SE-P07·Intermédiaire·12 min

Securite des emails : SPF, DKIM, DMARC

Proteger le domaine email de l'organisation avec SPF, DKIM et DMARC pour prevenir le spoofing et ameliorer la delivrabilite.

👤 IT Admin · CISO
Objectifs d'apprentissage
  • Expliquer le role de SPF, DKIM et DMARC dans la securite email
  • Configurer une politique DMARC en mode quarantine ou reject
  • Comprendre le chiffrement des emails avec S/MIME et PGP pour les communications sensibles

SPF : qui peut envoyer des emails en votre nom

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorises a envoyer des emails au nom de votre domaine. Sans SPF, n'importe quel serveur peut envoyer un email avec votre adresse d'expediteur, ce qui facilite le spoofing pour les attaques BEC. SPF seul est insuffisant car il ne couvre pas les cas de transfert d'emails et ne signe pas le contenu.

🔔 À retenir : Verifier votre SPF actuel : dig TXT votre-domaine.com | grep spf. Si vous n'avez pas d'enregistrement SPF, votre domaine peut etre usurpe par n'importe qui pour des attaques de phishing.

DKIM et DMARC : signature et politique

DKIM (DomainKeys Identified Mail) signe cryptographiquement chaque email avec une cle privee dont la cle publique est publiee dans le DNS. Le destinataire peut verifier que l'email n'a pas ete altere en transit. DMARC (Domain-based Message Authentication, Reporting & Conformance) unifie SPF et DKIM et definit la politique a appliquer aux emails qui echouent les verifications : none (rapport seulement), quarantine (placer en spam), ou reject (refuser l'email). La politique DMARC p=reject est l'objectif final.

⚠ Attention : Une politique DMARC p=reject mal configuree peut bloquer les emails legitimes (newsletters, outils marketing, formulaires web). Commencer par p=none pour auditer, puis p=quarantine, puis p=reject apres avoir identifie tous les expediteurs legitimes.

Chiffrement des emails pour les communications sensibles

Pour les communications hautement confidentielles (donnees clients, contrats, informations medicales), le chiffrement de bout en bout des emails est recommande. S/MIME utilise des certificats numeriques et est integre dans Outlook et Apple Mail. PGP/GPG est plus flexible mais necessite plus de configuration. Microsoft 365 et Google Workspace offrent des options de chiffrement natives (Encrypted Mail, Confidential Mode) plus accessibles pour les PME.

Checklist pratique

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

  • DMARC p=reject empeche le spoofing de votre domaine : essentiel pour prevenir les fraudes BEC
  • Migrer progressivement : none (audit) → quarantine → reject pour eviter de bloquer les emails legitimes
  • DKIM signe le contenu : l'email n'a pas ete modifie en transit meme si il est retransmis
  • Microsoft 365 et Google Workspace incluent des options de chiffrement email accessibles sans expertise PGP