Sécurité des e-mails au-delà des filtres anti-spam : DMARC, BIMI et l’avenir de l’authentification des e-mails

1 min de lecture

Google et Yahoo ont rendu obligatoire l’authentification DMARC depuis février 2024 – pour tous les expéditeurs envoyant plus de 5 000 e-mails par jour. Ceux qui n’implémentent pas DMARC se retrouvent dans les spams. Mais DMARC n’est que le début : SPF, DKIM et BIMI forment ensemble l’avenir de l’authentification des e-mails.

L’essentiel

• Google/Yahoo depuis février 2024 : DMARC obligatoire pour les expéditeurs en masse
• DMARC sur Enforce : seulement 33 % des entreprises allemandes (association eco)
• BIMI : logo de marque dans la boîte de réception – un ancre de confiance visible pour les destinataires
• L’e-mail reste le vecteur d’attaque numéro 1 : 91 % des cyberattaques commencent par e-mail

SPF, DKIM, DMARC : la triade d’authentification

SPF (Sender Policy Framework) : Définit par une entrée DNS quels serveurs peuvent envoyer des e-mails pour un domaine. Protège contre le spoofing direct de domaine.

DKIM (DomainKeys Identified Mail) : Signature cryptographique de chaque e-mail. Le destinataire peut vérifier que l’e-mail n’a pas été manipulé et provient bien du domaine indiqué.

DMARC (Domain-based Message Authentication) : S’appuie sur SPF et DKIM et définit ce qui doit être fait avec les e-mails qui ne passent pas les vérifications : rien (none), quarantaine (quarantine) ou rejet (reject). De plus : rapport sur tous les résultats d’authentification.

Pourquoi DMARC doit être sur « reject »

La plupart des entreprises implémentent DMARC en mode surveillance (p=none) – et s’arrêtent là. C’est comme une alarme qui ne fait que consigner les tentatives, sans jamais se déclencher. Ce n’est qu’avec p=reject que les e-mails falsifiés sont réellement bloqués.

Le passage de none à reject nécessite du travail : toutes les sources d’e-mails légitimes (outils de marketing, CRM, helpdesk, fournisseurs tiers) doivent être authentifiées par SPF et DKIM. Les rapports DMARC (XML) montrent quelles sources ne sont pas encore alignées. Des outils comme dmarcian, Valimail ou PowerDMARC automatisent l’analyse.

BIMI : le logo de marque comme ancre de confiance

BIMI (Brand Indicators for Message Identification) affiche le logo de marque vérifié de l’expéditeur directement dans la boîte de réception – dans Gmail, Apple Mail et Yahoo Mail. Prérequis : DMARC sur Enforce (quarantine ou reject) plus un certificat VMC (Verified Mark Certificate).

L’effet est double : les destinataires reconnaissent d’un coup d’œil si un e-mail provient bien de l’expéditeur prétendu. Et la marque gagne en visibilité – chaque e-mail devient un point de contact de marque. Pour les entreprises avec un volume élevé d’e-mails (ventes, marketing, support), BIMI est un avantage stratégique.

Plan d’implémentation

Phase 1 (semaine 1-2) : vérifier et corriger l’enregistrement SPF, activer DKIM pour tous les serveurs d’e-mails, configurer DMARC avec p=none et démarrer le reporting. Phase 2 (mois 1-3) : analyser les rapports DMARC, aligner toutes les sources légitimes, passer progressivement de none à quarantine puis à reject. Phase 3 (optionnelle) : enregistrer le logo BIMI, demander un certificat VMC, définir l’enregistrement DNS BIMI.

L’erreur la plus fréquente : passer trop rapidement à reject avant que toutes les sources légitimes soient alignées. Cela bloque les propres e-mails. Les rapports DMARC sont la clé – ils montrent exactement quelles sources nécessitent encore du travail.

Faits clés

Adoption DMARC DE : Seulement 33 % sur Enforce – 67 % sans protection contre le spoofing de domaine

L’e-mail comme vecteur : 91 % des cyberattaques commencent par e-mail (Proofpoint)

Obligation Google : Depuis février 2024 : DMARC requis pour les expéditeurs avec 5 000+ e-mails/jour

Questions fréquentes

Combien coûte l’implémentation de DMARC ?

Les entrées DNS sont gratuites. Les outils d’analyse DMARC coûtent 100-500 EUR/mois. Pour une entreprise avec 3-5 sources d’e-mails, l’implémentation complète est réalisable en 4-8 semaines. BIMI avec certificat VMC coûte environ 1 500 EUR/an supplémentaire.

DMARC protège-t-il contre le phishing ?

DMARC protège contre le spoofing de domaine – donc les e-mails qui prétendent provenir de votre domaine. Contre le phishing provenant de domaines étrangers (imitations, adresses freemail), DMARC ne protège pas directement. Pour cela, il faut des passerelles de sécurité des e-mails dotées d’une détection fondée sur l’intelligence artificielle.

Ai-je besoin d’un prestataire spécialisé ?

Pour des configurations simples (un domaine, peu de sources d’e-mails), un niveau de compréhension technique de base et un outil d’analyse DMARC suffisent. Pour des environnements complexes (plusieurs domaines, dizaines de fournisseurs tiers, scénarios de fusions-acquisitions), un partenaire spécialisé comme dmarcian, Valimail ou Red Sift est recommandé.

Articles connexes

• Tendances de la cybersécurité 2026 : les 7 évolutions que les décideurs en sécurité doivent connaître
• Cybersec Europe 2026 : la conférence de sécurité de Bruxelles au cœur de la réglementation de l’UE
• Reconnaître les e-mails de phishing générés par l’IA : 7 signaux d’alerte pour 2026

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Markus Winkler

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow