https://senderaudit.com/blog/tags/dmarc/Recent content in DMARC on Sender Audit BlogHugofrTue, 28 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/shadow-it-email/Tue, 28 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/shadow-it-email/<p>Vous avez configuré <a href="https://senderaudit.com/blog/configurer-spf/">SPF</a>, <a href="https://senderaudit.com/blog/configurer-dkim/">DKIM</a> et <a href="https://senderaudit.com/blog/configurer-dmarc/">DMARC</a>. Votre infrastructure email est sous contrôle. Puis un jour, en analysant vos <a href="https://senderaudit.com/blog/comprendre-rapports-dmarc/">rapports DMARC</a>, vous découvrez des dizaines d&rsquo;IP inconnues qui envoient des emails au nom de votre domaine. Pas du phishing - des outils internes que personne en IT n&rsquo;a validés.</p> <p>Bienvenue dans le monde du <strong>shadow IT email</strong>.</p> <h2 id="quest-ce-que-le-shadow-it-email">Qu&rsquo;est-ce que le shadow IT email</h2> <p>Le shadow IT désigne l&rsquo;utilisation de services technologiques sans l&rsquo;approbation explicite de l&rsquo;équipe informatique. Appliqué à l&rsquo;email, c&rsquo;est un phénomène courant : des équipes métier configurent des outils SaaS pour envoyer des emails depuis votre domaine, sans passer par l&rsquo;IT.</p>https://senderaudit.com/blog/email-et-dns/Fri, 24 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/email-et-dns/<p>Le DNS est le socle invisible de l&rsquo;email. Sans les bons enregistrements, vos emails ne seront pas délivrés, pas authentifiés, ou pas chiffrés. Voici <strong>tous les records DNS</strong> qu&rsquo;un domaine d&rsquo;envoi doit connaître et configurer.</p> <h2 id="vue-densemble">Vue d&rsquo;ensemble</h2> <table> <thead> <tr> <th>Record</th> <th>Type</th> <th>Rôle</th> </tr> </thead> <tbody> <tr> <td><strong>MX</strong></td> <td>MX</td> <td>Où livrer les emails pour votre domaine</td> </tr> <tr> <td><strong>SPF</strong></td> <td>TXT</td> <td>Qui peut envoyer pour votre domaine</td> </tr> <tr> <td><strong>DKIM</strong></td> <td>TXT/CNAME</td> <td>Clé publique pour vérifier les signatures</td> </tr> <tr> <td><strong>DMARC</strong></td> <td>TXT</td> <td>Politique d&rsquo;alignement SPF + DKIM</td> </tr> <tr> <td><strong>MTA-STS</strong></td> <td>TXT + HTTPS</td> <td>Forcer le chiffrement TLS</td> </tr> <tr> <td><strong>TLS-RPT</strong></td> <td>TXT</td> <td>Rapports sur les échecs TLS</td> </tr> <tr> <td><strong>BIMI</strong></td> <td>TXT</td> <td>Logo vérifié dans la boîte de réception</td> </tr> <tr> <td><strong>PTR</strong></td> <td>PTR</td> <td>Reverse DNS de vos IP d&rsquo;envoi</td> </tr> </tbody> </table> <h2 id="mx--où-livrer-les-emails">MX : où livrer les emails</h2> <p>Le record MX (Mail Exchange) indique quels serveurs reçoivent les emails pour votre domaine.</p>https://senderaudit.com/blog/en-tetes-email-decryptes/Fri, 17 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/en-tetes-email-decryptes/<p>Les en-têtes d&rsquo;un email contiennent toute l&rsquo;histoire de son parcours : qui l&rsquo;a envoyé, par quels serveurs il est passé, si l&rsquo;authentification a réussi, et pourquoi il a atterri en spam. Savoir les lire, c&rsquo;est savoir diagnostiquer.</p> <h2 id="comment-accéder-aux-en-têtes">Comment accéder aux en-têtes</h2> <ul> <li><strong>Gmail</strong> : ouvrez l&rsquo;email → ⋮ → &ldquo;Afficher l&rsquo;original&rdquo;</li> <li><strong>Outlook</strong> : ouvrez l&rsquo;email → Fichier → Propriétés → &ldquo;En-têtes Internet&rdquo;</li> <li><strong>Apple Mail</strong> : Présentation → Message → Tous les en-têtes</li> <li><strong>Thunderbird</strong> : Affichage → Code source du message</li> </ul> <p>Ou collez-les directement dans le <a href="https://senderaudit.com/header-analyzer">Header Analyzer</a> de Sender Audit pour une analyse visuelle.</p>https://senderaudit.com/blog/dmarc-none-vers-reject/Fri, 10 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/dmarc-none-vers-reject/<p>Vous avez publié votre record <a href="https://senderaudit.com/blog/configurer-dmarc/">DMARC</a> avec <code>p=none</code>. C&rsquo;est un bon début, mais <code>p=none</code> ne bloque rien : les emails frauduleux passent quand même. L&rsquo;objectif final est <code>p=reject</code>, et ce guide vous accompagne dans cette migration sans casser vos flux légitimes.</p> <h2 id="pourquoi-pnone-ne-suffit-pas">Pourquoi p=none ne suffit pas</h2> <p>Avec <code>p=none</code>, vous demandez aux fournisseurs de messagerie de <strong>ne rien faire</strong> quand un email échoue DMARC. Vous recevez les rapports RUA, mais :</p> <ul> <li>Les emails usurpant votre domaine arrivent en inbox</li> <li>Votre domaine peut être utilisé pour du phishing</li> <li>Google et Yahoo exigent désormais un DMARC publié, mais les bénéfices réels commencent à <code>p=quarantine</code> ou <code>p=reject</code></li> </ul> <h2 id="la-timeline-recommandée">La timeline recommandée</h2> <table> <thead> <tr> <th>Semaine</th> <th>Politique</th> <th>Objectif</th> </tr> </thead> <tbody> <tr> <td>S1-S2</td> <td><code>p=none; rua=mailto:...</code></td> <td>Collecter les rapports, inventorier les sources</td> </tr> <tr> <td>S3-S4</td> <td>Analyse des rapports</td> <td>Identifier chaque source IP, corriger SPF/DKIM</td> </tr> <tr> <td>S5-S6</td> <td><code>p=quarantine; pct=10</code></td> <td>Tester sur 10% du trafic</td> </tr> <tr> <td>S7-S8</td> <td><code>p=quarantine; pct=50</code></td> <td>Monter progressivement</td> </tr> <tr> <td>S9-S10</td> <td><code>p=quarantine; pct=100</code></td> <td>Observer pendant 2 semaines</td> </tr> <tr> <td>S11-S12</td> <td><code>p=reject; pct=10</code></td> <td>Début du rejet progressif</td> </tr> <tr> <td>S13-S14</td> <td><code>p=reject; pct=50</code></td> <td>Montée en charge</td> </tr> <tr> <td>S15+</td> <td><code>p=reject; pct=100; sp=reject</code></td> <td>Protection complète</td> </tr> </tbody> </table> <p>Cette timeline est indicative. L&rsquo;essentiel est de <strong>ne jamais sauter d&rsquo;étape</strong> sans avoir vérifié que les rapports sont propres.</p>https://senderaudit.com/blog/comprendre-rapports-dmarc/Fri, 03 Apr 2026 00:00:00 +0000https://senderaudit.com/blog/comprendre-rapports-dmarc/<p>Vous avez configuré <a href="https://senderaudit.com/blog/configurer-dmarc/">DMARC</a> avec un tag <code>rua=</code> et les rapports commencent à arriver. Mais que faire de ces fichiers XML souvent incompréhensibles ? Ce guide vous apprend à les lire, les interpréter, et à en tirer des actions concrètes.</p> <h2 id="quest-ce-quun-rapport-dmarc-rua">Qu&rsquo;est-ce qu&rsquo;un rapport DMARC RUA</h2> <p>Un rapport RUA (Report URI Aggregate) est un fichier XML envoyé quotidiennement par les fournisseurs de messagerie (Google, Microsoft, Yahoo, etc.) à l&rsquo;adresse définie dans votre record DMARC.</p>https://senderaudit.com/blog/configurer-dmarc/Mon, 16 Feb 2026 00:00:00 +0000https://senderaudit.com/blog/configurer-dmarc/<p>DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d&rsquo;authentification email qui protège votre domaine contre le spoofing et le phishing. Dans ce guide, nous allons voir comment le configurer correctement.</p> <h2 id="pourquoi-dmarc-est-indispensable">Pourquoi DMARC est indispensable</h2> <p>Sans DMARC, n&rsquo;importe qui peut envoyer des emails en se faisant passer pour votre domaine. Les conséquences sont multiples :</p> <ul> <li><strong>Phishing</strong> : des acteurs malveillants peuvent usurper votre identité</li> <li><strong>Réputation dégradée</strong> : les FAI peuvent pénaliser votre domaine</li> <li><strong>Perte de confiance</strong> : vos destinataires ne savent plus quels emails sont légitimes</li> </ul> <blockquote> <p>Selon le FBI, les escroqueries par compromission d&rsquo;emails professionnels (BEC), dont beaucoup exploitent l&rsquo;absence de DMARC, ont causé plus de 2,7 milliards de dollars de pertes en 2022.</p>