Defaults.Exposed

Defaults.ExposedCorrectionsGuides

Votre renouvellement d'assurance demande SPF, DKIM et DMARC — voici quoi répondre (2026)

Publié 2026-07-08

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués — nous ne publions jamais les résultats d’un domaine individuel. Voir comment nous notons.

Le formulaire demande si quelqu’un a vérifié que les e-mails de votre domaine ne peuvent pas être falsifiés. Vous pouvez obtenir une réponse honnête et datée en deux minutes avec un scan gratuit — et vous serez loin d’être seul : seuls 7,4 % des 261 086 232 domaines évalués dans le recensement Defaults.Exposed (au 2026-06-29) ont la configuration pleinement alignée et appliquée que les assureurs sondent réellement.

Ci-dessous : ce que signifie la question, comment obtenir votre réponse en deux minutes, ce qu’exige un « oui » honnête pour chaque variante de la question, comment utiliser le rapport avec votre courtier — et comment les lacunes se corrigent avant l’échéance.

Pourquoi mon renouvellement d’assurance demande-t-il SPF, DKIM et DMARC ?

Vous connaissez le moment. Quelque part dans le dossier de renouvellement figure une ligne du type « Votre domaine a-t-il été scanné pour l’hygiène DMARC, SPF et DKIM au cours des 12 derniers mois ? » Vous ne savez pas. Personne dans l’entreprise ne sait. Alors l’e-mail reste marqué dans votre boîte de réception, soigneusement évité, pendant que l’échéance approche.

Ce que l’assureur veut vraiment savoir : un criminel peut-il envoyer un e-mail qui semble venir exactement de votre entreprise ? Les sinistres cyber les plus coûteux pour les petites entreprises sont la fraude à la facture — un fraudeur écrit à votre client, en votre nom, avec des coordonnées bancaires « mises à jour », et un paiement à cinq chiffres en euros s’égare. Ce risque d’usurpation d’identité se mesure de l’extérieur, donc les souscripteurs le tarifient.

Les acronymes, une fois pour toutes et en termes simples : SPF (Sender Policy Framework — la liste publique des serveurs autorisés à envoyer des e-mails pour votre domaine), DKIM (DomainKeys Identified Mail — une signature inviolable apposée sur chaque message), et DMARC (Domain-based Message Authentication, Reporting and Conformance — la règle publiée disant aux boîtes de réception du monde entier quoi faire du courrier qui échoue aux deux autres).

Et pourquoi la question figure sur le formulaire : parmi les 261 086 232 domaines évalués dans le recensement Defaults.Exposed (au 2026-06-29), 89,41 % n’ont aucune politique DMARC contraignante — c’est-à-dire qu’ils peuvent être usurpés. Les assureurs posent la question parce que la plupart des demandeurs, statistiquement, sont exposés. Si cela vous évoque une soirée de réseautage plutôt qu’un formulaire, commencez par cette histoire de fraude à la facture — pourrait-elle arriver à votre entreprise ?

L’e-mail n’est bien sûr qu’une section du questionnaire. Pour la liste complète des contrôles que les assureurs et les acheteurs grands comptes vérifient sur un domaine — avec le taux de réussite à l’échelle d’Internet pour chacun — voir ce que vérifient la cyberassurance et les questionnaires fournisseurs sur votre domaine. Cette page, elle, reste avec le formulaire dans votre boîte : quoi répondre, honnêtement, avant l’échéance.

Comment connaître ma réponse en deux minutes ?

Vous n’avez pas besoin de comprendre le moindre enregistrement DNS. Vous avez besoin d’un rapport daté et noté.

  1. Lancez le scan gratuit sur defaults.exposed. Saisissez votre domaine — la partie après le @ de votre adresse e-mail. Il lit les réglages publics de votre domaine depuis l’extérieur, comme le ferait le partenaire de scan d’un assureur.
  2. Lisez la note. Le rapport dit, en langage clair, si SPF, DKIM et DMARC existent pour votre domaine, s’ils s’alignent, et si la politique impose quoi que ce soit.
  3. Conservez le rapport. Il est daté. À compter d’aujourd’hui, votre domaine a été scanné — quelle que soit la note, cette partie de la question devient honnêtement répondable.

Le scan est gratuit, prend environ deux minutes, et les données sont stockées et traitées dans l’UE — utile si vos réponses de conformité doivent préciser où se déroulent les évaluations.

À quoi ressemble un « oui » honnête pour chaque variante de la question ?

La réponse honnête varie selon la formulation :

Le formulaire demande…Un « oui » honnête exigeCe que le scan vous apporte
« Votre domaine a-t-il été scanné pour l’hygiène DMARC, SPF et DKIM au cours des 12 derniers mois ? »Un scan daté — en lancer un aujourd’hui suffit ; le rapport est votre preuveOui, immédiatement
« Avez-vous SPF, DKIM et DMARC en place ? »Les trois publiés pour votre domaineOui si la note montre les trois
« Appliquez-vous DMARC de façon contraignante ? »Une politique qui ordonne aux boîtes de réception d’agir — le oui le plus fortSeulement si le rapport indique une politique appliquée ; 7,4 % des domaines évalués y sont
« Quelles mesures avez-vous contre l’usurpation d’identité par e-mail ? »Un DMARC contraignant, ou une description honnête de la posture plus un plan de remédiationLes deux sont légitimes si c’est exact

Deux choses à retenir. D’abord, une mauvaise note avec un plan de remédiation est une réponse légitime et assurable. « Nous avons scanné, le rapport a identifié des lacunes, et elles sont en cours de correction » se lit comme une entreprise qui vérifie — exactement ce que la question filtre. Ensuite, n’enjolivez jamais la réponse. Une déclaration inexacte sur un formulaire de souscription peut annuler la police, c’est-à-dire un sinistre refusé au moment où vous en avez le plus besoin.

Que dois-je renvoyer avec le renouvellement ?

Joignez le rapport de scan, ou collez sa date et sa note dans la case de réponse. Puis posez une seule question à votre courtier : « Une posture d’authentification e-mail évaluée et appliquée influe-t-elle sur la prime ou les conditions ? » Certains assureurs tiennent compte d’une posture démontrée à la tarification ; savoir si le vôtre le fait relève du courtier, et poser la question ne coûte rien.

Gardez le rapport — la même preuve répond au questionnaire de sécurité d’un client sur l’authentification e-mail, la même question arrivant d’un client plutôt que d’un assureur.

Est-ce aussi une affaire de réglementation européenne ?

En partie, oui — c’est pourquoi la question ne cesse d’apparaître sur les formulaires de renouvellement européens. NIS2, la directive européenne sur la sécurité, attend des organisations couvertes qu’elles gèrent la sécurité de la chaîne d’approvisionnement (article 21(2)(d)) et les communications sécurisées (article 21(2)(j)), et le règlement d’exécution (UE) 2024/2690 nomme la sécurité de l’e-mail parmi les mesures concrètes. Les assureurs européens reflètent de plus en plus ces attentes dans leurs questionnaires. NIS2 exige-t-elle DMARC ? examine si elle s’applique directement à votre entreprise — mais le sens de l’histoire est à sens unique.

Les lacunes peuvent-elles être corrigées avant mon échéance de renouvellement ?

Presque certainement. Ce sont des réglages, pas des achats — un contact informatique compétent peut généralement publier ou corriger les trois enregistrements en un après-midi, en suivant le rapport de votre domaine et les étapes corriger DMARC. La seule partie qui prend plus de temps est le passage de DMARC à l’application stricte sans perturber l’e-mail légitime — un projet par étapes sur quelques semaines, couvert dans de p=none à p=reject sans perdre d’e-mail légitime. Pour le renouvellement de cette année, un scan daté plus des correctifs en cours, c’est disponible cette semaine.

Questions fréquentes

Et si ma note est mauvaise — dois-je quand même répondre ? Oui, honnêtement. Vous seriez dans la majorité : 89,41 % des 261 086 232 domaines évalués dans le recensement (au 2026-06-29) n’ont aucune politique DMARC contraignante. « Scanné, lacunes identifiées, remédiation en cours » est une réponse assurable ; c’est le mensonge bien tourné qui annule les polices.

Un scan d’aujourd’hui compte-t-il pour « les 12 derniers mois » ? Oui. La question demande si un scan a eu lieu dans les 12 mois précédant votre réponse — un scan lancé aujourd’hui entre dans cette fenêtre. Répondez à la date du rapport, et relancez le scan avant le renouvellement de l’an prochain.

Cela fera-t-il baisser ma prime ? Parfois, et sans promesse. Certains assureurs reflètent une posture démontrée dans la tarification ou les conditions ; d’autres traitent ces questions comme de l’éligibilité, pas de la remise. Demandez à votre courtier, rapport joint — c’est ce qui transforme un peut-être en chiffre, en euros.

Transmettez le rapport — la réponse s’écrit toute seule

Vous n’avez pas besoin de devenir la personne DNS. Lancez le scan gratuit, puis transmettez le rapport et cet article à votre contact informatique. Le rapport lui dit exactement ce qui manque ; cette page lui dit pourquoi c’est sur votre formulaire de renouvellement. Quand le re-scan corrigé revient, la réponse au renouvellement s’écrit toute seule : scanné, daté, noté, remédié. Un e-mail marqué dans votre boîte, clos.

Vérifiez votre domaine → · Ce que vérifient les questionnaires sur votre domaine → · Comment corriger DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.