Votre OVH Mail Pro est-il une porte ouverte ? Le secret choquant pour le blinder

12/09/2025

(Sujets connexes à cet article : )

Vous avez souscrit à une offre d’hébergement web chez OVHcloud et vous utilisez leur service de messagerie inclus ? Vous pensez peut-être que votre adresse e-mail professionnelle est sécurisée par défaut. Malheureusement, la réalité est bien plus alarmante. Une configuration manquante, souvent négligée, expose potentiellement votre entreprise à des risques de sécurité majeurs comme l’usurpation d’identité (spoofing) et le phishing. Selon le rapport 2023 de l’IC3 (Internet Crime Complaint Center) du FBI, les pertes dues à la compromission d’e-mails professionnels (BEC) ont dépassé les 2,7 milliards de dollars, soulignant la gravité de cette menace.

Dans cet article, nous allons décortiquer ce problème critique, comprendre pourquoi la configuration par défaut d’OVH est insuffisante et, surtout, vous fournir un guide pas à pas pour blinder la sécurité de votre messagerie OVH mail pro.

L’essentiel pour sécuriser votre messagerie OVH

Pour les plus pressés, voici un résumé des actions à entreprendre pour protéger efficacement votre messagerie professionnelle OVH et éviter les pièges de l’usurpation d’identité, avec des prévisions pour 2025.

  1. Comprendre le risque : La configuration par défaut d’OVH n’inclut pas les enregistrements DKIM et DMARC, ce qui rend vos e-mails vulnérables à l’usurpation (spoofing) et facilite le phishing contre vos clients.
  2. Configurer l’enregistrement SPF : C’est la première ligne de défense. Assurez-vous que votre enregistrement SPF dans la zone DNS de votre domaine autorise bien les serveurs d’envoi d’OVH.
  3. Activer et configurer le DKIM : Cette signature numérique est essentielle. Vous devez l’activer depuis votre espace client OVH et ajouter les enregistrements DNS correspondants pour garantir l’intégrité de vos messages.
  4. Déployer une politique DMARC : C’est le bouclier final. En ajoutant un enregistrement DMARC, vous indiquez aux serveurs de réception comment traiter les e-mails échouant aux vérifications SPF/DKIM et recevez des rapports sur les tentatives de fraude.

Le Spoofing et le Phishing : des menaces bien réelles

Avant d’entrer dans le vif du sujet, il est essentiel de comprendre deux termes que vous avez sûrement déjà croisés : le spoofing et le phishing.

  1. Le Spoofing (Usurpation d’identité) : C’est une technique où un attaquant falsifie l’en-tête d’un e-mail pour faire croire qu’il provient d’une source de confiance (par exemple, votre propre adresse e-mail). Le but est de tromper le destinataire pour qu’il ouvre une pièce jointe malveillante, clique sur un lien frauduleux ou divulgue des informations sensibles.
  2. Le Phishing (Hameçonnage) : C’est une forme d’escroquerie en ligne où les fraudeurs tentent d’obtenir des informations confidentielles (mots de passe, numéros de carte de crédit, etc.) en se faisant passer pour une entité légitime dans un e-mail ou sur un site web. Le spoofing est très souvent utilisé comme vecteur pour des campagnes de phishing à grande échelle.

L’impact financier de ces attaques est colossal. « Chaque minute, des entreprises perdent des milliers de dollars à cause d’e-mails frauduleux qui auraient pu être bloqués par une configuration DMARC appropriée », affirme un rapport de l’Email Security & Training Annual Report. C’est une réalité qui touche toutes les tailles d’entreprises, y compris les micro-entreprises et les indépendants utilisant des services comme OVH mail pro.

SPF, DKIM, DMARC : Les 3 piliers de la sécurité de vos e-mails

Pour lutter contre ces menaces, trois normes d’authentification des e-mails ont été développées. Elles fonctionnent de concert pour vérifier qu’un e-mail est bien légitime.

SPF (Sender Policy Framework)

Le SPF est un enregistrement dans votre zone DNS qui liste les adresses IP et les serveurs autorisés à envoyer des e-mails en votre nom. Quand un serveur de messagerie reçoit un e-mail, il vérifie l’enregistrement SPF du domaine de l’expéditeur pour s’assurer que l’IP d’envoi est bien dans la liste autorisée.

Analogie : C’est comme si vous donniez à la poste une liste des boîtes aux lettres depuis lesquelles vos courriers peuvent être postés. Si un courrier arrive d’une boîte non listée, la poste le considère comme suspect.

DKIM (DomainKeys Identified Mail)

Le DKIM ajoute une signature numérique à chaque e-mail que vous envoyez. Cette signature est créée à l’aide d’une clé privée connue uniquement de votre serveur d’envoi. Le serveur du destinataire utilise une clé publique (disponible dans votre zone DNS) pour vérifier cette signature. Si la signature est valide, cela garantit deux choses :

  1. L’e-mail provient bien de votre domaine.
  2. Le contenu de l’e-mail n’a pas été altéré pendant le transport.
A lire :  Heure miroir 17h17 : Le message bouleversant que votre ange vous envoie en amour !

Analogie : C’est comme sceller une enveloppe avec un sceau de cire unique. Si le sceau est intact à l’arrivée, le destinataire sait que la lettre vient bien de vous et qu’elle n’a pas été ouverte.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC est la couche supérieure qui utilise SPF et DKIM. C’est une politique que vous publiez dans votre DNS pour dire aux serveurs de réception ce qu’ils doivent faire si un e-mail prétendant venir de vous échoue aux vérifications SPF et/ou DKIM. Vous pouvez leur dire de :

  1. none : Ne rien faire de spécial, juste me le signaler (utile pour commencer).
  2. quarantine : Mettre l’e-mail dans le dossier spam.
  3. reject : Rejeter complètement l’e-mail.

DMARC permet aussi de recevoir des rapports détaillés sur qui envoie des e-mails en utilisant votre nom de domaine, ce qui est extrêmement précieux pour détecter les tentatives d’usurpation. Selon DMARC.org, l’adoption de cette norme a connu une croissance de plus de 80% chez les entreprises du Fortune 500 au cours des cinq dernières années, preuve de son efficacité reconnue.

Le problème avec la configuration par défaut d’OVH

Lors de la création d’un service de messagerie chez OVH (inclus avec un hébergement ou via une offre OVH Mail Pro), OVH configure automatiquement certaines choses dans votre zone DNS. Notamment, un enregistrement SPF est généralement mis en place. Voici à quoi il ressemble souvent :

v=spf1 include:mx.ovh.com ~all

Cet enregistrement indique que seuls les serveurs de messagerie d’OVH (mx.ovh.com) sont autorisés à envoyer des e-mails pour votre domaine. Le ~all signifie que si un e-mail provient d’un autre serveur, il doit être traité comme « soft fail », c’est-à-dire qu’il est suspect mais pas forcément rejeté.

Mais où est le problème ?

Le problème est qu’OVH ne configure ni le DKIM, ni le DMARC par défaut !

Cela signifie que :

  1. Vos e-mails ne sont pas signés numériquement (pas de DKIM). N’importe qui peut copier le contenu de vos e-mails, le modifier et le renvoyer, et le destinataire n’aura aucun moyen de savoir qu’il a été altéré.
  2. Vous n’avez aucune politique en place pour dire aux serveurs de réception quoi faire en cas d’échec des vérifications (pas de DMARC).
  3. Vous ne recevez aucun rapport sur les tentatives d’usurpation de votre domaine.

En résumé, votre configuration est incomplète et vous laisse, ainsi que vos clients, vulnérables. Un attaquant peut assez facilement envoyer des e-mails frauduleux en se faisant passer pour vous, et ces e-mails ont de bonnes chances de passer entre les mailles du filet des filtres anti-spam.

 

La solution : Activer DKIM et DMARC pour votre domaine chez OVH

Heureusement, il est possible de corriger cette faille de sécurité. OVH permet d’activer DKIM pour ses services de messagerie, mais la fonctionnalité est quelque peu cachée et n’est pas activée par défaut. Voici le guide complet pour sécuriser votre domaine.

Étape 1 : Activer le DKIM dans l’espace client OVH

  1. Connectez-vous à votre espace client OVHcloud.
  2. Allez dans la section Web Cloud.
  3. Dans la colonne de gauche, sous Emails, sélectionnez votre service de messagerie (celui associé à votre nom de domaine).
  4. Cliquez sur l’onglet Domaines.
  5. Vous verrez la liste de vos domaines associés à ce service mail. Pour le domaine concerné, regardez la colonne « DKIM ». Par défaut, il est probable que le statut soit « Désactivé ».
  6. Cliquez sur les trois petits points ... à droite de votre domaine et sélectionnez Activer le DKIM.
  7. Une fenêtre va s’ouvrir, vous demandant de confirmer. Cliquez sur Valider.

Le statut du DKIM va passer à « En cours de création ». Cette opération peut prendre quelques minutes à quelques heures. Une fois terminée, le statut passera à « Activé ».

Attention : Activer le DKIM ici ne suffit pas ! OVH va maintenant générer les clés DKIM, mais il vous faudra ensuite les ajouter manuellement à votre zone DNS. C’est l’étape cruciale que beaucoup de gens oublient.

Étape 2 : Récupérer les informations DKIM et les ajouter à la zone DNS

  1. Une fois le DKIM « Activé » dans l’onglet Domaines, cliquez à nouveau sur les trois petits points ... et sélectionnez cette fois Afficher les enregistrements DKIM.
  2. Une fenêtre va apparaître avec deux enregistrements de type CNAME à configurer. Ils ressembleront à ceci :






















    TypeSous-domaineCible
    CNAMEovh._domainkeyovh.dkim.mail.ovh.net.
    CNAMEovh2._domainkeyovh2.dkim.mail.ovh.net.


  3. Copiez ces informations précieusement.
  4. Maintenant, allez dans votre Zone DNS. Pour cela, retournez dans la section Web Cloud, cliquez sur Noms de domaine, sélectionnez votre domaine, puis allez dans l’onglet Zone DNS.
  5. Cliquez sur Ajouter une entrée.
  6. Pour le premier enregistrement :
    1. Sélectionnez le type CNAME.
    2. Dans le champ Sous-domaine, collez ovh._domainkey.
    3. Dans le champ Cible, collez ovh.dkim.mail.ovh.net. (Attention au point à la fin, il est important !).
    4. Validez.
  7. Répétez l’opération pour le deuxième enregistrement :
    1. Sélectionnez le type CNAME.
    2. Dans le champ Sous-domaine, collez ovh2._domainkey.
    3. Dans le champ Cible, collez ovh2.dkim.mail.ovh.net. (N’oubliez pas le point final).
    4. Validez.
A lire :  21h21 Signification Amour : Le Secret Angélique pour un Succès Amoureux Éblouissant !

La propagation des DNS peut prendre jusqu’à 24 heures, mais c’est souvent beaucoup plus rapide. Une fois propagé, votre DKIM sera pleinement fonctionnel.

Étape 3 : Mettre en place l’enregistrement DMARC

C’est la dernière étape pour boucler la boucle. Vous allez ajouter un dernier enregistrement à votre zone DNS pour définir votre politique DMARC.

  1. Retournez dans votre Zone DNS et cliquez sur Ajouter une entrée.
  2. Sélectionnez le type d’enregistrement TXT.
  3. Dans le champ Sous-domaine, entrez _dmarc.
  4. Dans le champ Valeur, collez la ligne suivante. C’est une configuration de départ sûre :

v=DMARC1; p=none; rua=mailto:votre-email@votredomaine.com;

Décortiquons cette valeur :

  • v=DMARC1 : Indique que c’est un enregistrement DMARC.
  • p=none : C’est la politique. « none » signifie que vous ne demandez pas aux serveurs de rejeter ou de mettre en quarantaine les e-mails qui échouent, mais seulement de vous envoyer des rapports. C’est parfait pour commencer et analyser les rapports.
  • rua=mailto:votre-email@votredomaine.com : C’est l’adresse à laquelle vous recevrez les rapports DMARC agrégés. Remplacez votre-email@votredomaine.com par une adresse e-mail qui vous appartient.
  1. Validez l’enregistrement.

Une fois que vous aurez reçu et analysé les rapports pendant quelques semaines et que vous serez sûr que tous vos e-mails légitimes passent bien les vérifications SPF et DKIM, vous pourrez renforcer votre politique DMARC en passant à p=quarantine puis, idéalement, à p=reject.

Foire Aux Questions (FAQ)

Est-ce que cette manipulation est risquée ? Puis-je bloquer mes propres e-mails ?
Si vous suivez les étapes attentivement, le risque est minime. L’utilisation de la politique DMARC p=none au début est une sécurité : elle vous permet de surveiller sans bloquer. Le risque principal serait de mal copier-coller les enregistrements DNS. Vérifiez toujours deux fois avant de valider.
Je n’utilise pas que OVH pour envoyer des e-mails (ex: Mailchimp, Sendinblue…). Que dois-je faire ?
C’est une excellente question. Votre enregistrement SPF doit inclure TOUS les services que vous utilisez pour envoyer des e-mails. Par exemple, si vous utilisez aussi Mailchimp, votre enregistrement SPF ressemblera à : v=spf1 include:mx.ovh.com include:servers.mcsv.net ~all. Chaque service tiers fournit l’enregistrement « include » à ajouter. De même, vous devrez configurer le DKIM pour chaque service d’envoi.
Pourquoi OVH ne fait-il pas ça par défaut ?
C’est la question à un million d’euros. Il est possible que ce soit pour ne pas complexifier la configuration pour les utilisateurs novices ou parce que leur système de gestion DNS est distinct des services mail. Cependant, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande fortement l’implémentation de SPF, DKIM et DMARC comme une mesure d’hygiène de base. « L’authentification des e-mails n’est plus une option, c’est une nécessité pour protéger la réputation de sa marque et la sécurité de ses correspondants », peut-on lire dans leurs guides de bonnes pratiques.
Comment puis-je vérifier que tout est bien configuré ?
Il existe de nombreux outils en ligne gratuits pour cela. L’un des plus connus est MXToolbox. Vous pouvez y tester vos enregistrements SPF, DKIM et DMARC. Un autre excellent service est mail-tester.com : envoyez un e-mail à l’adresse unique qu’ils vous fournissent, et ils vous donneront un rapport détaillé sur votre configuration, y compris la validité de vos signatures SPF et DKIM.

Conclusion

La sécurité de votre messagerie professionnelle ne doit jamais être prise à la légère. En ne configurant pas DKIM et DMARC, la configuration par défaut d’OVH laisse une porte ouverte aux cybercriminels. En prenant une petite heure pour suivre ce guide, vous augmentez de manière drastique la sécurité de vos communications, protégez la réputation de votre marque, améliorez la délivrabilité de vos e-mails légitimes et luttez activement contre le fléau du phishing. Ne remettez pas à demain cette action simple mais cruciale pour la sécurité de votre OVH mail pro et la confiance de vos clients en 2025.

4.5
12 votes
Post Views: 5

7 réflexions au sujet de “Votre OVH Mail Pro est-il une porte ouverte ? Le secret choquant pour le blinder”

  1. Cet article est super utile ! J’ai appris l’importance de sécuriser mes e-mails et j’ai déjà commencé à suivre les conseils.

    Répondre

  2. La sécurité des e-mails est essentielle, surtout dans l’événementiel. Protéger notre communication, c’est garantir la confiance de nos clients !

    Répondre

  3. C’est vraiment crucial de sécuriser son e-mail pro ! J’ai eu des soucis et maintenant je fais toujours ces vérifications.

    Répondre

  4. Merci pour ces conseils utiles ! Je ne savais pas qu’il fallait configurer DKIM et DMARC. Avez-vous d’autres astuces pour sécuriser encore plus mes e-mails ?

    Répondre

  5. Il est essentiel de protéger notre messagerie. Merci pour ce guide clair et utile, ça m’encourage à agir pour la sécurité de mes e-mails !

    Répondre

  6. La sécurité des e-mails est tellement cruciale, surtout dans notre monde numérique. Merci pour ce guide; je vais m’y atteler immédiatement.

    Répondre

  7. La sécurité des e-mails est essentielle. Activer DKIM et DMARC protège vraiment contre les attaques. Merci pour ce guide clair!

    Répondre

Laisser un commentaire

Inscrivez-vous


Ce serai dommage de passer à coté des news,
PROMOTIONS & RÉDUCTIONS EXECLUSIVES
( -5 à -30% ) de nos partenaires.

Donnez-nous votre meilleur E-mail !

Newsletter petit