Recommandations

1. 1Ajoutez un enregistrement DMARC : _dmarc.votredomaine TXT "v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@votredomaine"▾

   Sans DMARC, les serveurs de réception ne savent pas quoi faire quand les vérifications SPF ou DKIM échouent. N'importe qui peut envoyer des emails en se faisant passer pour votre domaine, et la plupart des serveurs les délivreront. DMARC avec p=reject ordonne aux serveurs de bloquer complètement les emails non autorisés.

2. 2Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.