Comment résoudre les problèmes d'usurpation d'adresse e-mail dans WordPress (étape par étape)

L'usurpation d'adresse e-mail WordPress se produit lorsque des e-mails semblent provenir de votre domaine mais ne disposent pas d'une authentification appropriée, ce qui entraîne des échecs de livraison et des risques pour la sécurité.

Il se peut que vos formulaires de contact définissent les adresses e-mail des visiteurs comme expéditeurs, que votre serveur envoie des e-mails non authentifiés ou que votre domaine ne dispose tout simplement pas des enregistrements DNS prouvant votre propriété légitime.

Cela pose deux problèmes principaux : vos e-mails légitimes sont bloqués ou marqués comme spam, et des acteurs malveillants peuvent plus facilement usurper l'identité de votre domaine pour envoyer des messages frauduleux.

Dans ce guide, nous allons résoudre ces problèmes d'usurpation d'identité en configurant WP Mail SMTP avec une authentification appropriée, en configurant vos enregistrements DNS avec SPF, DKIM et DMARC, et en nous assurant que vos formulaires de contact gèrent correctement les adresses d'expéditeur.

Comment résoudre les problèmes d'usurpation d'adresse e-mail sur WordPress

Nous allons commencer par comprendre à quoi ressemble l'usurpation d'adresse e-mail dans WordPress et pourquoi elle se produit. Ensuite, nous configurerons WP Mail SMTP avec une authentification appropriée, qui est la méthode la plus fiable pour éliminer les problèmes d'usurpation et garantir que vos e-mails parviennent à leur destination.

Étape 1 : Comprendre l'usurpation d'adresse e-mail dans WordPress
Étape 2 : Diagnostiquez votre statut actuel d'authentification des e-mails
Étape 3 : Configurer les enregistrements d'authentification des e-mails (niveau DNS)
Étape 4 : Installer et configurer WP Mail SMTP
Étape 5 : Configuration BIMI (avancée)
Étape 6 : Testez votre configuration de messagerie électronique

Étape 1 : Comprendre l'usurpation d'adresse e-mail dans WordPress

L'usurpation d'adresse e-mail dans WordPress se produit lorsque votre site envoie des e-mails qui semblent légitimes, mais dont l'authenticité ne peut être prouvée aux serveurs de messagerie destinataires.

Cela se produit parce que WordPress utilise par défaut la fonction mail de base de PHP, qui envoie des messages sans protocoles d'authentification appropriés.

Le scénario d'usurpation d'identité le plus courant concerne les formulaires de contact. Lorsqu'une personne remplit votre formulaire de contact, de nombreux plugins définissent automatiquement son adresse e-mail comme expéditeur.

Un autre problème fréquent concerne les e-mails système envoyés par WordPress (réinitialisation de mot de passe, inscriptions d'utilisateurs, confirmations de commande) qui utilisent votre nom de domaine, mais sans les signatures cryptographiques prouvant que le message provient bien de votre serveur.

Les fournisseurs de messagerie tels que Gmail et Outlook rejettent de plus en plus ces messages non authentifiés, un problème abordé plus en détail dans notre guide sur la compréhension de la délivrabilité des e-mails.

Voici les principaux signes indiquant que votre site WordPress présente des problèmes d'usurpation d'identité :

Les soumissions du formulaire de contact ne parviennent pas aux destinataires
Vos e-mails atterrissent systématiquement dans les dossiers spam.
Vous recevez des messages de rejet concernant des échecs d'authentification.
Les fournisseurs de messagerie affichent des avertissements concernant les « expéditeurs non vérifiés ».
Votre domaine apparaît dans des rapports de phishing que vous n'avez pas envoyés.

La cause profonde est toujours la même : vos e-mails ne disposent pas des signatures numériques et des enregistrements DNS requis par les normes modernes en matière de sécurité des e-mails.

Pour résoudre ce problème, il faut passer à un SMTP authentifié et configurer des enregistrements d'authentification de messagerie appropriés, ce que nous aborderons dans les étapes suivantes.

WP Mail SMTP Illustration de la délivrabilité des courriels

Corrigez vos emails WordPress dès maintenant

Étape 2 : Diagnostiquez votre statut actuel d'authentification des e-mails

Avant de résoudre vos problèmes d'usurpation d'identité, vous devez comprendre exactement ce qui ne fonctionne pas dans votre configuration de messagerie actuelle. Commencez par vérifier si votre domaine dispose déjà d'enregistrements d'authentification de messagerie configurés.

Utilisez un outil de recherche d'enregistrement SPF pour vérifier si vous disposez d'un enregistrement SPF. Il vous suffit d'entrer votre nom de domaine et de cliquer sur « Recherche d'enregistrement SPF ». Si aucun enregistrement n'est trouvé, comme dans la capture d'écran ci-dessous, cela pose problème.

Ensuite, vérifiez les enregistrements DKIM à l'aide de la fonction DKIM Lookup de MXToolbox. Vous devrez connaître votre sélecteur DKIM, qui varie selon le fournisseur de messagerie. Les sélecteurs courants incluent « default », « google », « selector1 » ou le sélecteur spécifique à votre fournisseur.

Ensuite, vérifiez votre politique DMARC à l'aide de l'outil DMARC Lookup de MXToolbox. L'absence d'enregistrement DMARC est l'une des causes les plus courantes de vulnérabilité à l'usurpation d'adresse e-mail.

Tester l'authentification des e-mails avec un message réel

Une autre façon de vérifier rapidement l'état d'authentification de votre messagerie consiste à envoyer un e-mail test à Gmail et à vérifier les en-têtes du message (cliquez sur les trois points, puis sur Afficher l'original).

Recherchez les résultats d'authentification suivants :

SPF : PASS (bon) vs SPF : FAIL (problème)
DKIM : PASS (bon) vs DKIM : FAIL (problème)
DMARC : PASS (bon) vs DMARC : FAIL (problème)

Étape 3 : Configurer les enregistrements d'authentification des e-mails (niveau DNS)

L'authentification des e-mails s'effectue au niveau du DNS, où vous publiez des enregistrements qui indiquent aux serveurs de messagerie destinataires comment vérifier les e-mails provenant de votre domaine.

Ces trois protocoles fonctionnent ensemble pour empêcher l'usurpation d'identité : SPF autorise les serveurs d'envoi, DKIM ajoute des signatures numériques et DMARC définit des politiques pour gérer les échecs d'authentification.

Configurer les enregistrements SPF

Les enregistrements SPF (Sender Policy Framework) spécifient quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Sans enregistrement SPF, n'importe quel serveur peut prétendre envoyer des e-mails depuis votre domaine.

La plupart des sites WordPress doivent autoriser plusieurs sources d'envoi : votre hébergeur web pour les e-mails système, votre fournisseur SMTP pour les envois authentifiés et parfois des services tiers tels que les plateformes marketing.

Cela conduit souvent à la création de plusieurs enregistrements SPF, ce qui perturbe l'authentification. La solution consiste à créer un seul enregistrement SPF qui inclut tous vos expéditeurs légitimes.

Vous ajouterez cela en tant qu'enregistrement TXT dans le DNS de votre domaine, commençant généralement parv=spf1 etse terminant par~all pour rejeter les expéditeurs non autorisés.

Règle d'enregistrement SPF multiple dans Cloudflare

Configurer l'authentification DKIM

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à vos e-mails que les serveurs destinataires peuvent vérifier à l'aide d'une clé publique stockée dans votre DNS.

Votre fournisseur SMTP générera des clés DKIM pour vous, mais parfois, l'enregistrement DNS résultant est trop long pour une seule entrée TXT.

Dans ce cas, vous devrez répartir l'enregistrement DKIM entre plusieurs entrées DNS tout en conservant le formatage approprié attendu par les serveurs de messagerie.

L'enregistrement DKIM comprend la clé publique de votre fournisseur et est publié sous forme d'enregistrement TXT dans un sous-domaine spécifique, généralement sous la forme selector1._domainkey.votredomaine.com.

Mettre en œuvre la politique DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) relie SPF et DKIM tout en indiquant aux serveurs destinataires quoi faire lorsque les e-mails échouent à l'authentification.

Il s'agit de votre principale défense contre l'usurpation de domaine. La création d'un enregistrement DMARC implique la mise en place d'une politique permettant de mettre en quarantaine les e-mails suspects, de les rejeter entièrement ou simplement de les surveiller sans prendre de mesures.

Commencez par une politique de surveillance (p=none) pour collecter des données sans affecter la livraison, puis passez progressivement à p=quarantine et enfin à p=reject à mesure que vous vérifiez que les e-mails légitimes passent l'authentification.

Appliquer l'enregistrement DMARC dans Cloudflare

Ordonnance relative à la mise en œuvre du DNS

Configurez vos enregistrements d'authentification dans cet ordre :

SPF d'abord – Autorise vos serveurs d'envoi
DKIM second – Ajoute des signatures numériques
DMARC last – Définit des politiques basées sur les résultats SPF/DKIM

Cet ordre garantit que chaque protocole s'appuie sur le précédent.

DMARC nécessite la configuration de SPF et DKIM pour fonctionner efficacement, alors ne passez pas cette étape.

Étape 4 : Installer et configurer WP Mail SMTP

L'installation de WP Mail SMTP remplace la fonction de messagerie par défaut peu fiable de WordPress par un envoi SMTP authentifié, essentiel pour empêcher l'usurpation d'adresse e-mail.

Si vous disposez de WP Mail SMTP Pro, connectez-vous à votre compte et accédez à l'onglet Téléchargements pour obtenir le dernier fichier du plugin. La version Pro comprend des fonctionnalités avancées et un journalisation des e-mails qui permettent d'identifier et de résoudre les problèmes de délivrabilité.

Dans votre tableau de bord WordPress, allez dans Plugins » Ajouter » Télécharger un plugin, téléchargez le fichier zip et cliquez sur Installer maintenant. Une fois installé, activez immédiatement le plugin.

L'assistant de configuration s'affiche automatiquement après l'activation et est essentiel pour résoudre les problèmes d'usurpation d'adresse e-mail. Ne sautez pas cette étape.

Besoin d'un coup de main ?

Vous pouvez acheter l'option White Glove Setup pour qu'un expert installe et configure WP Mail SMTP pour vous !

Cliquez sur Commençons pour lancer le processus de configuration qui éliminera vos vulnérabilités liées à l'usurpation d'identité.

cliquez sur le bouton "Let's Get Started

Je choisis généralement un fournisseur transactionnel comme SendLayer, SMTP.com ou Brevo pour la vitesse et la fiabilité, car ils gèrent mieux les files d'attente et les limites de débit que les webmails de base.

Une fois que vous avez choisi votre fournisseur de messagerie, cliquez sur le lien ci-dessous pour ouvrir la documentation correspondante. Nous proposons un guide complet pour chaque fournisseur afin que vous puissiez facilement connecter votre site WordPress :

Mailers disponibles dans toutes les versions	Mailers dans WP Mail SMTP Pro
SendLayer	Amazon SES
SMTP.com	Microsoft 365 / Outlook.com
Brevo	Zoho Mail
Espace de travail Google / Gmail
Mailjet
Arme à feu
Le cachet de la poste
SendGrid
SMTP2GO
SparkPost
Email élastique
Autres SMTP

Suivez les étapes à l'écran pour connecter votre compte, puis remplissez les champs demandés par l'expéditeur. Selon votre choix, vous devrez coller une clé API, vous connecter avec OAuth ou approuver l'envoi depuis votre domaine.

Lors de la configuration de WP Mail SMTP, vous trouverez le paramètre « Force From Email » situé sous le champ principal de configuration « From Email ».

WordPress utilise généralement l'adresse e-mail de l'administrateur de votre site pour les messages sortants, mais cela crée des problèmes d'authentification lorsque différents plugins tentent d'utiliser diverses adresses d'expéditeur.

Les formulaires de contact, les e-mails d'inscription des utilisateurs et les notifications de commerce électronique peuvent chacun tenter d'utiliser des adresses d'expéditeur différentes, ce qui entraîne une authentification incohérente et des signaux d'alerte potentiels d'usurpation d'identité.

L'activation de l'option « Force From Email » (Forcer l'adresse d'expédition) standardise tous les messages sortants afin qu'ils utilisent l'adresse de domaine authentifiée que vous avez définie dans le champ « From Email » (Adresse d'expédition).

Étape 5 : Configuration BIMI (avancée)

BIMI (Brand Indicators for Message Identification) est un protocole anti-usurpation avancé qui affiche le logo de votre marque directement dans les clients de messagerie des destinataires lorsque vos messages passent les contrôles d'authentification.

Cette vérification visuelle permet aux destinataires de voir immédiatement que les e-mails proviennent bien de votre organisation, ce qui offre une protection supplémentaire contre les tentatives d'usurpation d'identité.

Pour obtenir des instructions détaillées sur la mise en œuvre, les exigences relatives au logo, le formatage des enregistrements DNS et la configuration du certificat de marque vérifiée, consultez notre guide complet sur ce qu'est le BIMI et comment le mettre en œuvre.

Étape 6 : Testez votre configuration de messagerie électronique

Une fois tout configuré, utilisez la fonctionnalité de test intégrée à WP Mail SMTP pour évaluer la délivrabilité de vos e-mails. Allez dans Outils et cliquez sur l'onglet Test d'e-mail pour commencer.

Envoi d'un email de test avec WP Mail SMTP

Sur cet écran, personnalisez l'adresse du destinataire de votre e-mail de test et cliquez sur Envoyer l'e-mail.

Envoyer un email de test depuis WP Mail SMTP

Si tout est correctement configuré, un message vert s'affiche.

Test de l'email Cloudflare dans WordPress - message de succès

Si WP Mail SMTP détecte des problèmes, il affichera un avertissement.

La délivrabilité devrait être améliorée message d'avertissement

Sous l'avertissement, vous trouverez des informations sur les mesures à prendre pour l'améliorer.

Le guide de dépannage commun WP Mail SMTP couvre les solutions aux problèmes de configuration courants.

FAQ sur la manière de corriger l'usurpation d'adresse e-mail dans WordPress

La correction de l'usurpation d'adresse e-mail WordPress est un sujet qui intéresse beaucoup nos lecteurs. Voici les réponses à certaines questions courantes à ce sujet :

Qu'est-ce que l'usurpation d'adresse e-mail dans WordPress ?

L'usurpation d'adresse e-mail dans WordPress se produit lorsque des e-mails semblent provenir de votre domaine mais ne disposent pas d'une authentification appropriée, ce qui entraîne des échecs de livraison et des risques pour la sécurité.

Cela s'explique par le fait que WordPress utilise par défaut la fonction mail de base de PHP, qui envoie des messages sans protocoles d'authentification SPF, DKIM ou DMARC permettant de prouver la légitimité de l'e-mail.

Comment savoir si mes e-mails WordPress sont usurpés ?

Vérifiez les signes suivants :

Les soumissions via le formulaire de contact ne parviennent pas aux destinataires.
les e-mails atterrissent systématiquement dans les dossiers spam
vous recevez des messages de rebond concernant des échecs d'authentification
Les fournisseurs de messagerie affichent des avertissements « expéditeur non vérifié ».
Votre domaine apparaît dans des rapports de phishing que vous n'avez pas envoyés.

Testez en envoyant un e-mail à Gmail et en vérifiant l'option Afficher l'original pour les résultats SPF, DKIM et DMARC PASS/FAIL.

Comment résoudre les problèmes d'usurpation d'adresse e-mail dans WordPress ?

Installez le plugin WP Mail SMTP, configurez-le avec un fournisseur SMTP professionnel tel que SendLayer, configurez les enregistrements SPF, DKIM et DMARC dans votre DNS, activez le paramètre « Force From Email » pour utiliser votre adresse de domaine authentifiée, puis testez l'authentification des e-mails à l'aide de la fonctionnalité de test de WP Mail SMTP.

Les formulaires de contact WordPress peuvent-ils causer l'usurpation d'adresse e-mail ?

Oui, les formulaires de contact provoquent souvent des usurpations d'identité lorsqu'ils utilisent l'adresse e-mail du visiteur comme exp éditeur, donnant ainsi l'impression que le visiteur a envoyé l'e-mail directement plutôt que votre site web qui a transféré son message.

Pour résoudre ce problème, utilisez WP Mail SMTP avec l'option « Force From Email » activée et configurez les e-mails des visiteurs dans le champ « Reply-To » à la place.

Quels fournisseurs SMTP empêchent l'usurpation d'adresse e-mail WordPress ?

Les fournisseurs SMTP professionnels tels que SendGrid, Mailgun, Amazon SES, Postmark et SMTP.com empêchent l'usurpation d'identité en fournissant une authentification appropriée, une signature DKIM et une infrastructure de délivrabilité.

Évitez d'utiliser des fournisseurs de messagerie Web basiques tels que les comptes Gmail personnels, car ils ne disposent pas des fonctionnalités d'authentification nécessaires à l'envoi de messages WordPress.

L'hébergement mutualisé peut-il causer des problèmes d'usurpation d'adresse e-mail WordPress ?

Oui, l'hébergement mutualisé entraîne souvent des usurpations d'identité, car plusieurs sites web partagent la même adresse IP serveur, ce qui rend l'authentification SPF difficile. De plus, la plupart des hébergeurs mutualisés ne configurent pas DKIM et ne fournissent pas d'authentification appropriée pour les e-mails.

Pour résoudre ce problème, utilisez WP Mail SMTP avec un fournisseur de services de messagerie dédié au lieu de vous fier aux serveurs de messagerie de votre hébergeur.

Ensuite, découvrez comment résoudre les retards dans la réception des e-mails dans WordPress.

Vos e-mails WordPress arrivent-ils avec 20 minutes de retard ? Ou pire encore, plusieurs heures après qu'une personne ait soumis un formulaire ou finalisé son achat ? Consultez ce guide pour découvrir les causes réelles des retards sur votre site et comment y remédier afin que vos e-mails soient envoyés instantanément.