Identité de l'expéditeur d'un e-mail : qu'est-ce que c'est et pourquoi est-ce important ?

La fiabilité d'un e-mail dépend de l'identité qui se cache derrière lui, et à l'heure actuelle, la vôtre pourrait être plus facile à usurper que vous ne le pensez. L'identité de l'expéditeur d'un e-mail définit qui prétend être l'expéditeur et comment cette identité est vérifiée techniquement. Elle repose sur les en-têtes SMTP, les enregistrements DNS et les protocoles d'authentification tels que SPF, DKIM et DMARC. Sans vérification appropriée, les pirates peuvent usurper des domaines, se faire passer pour des cadres supérieurs et lancer des campagnes de phishing qui nuisent à la réputation de la marque et à la délivrabilité des e-mails. L'application du DMARC (p=reject), l'alignement SPF du DKIM, ainsi qu'une surveillance continue protègent votre domaine contre l'usurpation directe et les attaques de type « Business Email Compromise ».

Qu'est-ce que l'identité de l'expéditeur d'un e-mail ?

L'identité de l'expéditeur d'un e-mail correspond à l'adresse e-mail et au domaine indiqués dans le champ « De », qui vous indiquent qui est censé être l'expéditeur du message. Cependant, en raison de la manière dont le protocole SMTP (Simple Mail Transfer Protocol) a été conçu, il existe un écart considérable entre l'identité déclarée et l'identité vérifiée.

• Identité déclarée: il s'agit de ce que l'expéditeur dit être. Un pirate peut facilement écrire « De : [email protected] » dans les métadonnées d'un e-mail. Sans authentification, le serveur de messagerie du destinataire n'a aucune raison d'en douter.
• Identité vérifiée: il s'agit d'une identité étayée par une « preuve de propriété » technique. Elle utilise des enregistrements DNS et des clés cryptographiques pour prouver que l'expéditeur dispose du droit légal d'utiliser ce nom de domaine spécifique.

L'identité est représentée en trois couches :

• Le nom d'affichage, qui est le nom convivial.
• L'en-tête « De », qui correspond à l'adresse e-mail visible.
• L'enveloppe « De », qui correspond à l'adresse technique d'acheminement.

Où apparaît l'identité de l'expéditeur de l'e-mail

Pour un utilisateur standard, un e-mail ressemble à une simple lettre. Pour un serveur de messagerie, il s'agit d'un ensemble complexe d'en-têtes.

L'adresse « De » (En-tête De)

Défini par RFC 5322, il s'agit de l'adresse qui apparaît dans le champ « De » de votre boîte de réception. C'est le signal d'identité le plus important, car il dicte le comportement de l'utilisateur. Si un utilisateur voit [email protected], il est statistiquement plus susceptible de cliquer sur un lien que s'il voit [email protected].

Nom affiché vs adresse réelle

C'est là que commence la plupart des tentatives d'hameçonnage. Un pirate peut définir le nom d'affichage sur «Microsoft Security» alors que l'adresse réelle est [email protected]. Comme de nombreux appareils mobiles masquent l'adresse réelle pour gagner de la place à l'écran, les utilisateurs ne voient que le nom « convivial », ce qui augmente considérablement les chances de réussite de l'usurpation d'identité.

Identités au niveau de l'en-tête : RFC 5322 vs RFC 5321

• RFC 5322. De: « L'en-tête ». C'est ce que voit l'être humain.
• Return-Path (Envelope-From / RFC 5321): l'« adresse de retour » figurant sur l'enveloppe. C'est à cette adresse que le serveur destinataire envoie les messages « bounce » si l'e-mail ne peut être remis. Ces deux adresses ne doivent pas nécessairement correspondre, sauf si des politiques de sécurité spécifiques sont en place.

Comment l'identité de l'expéditeur d'un e-mail est vérifiée

Comme il est très facile de « revendiquer » une identité, le secteur a mis au point un ensemble complet de protocoles d'authentification pour la vérifier.

1. SPF

SPF un enregistrement DNS qui répertorie toutes les adresses IP et tous les services autorisés à envoyer des e-mails pour votre domaine.

• Fonctionnement: lorsqu'un e-mail arrive, le serveur destinataire vérifie le DNS du domaine Return-Path pour voir si l'adresse IP de l'expéditeur figure sur la « liste des invités ».
• Le défaut: SPF vérifie SPF l'« enveloppe », et non l'« en-tête » (l'adresse d'expédition visible par l'utilisateur). Un pirate peut utiliser son propre domaine pour la SPF , mais indiquer votre domaine dans le champ « De » visible.

2. DKIM

DKIM ajoute une signature numérique à l'en-tête de l'e-mail à l'aide d'un système de cryptographie à clé publique.

• L'avantage: cela garantit que le message n'a pas été modifié pendant son acheminement et prouve que le propriétaire du domaine a autorisé le message. Contrairement SPF, la signature DKIM reste associée à l'e-mail même s'il est transféré par une liste de diffusion.

3. DMARC

DMARC est la couche la plus critique. Elle résout le problème de l'« alignement d'identité ».

• La logique: DMARC pose la question suivante : « Le domaine figurant dans l'adresse « De : » visible correspond-il au domaine vérifié par SPF DKIM ? »
• Application des politiques: cela permet aux propriétaires de domaines d'indiquer aux serveurs destinataires quoi faire si l'identité ne correspond pas :
• Aucune, ce qui signifie ne rien faire.
• Quarantine, ce qui signifie envoyer vers le dossier spam
• Rejeter, qui est la politique la plus stricte et qui consiste à bloquer complètement l'e-mail.

4. ARC (chaîne de réception authentifiée)

Bien que DMARC soit puissant, il présente une « faiblesse » : il échoue souvent lorsqu'un e-mail est transféré (par exemple via une liste de diffusion ou une redirection automatique). Le transfert rompt souvent SPF modifie suffisamment l'e-mail pour invalider la signature DKIM.

• Fonctionnement: ARC agit comme un « relais numérique ». Lorsqu'un intermédiaire de confiance (comme une liste de diffusion) reçoit votre e-mail, il valide les authentifications SPF d'origine, puis ajoute sa propre signature (la chaîne ARC) afin de prouver que le message était légitime lors de sa réception initiale.
• Avantage: cela permet au destinataire final de « remonter » la chaîne de transfert et de faire confiance à l'identité de l'expéditeur d'origine, même si le DMARC échoue techniquement.

Identité de l'expéditeur d'un e-mail vs authentification des e-mails

Il est facile de confondre ces deux termes, mais ils jouent des rôles différents dans votre infrastructure de sécurité.

• L'identité, c'est le « qui » : c'est la personnalité numérique de votre marque. C'est la confiance que vous avez établie avec vos clients afin qu'ils sachent qu'un e-mail provenant de [email protected] est légitime.
• L'authentification est le « comment » : il s'agit des mécanismes techniques SPF, DKIM, DMARC, qui sont utilisés pour prouver cette identité.

Considérez cela comme un passeport. Votre identité correspond à votre statut de citoyen autorisé à voyager. L'authentification correspond au passeport physique et à la puce biométrique qu'il contient, qui prouvent que vous êtes bien la personne que vous prétendez être. L'authentification existe uniquement pour protéger votre identité contre toute usurpation. Lorsqu'il y a un « décalage » entre les deux, c'est-à-dire que les contrôles d'authentification sont réussis mais que l'identité ne correspond pas, la confiance est rompue, et c'est précisément là que les pirates informatiques trouvent une opportunité à saisir.

Comment les pirates abusent de l'identité de l'expéditeur d'un e-mail

Les cybercriminels utilisent la « tromperie d'identité » pour contourner l'intuition humaine et les filtres techniques.

• Usurpation de domaine exacte: si une entreprise n'a pas mis en œuvre DMARC à p=reject, un pirate peut envoyer un e-mail identique bit pour bit à un véritable e-mail interne.
• Usurpation d'identité dans le nom d'affichage: souvent appelée « fraude au président », cette technique cible les employés très occupés. L'e-mail semble provenir du « nom du PDG » et demande un virement bancaire urgent ou l'achat d'une carte cadeau.
• Domaines similaires (cousins): les pirates enregistrent des domaines tels que nike-support.com au lieu de nike.com.
• Attaques par homographes: utilisation de caractères provenant d'alphabets différents mais qui se ressemblent, par exemple en remplaçant le « o » latin par le « ο » grec (omicron).

Pourquoi l'identité de l'expéditeur d'un e-mail est importante pour les entreprises

1. Réputation de la marque: votre domaine est votre vitrine numérique. S'il est utilisé pour diffuser des spams, votre marque sera associée à un contenu « dangereux ».
2. Délivrabilité: début 2024, Google et Yahoo ont commencé à imposer le protocole DMARC aux expéditeurs de courriers électroniques en masse. Si votre identité n'est pas vérifiée, vos courriers électroniques marketing et transactionnels légitimes, tels que les réinitialisations de mot de passe, seront bloqués.
3. Sécurité financière: les compromissions d'e-mails professionnels entraînent chaque année des pertes se chiffrant en milliards. La vérification d'identité est le seul moyen technique permettant de mettre fin à ces attaques à grande échelle.

Erreurs courantes concernant l'identité de l'expéditeur d'un e-mail

• Le piège « p=none »: de nombreuses entreprises configurent DMARC, mais le laissent indéfiniment en « mode surveillance » (p=none). Cela leur offre une certaine visibilité, mais aucune protection contre l'usurpation d'identité.
• Dépendance excessive au SPF: SPF une « limite de 10 recherches ». Si votre enregistrement est trop complexe, il échoue, laissant votre identité exposée.
• Ignorance du Shadow IT: les services marketing ou RH adoptent souvent de nouveaux outils sans en informer le service informatique. Si ceux-ci ne sont pas authentifiés, ils échoueront aux contrôles DMARC et finiront dans les dossiers spam.

Meilleures pratiques pour sécuriser l'identité

Liste de contrôle technique

• Appliquez la norme DMARC: visez p=reject. Il s'agit de la « norme d'excellence » en matière de protection de l'identité.
• Mettre en œuvre BIMI: les indicateurs de marque pour l'identification des messages vous permettent d'afficher le logo vérifié de votre marque dans la boîte de réception afin d'apporter une confirmation visuelle de votre statut « vérifié ».
• Utilisez des sélecteurs DKIM uniques: attribuez des clés DKIM différentes à différents fournisseurs afin de pouvoir en révoquer une sans affecter les autres.

Stratégie organisationnelle

• Surveillance continue: utilisez un outil de surveillance DMARC pour vérifier si de nouveaux services envoient des e-mails en votre nom.
• Exercices de phishing pour les employés: apprenez à votre personnel à ne jamais se fier uniquement au nom d'affichage.

Assurer le soutien de l'ARC

Si vous utilisez une liste de diffusion ou un service de transfert, assurez-vous qu'il est configuré pour « sceller » les messages avec ARC. Cela empêche vos e-mails transférés légitimes d'être rejetés par des politiques DMARC strictes.

Conclusion : cessez de laisser des inconnus porter votre marque

Considérez l'identité de l'expéditeur de vos e-mails comme la « porte d'entrée » numérique de votre entreprise. Sans les verrous appropriés, SPF, DKIM et DMARC, vous laissez en quelque sorte cette porte grande ouverte. À l'aube du Web, les e-mails reposaient sur une poignée de main, mais dans le paysage actuel, la « confiance » est quelque chose que vous devez prouver techniquement à chaque message que vous envoyez.

Si vous ne protégez pas votre identité, vous ne risquez pas seulement de recevoir quelques plaintes pour spam, vous confiez également la réputation de votre marque à quiconque souhaite s'en emparer. Lorsqu'un pirate envoie une fausse facture ou un lien de phishing en utilisant votre domaine, la victime ne blâme pas le pirate, mais vous. Sécuriser votre identité n'est pas seulement une liste de tâches techniques à accomplir, il s'agit de garantir que lorsque vous dites « bonjour » à un client ou à un partenaire, il sache sans l'ombre d'un doute que c'est bien vous.

N'attendez pas qu'un e-mail frauduleux provenant prétendument du PDG arrive dans votre service comptable avant d'agir. Votre marque mérite une identité vérifiée à laquelle les fournisseurs de messagerie peuvent se fier et que les pirates ne peuvent pas compromettre. Profitez dès aujourd'hui d'un essai gratuit avec PowerDMARC pour simplifier le « charabia » de la sécurité des e-mails, en passant facilement d'une politique vulnérable p=none à une politique plus stricte p=reject.

Foire aux questions

L'identité de l'expéditeur d'un e-mail peut-elle être falsifiée ?

En un clin d'œil. Le « langage » original du courrier électronique (SMTP) s'apparente à l'envoi d'une carte postale : n'importe qui peut inscrire un faux nom au dos. Sans les verrous modernes tels que SPF DKIM, un pirate informatique peut inscrire le nom et l'adresse électronique de votre PDG dans le champ « De », et la plupart des boîtes aux lettres le croiront sans broncher.

Le DMARC empêche-t-il toute usurpation d'identité ?

Pas tout à fait. DMARC est très efficace pour empêcher l'usurpation d'identité de domaine exact (quelqu'un qui se fait passer pour [email protected]). Cependant, il n'empêche pas les « domaines similaires » (comme yourbrancd.com) ou l'« usurpation d'identité du nom d'affichage » (où le nom est correct, mais l'adresse e-mail est un compte Gmail aléatoire). Vous devez toujours rester vigilant à cet égard.

Quelle est la différence entre « From » et « Return-Path » ?

Considérez l'adresse d'expédition comme le nom figurant sur l'en-tête de l'enveloppe ; c'est ce que voit l'être humain. Le chemin de retour est l'adresse imprimée à l'extérieur de l'enveloppe, utilisée par les serveurs de messagerie pour traiter les rebonds. Les pirates adorent les modifier pour tromper les filtres, c'est pourquoi l'alignement DMARC est si important.

L'identité de l'expéditeur est-elle la même chose que la réputation de l'e-mail ?

Non. L'identité correspond à qui vous êtes; la réputation correspond à votre comportement. Si vous avez une excellente identité (vérifiée) mais que vous envoyez du contenu indésirable, votre réputation sera tout de même ruinée. Cependant, si vous ne sécurisez pas votre identité, les pirates informatiques peuvent ruiner votre réputation en envoyant des spams en votre nom.

Les e-mails internes ont-ils besoin d'une protection de l'identité de l'expéditeur ?

Tout à fait. Certaines des plus grosses escroqueries (comme la fraude au président) se produisent lorsqu'un employé reçoit un e-mail qui semble provenir de son supérieur hiérarchique dans le bureau voisin. Si vous ne protégez pas votre identité en interne, vous ouvrez la porte à des attaques de type « L'appel vient de l'intérieur ».

• À propos de
• Derniers messages

Milena Baghdasaryan

Spécialiste du contenu à PowerDMARC

Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.

Derniers messages de Milena Baghdasaryan (voir tous)

• Gmail filtre-t-il vos e-mails ? Causes, symptômes et solutions - 7 avril 2026
• Rapport d'analyse DMARC (RUF) : qu'est-ce que c'est, comment ça marche et comment l'activer - 2 avril 2026
• Vérification WHOIS et règles de l'ICANN : à quoi s'attendre après l'enregistrement de votre domaine - 2 avril 2026