Defaults.Exposed › Rapports
Quelqu'un peut-il envoyer des e-mails en se faisant passer pour votre entreprise ? Pour la plupart des domaines, oui (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées portant sur 261 millions de domaines évalués. « Peut être usurpé » signifie que le domaine n’applique pas DMARC (pas de politique de mise en quarantaine ou de rejet), le contrôle qui indique aux serveurs de messagerie destinataires d’arrêter les courriels falsifiés. Voir comment nous évaluons.
Pour la plupart des entreprises, oui — quelqu’un peut envoyer des courriels qui semblent provenir exactement de votre domaine. Seuls 10,59% des 261 millions de domaines que nous avons évalués appliquent DMARC, le seul contrôle qui bloque réellement l’usurpation d’identité. Les 89,41% restants laissent la porte ouverte : un escroc peut placer votre adresse exacte dans la ligne « De » et la plupart des boîtes de réception l’afficheront comme authentique. C’est le mécanisme derrière les fausses factures, les demandes de paiement par fraude au président et les arnaques aux fournisseurs — et la tentative ne coûte rien.
Quelqu’un peut-il vraiment envoyer des courriels au nom de mon domaine ?
Si votre domaine n’applique pas DMARC, alors oui. Le courriel a été conçu sans moyen intégré de vérifier l’expéditeur, donc l’adresse « De » est triviale à falsifier. Trois réglages, en couches, corrigent cela — SPF, DKIM et DMARC — mais seul le dernier, réglé sur application, indique au serveur destinataire de réellement rejeter ou mettre en quarantaine une falsification. Au 2026-06-29 :
- 75,11% des domaines n’ont aucun enregistrement DMARC.
- 14,29% ont un enregistrement DMARC réglé en surveillance seule (
p=none) — cela ressemble à une protection lors d’un audit, mais cela indique aux destinataires de ne rien faire, donc le courrier usurpé arrive quand même. - Seuls 10,59% appliquent une politique de
quarantineoureject— la configuration qui arrête l’usurpation d’identité.
Ainsi, 89,41% des domaines — plus de huit sur dix — peuvent aujourd’hui faire l’objet d’une usurpation par courriel.
« Mais nous avons SPF » — pourquoi cela ne suffit pas
C’est l’idée fausse la plus courante et la plus dangereuse. 53,21% des domaines publient un enregistrement SPF, bien plus que les 10,59% qui appliquent DMARC. Les propriétaires voient SPF et supposent qu’ils sont couverts. Ils ne le sont pas : SPF (et DKIM) vérifient le chemin technique d’envoi, mais ils ne régissent pas l’adresse « De » qu’un humain voit réellement. Sans DMARC réglé sur application, un attaquant peut quand même passer SPF sur sa propre infrastructure et falsifier votre adresse visible. SPF est une plomberie nécessaire ; l’application de DMARC est la serrure.
À quel point votre coin du web est-il exposé ?
L’application varie largement selon la terminaison du domaine. Plus c’est élevé, mieux c’est — c’est la part des domaines qui bloquent réellement l’usurpation. Au 2026-06-29 :
| Terminaison du domaine | Appliquant DMARC | Peuvent être usurpés |
|---|---|---|
| .nl (Pays-Bas) | 29,43% | 29,43% protégés, le reste exposé |
| .de (Allemagne) | 21,38% | — |
| .in (Inde) | 19,26% | — |
| .uk (Royaume-Uni) | 13,42% | — |
| .com | 9,50% | la terminaison la plus utilisée se situe en dessous de la moyenne mondiale de 10,59% |
| .net | 10,08% | — |
| .org | 10,01% | — |
| .xyz | 5,15% | — |
| .top | 3,17% | — |
| .cn (Chine) | 1,45% | la plus basse des grandes terminaisons |
Même la grande terminaison la plus performante protège moins d’un tiers de ses domaines. Sur .com — où vivent la plupart des entreprises — seuls 9,50% appliquent DMARC.
Ce que cela coûte réellement à une entreprise
L’usurpation d’identité par courriel est le mécanisme derrière certains des crimes en ligne les plus coûteux signalés aux forces de l’ordre dans le monde entier — la compromission de la messagerie d’entreprise. Le schéma est toujours le même :
- Un client reçoit une « facture » de votre adresse avec les coordonnées bancaires de l’escroc, la paie et découvre la fraude des semaines plus tard — la traitant souvent comme votre faute.
- Un employé reçoit une demande urgente « du patron » de transférer de l’argent ou d’acheter des cartes-cadeaux. L’adresse est réellement la vôtre, donc il s’exécute.
- On dit à un fournisseur « nos coordonnées bancaires ont changé » dans un courriel qui passe tous les contrôles visuels.
Rien de tout cela ne nécessite de pirater vos systèmes. Il suffit que votre domaine n’applique pas DMARC — ce qui, pour 89,41% des domaines, est le cas.
Comment savoir si vous êtes protégé (et corriger)
Vous ne pouvez pas savoir de l’extérieur si vous faites partie des 10,59% — le seul moyen de le savoir est de vérifier votre domaine. La correction est gratuite et prend généralement un après-midi, faite dans l’ordre : publiez SPF et DKIM, puis passez DMARC en application (p=none → quarantine → reject). La dernière étape est celle qui ferme réellement la porte.
Foire aux questions
Quelqu’un peut-il envoyer un courriel en se faisant passer pour mon entreprise ? Si votre domaine n’applique pas DMARC (une politique de mise en quarantaine ou de rejet), oui — votre adresse « De » exacte peut être falsifiée et la plupart des boîtes de réception l’afficheront comme authentique. Au 2026-06-29, 89,41% des domaines évalués sont dans cet état.
Nous avons déjà SPF — ne sommes-nous pas en sécurité ?
Non. SPF vérifie le chemin technique d’envoi mais pas l’adresse « De » visible. 53,21% des domaines publient SPF, mais sans DMARC réglé sur application, votre adresse peut encore être falsifiée. Vous avez besoin de DMARC en quarantine ou reject.
Un enregistrement DMARC ne suffit-il pas ?
Seulement s’il applique. Un enregistrement réglé sur p=none (surveillance seule) — qu’utilisent 14,29% des domaines — ne fait rien pour arrêter l’usurpation. Seuls quarantine ou reject le font, et seuls 10,59% des domaines y parviennent.
Comment vérifier mon propre domaine ? Lancez une vérification gratuite et privée (ci-dessous). Nous ne montrons le résultat d’un domaine qu’à son propriétaire vérifié.
Est-ce coûteux à corriger ? Non. SPF, DKIM et DMARC sont des réglages DNS gratuits. Le coût, c’est le temps de les configurer dans le bon ordre, pas de l’argent.
Vérifiez si votre domaine peut être usurpé
Ne devinez pas de quel côté des 10,59% vous vous trouvez. Vérifiez votre domaine en privé et gratuitement — vous verrez votre statut DMARC, SPF et DKIM et exactement ce qu’il faut corriger.
Vérifiez votre domaine → · Corriger DMARC → · Corriger SPF → · Comment nous évaluons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.