Les attaques par e‑mail restent la première porte d’entrée des cybercriminels. Phishing, usurpation de domaine et dégradation de réputation imposent une réponse technique.
Ce guide explique comment configurer DNS, MX, SPF, DKIM et DMARC pour assurer la Sécurité e‑mail et la Protection contre le phishing.
A retenir :
- Vérifier toutes les sources d’envoi avant de restreindre le SPF.
- Publier une DKIM 2048 bits alignée sur le domaine d’expéditeur.
- Commencer DMARC en p=none pour analyser, puis durcir la politique.
- Activer MTA‑STS et TLS‑RPT pour mieux chiffrer et surveiller.
Sécuriser vos e‑mails : configurer SPF, DKIM et DMARC
SPF : vérifier et publier
Le SPF définit les serveurs autorisés à envoyer pour votre domaine.
Commencez par inventorier tous les services qui envoient des messages. Listez les IP et include nécessaires.
Testez avec un envoi vers mail‑tester et un outil DNS. Exemple recommandé : v=spf1 include:_spf.google.com ip4:203.0.113.10 ~all. Passez à -all après validation.
Retour d’expérience : lors d’une correction, j’ai retiré des includes obsolètes. Les envois ont cessé d’être marqués comme spam.
À retenir :
- Inclure uniquement les serveurs réellement utilisés.
- Commencer par ~all puis passer à -all après tests.
- Documenter chaque modification DNS pour suivre l’historique.
DKIM : clés et alignement
La DKIM signe le contenu pour prouver qu’il n’a pas été modifié.
Générez une clé 2048 bits. Publiez la clé publique en TXT sous selector._domainkey.votredomaine.com.
Assurez l’alignement entre le domaine DKIM (d=) et le domaine visible dans From:. Sans alignement, DMARC ne pourra pas valider.
DNS et MX : paramétrer les enregistrements de messagerie
MX : priorités, tests et exemples
Les enregistrements MX indiquent les serveurs destinataires. Attribuez des priorités claires.
Testez la résolution MX depuis plusieurs zones géographiques. Vérifiez le reverse DNS pour chaque IP d’envoi.
Retour d’expérience : un hébergeur mutualisé envoyait depuis plusieurs relais. J’ai centralisé l’envoi sur deux IP et corrigé les MX. La délivrabilité s’est améliorée.
À retenir :
- Priorité MX cohérente et reverse DNS configuré.
- Limiter les relais non maîtrisés pour réduire les erreurs SPF.
- Tester via MxToolbox et Google Postmaster Tools.
SPF et DMARC dans les enregistrements TXT
Publiez SPF et DMARC en TXT. Commencez DMARC par p=none pour recevoir des rapports.
Exemple DMARC : v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; ruf=mailto:forensic@votredomaine.com; fo=1; adkim=s; aspf=s.
| Protocole | But | Type DNS |
|---|---|---|
| SPF | Autoriser les émetteurs | TXT |
| DKIM | Signer les messages | TXT (selector._domainkey) |
| DMARC | Définir politique et rapports | TXT (_dmarc) |
| MTA‑STS | Forcer TLS transport | TXT et fichier HTTPS |
« Après mise en place stricte des enregistrements, nos emails sont arrivés en boîte de réception majeure. »
Admin messagerie, PME française
MTA‑STS et TLS‑RPT pour la sécurité e‑mail
MTA‑STS : fichier, DNS et mode enforce
MTA‑STS impose TLS pour le transport SMTP en vérifiant un fichier sur votre domaine.
Publiez un fichier à https://mta-sts.votredomaine.com/.well-known/mta-sts.txt et ajoutez le TXT _mta-sts.votredomaine.com.
Exemple de contenu : version: STSv1, mode: enforce, mx: mail.votredomaine.com, max_age: 86400.
À retenir :
- Publier le fichier MTA‑STS accessible via HTTPS.
- Ajouter le TXT _mta-sts avec un id de version.
- Passer en mode enforce une fois testé.
TLS‑RPT : analyser les rapports TLS
TLS‑RPT envoie des rapports sur les problèmes TLS. Publiez _smtp._tls.votredomaine.com TXT avec rua=mailto:tls-reports@votredomaine.com.
Analysez les rapports pour corriger les configurations qui cassent TLS.
Plan de déploiement et retours d’expérience pour authentification
Plan recommandé en trois semaines : inventaire, correction et renforcement. Déployer BIMI après DMARC en quarantine ou reject.
Mon avis : une politique stricte DMARC protège la marque, à condition d’avoir testé toutes les sources d’envoi.
WordPress integration example (copier/colle dans un article) :
Correction SPF/DKIM appliquée, tests passés et DMARC réglé sur reject.
Exemple de message d’un client :
« Depuis la mise en place, nous avons réduit les signalements de phishing et retrouvé la confiance des clients. »
Responsable sécurité, e‑commerce
À retenir :
- Suivre les rapports DMARC et TLS‑RPT chaque semaine.
- Utiliser des outils gratuits pour valider les enregistrements.
- Documenter chaque changement de Configuration serveur.
À retenir :
- Testez avant d’appliquer p=reject.
- Centralisez les envois quand c’est possible.
- Planifiez des revues trimestrielles de la Authentification e‑mail.