Defaults.Exposed › Corrections › Guides
Ce vieux domaine de votre changement de marque est une porte laissée ouverte — comment verrouiller les domaines qui n'envoient aucun e-mail (2026)
Publié 2026-07-08
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués — nous ne publions jamais les résultats d’un domaine individuel. Voir comment nous notons.
Un domaine qui n’envoie jamais d’e-mail peut quand même être utilisé pour envoyer des e-mails au nom de votre entreprise — fausses factures, demandes fournisseurs, changements de paie — à moins que son DNS n’indique le contraire. Trois enregistrements gratuits le verrouillent, environ dix minutes par domaine. 46,4 % des domaines n’ont aucun enregistrement SPF du tout, selon le recensement Defaults.Exposed portant sur 261 086 232 domaines (au 2026-06-29).
Le correctif est court et gratuit : pour chaque domaine que vous possédez mais dont vous n’envoyez jamais, publiez trois petits enregistrements DNS (plus un quatrième optionnel) qui disent aux systèmes de messagerie du monde entier « personne n’est autorisé à envoyer en tant que ce domaine, rejetez tout ce qui essaie, et il ne reçoit pas de courrier non plus ». Ce guide donne les enregistrements exacts, comment retrouver les domaines que vous avez oubliés, et quoi remettre à votre personne informatique.
De quels domaines parle-t-on ?
Presque toute entreprise de plus de quelques années en a :
- L’ancien nom. Vous avez changé de marque en 2014 et gardé l’ancien domaine « pour que personne d’autre ne le récupère ». Il se renouvelle encore sur la carte de crédit de quelqu’un ; personne ne l’a regardé depuis.
- Les enregistrements défensifs. Le
.comque vous avez acheté à côté de votre.ieou.de, la version avec tiret, la faute d’orthographe courante. - Les enregistrements de l’agence. Un domaine de campagne qu’une agence marketing a enregistré en votre nom il y a des années — pas forcément même dans votre compte registrar.
- Le domaine qui redirige simplement. Il envoie les visiteurs vers votre vrai site web, donc ça semble réglé. Ça ne l’est pas : la redirection web ne fait rien pour l’e-mail.
Aucun de ces domaines n’envoie d’e-mail. Tous peuvent — pour un serveur de messagerie destinataire, un domaine sans enregistrements e-mail n’est pas « fermé », il est « non revendiqué ». N’importe qui peut mettre votre ancien nom dans la ligne From d’un e-mail frauduleux, et le destinataire n’a reçu aucune raison de le refuser.
Pourquoi un domaine qui n’envoie rien peut-il être utilisé pour envoyer des e-mails en mon nom ?
L’e-mail a été bâti sur la confiance : par défaut, n’importe quel serveur n’importe où peut prétendre envoyer au nom de n’importe quel domaine. Les enregistrements qui révoquent cette confiance ne fonctionnent que si quelqu’un les publie — et sur un domaine en attente, personne ne l’a jamais fait. Votre domaine actif a probablement reçu une partie de cela lors de la configuration de l’e-mail ; le domaine du changement de marque n’a rien eu.
Les chiffres disent à quel point c’est normal. Sur les 261 086 232 domaines évalués dans le recensement Defaults.Exposed (au 2026-06-29), 46,4 % ne publient aucun enregistrement SPF, et 89,41 % n’ont aucune politique DMARC appliquée — le réglage qui dit aux destinataires de rejeter les imposteurs. Les domaines en attente se trouvent à l’extrémité de cette courbe : personne n’a configuré l’e-mail dessus, donc personne n’a jamais publié les enregistrements qui ferment la porte.
Et l’ancien nom est un meilleur déguisement qu’un sosie aléatoire : une facture « de » le nom sous lequel vos clients vous connaissaient depuis dix ans ne fait sourciller personne — le scénario de cette histoire de fraude à la facture que vous avez entendue — pourrait-elle arriver à votre entreprise ?. Si vous soupçonnez que c’est déjà en train de se produire, commencez par quelqu’un envoie-t-il des e-mails en prétendant être vous ?.
Quels enregistrements verrouillent un domaine qui n’envoie aucun e-mail ?
L’ensemble complet de verrouillage : un travail de dix minutes par domaine, chaque enregistrement gratuit, aucun service e-mail requis — juste l’accès aux réglages DNS du domaine.
| Enregistrement | Où il va | Valeur | Ce qu’il indique au monde |
|---|---|---|---|
| SPF | Enregistrement TXT sur le domaine lui-même | v=spf1 -all | Personne, nulle part, n’est autorisé à envoyer un e-mail en tant que ce domaine |
| DMARC | Enregistrement TXT à _dmarc.votreanciendomaine.com | v=DMARC1; p=reject; rua=mailto:[email protected] | Rejetez tout ce qui prétend être ce domaine — et envoyez-moi un rapport pour que je voie les tentatives |
| MX nul | Enregistrement MX sur le domaine, priorité 0, valeur . | MX 0 . (RFC 7505) | Ce domaine ne reçoit aucun courrier — n’essayez même pas de livrer ici |
| Révocation DKIM (optionnel) | Enregistrement TXT à *._domainkey.votreanciendomaine.com | v=DKIM1; p= | Toute signature e-mail prétendant venir de ce domaine est révoquée |
Les trois premiers forment l’ensemble ; le quatrième est ceinture et bretelles. L’adresse de rapport DMARC (rua) est la différence entre une porte verrouillée et une porte verrouillée avec une caméra : si quelqu’un essaie d’envoyer en tant que votre ancien domaine, les rapports sont la façon dont vous le découvrez.
Comment verrouiller un domaine en attente ?
- Scannez chaque domaine gratuitement sur defaults.exposed d’abord — deux minutes chacun montrent exactement quels enregistrements manquent avant que quiconque ne touche au DNS.
- Connectez-vous au DNS de ce domaine — généralement le panneau de contrôle du registrar. Si l’agence l’a enregistré, cette étape est un e-mail à l’agence.
- Ajoutez l’enregistrement SPF : un enregistrement TXT sur le domaine lui-même avec la valeur
v=spf1 -all. Il doit y avoir exactement un enregistrement commençant parv=spf1. - Ajoutez l’enregistrement DMARC : un enregistrement TXT à
_dmarcavecv=DMARC1; p=reject; rua=mailto:..., pointant les rapports vers une boîte sur un domaine que vous utilisez réellement. Note pour votre personne informatique : les rapports qui traversent les domaines ont besoin de l’enregistrement d’autorisation externe (votreanciendomaine.com._report._dmarc.votre-domaine-actif.com) sur le domaine actif, sinon ils n’arrivent jamais, silencieusement. - Ajoutez le MX nul : un enregistrement MX avec priorité
0et valeur.— la façon standard (RFC 7505) de déclarer que le domaine ne reçoit aucun courrier. - Ajoutez éventuellement la révocation DKIM : un enregistrement TXT à
*._domainkeyavecv=DKIM1; p=. - Relancez le scan pour confirmer. Le rapport noté est une preuve datée que la porte est fermée — conservez-le pour le renouvellement d’assurance.
Une mise en garde : cet ensemble concerne les domaines qui n’envoient et ne reçoivent réellement rien. Si l’ancien domaine transfère encore discrètement du courrier vers vous, il n’est pas en attente — il a besoin de vrais enregistrements à la place : voir la checklist e-mail nouveau domaine, comment corriger SPF et comment corriger DMARC.
Comment retrouver les domaines que j’ai oublié de posséder ?
La plupart des propriétaires ne peuvent pas lister leurs domaines de mémoire — c’est tout le problème. Quatre endroits où chercher : votre compte registrar (exportez la liste complète — il y en a généralement plus que vous ne le pensez) ; les anciennes factures et relevés de carte pour les frais de renouvellement de registrars oubliés ; l’agence marketing et votre prestataire informatique, interrogés directement — « quels domaines avez-vous jamais enregistrés pour nous ? » ; et les anciens dossiers de campagne. Puis scannez chacun sur defaults.exposed. Un domaine que vous avez laissé expirer est une autre histoire — n’importe qui peut le réenregistrer, une bonne raison de continuer à payer les 15 € par an pour ceux qui portent votre ancien nom.
Questions fréquentes
L’ancien domaine redirige simplement vers notre site — cela ne signifie-t-il pas que c’est réglé ? Non. La redirection gère les personnes qui visitent le domaine ; elle ne fait rien pour l’e-mail envoyé en tant que lui — l’état par défaut pour 46,4 % de tous les 261 086 232 domaines du recensement (au 2026-06-29). Le verrouiller ne cassera pas non plus la redirection : ces enregistrements ne concernent que l’e-mail.
Cela arrête-t-il vraiment la fraude ? Cela empêche votre domaine exact d’être utilisé chez tout fournisseur de messagerie qui honore ces enregistrements — y compris tous les grands que vos clients utilisent. Cela n’arrête pas les domaines sosies, un problème distinct couvert dans quelqu’un usurpe-t-il votre domaine ?. Verrouillé plus surveillé est la position la plus solide qu’un domaine en attente puisse avoir — alors que 89,41 % de tous les 261 086 232 domaines évalués n’ont pas appliqué de politique même sur leur domaine principal (au 2026-06-29).
Combien cela coûte-t-il et combien de temps cela prend-il ? Rien, et environ dix minutes par domaine — les enregistrements sont gratuits et il n’y a aucun service auquel s’abonner. Retrouver vos domaines prend généralement plus longtemps que les corriger. Et c’est chaque domaine, pas seulement les importants : la fraude n’a besoin que de celui que vous sautez.
Remettez la liste à votre personne informatique
Ajoutez chaque domaine trouvé à la liste que vous envoyez à votre personne informatique — avec cet article, qui contient les enregistrements exacts dont elle a besoin. Faites-lui relancer le scan gratuit ensuite et transmettez-vous les rapports notés : preuve datée, en langage clair, que chaque nom que vous possédez est verrouillé. C’est la pile de papier que vous voulez à côté du formulaire de renouvellement de cyberassurance.
Vérifiez votre domaine → · Cette histoire de fraude à la facture que vous avez entendue → · Comment corriger DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.