SPF, DKIM et DMARC : une adoption en forte croissance dans la zone .fr

L’authentification des courriels est devenue un enjeu crucial pour lutter contre l’usurpation d’identité et les attaques par hameçonnage. Dans ce contexte, trois protocoles de sécurité, SPF, DKIM et DMARC, jouent un rôle clé dans la protection des communications électroniques. Une étude récente menée par l’Afnic montre une adoption en nette progression de ces mécanismes dans la zone .fr, marquant une évolution significative par rapport à l’année précédente.

Qu’est-ce que SPF, DKIM et DMARC ?

Avant de plonger dans les résultats de l’étude, il est utile de rappeler le rôle de ces trois protocoles :

• SPF (Sender Policy Framework) : Ce mécanisme permet à un administrateur de domaine de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de son domaine. Cela se fait via des enregistrements DNS.
• DKIM (DomainKeys Identified Mail) : DKIM ajoute une signature cryptographique aux e-mails, permettant au serveur récepteur de vérifier que le message n’a pas été altéré et qu’il provient bien du domaine revendiqué.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) : Ce protocole s’appuie sur SPF et DKIM pour déterminer si un e-mail est authentique. Il permet également au propriétaire du domaine de définir des actions à prendre si les vérifications échouent (quarantaine, rejet ou aucune action).

Ces trois mécanismes combinés forment une défense efficace contre les tentatives d’usurpation d’identité dans les courriels.

Les résultats clés de l’étude Afnic 2024

L’étude menée par l’Afnic sur plus de 4 millions de noms de domaine en .fr révèle une adoption croissante des protocoles SPF, DKIM et DMARC en 2024 par rapport à 2023.

Adoption du SPF

Le SPF est désormais largement déployé dans la zone .fr :

• 74,4 % des domaines avec un enregistrement MX publient une politique SPF, contre seulement 57,8 % en 2023.

Cette augmentation s’accompagne d’une meilleure conformité aux bonnes pratiques. Par exemple, la proportion des politiques SPF suffisamment restrictives est passée de 97,74 % à 99,75 %, ce qui montre que les administrateurs prennent soin de configurer correctement leurs politiques.

Adoption du DKIM

Le déploiement du DKIM a également progressé :

• 33 % des domaines semblent avoir mis en place DKIM en 2024, contre 23,1 % en 2023.

Bien que cette augmentation soit notable, elle reste inférieure à celle du SPF. Cela peut s’expliquer par la complexité technique légèrement plus élevée du déploiement de DKIM.

Adoption du DMARC

Le DMARC connaît la plus forte progression :

• 16,6 % des domaines publient une politique DMARC en 2024, contre seulement 7,8 % en 2023.

Cette montée en flèche s’accompagne d’une diminution des politiques DMARC les moins strictes (p=none), au profit des politiques p=quarantine et p=reject, qui offrent une meilleure protection contre les courriels frauduleux.

L’entrée timide du BIMI

Un autre mécanisme étudié cette année est le BIMI (Brand Indicators for Message Identification). BIMI permet d’afficher un logo à côté des messages authentifiés via DMARC. Cependant, son adoption reste très limitée :

• Seulement 2 295 domaines avec un enregistrement MX ont publié un enregistrement BIMI.

Parmi eux, seuls 58 domaines ont complété leur déploiement avec un certificat VMC (Verified Mark Certificate), exigé par certains fournisseurs pour afficher le logo.

Les facteurs expliquant cette évolution

Plusieurs facteurs peuvent expliquer cette adoption croissante :

1. Exigences des fournisseurs de messagerie : Depuis février 2024, certains grands fournisseurs comme Gmail et Yahoo exigent que les expéditeurs aient mis en place SPF ou DKIM pour envoyer des e-mails vers leurs utilisateurs. Pour les expéditeurs importants (plus de 5 000 courriels par jour), ils exigent également DMARC.
2. L’attrait du BIMI : Bien que l’adoption soit encore faible, la perspective d’afficher un logo à côté des e-mails incite certaines entreprises à renforcer leur politique DMARC pour être éligibles au BIMI.
3. Normes industrielles et régulations : Des normes comme PCI-DSS (qui deviendra obligatoire pour certaines entreprises à partir d’avril 2025) poussent également à l’adoption généralisée de ces protocoles.
4. Lutte contre le phishing sophistiqué : Avec l’essor des IA génératives capables de créer des attaques par hameçonnage très ciblées (spear phishing), il devient essentiel pour les entreprises de sécuriser leurs communications électroniques.

Les défis restants

Malgré ces progrès notables, plusieurs défis subsistent :

• L’externalisation des services d’envoi d’e-mails peut affaiblir l’efficacité du SPF si les prestataires ne respectent pas strictement les bonnes pratiques.
• Le marché émergent des certificats VMC pour BIMI semble dominé par des acteurs américains comme DigiCert et Entrust. Cela pose la question d’une concentration excessive du marché autour d’acteurs non européens.

A retenir

L’adoption croissante de SPF, DKIM et DMARC dans la zone .fr est encourageante et contribue à renforcer la sécurité des communications électroniques. Cependant, il reste encore beaucoup à faire pour garantir une mise en œuvre correcte et généralisée de ces protocoles.

Pour ceux qui souhaitent approfondir leurs connaissances ou améliorer la sécurité de leur domaine, l’Afnic propose diverses ressources et formations sur ces sujets essentiels.

---

Didacticiels One2Net sur le sujet

• Créer un enregistrement SPF, Sender ID ou DKIM – Aide One2Net
• Comprendre et mettre en œuvre DMARC pour la sécurité des emails – Aide One2Net

---

Découvrez plus d’informations sur cette étude détaillée sur le site officiel de l’Afnic.

Consultez l’étude complète sur l’adoption croissante de SPF, DKIM et DMARC dans la zone .fr.