Recommandations

1. 1Passez votre politique DMARC de p=quarantine à p=reject pour un blocage total▾

   Avec p=quarantine, les emails usurpés sont envoyés dans le spam au lieu d'être bloqués. Certains destinataires consultent leur dossier spam, et des attaques sophistiquées peuvent être considérées comme légitimes. p=reject garantit que les emails frauduleux n'atteignent aucun dossier.

2. 2Ajoutez un enregistrement SPF : votredomaine TXT "v=spf1 include:votrefournisseur -all"▾

   SPF indique aux serveurs de réception quelles adresses IP sont autorisées à envoyer des emails pour votre domaine. Sans lui, n'importe quel serveur dans le monde peut envoyer des emails semblant venir de vous. Ajouter SPF avec -all (hardfail) signifie que les expéditeurs non autorisés seront rejetés.

3. 3Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.