Sécurité email de mycanal.fr : SPF, DKIM et DMARC

Recommandations

1. 1Ajoutez un enregistrement DMARC : _dmarc.votredomaine TXT "v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc@votredomaine"▾

   Sans DMARC, les serveurs de réception ne savent pas quoi faire quand les vérifications SPF ou DKIM échouent. N'importe qui peut envoyer des emails en se faisant passer pour votre domaine, et la plupart des serveurs les délivreront. DMARC avec p=reject ordonne aux serveurs de bloquer complètement les emails non autorisés.

2. 2Ajoutez un enregistrement SPF : votredomaine TXT "v=spf1 include:votrefournisseur -all"▾

   SPF indique aux serveurs de réception quelles adresses IP sont autorisées à envoyer des emails pour votre domaine. Sans lui, n'importe quel serveur dans le monde peut envoyer des emails semblant venir de vous. Ajouter SPF avec -all (hardfail) signifie que les expéditeurs non autorisés seront rejetés.

3. 3Activez DKIM dans votre fournisseur mail et ajoutez la clé publique dans votre zone DNS▾

   DKIM ajoute une signature cryptographique à vos emails, prouvant qu'ils n'ont pas été altérés en transit et qu'ils proviennent bien de votre domaine. Sans lui, les attaquants peuvent forger des emails qui passent les vérifications de base, et vos emails légitimes ont plus de chances d'atterrir dans le spam.

4. 4Ajoutez MTA-STS pour imposer le chiffrement TLS sur les emails entrants▾

   Sans MTA-STS, un attaquant effectuant une attaque man-in-the-middle peut dégrader la connexion entre serveurs mail en clair, interceptant les emails en transit. MTA-STS ordonne aux serveurs d'envoyer uniquement via TLS avec un certificat valide, empêchant les attaques par downgrade.