Sender Audit Blog

Les trackers dans vos emails : pixels, liens, et vie privée

Fri, 01 May 2026 00:00:00 +0000

Chaque email marketing que vous recevez contient probablement un ou plusieurs trackers invisibles. Ils mesurent si vous avez ouvert le message, quand, combien de fois, depuis quel appareil, et sur quels liens vous avez cliqué. Voici comment ça fonctionne - et comment faire mieux.

Comment fonctionne l’open tracking

Le pixel espion : une image invisible

Le mécanisme est simple : l’expéditeur insère une image de 1×1 pixel, transparente, hébergée sur son serveur. Quand votre client mail affiche le message, il télécharge l’image. Le serveur enregistre :

Shadow IT et email : les outils qui envoient sans que vous le sachiez

Tue, 28 Apr 2026 00:00:00 +0000

Vous avez configuré SPF, DKIM et DMARC. Votre infrastructure email est sous contrôle. Puis un jour, en analysant vos rapports DMARC, vous découvrez des dizaines d’IP inconnues qui envoient des emails au nom de votre domaine. Pas du phishing - des outils internes que personne en IT n’a validés.

Bienvenue dans le monde du shadow IT email.

Qu’est-ce que le shadow IT email

Le shadow IT désigne l’utilisation de services technologiques sans l’approbation explicite de l’équipe informatique. Appliqué à l’email, c’est un phénomène courant : des équipes métier configurent des outils SaaS pour envoyer des emails depuis votre domaine, sans passer par l’IT.

Email et DNS : tous les records que vous devez connaître

Fri, 24 Apr 2026 00:00:00 +0000

Le DNS est le socle invisible de l’email. Sans les bons enregistrements, vos emails ne seront pas délivrés, pas authentifiés, ou pas chiffrés. Voici tous les records DNS qu’un domaine d’envoi doit connaître et configurer.

Vue d’ensemble

Record	Type	Rôle
MX	MX	Où livrer les emails pour votre domaine
SPF	TXT	Qui peut envoyer pour votre domaine
DKIM	TXT/CNAME	Clé publique pour vérifier les signatures
DMARC	TXT	Politique d’alignement SPF + DKIM
MTA-STS	TXT + HTTPS	Forcer le chiffrement TLS
TLS-RPT	TXT	Rapports sur les échecs TLS
BIMI	TXT	Logo vérifié dans la boîte de réception
PTR	PTR	Reverse DNS de vos IP d’envoi

MX : où livrer les emails

Le record MX (Mail Exchange) indique quels serveurs reçoivent les emails pour votre domaine.

Les en-têtes email décryptés : de Received à ARC

Fri, 17 Apr 2026 00:00:00 +0000

Les en-têtes d’un email contiennent toute l’histoire de son parcours : qui l’a envoyé, par quels serveurs il est passé, si l’authentification a réussi, et pourquoi il a atterri en spam. Savoir les lire, c’est savoir diagnostiquer.

Comment accéder aux en-têtes

Gmail : ouvrez l’email → ⋮ → “Afficher l’original”
Outlook : ouvrez l’email → Fichier → Propriétés → “En-têtes Internet”
Apple Mail : Présentation → Message → Tous les en-têtes
Thunderbird : Affichage → Code source du message

Ou collez-les directement dans le Header Analyzer de Sender Audit pour une analyse visuelle.

DMARC : migrer de p=none à p=reject en toute sécurité

Fri, 10 Apr 2026 00:00:00 +0000

Vous avez publié votre record DMARC avec p=none. C’est un bon début, mais p=none ne bloque rien : les emails frauduleux passent quand même. L’objectif final est p=reject, et ce guide vous accompagne dans cette migration sans casser vos flux légitimes.

Pourquoi p=none ne suffit pas

Avec p=none, vous demandez aux fournisseurs de messagerie de ne rien faire quand un email échoue DMARC. Vous recevez les rapports RUA, mais :

Les emails usurpant votre domaine arrivent en inbox
Votre domaine peut être utilisé pour du phishing
Google et Yahoo exigent désormais un DMARC publié, mais les bénéfices réels commencent à p=quarantine ou p=reject

La timeline recommandée

Semaine	Politique	Objectif
S1-S2	`p=none; rua=mailto:...`	Collecter les rapports, inventorier les sources
S3-S4	Analyse des rapports	Identifier chaque source IP, corriger SPF/DKIM
S5-S6	`p=quarantine; pct=10`	Tester sur 10% du trafic
S7-S8	`p=quarantine; pct=50`	Monter progressivement
S9-S10	`p=quarantine; pct=100`	Observer pendant 2 semaines
S11-S12	`p=reject; pct=10`	Début du rejet progressif
S13-S14	`p=reject; pct=50`	Montée en charge
S15+	`p=reject; pct=100; sp=reject`	Protection complète

Cette timeline est indicative. L’essentiel est de ne jamais sauter d’étape sans avoir vérifié que les rapports sont propres.

Lire et comprendre les rapports DMARC (RUA)

Fri, 03 Apr 2026 00:00:00 +0000

Vous avez configuré DMARC avec un tag rua= et les rapports commencent à arriver. Mais que faire de ces fichiers XML souvent incompréhensibles ? Ce guide vous apprend à les lire, les interpréter, et à en tirer des actions concrètes.

Qu’est-ce qu’un rapport DMARC RUA

Un rapport RUA (Report URI Aggregate) est un fichier XML envoyé quotidiennement par les fournisseurs de messagerie (Google, Microsoft, Yahoo, etc.) à l’adresse définie dans votre record DMARC.

TLS et email : pourquoi le chiffrement SMTP est indispensable

Sat, 28 Mar 2026 00:00:00 +0000

Vous avez peut-être déjà vu un cadenas rouge dans Gmail avec le message “Le fournisseur n’a pas chiffré ce message”. Cela signifie que l’email a transité en clair entre les serveurs, sans chiffrement TLS. En 2026, c’est un signal d’alerte sérieux.

Pourquoi chiffrer les emails en transit

Sans TLS, le contenu d’un email circule en texte clair entre le serveur d’envoi et le serveur de réception. Quiconque intercepte le trafic réseau (attaque man-in-the-middle, FAI compromis, Wi-Fi public) peut :

Anatomie d'une signature DKIM : chaque champ décrypté

Fri, 20 Mar 2026 00:00:00 +0000

Vous savez que DKIM signe vos emails. Mais que contient exactement cet en-tête DKIM-Signature ? Décortiquons chaque champ et suivons le processus de vérification de bout en bout.

Un en-tête DKIM réel, disséqué

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=example.com; s=selector2024;
 h=from:to:subject:date:mime-version:content-type;
 bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
 t=1714123456;
 b=dHJ5aW5nIHRvIHJlYWQgdGhpcyBzaWduYXR1cmU/IE5pY2Ug
 dHJ5IDspIFRoaXMgaXMganVzdCBhIGR1bW15IGV4YW1wbGU=

Chaque champ expliqué

`v=1` : version

La version du protocole DKIM. Il n’existe qu’une seule version (1), définie par la RFC 6376. Ce champ est obligatoire.

`a=rsa-sha256` : algorithme

Deux éléments combinés :

Taille de clé DKIM RSA : 1024 vs 2048 bits et l'avenir avec Ed25519

Thu, 12 Mar 2026 00:00:00 +0000

Votre configuration DKIM fonctionne, les signatures passent. Mais avez-vous vérifié la taille de votre clé RSA ? Une clé trop courte est une bombe à retardement : elle pourrait être cassée, permettant à un attaquant de signer des emails en votre nom.

L’histoire des clés DKIM : de 512 à 2048 bits

2012 : la fin des clés 512 bits

En 2012, des chercheurs ont démontré qu’une clé RSA 512 bits pouvait être cassée en moins de 72 heures avec de la puissance cloud bon marché. Résultat : n’importe qui pouvait usurper un domaine utilisant une clé 512 bits et envoyer des emails parfaitement signés DKIM.

Pourquoi voit-on deux signatures DKIM sur un même email ?

Wed, 04 Mar 2026 00:00:00 +0000

Vous analysez les en-têtes d’un email envoyé via votre ESP (Brevo, Mailchimp, SendGrid…) et vous remarquez deux signatures DKIM distinctes : une avec votre domaine, une avec celui de l’ESP. Est-ce normal ? Absolument, et c’est même souhaitable.

Ce que ça donne dans les headers

Voici un exemple typique d’Authentication-Results :

Authentication-Results: mx.google.com;
 dkim=pass header.i=@votredomaine.com header.s=mail header.b=xjAWgYt1;
 dkim=pass header.i=@esp-domaine.com header.s=mail header.b=zNRqfud1;
 spf=pass ...
 dmarc=pass (p=REJECT) header.from=votredomaine.com

Et deux blocs DKIM-Signature: dans le message : un avec d=votredomaine.com, l’autre avec d=esp-domaine.com.

BIMI : afficher votre logo dans les boîtes de réception

Tue, 24 Feb 2026 00:00:00 +0000

Vous avez remarqué que certains expéditeurs affichent leur logo à côté de leurs emails dans Gmail ou Apple Mail ? C’est BIMI (Brand Indicators for Message Identification). Au-delà du branding, BIMI est un signal de confiance puissant, et il repose sur une authentification email irréprochable.

Qu’est-ce que BIMI ?

BIMI est un standard email qui permet d’afficher le logo de votre marque directement dans le client de messagerie du destinataire. Mais ce n’est pas qu’une question d’esthétique :

Comment configurer DMARC pour protéger votre domaine

Mon, 16 Feb 2026 00:00:00 +0000

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d’authentification email qui protège votre domaine contre le spoofing et le phishing. Dans ce guide, nous allons voir comment le configurer correctement.

Pourquoi DMARC est indispensable

Sans DMARC, n’importe qui peut envoyer des emails en se faisant passer pour votre domaine. Les conséquences sont multiples :

Phishing : des acteurs malveillants peuvent usurper votre identité
Réputation dégradée : les FAI peuvent pénaliser votre domaine
Perte de confiance : vos destinataires ne savent plus quels emails sont légitimes

Selon le FBI, les escroqueries par compromission d’emails professionnels (BEC), dont beaucoup exploitent l’absence de DMARC, ont causé plus de 2,7 milliards de dollars de pertes en 2022.

Blacklists email : comprendre, vérifier et se faire retirer

Sun, 08 Feb 2026 00:00:00 +0000

Votre taux de délivrance chute brutalement. Vos emails partent en spam, ou pire, sont rejetés avec un message du type 550 5.7.1 Service unavailable; client host blocked. Il y a de bonnes chances que votre IP ou votre domaine soit sur une blacklist.

Qu’est-ce qu’une blacklist email ?

Une blacklist (ou RBL, Realtime Blackhole List, ou DNSBL, DNS-based Blackhole List) est une base de données qui répertorie les adresses IP et domaines identifiés comme sources de spam ou de comportements abusifs.

Délivrabilité email : le guide ultime pour atteindre la boîte de réception

Sat, 31 Jan 2026 00:00:00 +0000

Vous envoyez des emails, mais arrivent-ils vraiment en boîte de réception ? La délivrabilité est le taux d’emails qui atteignent effectivement l’inbox de vos destinataires, par opposition au dossier spam ou au rejet pur et simple. C’est un sujet critique pour toute entreprise qui communique par email.

Pourquoi vos emails n’arrivent pas

Les FAI (Gmail, Outlook, Yahoo, etc.) utilisent des centaines de signaux pour décider du sort de chaque email. Voici les principaux :

DKIM : signer vos emails pour prouver leur authenticité

Fri, 23 Jan 2026 00:00:00 +0000

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur de réception peut vérifier que le message n’a pas été modifié en transit et qu’il provient bien d’un expéditeur autorisé. C’est le deuxième pilier de l’authentification email, après SPF.

Comment DKIM fonctionne, en simple

Imaginez que vous envoyez une lettre recommandée avec un sceau de cire. Le destinataire peut vérifier que le sceau n’a pas été brisé (le message est intact) et que le sceau correspond bien à votre blason (vous êtes l’expéditeur légitime).

SPF : le guide complet pour autoriser vos serveurs d'envoi

Thu, 15 Jan 2026 00:00:00 +0000

SPF (Sender Policy Framework) est le premier rempart de l’authentification email. Il permet de déclarer dans votre DNS quels serveurs sont autorisés à envoyer des emails pour votre domaine. Simple en apparence, il cache des subtilités qui piègent même les admins expérimentés.

À quoi sert SPF, concrètement ?

Quand un serveur de réception reçoit un email de contact@votredomaine.com, il se pose une question : “Ce serveur a-t-il le droit d’envoyer pour ce domaine ?”