Fin 2023, les sphères de la sécurité et de la messagerie électronique étaient en ébullition suite à la décision conjointe de Google, Yahoo et Apple d’appliquer des exigences plus strictes en matière d’authentification des emails pour les expéditeurs d’emails à diffusion massive. Bien que l’application de ces mesures, qui a débuté au premier trimestre 2024, ait mis du temps à démarrer, elle semble aujourd’hui s’accélérer. Il ne fait plus aucun doute que la tendance globale à l’authentification obligatoire des emails se généralise.
Avec son annonce faite le 2 avril 2025, Microsoft poursuit sur cette lancée en imposant des exigences similaires pour ses domaines Outlook grand public, à savoir hotmail.com, live.com et outlook.com.
D’après l’annonce de Microsoft, Outlook exigera sous peu la conformité aux normes SPF, DKIM et DMARC pour les domaines qui envoient plus de 5 000 emails par jour, afin de « préserver la confiance dans l’écosystème numérique ».
Dès le 5 mai 2025, les messages dont l’authentification échoue seront transférés vers le dossier Courrier indésirable et, à terme, pourront être totalement rejetés s’ils ne respectent pas les exigences de conformité.
Pour être jugés conformes, les expéditeurs devront respecter les exigences minimales suivantes :
SPF (Sender Policy Framework)
- Le domaine d’envoi doit se soumettre avec succès à la vérification.
- L’enregistrement DNS SPF du domaine doit recenser fidèlement les adresses IP/hôtes autorisés à envoyer des messages pour le compte de ce domaine.
DKIM (DomainKeys Identified Mail)
- La vérification doit réussir pour valider l’intégrité et l’authenticité des emails.
DMARC (Domain-based Message Authentication , Reporting et Conformance)
- L’enregistrement DMARC doit avoir une politique définie sur « p=none » au minimum et être aligné sur SPF ou DKIM (de préférence les deux).
Microsoft a également fixé d’autres exigences :
- Adresses d’expédition fonctionnelles. Les expéditeurs doivent saisir dans les champs « From » et/ou « Reply‐To » des adresses email valides, qui incluent le domaine d’envoi et peuvent recevoir des réponses.
- Mécanismes de désinscription fonctionnels. Les expéditeurs doivent offrir une méthode simple et clairement visible permettant aux destinataires de se désabonner des listes de diffusion. Cela s’applique tout particulièrement aux emails à diffusion massive ou marketing.
- Nettoyage de listes et gestion des messages retournés. Les expéditeurs doivent supprimer régulièrement les adresses non valides pour réduire les plaintes pour spam, ainsi que les messages retournés et perdus.
- Pratiques transparentes en matière de publipostage. Les expéditeurs doivent utiliser des lignes d’objet précises, éviter les en-têtes trompeurs et veiller à ce que leurs destinataires aient donné leur consentement pour l’envoi de messages.
Chronologie de l’introduction d’exigences en matière d’authentification
Même si ces exigences ne s’appliquent qu’aux expéditeurs à volume élevé, Microsoft recommande à tous les expéditeurs d’adopter les normes d’authentification SPF, DKIM et DMARC en guise de bonne pratique.
Vous craignez d’être concerné ? Proofpoint peut vous aider
En matière d’authentification des emails, Proofpoint est un leader du secteur. Même si nous collaborons avec des sociétés de toutes tailles, nous pouvons nous targuer d’aider plus d’entreprises figurant au classement Fortune 1000 à implémenter DMARC que nos cinq principaux concurrents réunis. Nous disposons des outils, des ressources et de l’expérience nécessaires pour évaluer votre position, et pouvons vous aider à satisfaire les nouvelles exigences plus efficacement que si vous vous y étiez attelé seul.
Et cela ne se limite pas à l’authentification. En fait, notre plate-forme de sécurité centrée sur les personnes est la seule architecture de sécurité moderne à adopter une approche complète, adaptative et efficace pour protéger les ressources stratégiques de votre entreprise contre les principaux risques, à savoir vos collaborateurs.
Découvrez tout ce qu’il faut savoir sur notre solution Proofpoint Email Fraud Defense pour l’authentification des emails ou sur notre plate-forme Human-Centric Security. N’hésitez pas non plus à nous contacter.
