Recommandations

1. 1Ajoutez rua=mailto:dmarc@votredomaine à votre DMARC pour recevoir les rapports▾

   Sans reporting DMARC (rua=), vous n'avez aucune visibilité sur qui envoie des emails au nom de votre domaine. Les rapports agrégés vous permettent de détecter les tentatives de spoofing, d'identifier les expéditeurs légitimes mal configurés, et de durcir votre politique en toute confiance.

2. 2Activez DKIM dans votre fournisseur mail et ajoutez la clé publique dans votre zone DNS▾

   DKIM ajoute une signature cryptographique à vos emails, prouvant qu'ils n'ont pas été altérés en transit et qu'ils proviennent bien de votre domaine. Sans lui, les attaquants peuvent forger des emails qui passent les vérifications de base, et vos emails légitimes ont plus de chances d'atterrir dans le spam.

3. 3Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.