Sécurité on Sender Audit Blog

Shadow IT et email : les outils qui envoient sans que vous le sachiez

Tue, 28 Apr 2026 00:00:00 +0000

Vous avez configuré SPF, DKIM et DMARC. Votre infrastructure email est sous contrôle. Puis un jour, en analysant vos rapports DMARC, vous découvrez des dizaines d’IP inconnues qui envoient des emails au nom de votre domaine. Pas du phishing - des outils internes que personne en IT n’a validés.

Bienvenue dans le monde du shadow IT email.

Qu’est-ce que le shadow IT email

Le shadow IT désigne l’utilisation de services technologiques sans l’approbation explicite de l’équipe informatique. Appliqué à l’email, c’est un phénomène courant : des équipes métier configurent des outils SaaS pour envoyer des emails depuis votre domaine, sans passer par l’IT.

DMARC : migrer de p=none à p=reject en toute sécurité

Fri, 10 Apr 2026 00:00:00 +0000

Vous avez publié votre record DMARC avec p=none. C’est un bon début, mais p=none ne bloque rien : les emails frauduleux passent quand même. L’objectif final est p=reject, et ce guide vous accompagne dans cette migration sans casser vos flux légitimes.

Pourquoi p=none ne suffit pas

Avec p=none, vous demandez aux fournisseurs de messagerie de ne rien faire quand un email échoue DMARC. Vous recevez les rapports RUA, mais :

Les emails usurpant votre domaine arrivent en inbox
Votre domaine peut être utilisé pour du phishing
Google et Yahoo exigent désormais un DMARC publié, mais les bénéfices réels commencent à p=quarantine ou p=reject

La timeline recommandée

Semaine	Politique	Objectif
S1-S2	`p=none; rua=mailto:...`	Collecter les rapports, inventorier les sources
S3-S4	Analyse des rapports	Identifier chaque source IP, corriger SPF/DKIM
S5-S6	`p=quarantine; pct=10`	Tester sur 10% du trafic
S7-S8	`p=quarantine; pct=50`	Monter progressivement
S9-S10	`p=quarantine; pct=100`	Observer pendant 2 semaines
S11-S12	`p=reject; pct=10`	Début du rejet progressif
S13-S14	`p=reject; pct=50`	Montée en charge
S15+	`p=reject; pct=100; sp=reject`	Protection complète

Cette timeline est indicative. L’essentiel est de ne jamais sauter d’étape sans avoir vérifié que les rapports sont propres.

Lire et comprendre les rapports DMARC (RUA)

Fri, 03 Apr 2026 00:00:00 +0000

Vous avez configuré DMARC avec un tag rua= et les rapports commencent à arriver. Mais que faire de ces fichiers XML souvent incompréhensibles ? Ce guide vous apprend à les lire, les interpréter, et à en tirer des actions concrètes.

Qu’est-ce qu’un rapport DMARC RUA

Un rapport RUA (Report URI Aggregate) est un fichier XML envoyé quotidiennement par les fournisseurs de messagerie (Google, Microsoft, Yahoo, etc.) à l’adresse définie dans votre record DMARC.

TLS et email : pourquoi le chiffrement SMTP est indispensable

Sat, 28 Mar 2026 00:00:00 +0000

Vous avez peut-être déjà vu un cadenas rouge dans Gmail avec le message “Le fournisseur n’a pas chiffré ce message”. Cela signifie que l’email a transité en clair entre les serveurs, sans chiffrement TLS. En 2026, c’est un signal d’alerte sérieux.

Pourquoi chiffrer les emails en transit

Sans TLS, le contenu d’un email circule en texte clair entre le serveur d’envoi et le serveur de réception. Quiconque intercepte le trafic réseau (attaque man-in-the-middle, FAI compromis, Wi-Fi public) peut :

Anatomie d'une signature DKIM : chaque champ décrypté

Fri, 20 Mar 2026 00:00:00 +0000

Vous savez que DKIM signe vos emails. Mais que contient exactement cet en-tête DKIM-Signature ? Décortiquons chaque champ et suivons le processus de vérification de bout en bout.

Un en-tête DKIM réel, disséqué

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=example.com; s=selector2024;
 h=from:to:subject:date:mime-version:content-type;
 bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
 t=1714123456;
 b=dHJ5aW5nIHRvIHJlYWQgdGhpcyBzaWduYXR1cmU/IE5pY2Ug
 dHJ5IDspIFRoaXMgaXMganVzdCBhIGR1bW15IGV4YW1wbGU=

Chaque champ expliqué

`v=1` : version

La version du protocole DKIM. Il n’existe qu’une seule version (1), définie par la RFC 6376. Ce champ est obligatoire.

`a=rsa-sha256` : algorithme

Deux éléments combinés :

Taille de clé DKIM RSA : 1024 vs 2048 bits et l'avenir avec Ed25519

Thu, 12 Mar 2026 00:00:00 +0000

Votre configuration DKIM fonctionne, les signatures passent. Mais avez-vous vérifié la taille de votre clé RSA ? Une clé trop courte est une bombe à retardement : elle pourrait être cassée, permettant à un attaquant de signer des emails en votre nom.

L’histoire des clés DKIM : de 512 à 2048 bits

2012 : la fin des clés 512 bits

En 2012, des chercheurs ont démontré qu’une clé RSA 512 bits pouvait être cassée en moins de 72 heures avec de la puissance cloud bon marché. Résultat : n’importe qui pouvait usurper un domaine utilisant une clé 512 bits et envoyer des emails parfaitement signés DKIM.

BIMI : afficher votre logo dans les boîtes de réception

Tue, 24 Feb 2026 00:00:00 +0000

Vous avez remarqué que certains expéditeurs affichent leur logo à côté de leurs emails dans Gmail ou Apple Mail ? C’est BIMI (Brand Indicators for Message Identification). Au-delà du branding, BIMI est un signal de confiance puissant, et il repose sur une authentification email irréprochable.

Qu’est-ce que BIMI ?

BIMI est un standard email qui permet d’afficher le logo de votre marque directement dans le client de messagerie du destinataire. Mais ce n’est pas qu’une question d’esthétique :

Comment configurer DMARC pour protéger votre domaine

Mon, 16 Feb 2026 00:00:00 +0000

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d’authentification email qui protège votre domaine contre le spoofing et le phishing. Dans ce guide, nous allons voir comment le configurer correctement.

Pourquoi DMARC est indispensable

Sans DMARC, n’importe qui peut envoyer des emails en se faisant passer pour votre domaine. Les conséquences sont multiples :

Phishing : des acteurs malveillants peuvent usurper votre identité
Réputation dégradée : les FAI peuvent pénaliser votre domaine
Perte de confiance : vos destinataires ne savent plus quels emails sont légitimes

Selon le FBI, les escroqueries par compromission d’emails professionnels (BEC), dont beaucoup exploitent l’absence de DMARC, ont causé plus de 2,7 milliards de dollars de pertes en 2022.

DKIM : signer vos emails pour prouver leur authenticité

Fri, 23 Jan 2026 00:00:00 +0000

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur de réception peut vérifier que le message n’a pas été modifié en transit et qu’il provient bien d’un expéditeur autorisé. C’est le deuxième pilier de l’authentification email, après SPF.

Comment DKIM fonctionne, en simple

Imaginez que vous envoyez une lettre recommandée avec un sceau de cire. Le destinataire peut vérifier que le sceau n’a pas été brisé (le message est intact) et que le sceau correspond bien à votre blason (vous êtes l’expéditeur légitime).