Defaults.Exposed › Rapports
L'indice d'usurpabilité des e-mails : combien de domaines n'importe qui peut-il falsifier ? (2026)
Publié 2026-07-03
Chiffres au 2026-06-29 · méthodologie v7. Recensement agrégé portant sur 261 millions de domaines notés — l’Internet tel que nous le mesurons — rapprochés domaine par domaine. Tous les chiffres sont agrégés ; jamais la note d’une entreprise individuelle. Voir comment nous notons.
Combien de domaines peuvent être usurpés ?
9 sur 10. 89,4 % d’Internet — 233 445 245 domaines — ne publie aucune politique demandant aux destinataires de rejeter ou de mettre au rebut les messages qui échouent à l’authentification. C’est ce que nous comptons comme usurpable, et c’est la vision du recensement du point de vue de l’attaquant : non pas « qui a commencé à sécuriser ses e-mails », mais « qui peut encore être usurpé ». La plupart des domaines ont commencé — ils publient du SPF. Bien moins ont terminé, et l’écart entre ces deux verbes constitue l’indice.
Que signifie « usurpable » ici ?
Une définition précise, car ce chiffre est souvent cité : un domaine est usurpable lorsqu’il ne publie aucune politique DMARC à p=quarantine ou p=reject — la seule instruction normalisée qui amène tous les grands destinataires à rejeter ou à mettre au rebut un message ayant échoué. Certains destinataires agissent effectivement sur un SPF strict -all à lui seul, mais ce comportement est discrétionnaire et incohérent d’une boîte de réception à l’autre dans le monde ; l’application de DMARC est l’instruction qu’ils honorent tous. Un domaine usurpable n’est donc pas nécessairement sans défense partout — il est sans défense par politique, à la merci de la bonne volonté de chaque destinataire.
C’est aussi pourquoi publier du SPF seul ne fait pas sortir un domaine de cet indice : le SPF identifie votre courrier légitime, mais sans application, rien n’indique aux destinataires d’agir sur les falsifications.
Quelles extensions de domaine sont les plus usurpables ?
La part des domaines notés dépourvus de DMARC appliqué, par extension :
| TLD | Part usurpable |
|---|---|
| .xyz | 94,9 % |
| .de | 78,6 % |
| .com | 90,5 % |
| .org | 90,0 % |
| .uk | 86,6 % |
| .nl | 70,6 % |
Aucun quartier d’Internet n’est à l’abri — l’écart entre les extensions traduit des degrés d’exposition, non des catégories distinctes. Les extrêmes au niveau des pays racontent leur propre histoire : voir les pays les plus usurpables pour le classement par pays que cet indice résume.
La coupe des serveurs de messagerie : des boîtes de réception actives, sans aucune protection
Tranche la plus tranchante de l’indice : 42,7 % de tous les domaines notés font tourner un serveur de messagerie actif tout en ne publiant aucune authentification — 111 369 509 domaines qui à la fois reçoivent du vrai courrier et offrent aux faussaires un nom non protégé. Ce ne sont pas des coquilles inactives ; ce sont des domaines de messagerie en activité dont les propriétaires n’ont jamais posé les verrous.
Pourquoi c’est le chiffre qui compte
Les statistiques d’adoption flattent Internet ; l’usurpabilité mesure ce qu’un attaquant peut encore faire. La correction est gratuite à chaque étape — SPF, DKIM, puis une politique DMARC à p=reject — et chaque domaine qui termine passe des 9 sur 10 au petit nombre de protégés. Les deux articles constituent le même jeu de données lu par les deux bouts : celui-ci compte les portes ouvertes ; l’autre compte les portes verrouillées.
Foire aux questions
Qu’est-ce qui rend un domaine usurpable ?
L’absence d’une politique DMARC appliquée (p=quarantine ou p=reject). Sans elle, aucune instruction normalisée n’indique aux destinataires de rejeter ou de mettre au rebut les messages qui échouent aux vérifications SPF/DKIM. 89,4 % des domaines — 9 sur 10 — sont dans cet état au 2026-06-29.
Je publie du SPF — mon domaine peut-il quand même être usurpé ? Si rien n’est appliqué, oui. Le SPF prouve quel courrier est légitime ; il n’indique pas aux destinataires de rejeter le reste. Le mécanisme et la correction sont traités dans SPF sans DMARC.
DMARC p=quarantine rend-il mon domaine sûr ?
Il vous fait sortir de cet indice : le courrier ayant échoué est mis au rebut plutôt que livré dans la boîte de réception. p=reject va plus loin et le refuse purement et simplement — le réglage le plus fort, et la destination recommandée.
Comment rendre mon domaine infalsifiable ?
Posez les trois verrous — SPF, DKIM et DMARC à p=reject — chacun étant une modification DNS gratuite. Corriger votre politique DMARC est l’étape d’application qui vous fait sortir de l’indice.
Vérifiez si le vôtre fait partie des 9
Votre domaine est soit sur cet indice, soit hors de lui, et la réponse est gratuite à obtenir et gratuite à changer.
Vérifier votre domaine → · Corriger DMARC → · Corriger SPF → · Les pays les plus usurpables → · Le petit nombre de protégés → · Données agrégées uniquement. Données stockées et traitées dans l’UE.