Un client vous appelle : il a reçu une « facture » de votre entreprise… que vous n'avez jamais envoyée. Ce n'est probablement pas un piratage de votre boîte — c'est de l'usurpation de domaine, et ça se bloque.
Deux situations très différentes :
Indice rapide : si les faux courriels ne sont pas dans vos éléments envoyés, c'est presque certainement de l'usurpation.
Le protocole du courriel, conçu dans les années 80, ne vérifie pas l'expéditeur par défaut. Trois protections modernes comblent ce trou : SPF (la liste des serveurs autorisés à envoyer pour vous), DKIM (une signature numérique) et surtout DMARC — la consigne donnée aux fournisseurs : « si un courriel prétend venir de moi mais échoue aux vérifications, rejetez-le ». Sans DMARC en mode blocage, les faux courriels passent.
Non, et c'est le malentendu le plus répandu. Un courriel a en réalité deux expéditeurs : l'adresse d'enveloppe (invisible, utilisée par les serveurs — comme l'adresse de retour au dos d'une enveloppe postale) et l'adresse affichée — le « De : » que votre client lit. Le SPF ne vérifie que l'enveloppe. Un fraudeur envoie donc son message avec une enveloppe à son propre domaine (qui passe le SPF sans problème) tout en affichant votre adresse dans le champ De. C'est DMARC qui ferme cette porte, en exigeant que le domaine vérifié corresponde au domaine affiché — et en donnant la consigne de rejeter sinon. Le SPF est nécessaire, mais seul, il n'empêche pas qu'on affiche votre nom.
Prévenez-les sans délai (un court courriel ou un mot sur votre site) : « des courriels frauduleux circulent en notre nom ; nous ne demandons jamais de paiement vers un nouveau compte sans confirmation téléphonique ». C'est aussi une bonne pratique au sens de la Loi 25, qui vous demande de prévenir les incidents de ce genre.
C'est précisément les PME que les fraudeurs visent : les grandes entreprises ont déjà DMARC en « reject », pas les petites. Fabriquer 500 fausses factures à votre nom coûte quelques dollars ; y répondre coûte votre réputation. Fermer la porte prend moins d'une heure — commencez par le test.
Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.
Faire le bilan gratuit