Laposte.net va (enfin) serrer la vis sur la vérification des emails

Pas de quoi se DMARKer

Le renforcement de la sécurité des emails avance chez les principaux fournisseurs de service, mais il reste encore du travail. C’est au tour de Laposte.net d’annoncer des mesures contre les « mails ne présentant aucun protocole d'authentification ».

Sébastien Gavois

Le 25 août 2025 à 08h26

3 min

Sécurité

Sur LinkedIn, Simon Bressier (nouveau président de Signal Spam et responsable Anti-Abuse et Délivrabilité des Services Numériques La Poste), annonce qu’à partir de courant septembre, « 100 % des mails ne présentant ni SPF ni DKIM ni DMARC, se verront au mieux placés en dossier indésirable » des boites Laposte.net.

Le responsable reconnait que, aujourd'hui encore, « des mails ne présentant aucun protocole d'authentification peuvent encore être livrés en boîte de réception ». « SPF et DKIM et DMARC ne seront plus optionnels dans un avenir proche », affirme-t-il. Il promet d’autres annonces avec de plus amples informations, mais sans préciser quand elles seront faites.

Le tiercé de la sécurité des emails : SPF, DKIM, DMARC

Mais de quoi parle-t-on ? De trois protocoles pour sécuriser et authentifier les emails. Nous les avons déjà longuement détaillés par ici.

Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

SPF (Sender Policy Framework) vérifie que le serveur envoyant un email est bien autorisé à le faire au nom du domaine (via un enregistrement DNS). DKIM (DomainKeys Identified Mail) permet de son côté une authentification de l’expéditeur et une protection des messages avec une signature numérique.

Enfin, DMARC (Domain-based Message Authentication, Reporting & Conformance) permet de définir une politique pour gérer les emails non authentifiés. Il y a trois possibilités : « none » pour délivrer malgré tout l’email normalement, « quarantine » pour traiter le courriel comme suspect (le considérer comme spam par exemple) et enfin « reject » pour purement et simplement rejeter l’email.

La prise en charge de SPF, DKIM et DMARC par Laposte.net est donc une bonne chose, dont on se demande pourquoi elle n’est pas arrivée avant. C’est aussi une continuité d’un mouvement lancé il y a déjà plusieurs mois par les gros fournisseurs d’emails.

La sécurité des emails avance (trop) doucement…

Gmail (Google) et Yahoo! ont renforcé leurs exigences en 2024 pour les gros expéditeurs, tandis que Microsoft a fait de même en avril dernier avec Outlook.com. Dans les réponses à la publication LinkedIn, Axelle Allouch (Head of Anti-Abuse and Internet Security team) confirme que c’est aussi le cas pour Orange « depuis quelques mois ».

Début 2023, nous avions fait un tour des emails chez les principaux FAI. Free faisait un carton plein avec SPF, DKIM et DMARC, SFR suivait avec SPF et DKIM, tandis que Bouygues Telecom et Orange se contentaient de SPF uniquement (l’attente a été longue…).

Au même moment, l’AFNIC publiait son bilan sur plus de 3 millions de noms de domaine utilisés pour des emails : 57,8 % publiaient une politique SPF, 23,1 % au moins une clef DKIM et 7,8 % une politique DMARC.

Le bilan était alors bien triste : seulement 48 421 noms de domaines utilisés pour des emails étaient protégés contre l’usurpation d’identité : « 1,3  % de toute la zone .fr publient une politique DMARC "p=reject" ». Cette dernière est la seule option qui rejette le courriel, alors que les deux autres le traitent normalement ou le placent en spam, mais il arrive dans la boîte email du destinataire.

Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Commentaires (37)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

piwi82

Modifié le 25/08/2025 à 08h42

Pour compléter l'article, Laposte.net propose également de faire apparaître le logo BIMI sans certificat VMC, depuis ce formulaire :

https://postmaster.laposte.net/contact

ShadowNet

Le 25/08/2025 à 08h43

Est-ce que cela voudrait dire qu'au moins 92% des domaines sont hébergés ailleurs, du moins pour le mail, que sur les GAFAM (qui tous imposent SPF, DMARC et DKIM) ?

GruntZ Premium

Le 25/08/2025 à 14h14

Ce serait plutôt une bonne nouvelle, non ?

Par contre, un DMARC trop strict et n'incluant pas la mise en liste blanche de certaines adresses/domaines rend caduc tous les usages d'alias inter-domaines qui permettaient de recevoir sur plusieurs boites les mails envoyés à l'alias sans dévoiler l'e-mail réel de la (des) boite(s) en cas de SPAM sur l'alias; il suffisait d'en faire un autre...

Chez O2Switch, où je gère mon domaine et les comptes mails de la famille, j'avais des alias qui pointaient sur des adresses @gmail, ou @[nawak], et petit à petit, ils sont rejetés, alors qu'il n'y transite qu'un ou deux mails par semaine, et que le domaine en lui même à une configuration SPF, DMARC et DKIM correcte.

alex.d. Premium

Le 25/08/2025 à 09h18

Ah, laposte.net, ceux qui ont fermé sans sommation mon adresse que j'utilisais depuis 15 ans parce qu'elle leur paraissait "inutilisée" : je ne me connectais jamais sur le portail web, seulement en IMAP. Plus jamais.

SebGF Premium

Le 25/08/2025 à 09h44

« 1,3  % de toute la zone .fr publient une politique DMARC "p=reject" ».

J'en fais partie pour toutes mes adresses

versgui Premium

Le 25/08/2025 à 12h17

Jamais eu de soucis avec des mails transactionnels configurés de manière un peu légère ? (souvent de vieux SI : l'administration, des mutuelles, des petits sites e-commerce, etc)

SebGF Premium

Le 25/08/2025 à 12h51

Jusqu'ici non. J'ai plus des soucis à cause des sites mal branlés qui ne comprennent pas l'alias + et m'oblige à faire un alias en dur.

fdorin Premium

Le 25/08/2025 à 14h05

Pourtant, le format des e-mails, c'est super simple

RuMaRoCO Premium

Le 26/08/2025 à 11h04

I scored 8/21 on https://e-mail.wtf and all I got was this lousy text to share on social media.
Je suis mauvais et pourtant j'en connaissais un peu ...

fred42 Premium

Le 26/08/2025 à 11h12

I scored 14/21 on https://e-mail.wtf.

Pas trop mal, parce qu'il y en a quand même des compliquées !

OB Premium

Le 27/08/2025 à 00h07

Entre vous deux je suis à 11/21 !
J'ai appris des trucs...

plopl Premium

Le 25/08/2025 à 14h13

Change ta config pour que ça soit le caractère - (ou encore le .) qui soit utillisé comme séparateur. Ceux là ils passent partout.

SebGF Premium

Le 25/08/2025 à 15h34

Mes mails sont hébergés par Infomaniak, je n'ai pas la main sur ce genre de chose.

DonDiego2000 Premium

Le 25/08/2025 à 22h31

J'ai toujours utilisé le - et le _ au lieu du + qui est régulièrement bloqué. Je pense que le . doit faire l'affaire aussi. Je comprend pas pourquoi ces séparateurs ne sont pas plus répandus (dans le cadre autre que gros fournisseurs de mails)

cacadenez

Le 25/08/2025 à 10h03

Ah, laposte.net, ceux qui te livrent les mails de code de confirmation 5 minutes après l'expédition alors que tu n'as qu'une minute pour confirmer...

plopl Premium

Le 25/08/2025 à 14h19

…j'ai un exemple de situation où les filtrages sécurité / antispam peuvent décaler la remise des emails de plusieurs heures. L'emails n'est pas un SMS, et ne devrait jamais être utilisé en considérant des remises rapides garanties.

Le 26/08/2025 à 08h35

Laposte.net est un cas, disons, à part... Via gmail je reçoit toutes mes notifs domotiques (dont captures caméras IP un peu lourdes, quand absent) et c'est très rapide, on pourrait vraiment baser une messagerie instantanée sur le bon vieux mail chez eux.

cacadenez

Le 26/08/2025 à 12h16

J'ai administré un postfix jadis avec des règles assez tendues et le traitement ne dépassait pas quelques secondes au pire. En entreprise, même avec du Microsoft et des tas de services qui se greffent, idem. Jamais eu non plus de délai > quelques secondes avec infomaniak, proton, gmail et d'autres. Pour être clair, je n'ai des ennuis qu'avec laposte.net.

Mais je suis toutefois d'accord pour dire qu'on ne devrait pas considérer le mail comme une messagerie instantanée.

fdorin Premium

Le 26/08/2025 à 12h32

Les délais que l'on peut rencontrer ne sont pas un problème de puissance de calcul, mais plutôt de politique de SPAM : il n'est pas rare qu'un serveur refuse temporairement un mail entrant et demande à ce qu'il soit représenté plus tard. Beaucoup de spammeur ne se donne pas la peine de le représenter.

ForceRouge Premium

Le 26/08/2025 à 18h32

Tout à fait, c'est ce qu'on appel du greylisting.
C'est ce que je faisais quand j'administrais mon serveur de mails perso. C'était hyper efficace.

Le problème, c'est ce qui est dit plus haut, lors d'un 2FA, il faut attendre que l'émetteur renvoi l'email...

fred42 Premium

Modifié le 25/08/2025 à 10h07

La Poste va (enfin) serrer la vis sur la vérification des courriers et des colis

C’est au tour de La Poste d’annoncer des mesures contre les « envois ne présentant aucun protocole d'authentification des expéditeurs de courriers et de colis »

Glandos Premium

Le 25/08/2025 à 10h10

Pour tous les auto-hébergés du courriel, laposte.net c'est le pire. Pire que GMail et Hotmail, oui oui.
Les messages se font rejeter sans aucune possibilité d'acceptation, même en tant que réponse à un message venant de leur serveur.
Le formulaire « postmaster » a été inopérant pendant des mois, et demande de cocher des cases illogiques pour dire que non, mon serveur n'est pas géré par des scammeurs, merci.
Et ça fait des années que j'ai SPF + DMARC + DKIM hein.

white_tentacle Premium

Le 25/08/2025 à 10h12

Je confirme. Leur support ne comprends rien.

Cela dit, hotmail, c’est pareil, jamais réussi à leur faire déblacklister l’ip. Pourtant, ça fait pas loin de 10 ans qu’elle n’envoie plus de spams…

stratic Premium

Le 25/08/2025 à 10h16

Idem

ForceRouge Premium

Le 26/08/2025 à 18h38

Y a pas que sur la partie SMTP qu'ils bloquent tout sans rien comprendre.

Un moment, il m'était impossible de me connecter sur l'interface web. Le support ne comprenais rien à ce que que je disais alors que j'avais tout détaillé très clairement avec des tests ok depuis une IP différente et des tests KO depuis n'importe quel périphérique chez moi. Et finalement au bout de plusieurs semaines, j'ai pigé. C'est parce que j'hébergeais un node TOR (en relay, même pas un exit node) et donc mon IP se trouvait dans les listes "à risque".

Bref, ils ont du cocher toutes les cases sans rien comprendre sur leur waf...

ben51 Premium

Le 25/08/2025 à 10h10

Déjà qu'il était réputé pour facilement bloquer les mails.

the_Grim_Reaper Premium

Le 25/08/2025 à 10h27

tu veux dire, "perdre les email comme les colis", ils ne bloquaient pas

127.0.0.1

Le 25/08/2025 à 10h34

La prise en charge de SPF, DKIM et DMARC par Laposte.net est donc une bonne chose, dont on se demande pourquoi elle n’est pas arrivée avant

Hé, Oh... Y'a pas marqué "la poste".

Ah, si.

zefling Premium

Le 25/08/2025 à 13h26

Mmm... je crois qu'il me manque SPF, il faudra que je vérifie mon serveur. Tellement chiant à mettre en place.
J'espère que les outils de mise en place d'un serveur mail se sont simplifiés depuis que j'ai mis le mien en place.

LordZurp Premium

Le 25/08/2025 à 14h50

Je tourne avec mailinabox, opérationnel out of the box

zefling Premium

Le 25/08/2025 à 17h26

Il faudrait que je regarde si ça peut pas remplacer Postfix/Dovecotet avec des mails virtuel en base SQL

ForceRouge Premium

Le 26/08/2025 à 18h40

Le SPF, c'est vraiment le truc le plus simple (y a aussi une version compliqué si t'as envi

). T'as juste à lister les IP de ton/tes serveurs SMTP sortant dans une entrée DNS. Y a rien coté serveur de mail.

lansing Premium

Le 25/08/2025 à 19h12

Toujours pas de MFA pour les utilisateurs.

iFrancois Premium

Le 26/08/2025 à 13h32

Etant donné que Laposte est déjà le PIRE provider de mails, ça ne va pas arranger les choses.
C'est un véritable enfer d'envoyer des mails à des adresses @laposte.net, ils bloquent le serveur expéditeur pour un oui ou un non (5 mails envoyés en une minute ? hop, bloqué) et le service Postmaster prend des semaines à répondre pour débloquer l'IP, le tout avec une mauvaise foi exemplaire (en gros, c'est jamais de leur faute)

Quand en plus, La Poste elle-même envoie des mails depuis des domaines plus farfelus les uns que les autres, qui ressemble à du phishing et qui n'ont sans doute eux-même pas le SPF / DMARC / DKIM configuré ... https://dhala.fr/blog/la-poste-obstacle-lutte-contre-phishing

zefling Premium

Le 27/08/2025 à 08h30

C'est pas mieux que Microsoft, il y a une formulaire, mais je peux même pas le valider sans modifier le HTML avec F12. Et j'ai toujours la même réponse qui me dit que tout vas bien, je suis pas bloqué. Je teste, et j'ai toujours un message qui me répond que c'est bloqué.

FrancoisA

Le 27/08/2025 à 11h55

En fait, souvent les serveurs de messagerie confie la gestion de leur liste noire de serveurs de SPAM à un tiers une filiale de Cisco : https://www.talosintelligence.com/.

Ce site publie des statistiques d'envoi de nombre de mails par minute.

Si votre serveur de mails envoie trop de mails par minute, votre serveur de mail est considéré comme un spammeur.

C'est pour cela que Pole Emploi à l'époque (maintenant France Travail) était considéré comme un spammeur.

::1

Le 27/08/2025 à 15h52

Laposte.Net existe malheureusement toujours.. je crois que dans le "milieu", ils sont les seuls à mériter une réputation pire que Outlook/Hotmail/Microsoft :

https://lafibre.info/evolution/plus-de-notification-avec-mail-free-depuis-le-1202/msg1107258/#msg1107258

à déconseiller sans modération.