Ce guide détaille les mécanismes de l'usurpation d'identité électronique (spoofing) et les mesures de protection contre les messages indésirables semblant provenir de votre propre domaine.

Mon compte a-t-il été utilisé à mon insu ?

Recevoir un e-mail dont vous semblez être l'expéditeur est une technique courante de manipulation psychologique. Cela ne signifie pas que votre boîte mail a été forcée. Dans la majorité des cas, il s'agit d'une simple falsification de l'en-tête « From », comparable à une personne qui écrirait votre adresse au dos d'une enveloppe papier avant de la poster.

Assurez-vous que votre propre adresse n'est pas inscrite dans la liste blanche (Allowlist) de votre filtre antispam. Si elle s'y trouve, le système de protection ignore l'analyse de sécurité, pensant que le message est légitime.

Diagnostic : Usurpation vs Piratage

Il est crucial de distinguer la falsification (mail forging) de l'intrusion. Le protocole mondial d'envoi d'e-mails (SMTP) a été conçu sans vérification native de l'identité de l'expéditeur.

Renforcer l'intégrité de votre domaine

Pour protéger votre réputation numérique et limiter l'impact de ces usurpations, le déploiement de protocoles d'authentification est la norme professionnelle :

• SPF & DKIM : Ces signatures numériques certifient que vos messages proviennent bien de nos serveurs autorisés.
• DMARC : Ce protocole essentiel vous permet de donner des instructions aux serveurs du monde entier (ex: "Si l'e-mail n'est pas signé par Infomaniak, refusez-le ou placez-le en spam"). C'est l'outil le plus puissant pour analyser et limiter l'usage frauduleux de votre domaine.
• Gestion du catch-all : Évitez d'utiliser une adresse de type "catch-all", qui collecte tous les messages envoyés à des adresses inexistantes de votre domaine, car elle attire naturellement les flux de spams massifs.

Notifications d'échec (Backscatter)

Si vous recevez des avis de non-distribution (Non-Delivery Reports) pour des messages que vous n'avez jamais rédigés, vous faites face au phénomène de Backscatter. Des serveurs tiers mal configurés ou des botnets utilisent votre identité pour diffuser du contenu en masse. Lorsqu'ils rencontrent une adresse inexistante, le serveur distant renvoie l'erreur à l'expéditeur affiché : vous.