu’avec une bonne authentification, vous pouvez bloquer efficacement les expéditeurs non autorisés et protéger votre domaine contre les attaques d’usurpation. Que vous choisissiez une mise en place manuelle ou une plateforme automatisée comme Red Sift OnDMARC, l’essentiel est de commencer dès aujourd’hui.

[1] Federal Bureau of Investigation. « Internet Crime Report 2024: Business Email Compromise Losses. » DeepStrike. https://deepstrike.io/blog/Phishing-Statistics-2025

[2] KnowBe4. « Phishing Threat Trends Report 2025: Compromised Account Statistics. » KnowBe4 Research, mars 2025. https://www.knowbe4.com/hubfs/Phishing-Threat-Trends-2025_Report.pdf

[3] Fanelli, Bill P. « DMARC : The Frontline Defense Against Phishing and Domain Spoofing. » Homeland Security Today, octobre 2025. https://www.hstoday.us/subject-matter-areas/cybersecurity/dmarc-the-frontline-defense-against-phishing-and-domain-spoofing/