La sécurité des emails reste en retard malgré les obligations DMARC en 2026
La promesse de l’authentification des emails — SPF, DKIM et DMARC — était présentée comme une solution acquise, mais un nouveau scan des domaines les plus visités du web révèle une réalité bien moins rassurante. Un tiers des 10 000 principaux domaines ne publient toujours aucun enregistrement DMARC, malgré les règles d’application imposées par les grands fournisseurs. Même parmi ceux qui adoptent le DMARC, la majorité se contentent de la configuration la plus faible, laissant leurs boîtes de réception exposées.
Le fossé du DMARC : des progrès bloqués à l’état de « surveillance »
La politique par défaut du DMARC, p=none, reste celle de la plupart des domaines qui publient un enregistrement. Sur les 6 619 domaines dotés de DMARC, moins de la moitié appliquent p=reject, la configuration qui bloque réellement les messages usurpés. Un autre quart reste coincé à p=none, collectant des données sans agir. Passer de la surveillance à l’application est l’étape cruciale que la plupart des organisations ne parviennent jamais à franchir, les laissant vulnérables malgré la case cochée « sécurité des emails ».
Les failles cachées du SPF et l’absence quasi totale du MTA-STS
L’adoption du SPF est généralisée, mais pas sans écueils. Un domaine sur quatre en est dépourvu, tandis que 1,7 % publient des entrées dépassant la limite de 10 recherches DNS, les rendant inopérantes. Ces erreurs proviennent souvent d’ajouts progressifs — chaque nouveau fournisseur d’emails ajoutant ses propres includes jusqu’à ce que la politique échoue silencieusement.
Parallèlement, la sécurité de la couche transport est presque inexistante. Moins de 3 % des domaines mettent en œuvre le MTA-STS, la norme qui empêche les attaques par rétrogradation en imposant le TLS pour les emails entrants. Sans lui, le protocole STARTTLS reste un point faible, ouvrant la porte aux interceptions ou manipulations de messages.
Source : DEV Community. Synthèse éditoriale assistée par IA — TechnoExpress.