Nous ne sommes plus au siècle dernier et l’email est le principal vecteur de communication professionnelle. Aussi la sécurité des échanges électroniques est devenue un enjeu critique. Chaque jour, des millions d’emails circulent sur internet, mais une grande partie d’entre eux sont des tentatives de spoofing : des attaquants qui falsifient l’adresse de l’expéditeur pour se faire passer pour une entreprise de confiance. Phishing, BEC (Business Email Compromise) ou simple usurpation d’identité. Les conséquences peuvent être désastreuses : perte de données, fraude financière ou atteinte à la réputation.

C’est bien d’utiliser les licences Microsoft 365, d’acheter parfois les options de sécurités comme Defender for Office, mais malheureusement cela n’est pas suffisant pour protéger vos domaines contre l’usurpation car vos domaines smtp ne sont pas utilisé que dans office 365 !

Heureusement, des protocoles d’authentification email existent pour contrer ces menaces. Dans cet article, je vais décortiquer les mécanismes de base : SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), puis nous plongerons en profondeur dans DMARC (Domain-based Message Authentication, Reporting & Conformance), qui représente le cœur de la stratégie de protection moderne. Nous verrons ensuite comment aller plus loin avec BIMI (Brand Indicators for Message Identification). Enfin, nous expliquerons comment mettre en place, en mode projet, une stratégie DMARC en mode reject pour les organisations qui souhaitent élever significativement leur niveau de sécurité.

Ce guide s’adresse aux novices qui découvrent ces concepts, mais il utilise un langage technique précis pour que vous puissiez ensuite passer à l’action concrète (configuration DNS, analyse de rapports, etc.). Il est complémentaire à l’implémentation de Microsoft 365 et d’Exchange Online.

1. SPF (Sender Policy Framework) : L’Autorisation des Serveurs d’Envoi

SPF est le premier pilier de l’authentification email. Il s’agit d’un protocole qui permet à un domaine de déclarer explicitement quels serveurs (ou adresses IP) sont autorisés à envoyer des emails en son nom.

Comment ça marche techniquement ? Lors de l’envoi d’un email, le serveur émetteur indique un envelope sender (ou MAIL FROM, visible dans les headers techniques via Return-Path). Le serveur destinataire effectue une requête DNS sur le domaine de cet envelope sender et cherche un enregistrement TXT de type SPF.

Exemple de record SPF typique dans votre zone DNS : v=spf1 ip4:192.0.2.0/24 include:_spf.dopierala.fr -all

• v=spf1 : version du protocole.
• ip4:… ou include: : liste des IPs ou domaines autorisés (Google Workspace, Microsoft 365, etc.).
• -all (ou ~all en soft fail) : politique stricte qui dit « tout le reste est refusé ».

Le serveur destinataire compare l’IP réelle de connexion avec cette liste. Si elle correspond → SPF PASS. Sinon → FAIL ou SOFTFAIL.

Avantages de SPF

• Protection contre le spoofing basique : empêche un attaquant d’envoyer des emails depuis un serveur non autorisé en utilisant votre domaine.
• Amélioration de la réputation de domaine : les grands fournisseurs (Gmail, Outlook, Yahoo) font confiance aux domaines qui publient un SPF correct, ce qui booste la délivrabilité.
• Facilité de mise en place initiale : une simple ligne dans votre DNS suffit.

Inconvénients et limites de SPF

• Problème des forwardings : si quelqu’un forwarde votre email (ex. : mailing-list ou redirection automatique), l’IP du forwarder n’est pas dans votre SPF → échec automatique.
• Limites techniques : un seul enregistrement SPF par domaine, maximum 10 lookups DNS (pour éviter la surcharge). Si vous avez beaucoup de fournisseurs (marketing automation, CRM, etc.), le record devient vite complexe et fragile.
• Ne protège pas le header « From » : SPF vérifie uniquement l’envelope sender, pas nécessairement l’adresse visible par le destinataire.
• Maintenance lourde : chaque nouveau service d’envoi nécessite une mise à jour du record.

SPF est donc un bon premier rempart, mais insuffisant seul. C’est là que DKIM entre en jeu. Et oui il fallait bien une rustine par dessus.

2. DKIM (DomainKeys Identified Mail) : La Signature Cryptographique

DKIM va plus loin que SPF en ajoutant une signature cryptographique à l’email lui-même. Il garantit à la fois l’authenticité du domaine et l’intégrité du message (personne n’a modifié le contenu en transit).

Comment ça marche ? Le serveur d’envoi signe une partie de l’email (headers + corps) avec une clé privée. Cette signature est ajoutée dans un header DKIM-Signature. La clé publique correspondante est publiée dans un enregistrement DNS TXT sous un sélecteur (ex. : selector._domainkey.votre-domaine.com).

Exemple de record DKIM : selector._domainkey.votre-domaine.com TXT « v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA… »

Le serveur destinataire :

1. Récupère la clé publique via DNS.
2. Vérifie la signature.
3. Si OK → DKIM PASS.

DKIM survit mieux aux forwardings car la signature porte sur le contenu, pas sur l’IP.

Avantages de DKIM

• Protection contre la modification : tout changement (même d’un espace) invalide la signature.
• Couvre le header From : renforce la confiance sur l’adresse visible.
• Améliore la délivrabilité : les grands FAI valorisent les signatures DKIM valides.
• Rotation de clés possible : bonne pratique de sécurité (recommandée tous les 6-12 mois).

Inconvénients de DKIM

• Complexité de mise en œuvre : gestion des clés privées, choix du sélecteur, signature sur tous les serveurs d’envoi.
• Risque de compromission : si une clé privée fuit, un attaquant peut signer des emails valides.
• Ne vérifie pas l’IP : un email signé DKIM peut provenir d’un serveur non autorisé (d’où l’intérêt de combiner avec SPF).
• Maintenance : les en-têtes signés doivent rester cohérents (pas de modification par les intermédiaires).

SPF et DKIM sont complémentaires, mais ils ne parlent pas le même langage. DMARC va les unifier. On rajoute la rustine qui manquait.

3. DMARC : Le Chef d’Orchestre de l’Authentification Email

DMARC est le protocole qui lie SPF et DKIM en ajoutant deux éléments cruciaux :

• L’alignement (alignment) : le domaine du header From: doit correspondre au domaine authentifié par SPF ou DKIM (strict ou relaxed).
• Une politique d’action + des rapports détaillés.

Comment fonctionne DMARC ? Un record TXT publié sur _dmarc.votre-domaine.com :

Exemple minimal en phase de monitoring : v=DMARC1; p=none; rua=mailto:reports@votre-domaine.com; ruf=mailto:forensic@votre-domaine.com; sp=reject; fo=1

• v=DMARC1 : version.
• p= : politique pour le domaine principal (none = monitor, quarantine = spam, reject = rejet total).
• sp= : politique pour les sous-domaines.
• rua= : adresses pour les rapports agrégés (quotidiens).
• ruf= : rapports forensiques (détaillés sur les échecs).
• fo= : conditions d’envoi de rapports.

Le serveur destinataire :

1. Vérifie SPF et DKIM.
2. Vérifie l’alignement.
3. Applique la politique p= si échec.

Les trois politiques DMARC expliquées

• p=none : mode surveillance. Aucun email n’est bloqué, mais vous recevez des rapports pour analyser qui envoie quoi.
• p=quarantine : les échecs vont en spam/junk.
• p=reject : le saint graal. Les emails non authentifiés sont rejetés avant même d’arriver dans la boîte (bounce). C’est la politique qui stoppe réellement le spoofing.

DMARC fournit des rapports XML (via rua/ruf) qui vous montrent :

• Quels IPs envoient des emails en votre nom.
• Taux de passage SPF/DKIM/DMARC.
• Sources légitimes oubliées (marketing tools, partenaires…).

Pourquoi DMARC est-il si puissant contre le spoofing ? Parce qu’il force l’alignement du From:. Un attaquant qui spoof votre domaine exact ne peut plus passer ni SPF ni DKIM aligné. Avec p=reject, ces emails sont purement et simplement supprimés par les serveurs destinataires (Gmail, Outlook, etc.).

Mais attention mettre en place une politique DMARC stricte est risqué. En effet vous pouvez bloquer des emails légitimes envoyés par des services dont vous n’avez pas connaissance (Marketing, Applications spécifiques dont les développeurs ont choisi leur propre serveur SMTP sans vous informer). Pour cela nous mettons en place des outils qui vont dans un premier temps récolter et interpréter les rejets DMARC potentiel. Une fois identifiés, nous pouvons corriger les applications et passer en mode stricte.

Vous devez avoir cette approche de rejet pout TOUS vos domaines smtp, même ceux étant utilisé pour lutter contre la dérive de votre marque et qu’ils ne devraient pas être utilisés.

4. Aller Plus Loin avec BIMI : Le Logo de Marque dans la Boîte de Réception

Une fois que votre DMARC est en quarantine ou reject, vous pouvez activer BIMI. Ce standard permet d’afficher votre logo officiel à côté de l’email dans la liste de réception des utilisateurs (Gmail, Apple Mail, Yahoo, etc.).

Comment ça marche ?

• Vous publiez un record TXT _bimi.votre-domaine.com pointant vers un fichier SVG de votre logo (format vectoriel certifié).
• Le destinataire vérifie d’abord DMARC (obligatoire en mode strict).
• Si tout est bon → le logo apparaît, renforçant la confiance visuelle.

Exemple de record BIMI : default._bimi.votre-domaine.com TXT « v=BIMI1; l=https://votre-domaine.com/logo.svg; »

Bénéfices de BIMI :

• Augmentation de la confiance et du taux d’ouverture.
• Meilleure délivrabilité (les grands FAI favorisent les expéditeurs BIMI).
• Effet marketing : votre marque est visible dès la boîte de réception.

BIMI n’est pas un protocole de sécurité à lui seul, mais il récompense les organisations qui ont déjà une DMARC mature. Et à vrai dire c’est assez classe de recevoir un email avec le petit logo de la boite :-).

5. Mettre en Place une Stratégie DMARC en Mode Reject : Un Projet Structuré pour les Organisations

Passer à p=reject n’est pas une simple modification DNS : c’est un vrai projet d’entreprise. Voici comment nous pouvons vous accompagner pas à pas :

1. Audit initial : cartographie de tous les flux d’envoi (serveurs internes, SaaS, partenaires).
2. Déploiement SPF + DKIM sur 100 % des sources.
3. Phase monitoring (p=none) : 2 à 4 semaines d’analyse des rapports pour identifier les faux négatifs.
4. Phase quarantine : passage progressif et surveillance des impacts.
5. Passage à reject : une fois que le taux de passage DMARC dépasse 95-99 %.
6. Activation BIMI (optionnel mais fortement recommandé).
7. Maintenance continue : rotation de clés DKIM, mise à jour des records, alertes sur les nouveaux flux.

Ce projet réduit drastiquement le risque de spoofing, protège votre marque et améliore la délivrabilité globale. Nous aidons les organisations à mener ce projet de A à Z : diagnostic, configuration, formation des équipes et suivi mensuel des rapports.

Conclusion : La Sécurité Email n’est Plus une Option

SPF et DKIM posent les bases. DMARC les orchestre et les rend opérationnels. BIMI transforme cette sécurité technique en avantage concurrentiel visible. Avec une stratégie DMARC en mode reject, vous passez d’une posture défensive à une véritable immunité contre le spoofing.

Si vous gérez un domaine professionnel, il est temps d’agir. Contactez-nous pour un audit de votre configuration actuelle et pour lancer votre projet DMARC reject. Vos clients, vos partenaires et votre réputation vous remercieront.