Analyse de securite email de aka.cat

Recommandations

1. 1Passez votre politique DMARC de p=quarantine à p=reject pour un blocage total▾

   Avec p=quarantine, les emails usurpés sont envoyés dans le spam au lieu d'être bloqués. Certains destinataires consultent leur dossier spam, et des attaques sophistiquées peuvent être considérées comme légitimes. p=reject garantit que les emails frauduleux n'atteignent aucun dossier.

2. 2Ajoutez rua=mailto:dmarc@votredomaine à votre DMARC pour recevoir les rapports▾

   Sans reporting DMARC (rua=), vous n'avez aucune visibilité sur qui envoie des emails au nom de votre domaine. Les rapports agrégés vous permettent de détecter les tentatives de spoofing, d'identifier les expéditeurs légitimes mal configurés, et de durcir votre politique en toute confiance.

3. 3Durcissez votre SPF en remplaçant ~all par -all (hardfail)▾

   Avec ~all (softfail), les expéditeurs non autorisés sont signalés mais les emails sont généralement quand même délivrés. Passer à -all (hardfail) ordonne explicitement aux serveurs de rejeter les emails provenant de sources non autorisées, offrant une protection bien plus forte contre le spoofing.

4. 4Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.