Recommandations

1. 1Changez votre politique DMARC de p=none à p=reject pour bloquer le spoofing▾

   Avec p=none, votre enregistrement DMARC ne fait que surveiller — il ne bloque pas les emails usurpés. Les attaquants peuvent toujours envoyer des emails depuis votre domaine et ils seront livrés normalement. Passer à p=reject ordonne aux serveurs de rejeter les messages frauduleux avant qu'ils n'atteignent la boîte de réception.

2. 2Ajoutez un enregistrement SPF : votredomaine TXT "v=spf1 include:votrefournisseur -all"▾

   SPF indique aux serveurs de réception quelles adresses IP sont autorisées à envoyer des emails pour votre domaine. Sans lui, n'importe quel serveur dans le monde peut envoyer des emails semblant venir de vous. Ajouter SPF avec -all (hardfail) signifie que les expéditeurs non autorisés seront rejetés.

3. 3Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.