L'audit de sécurité était routinier jusqu'à ce qu'ils vérifient l'infrastructure email. Un enregistrement SPF avec une erreur de syntaxe qui échouait silencieusement depuis des mois. Une clé DKIM qui n'avait jamais été renouvelée depuis la mise en place initiale il y a trois ans. Une politique DMARC toujours réglée sur p=none, offrant de la supervision mais aucune protection. Le domaine était usurpable pendant tout ce temps.
La sécurité email n'a rien de glamour, mais elle est critique. Un domaine email mal configuré est une invitation ouverte aux attaques de phishing qui se font passer pour votre marque. Les vérifications techniques sont simples — SPF, DKIM, DMARC, configuration TLS — mais il est facile de se tromper et encore plus facile de les oublier.
Les outils d'analyse de sécurité automatisent ces vérifications, détectant les mauvaises configurations avant qu'elles ne deviennent des incidents.
Scanners d'authentification
MXToolbox est le couteau suisse du diagnostic email. Leur SuperTool exécute des vérifications complètes sur votre domaine : validation de l'enregistrement SPF, vérification de la clé DKIM, analyse de la politique DMARC, configuration des enregistrements MX et statut de blacklist. Entrez votre domaine, obtenez un rapport sur ce qui est correctement configuré et ce qui nécessite une attention.
L'offre gratuite couvre les vérifications de base ; les offres payantes ajoutent de la supervision et des alertes. Pour des audits de sécurité périodiques, les vérifications gratuites suffisent. Pour une surveillance continue, les alertes payantes détectent les problèmes à mesure qu'ils se développent.
DMARC Analyzer se concentre spécifiquement sur l'authentification email. Au-delà de la vérification de votre configuration actuelle, ils analysent les rapports DMARC pour montrer qui envoie des emails en votre nom — à la fois des services légitimes et de potentiels usurpateurs. La visualisation facilite l'identification des expéditeurs non autorisés.
Leurs outils vous aident à passer en toute sécurité de p=none (monitoring) à p=reject (enforcement), en identifiant les expéditeurs légitimes à autoriser avant de durcir la politique.
Dmarcian propose une analyse similaire centrée sur DMARC avec une excellente documentation. Leur vérificateur de domaine fournit un retour instantané sur votre configuration d'authentification, et leur plateforme transforme les rapports DMARC en informations exploitables. Le contenu pédagogique vous aide à comprendre non seulement ce qui ne va pas, mais aussi pourquoi cela compte.
Mail Tester vérifie vos emails réels, pas seulement la configuration de votre domaine. Envoyez un email à leur adresse de test, et ils l'analyseront pour l'authentification, les déclencheurs de spam et les facteurs de délivrabilité. Le score de 1 à 10 offre un contrôle de santé rapide, avec des retours détaillés sur les problèmes spécifiques.
C'est particulièrement utile pour tester que les emails de votre application sont correctement authentifiés — la configuration peut être correcte, mais si votre application ne signe pas correctement les emails, l'authentification échouera quand même.
Scanners TLS et de chiffrement
CheckTLS teste la configuration TLS de votre serveur de messagerie. Il tente des connexions avec diverses versions de TLS et suites de chiffrement, en rapportant ce que votre serveur supporte et ce qu'il devrait supporter. Les chiffrement faibles, protocoles obsolètes et problèmes de certificats apparaissent tous dans le rapport.
La configuration TLS évolue à mesure que des vulnérabilités sont découvertes. Ce qui était sûr il y a trois ans peut être vulnérable aujourd'hui. Des analyses régulières détectent la dérive de configuration avant qu'elle ne devienne exploitable.
SSL Labs, bien que conçu pour les serveurs web, peut tester les certificats des serveurs de messagerie. Leur analyse détaillée montre les problèmes de chaîne de certificats, le support des protocoles et la robustesse des suites de chiffrement. Le système de notation (de A à F) fournit une évaluation rapide de votre posture de sécurité TLS.
Hardenize propose une analyse de sécurité complète incluant des vérifications spécifiques à l'email. Leur scan gratuit couvre la configuration TLS, les enregistrements d'authentification et les en-têtes de sécurité. Le tableau de bord montre votre posture de sécurité dans le temps, en suivant améliorations et régressions.
Scanners de vulnérabilités
Pour une évaluation de sécurité plus approfondie, des scanners de vulnérabilités généralistes peuvent cibler l'infrastructure email.
Nmap, avec les scripts appropriés, peut sonder les serveurs de messagerie à la recherche de vulnérabilités connues, d'open relay et de mauvaises configurations. Les scripts smtp-commands et smtp-enum-users ciblent spécifiquement les serveurs email. C'est plus technique que les outils web, mais cela offre une vision plus approfondie.
OpenVAS (désormais Greenbone) inclut des vérifications des vulnérabilités des serveurs de messagerie dans son scan complet. Si vous exploitez une infrastructure email auto-hébergée, l'analyse de vulnérabilités régulière est essentielle. OpenVAS est open source et exhaustif, bien que la courbe d'apprentissage soit significative.
Que faut-il analyser
La configuration d'authentification est la base. SPF doit lister toutes les sources d'envoi légitimes et se terminer par -all (échec strict). Les clés DKIM doivent être présentes et correctement configurées pour tous les domaines d'envoi. DMARC doit être publié avec une politique adaptée à votre tolérance au risque — idéalement p=reject une fois que vous avez vérifié tous les expéditeurs légitimes.
La configuration TLS doit supporter des protocoles modernes (TLS 1.2 minimum, TLS 1.3 préféré) et des suites de chiffrement solides. Les certificats doivent être valides, correctement chaînés et ne pas expirer bientôt. Les enregistrements DANE, s'ils sont mis en place, doivent correspondre à vos certificats.
Les enregistrements MX doivent pointer vers des serveurs que vous contrôlez ou en lesquels vous avez confiance. Des enregistrements MX orphelins pointant vers des serveurs décommissionnés présentent un risque de prise de contrôle — des attaquants peuvent réclamer l'IP de l'ancien serveur et recevoir vos emails.
Le statut de blacklist indique des problèmes de réputation. Être listé sur des blacklists majeures (Spamhaus, Barracuda, etc.) affecte la délivrabilité et peut indiquer une compromission. Des vérifications régulières détectent rapidement les listings.
Le test d'open relay vérifie que votre serveur n'accepte pas et ne retransmet pas des emails d'expéditeurs non autorisés. Les open relay sont rapidement exploités pour du spam, détruisant votre réputation et pouvant vous faire blacklister.
Établir une routine d'analyse
Les analyses ponctuelles détectent les problèmes actuels ; les analyses régulières détectent la dérive et les nouveaux enjeux.
Hebdomadaire : Vérifiez le statut de blacklist. Les listings peuvent survenir rapidement après une compromission ou une plainte de spam. Une détection précoce limite les dégâts.
Mensuel : Exécutez des vérifications d'authentification (MXToolbox, DMARC Analyzer). Vérifiez que SPF, DKIM et DMARC sont toujours correctement configurés. Assurez-vous qu'aucun nouveau service d'envoi n'a été ajouté sans mise à jour des enregistrements d'authentification.
Trimestriel : Réalisez un scan de sécurité complet incluant la configuration TLS, l'expiration des certificats et une évaluation des vulnérabilités. Passez en revue les rapports DMARC pour détecter des tentatives d'envoi non autorisées.
Après des modifications : Chaque fois que vous modifiez l'infrastructure email — nouveau service d'envoi, migration de serveur, changements DNS — exécutez un scan complet pour vérifier que rien n'a cassé.
Automatisez ce que vous pouvez. De nombreux services d'analyse proposent des API ou des scans planifiés avec alertes. La supervision automatisée détecte les problèmes plus rapidement que des vérifications manuelles périodiques.
Frequently asked questions
À quelle fréquence dois-je faire la rotation des clés DKIM ?
Les meilleures pratiques du secteur suggèrent de faire la rotation des clés DKIM tous les 6 à 12 mois. Des clés plus longues (2048-bit) peuvent être rotatées moins fréquemment que des clés plus courtes. Le processus de rotation nécessite de publier la nouvelle clé, de mettre à jour votre configuration de signature et de conserver l’ancienne clé publiée jusqu’à la livraison des emails en transit.
Quelle politique DMARC dois-je utiliser ?
Commencez avec p=none pour collecter des rapports sans affecter la délivrabilité. Une fois que vous avez identifié tous les expéditeurs légitimes et configuré leur authentification, passez à p=quarantine. Après avoir confirmé qu’aucun email légitime n’est mis en quarantaine, passez à p=reject pour une protection complète. Cette approche progressive évite de bloquer des emails légitimes.
Mon serveur email est-il un open relay ?
Testez-le : essayez d’envoyer un email via votre serveur depuis une source non autorisée vers une adresse externe. MXToolbox et des outils similaires incluent des tests d’open relay. Si votre serveur accepte et retransmet l’email, c’est un open relay et cela nécessite une remédiation immédiate.
Que faire si je suis sur une blacklist ?
Commencez par identifier et corriger la cause — compte compromis, plaintes de spam ou mauvaise configuration. Ensuite, demandez la suppression de la blacklist (chacune a son propre processus). Surveillez pour vous assurer de ne pas être relisté. Certaines blacklists retirent automatiquement les listings une fois le problème résolu ; d’autres exigent des demandes manuelles.