Comprendre le problème : l’usurpation d’identité email
Il est possible d’envoyer un email en faisant croire qu’il provient d’un nom de domaine dont on ne contrôle pas la boîte. C’est ce qu’on appelle le spoofing.
Les pirates utilisent des outils pour forger l’adresse de l’expéditeur dans les en-têtes de l’email. Ils ne piratent pas la boîte : ils ne s’y connectent pas. Ils envoient simplement un email via un serveur à eux, en indiquant comme expéditeur contact@votredomaine.com. Et souvent, cela passe, car sans protection, n’importe qui peut prétendre être vous.
Ce genre d’attaque permet d’envoyer du phishing, des virus, ou simplement de salir la réputation de votre domaine.
Avec cPanel
Trois mécanismes pour se protéger : SPF, DKIM, DMARC
Sur un hébergement cPanel, trois protections doivent être activées :
Le SPF (Sender Policy Framework)
Il indique quels serveurs sont autorisés à envoyer des emails pour votre domaine. Lorsqu’un serveur reçoit un email censé provenir de votre domaine, il peut vérifier si le serveur d’envoi est listé dans votre enregistrement SPF.
Sur cPanel, il suffit d’activer le SPF dans la zone « Authentification email ». cPanel génère automatiquement l’enregistrement SPF de base, que vous pouvez personnaliser si vous utilisez d’autres services (Mailjet, Google Workspace, etc.).
Le DKIM (DomainKeys Identified Mail)
Il ajoute une signature cryptographique aux emails sortants. Cette signature est vérifiée par le serveur destinataire pour s’assurer que le message n’a pas été modifié et qu’il provient bien d’une source autorisée.
Comme pour le SPF, DKIM est activable en un clic dans cPanel. Cela ajoute une clé publique dans votre zone DNS, qui permet de valider les signatures des mails.
Le DMARC (Domain-based Message Authentication, Reporting and Conformance)
Il ne fait rien seul, mais il s’appuie sur SPF et DKIM pour définir ce que les serveurs doivent faire lorsqu’un message ne passe pas la vérification : l’accepter, le mettre en spam, ou le rejeter.
Il permet aussi de recevoir des rapports d’utilisation de votre domaine (agrégats et abus).
DMARC doit être ajouté manuellement dans la zone DNS, comme un enregistrement TXT. Par exemple :
_dmarc.votredomaine.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:rapport@votredomaine.com"
Cela signifie : si SPF ou DKIM échoue, mettre le message en quarantaine, et envoyer un rapport à rapport@votredomaine.com.
Sans cPanel
SPF : autoriser explicitement les serveurs légitimes
SPF est un enregistrement TXT que l’on ajoute dans la zone DNS de son domaine. Il liste les adresses IP ou services qui sont autorisés à envoyer des mails pour ce domaine.
Voici un exemple d’enregistrement :
v=spf1 ip4:192.0.2.15 include:mailgun.org -allCela indique : seuls l’IP 192.0.2.15 et les serveurs de Mailgun peuvent envoyer des emails avec votre nom de domaine. Tous les autres doivent être rejetés.
DKIM : signer cryptographiquement les messages
DKIM repose sur une paire de clés (publique/privée). Le serveur qui envoie le message signe ce dernier avec une clé privée. Le serveur destinataire vérifie la signature grâce à la clé publique publiée dans votre DNS.
Pour mettre en place DKIM sans cPanel, il faut installer un outil tel qu’OpenDKIM sur le serveur d’envoi (par exemple avec Postfix ou Exim). Ce dernier génère les clés, les insère dans les en-têtes sortants et fournit les enregistrements à placer dans le DNS.
Un exemple d’enregistrement DKIM :
default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0G..."DMARC : une politique globale de vérification
DMARC permet de définir ce que doivent faire les serveurs qui reçoivent un email non conforme à SPF ou DKIM. Il se base sur ces deux mécanismes pour décider : accepter, mettre en spam ou rejeter.
Un enregistrement DMARC typique :
_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:rapport@domaine.com"Cela signifie : si un message échoue aux contrôles SPF/DKIM, il peut être mis en quarantaine. Un rapport est aussi envoyé pour analyse.
Mise en place concrète sans interface
Contrairement à une interface comme cPanel qui propose des boutons d’activation automatique, ici tout se fait manuellement :
- DNS : accéder à la gestion DNS du domaine (chez le registrar ou un gestionnaire comme Cloudflare)
- Serveur mail : configurer le MTA (Postfix, Exim…) pour utiliser DKIM (avec OpenDKIM ou opendkim-milter)
- Tests : utiliser des outils comme mxtoolbox.com, mail-tester.com, ou envoyer un mail vers Gmail et vérifier l’authentification dans les entêtes
Au cours de l’échange, il a été rappelé que c’est moins simple qu’avec un panneau de gestion, mais tout à fait faisable avec un peu de rigueur.
Si l’on souhaite obtenir des retours sur les emails utilisés frauduleusement avec son domaine, des outils comme dmarcian.com ou easydmarc.com permettent de centraliser les rapports DMARC. Leur lecture peut être technique au début, mais aide à détecter les abus.
Vérifier que tout est bien configuré
Après avoir activé SPF et DKIM dans cPanel, et ajouté le DMARC, il est utile de tester. Vous pouvez :
- Utiliser https://mxtoolbox.com pour vérifier les enregistrements DNS
- Envoyer un email à une adresse Gmail et consulter les détails du message (voir si SPF et DKIM passent)
- Créer un compte sur https://dmarcian.com ou https://easydmarc.com pour recevoir et interpréter les rapports DMARC
Pourquoi c’est indispensable aujourd’hui
Sans ces protections, votre domaine peut être utilisé pour des campagnes de phishing sans que vous ne le sachiez. Cela peut affecter votre réputation, provoquer un blacklisting ou faire rejeter vos vrais emails.
Si vous avez des doutes sur votre configuration actuelle ou besoin d’aide pour mettre cela en place correctement, n’hésitez pas à nous contacter. Une vérification complète prend peu de temps et peut éviter des problèmes graves.
Conclusion
Activer SPF, DKIM et DMARC sur votre hébergement cPanel est une étape simple mais cruciale pour protéger vos adresses email contre l’usurpation. Cela ne garantit pas 100% de sécurité, mais c’est la base pour éviter les abus, améliorer la délivrabilité et renforcer la crédibilité de vos messages.
0 commentaires