Vérifiez en quelques secondes les enregistrements d'authentification des e-mails de votre domaine. Vérifiez que les configurations SPF, DKIM, DMARC et DNSSEC sont conformes aux meilleures pratiques. C'est gratuit et aucun compte n'est requis.
Vérification de la sécurité des e-mails – SPF, DKIM, DMARC et DNSSEC
Pourquoi l'authentification des e-mails est-elle importante ?
L'authentification des e-mails est essentielle pour protéger votre domaine contre l'usurpation d'identité, le phishing et les abus. Sans enregistrements SPF, DKIM et DMARC appropriés, les pirates peuvent envoyer des e-mails qui semblent provenir de votre domaine, ce qui nuit à votre réputation et met vos utilisateurs en danger.
Notre contrôle de sécurité des e-mails analyse les enregistrements DNS de votre domaine afin de vérifier que tous les mécanismes d'authentification des e-mails sont correctement configurés. Nous recherchons les erreurs de configuration courantes et vous fournissons des recommandations concrètes pour renforcer la sécurité de votre messagerie.
SPF (Sender Policy Framework)
Le SPF définit quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Il utilise un enregistrement DNS de type TXT pour répertorier les adresses IP et les mécanismes approuvés. Sans le SPF, n'importe quel serveur peut prétendre envoyer des e-mails depuis votre domaine.
DKIM (DomainKeys Identified Mail)
Le protocole DKIM ajoute une signature numérique aux e-mails sortants, ce qui permet aux serveurs destinataires de vérifier que le message n'a pas été altéré pendant son acheminement et qu'il provient bien de votre domaine. Le protocole DKIM utilise un système de cryptographie à clé publique/privée stocké dans le DNS.
DMARC (Authentification des messages basée sur le domaine)
DMARC associe les protocoles SPF et DKIM, en indiquant aux serveurs destinataires comment réagir en cas d'échec de l'authentification. Il offre des fonctionnalités de rapport qui vous permettent de suivre les résultats d'authentification et de vous protéger contre toute utilisation non autorisée de votre domaine.
DNSSEC (Extensions de sécurité DNS)
Le protocole DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS, ce qui permet d'empêcher l'empoisonnement du cache DNS et les attaques de type « man-in-the-middle ». Il garantit ainsi que les réponses DNS sont authentiques et n'ont pas été altérées pendant leur transmission.
Comment fonctionne notre contrôle de sécurité des e-mails
1. Saisissez votre nom de domaine – Entrez n'importe quel nom de domaine pour lancer l'analyse de sécurité.
2. Requêtes DNS automatiques – Notre outil interroge plusieurs types d'enregistrements DNS, notamment les enregistrements TXT pour les sélecteurs SPF et DKIM et les politiques DMARC, ainsi que la validation de la chaîne DNSSEC.
3. Validation des politiques – Chaque enregistrement est analysé et validé au regard des spécifications RFC et des meilleures pratiques du secteur.
4. Évaluation de la sécurité – Vous recevez une évaluation claire (réussite/échec) pour chaque protocole, accompagnée de recommandations précises pour résoudre les problèmes détectés.
5. Recommandations concrètes – Conseils détaillés sur la manière de corriger les erreurs de configuration ou de mettre en place les enregistrements d'authentification manquants.
Problèmes courants liés à la sécurité des e-mails
Enregistrement SPF manquant – Sans enregistrement SPF, votre domaine n'est pas protégé contre l'usurpation d'adresse e-mail. Ajoutez un enregistrement TXT commençant par « v=spf1 » qui répertorie vos serveurs de messagerie autorisés.
SPF trop permissif (+all) – Un enregistrement SPF se terminant par « +all » permet à n'importe quel serveur d'envoyer des e-mails au nom de votre domaine. Utilisez plutôt « -all » (échec définitif) ou « ~all » (échec temporaire).
Pas de politique DMARC – Sans DMARC, les serveurs de réception ne savent pas comment traiter les e-mails qui échouent aux vérifications SPF/DKIM. Commencez par « v=DMARC1; p=none », puis passez progressivement à « p=quarantine » ou « p=reject ».
DMARC configuré sur « p=none » – Bien que « p=none » permette la surveillance, cette option n'offre aucune protection contre l'usurpation d'identité. Passez à « p=quarantine » ou « p=reject » après avoir analysé vos rapports DMARC.
DKIM manquant – Sans DKIM, les serveurs de réception ne peuvent pas vérifier l'intégrité des e-mails. Configurez votre serveur de messagerie pour qu'il signe les messages sortants et publiez la clé publique dans le DNS.
DNSSEC n'est pas activé – Sans DNSSEC, vos enregistrements DNS sont exposés aux attaques par empoisonnement de cache. Contactez votre fournisseur de services DNS pour activer le protocole DNSSEC pour votre domaine.
Foire aux questions
Qu'est-ce que l'authentification des e-mails ?
L'authentification des e-mails désigne un ensemble de techniques (SPF, DKIM, DMARC) qui permettent de vérifier que l'expéditeur d'un e-mail est bien celui qu'il prétend être. Ces enregistrements DNS contribuent à prévenir le phishing et l'usurpation d'identité, et à améliorer la délivrabilité des e-mails.
Ai-je besoin des trois protocoles (SPF, DKIM, DMARC) ?
Oui. Le protocole SPF seul ne suffit pas, car il peut être contourné. Le protocole DKIM seul n'indique pas aux destinataires comment réagir en cas d'échec. Le protocole DMARC les relie entre eux et définit une politique de gestion des messages non authentifiés. Ces trois protocoles fonctionnent de concert pour offrir une protection complète.
La mise en place de ces enregistrements aura-t-elle un impact sur la délivrabilité de mes e-mails ?
Une authentification des e-mails correctement configurée améliore la délivrabilité. Les principaux fournisseurs, tels que Google et Microsoft, exigent les protocoles SPF et DKIM, et privilégient les domaines dotés de politiques DMARC. Commencez par définir DMARC p=none pour effectuer un suivi avant d'appliquer la politique.
Combien de temps faut-il pour que les modifications soient répercutées ?
Les modifications DNS sont généralement répercutées dans un délai de 1 à 48 heures, en fonction des valeurs TTL (Time to Live) de vos enregistrements. La plupart des modifications sont visibles en quelques heures.
Qu'est-ce que le DNSSEC et en ai-je besoin ?
Le DNSSEC (DNS Security Extensions) ajoute des signatures cryptographiques aux enregistrements DNS. Bien qu'il ne soit pas indispensable pour l'authentification des e-mails, il empêche les attaques par usurpation DNS qui pourraient rediriger votre trafic de messagerie. Il est de plus en plus recommandé comme bonne pratique en matière de sécurité.