Recommandations

1. 1Passez votre politique DMARC de p=quarantine à p=reject pour un blocage total▾

   Avec p=quarantine, les emails usurpés sont envoyés dans le spam au lieu d'être bloqués. Certains destinataires consultent leur dossier spam, et des attaques sophistiquées peuvent être considérées comme légitimes. p=reject garantit que les emails frauduleux n'atteignent aucun dossier.

2. 2Durcissez votre SPF en remplaçant ~all par -all (hardfail)▾

   Avec ~all (softfail), les expéditeurs non autorisés sont signalés mais les emails sont généralement quand même délivrés. Passer à -all (hardfail) ordonne explicitement aux serveurs de rejeter les emails provenant de sources non autorisées, offrant une protection bien plus forte contre le spoofing.

3. 3Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.