Résumé IA
L'usurpation d'e-mails WordPress se produit lorsque des e-mails semblent provenir de votre domaine mais manquent d'authentification appropriée, entraînant des échecs de livraison et des risques de sécurité.
Vos formulaires de contact pourraient définir les adresses e-mail des visiteurs comme expéditeur, votre serveur pourrait envoyer des e-mails non authentifiés, ou votre domaine pourrait simplement manquer des enregistrements DNS qui prouvent une propriété légitime.
L'usurpation d'identité se manifeste dans WordPress de deux manières connexes. Soit vos propres e-mails échouent à l'authentification et sont bloqués ou classés comme spam, soit des attaquants exploitent votre domaine non protégé pour envoyer des messages de phishing qui semblent provenir de vous. Ces deux problèmes sont résolus par la même configuration d'authentification, mais savoir à lequel vous avez affaire vous aide à prioriser la correction.
Dans ce guide, vous configurerez WP Mail SMTP avec une authentification appropriée, configurerez vos enregistrements DNS avec SPF, DKIM et DMARC, et corrigerez la manière dont vos formulaires de contact gèrent les adresses d'expéditeur, afin que vos e-mails arrivent réellement et que votre domaine soit plus difficile à usurper.
Comment corriger les problèmes d'usurpation d'e-mails sur WordPress
Nous allons commencer par comprendre à quoi ressemble l'usurpation d'e-mails dans WordPress et pourquoi elle se produit. Ensuite, vous configurerez WP Mail SMTP avec une authentification appropriée, ce qui est la méthode la plus fiable pour éliminer les problèmes d'usurpation et assurer la livraison de vos e-mails.
Si vous n'êtes pas sûr de la catégorie de votre problème, le tableau ci-dessous associe le symptôme à l'étape qui le corrige.
| Symptôme que vous observez | Cause la plus probable | Où commencer |
|---|---|---|
| Les e-mails atterrissent dans les dossiers spam | Aucune authentification sur les e-mails sortants | Étape 3 + Étape 4 |
| Soumissions de formulaires de contact non arrivées | E-mail du visiteur utilisé comme adresse d'expéditeur | Étape 4 (Forcer l'e-mail d'expéditeur) |
| Rejets pour les e-mails que vous n'avez pas envoyés | Le domaine est activement usurpé | Étape 3 (DMARC avec p=reject) |
| Rapports de phishing mentionnant votre domaine | Aucune application de DMARC | Étape 3 (Politique DMARC) |
| Avertissements « Expéditeur non vérifié » dans Gmail | SPF ou DKIM manquant | Étape 2 + Étape 3 |
| Le test WP Mail SMTP affiche un avertissement de délivrabilité | Un ou plusieurs enregistrements mal configurés | Étape 2 + Étape 6 |
- Étape 1 : Comprendre l'usurpation d'e-mails WordPress
- Étape 2 : Diagnostiquer votre statut actuel d'authentification d'e-mails
- Étape 3 : Configurer les enregistrements d'authentification d'e-mails (niveau DNS)
- Étape 4 : Installer et configurer WP Mail SMTP
- Étape 5 : Configuration BIMI (avancé)
- Étape 6 : Testez votre configuration d'e-mail
Étape 1 : Comprendre l'usurpation d'e-mails WordPress
L'usurpation d'e-mail dans WordPress se produit lorsque votre site envoie des e-mails qui semblent légitimes mais ne peuvent pas prouver leur authenticité aux serveurs de messagerie récepteurs.
Cela se produit car WordPress utilise par défaut la fonction mail basique de PHP, qui envoie des messages sans protocoles d'authentification appropriés.
Le scénario d'usurpation le plus courant implique les formulaires de contact. Lorsque quelqu'un remplit votre formulaire de contact, de nombreux plugins définissent automatiquement son adresse e-mail comme expéditeur « De ».
Un autre problème fréquent est que WordPress envoie des e-mails système (réinitialisations de mot de passe, inscriptions d'utilisateurs, confirmations de commande) en utilisant votre nom de domaine mais sans les signatures cryptographiques qui prouvent que le message provient réellement de votre serveur.
Les fournisseurs de messagerie comme Gmail et Outlook rejettent de plus en plus ces messages non authentifiés, un problème abordé dans notre guide sur la compréhension de la délivrabilité des e-mails.
La cause profonde est toujours la même : vos e-mails manquent des signatures numériques et des enregistrements DNS requis par la sécurité moderne des e-mails.
La solution comporte deux parties. Transférez l'envoi vers un SMTP authentifié et publiez les enregistrements d'authentification d'e-mail appropriés dans votre DNS. Nous couvrirons les deux dans les étapes ci-dessous.
Réparez vos e-mails WordPress maintenant
Étape 2 : Diagnostiquer votre statut actuel d'authentification d'e-mails
Avant de résoudre vos problèmes d'usurpation, vous devez comprendre exactement ce qui ne fonctionne pas dans votre configuration d'e-mail actuelle. Commencez par vérifier si votre domaine dispose déjà d'enregistrements d'authentification d'e-mail configurés.
Utilisez un outil de recherche d'enregistrement SPF pour voir si vous avez un enregistrement SPF. Entrez simplement votre nom de domaine et cliquez sur « SPF Record Lookup ». Si aucun enregistrement n'est trouvé, comme dans la capture d'écran ci-dessous, c'est un problème.
Ensuite, recherchez les enregistrements DKIM à l'aide de MXToolbox’s DKIM Lookup. Vous devrez connaître votre sélecteur DKIM, qui varie selon le fournisseur de messagerie. Les sélecteurs courants incluent « default », « google », « selector1 », ou le sélecteur spécifique de votre fournisseur.
Après cela, vérifiez votre politique DMARC avec MXToolbox’s DMARC Lookup. Un enregistrement DMARC manquant est l'une des causes les plus courantes de vulnérabilité à l'usurpation d'e-mail.
Testez l'authentification des e-mails avec un message réel
Une autre façon de vérifier rapidement le statut d'authentification de vos e-mails est d'envoyer un e-mail de test à Gmail et de vérifier les en-têtes du message (cliquez sur les trois points, puis sur Afficher l'original).
Étape 3 : Configurer les enregistrements d'authentification d'e-mails (niveau DNS)
L'authentification des e-mails se fait au niveau du DNS, où vous publiez des enregistrements qui indiquent aux serveurs de messagerie de réception comment vérifier les e-mails de votre domaine.
Trois protocoles collaborent pour empêcher l'usurpation. SPF autorise les serveurs d'envoi, DKIM ajoute des signatures numériques et DMARC définit les politiques de gestion des échecs d'authentification. Voici comment chacun s'intègre.
| Protocole | Ce qu’elle fait | Ce qui échoue s'il est manquant |
|---|---|---|
| SPF | Liste les serveurs autorisés à envoyer des e-mails depuis votre domaine | N'importe quel serveur peut envoyer des e-mails en se faisant passer pour vous |
| DKIM | Ajoute une signature cryptographique afin que les destinataires puissent vérifier que le message n'a pas été modifié | Les destinataires ne peuvent pas confirmer que le message provient de votre serveur ou qu'il est arrivé intact |
| DMARC | Indique aux serveurs de réception quoi faire lorsque SPF ou DKIM échoue, et vous envoie des rapports | Les messages usurpés sont toujours livrés, et vous n'avez aucune visibilité sur qui envoie en votre nom |
Vous avez besoin des trois. SPF seul n'arrêtera pas l'usurpation car il ne survit pas au transfert, et DKIM seul ne dit à personne quoi faire en cas d'échec. DMARC les relie.
Configurer les enregistrements SPF
Les enregistrements SPF (Sender Policy Framework) spécifient quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Sans enregistrement SPF, n'importe quel serveur peut prétendre envoyer des e-mails depuis votre domaine.
La plupart des sites WordPress doivent autoriser plusieurs sources d'envoi : votre hébergeur web pour les e-mails système, votre fournisseur SMTP pour l'envoi authentifié, et parfois des services tiers comme les plateformes marketing.
Cela conduit souvent à plusieurs enregistrements SPF, ce qui casse l'authentification. La clé est de créer un seul enregistrement SPF qui inclut tous vos expéditeurs légitimes.
Vous ajouterez ceci en tant qu'enregistrement TXT dans le DNS de votre domaine, commençant généralement par v=spf1 et se terminant par ~all pour rejeter les expéditeurs non autorisés.
Configurer l'authentification DKIM
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à vos e-mails que les serveurs de réception peuvent vérifier par rapport à une clé publique stockée dans votre DNS.
Votre fournisseur SMTP générera des clés DKIM pour vous, mais parfois l'enregistrement DNS résultant est trop long pour une seule entrée TXT.
Lorsque cela se produit, vous devrez diviser l'enregistrement DKIM sur plusieurs entrées DNS tout en conservant le formatage approprié attendu par les serveurs de messagerie.
L'enregistrement DKIM inclut la clé publique de votre fournisseur et est publié en tant qu'enregistrement TXT à un sous-domaine spécifique, généralement quelque chose comme selector1._domainkey.votredomaine.com.
Implémenter la politique DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) relie SPF et DKIM tout en indiquant aux serveurs de réception quoi faire lorsque les e-mails échouent à l'authentification.
C'est votre défense principale contre l'usurpation de domaine. Un enregistrement DMARC définit une politique qui peut mettre en quarantaine les e-mails suspects, les rejeter entièrement ou simplement les surveiller sans prendre de mesures.
Commencez par une politique de surveillance (p=none) pour collecter des données sans affecter la livraison, puis passez progressivement à p=quarantine et enfin à p=reject une fois que vous avez vérifié que les e-mails légitimes réussissent l'authentification. Je resterais à p=none pendant au moins deux semaines avant de resserrer, plus longtemps si vous avez plusieurs sources d'envoi ou si vous menez des campagnes marketing régulières. Les rapports agrégés DMARC vous montreront tout ce que vous avez oublié d'autoriser avant qu'une politique plus stricte ne commence à bloquer les vrais e-mails.
Étape 4 : Installer et configurer WP Mail SMTP
WP Mail SMTP remplace la fonction d'envoi d'e-mails par défaut peu fiable de WordPress par un envoi SMTP authentifié, ce qui est essentiel pour prévenir l'usurpation d'e-mails.
Si vous avez WP Mail SMTP Pro, connectez-vous à votre compte et accédez à l'onglet Téléchargements pour obtenir le dernier fichier du plugin. La version Pro inclut des fonctionnalités avancées et la journalisation des e-mails qui aident à identifier et résoudre les problèmes de délivrabilité.
Dans votre tableau de bord WordPress, allez dans Plugins » Ajouter un nouveau » Téléverser un plugin, téléversez le fichier zip, et cliquez sur Installer maintenant. Une fois installé, activez le plugin immédiatement.
L'assistant de configuration apparaît automatiquement après l'activation et est essentiel pour résoudre les problèmes d'usurpation d'e-mails. Ne sautez pas cette étape.
Cliquez sur C'est parti pour commencer le processus de configuration qui éliminera vos vulnérabilités d'usurpation.
Je choisis généralement un fournisseur transactionnel comme SendLayer, SMTP.com ou Brevo pour la rapidité et la fiabilité, car ils gèrent mieux les files d'attente et les limites de débit que les webmails de base.
Une fois que vous avez choisi votre fournisseur de messagerie, cliquez sur le lien ci-dessous pour ouvrir la documentation correspondante. Nous avons un guide complet pour chaque service de messagerie afin que vous puissiez facilement connecter votre site WordPress :
| Expéditeurs disponibles dans toutes les versions | Expéditeurs dans WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo | Zoho Mail |
| Google Workspace / Gmail | |
| Mailjet | |
| Mailgun | |
| Postmark | |
| SendGrid | |
| SMTP2GO | |
| SparkPost | |
| Elastic Email | |
| Autre SMTP |
Suivez les étapes à l'écran pour connecter votre compte, puis remplissez les champs demandés par l'expéditeur. Selon votre choix, vous collerez une clé API, vous vous connecterez avec OAuth, ou vous approuverez l'envoi depuis votre domaine.
Lors de votre configuration WP Mail SMTP, vous rencontrerez le paramètre Forcer l'e-mail d'expéditeur situé sous le champ de configuration principal E-mail d'expéditeur.
WordPress utilise généralement l'adresse e-mail d'administration de votre site pour les messages sortants, mais cela crée des problèmes d'authentification lorsque différents plugins tentent d'utiliser différentes adresses d'expéditeur.
Les formulaires de contact, les e-mails d'inscription d'utilisateurs et les notifications e-commerce peuvent chacun tenter d'utiliser différentes adresses d'expéditeur. Des adresses d'expéditeur différentes brisent l'authentification et déclenchent des indicateurs d'usurpation.
Le paramètre Forcer l'e-mail d'expéditeur standardise tous les messages sortants pour utiliser l'adresse de domaine authentifiée que vous définissez dans le champ E-mail d'expéditeur.
Étape 5 : Configuration BIMI (avancé)
BIMI (Brand Indicators for Message Identification) est un protocole anti-usurpation avancé qui affiche le logo de votre marque directement dans les clients de messagerie des destinataires lorsque vos messages réussissent les contrôles d'authentification.
Cette vérification visuelle ajoute une confirmation rapide par-dessus l'authentification que vous avez déjà configurée. Les destinataires voient votre logo à côté des messages légitimes, ce qui rend les messages usurpés sans logo plus évidemment faux.
Pour des instructions d'implémentation détaillées, les exigences relatives aux logos, le formatage des enregistrements DNS et la configuration du certificat de marque vérifiée, consultez notre guide complet sur ce qu'est BIMI et comment l'implémenter.
Étape 6 : Testez votre configuration d'e-mail
Une fois que tout est configuré, utilisez la fonction de test intégrée de WP Mail SMTP pour évaluer la délivrabilité de vos e-mails. Allez dans Outils et cliquez sur l'onglet Test d'e-mail pour commencer.
Sur cet écran, personnalisez l'adresse du destinataire pour votre e-mail de test et cliquez sur Envoyer l'e-mail.
Si tout est correctement configuré, vous verrez un message vert.
Si WP Mail SMTP détecte des problèmes, il affichera un avertissement.
Sous l'avertissement, vous verrez des informations sur les étapes à suivre pour l'améliorer.
Le guide de dépannage courant de WP Mail SMTP couvre les solutions aux problèmes de configuration typiques.
Continuez à surveiller après le lancement
Réussir un seul test signifie que vos enregistrements sont valides aujourd'hui. Cela ne vous dit pas ce qui se passera la semaine prochaine lorsqu'un nouveau plugin commencera à envoyer des e-mails, ou lorsqu'une plateforme marketing que vous avez oubliée sera signalée pour un DKIM manquant. Deux outils gratuits méritent d'être vérifiés chaque semaine pendant le premier mois après la configuration.
Les rapports agrégés DMARC arrivent sous forme de fichiers XML à l'adresse que vous avez indiquée dans la balise rua= de votre enregistrement DMARC. Ils répertorient chaque adresse IP qui a envoyé un e-mail en prétendant être votre domaine au cours des 24 heures précédentes, avec les résultats de réussite ou d'échec SPF et DKIM pour chacun. Le XML brut est difficile à lire, mais des analyseurs gratuits comme DMARC Digests de Postmark ou les outils de dmarcian transforment les rapports en quelque chose de lisible. Si vous voyez des e-mails authentifiés provenant d'une adresse IP que vous ne reconnaissez pas, il s'agit soit d'un service oublié que vous devez autoriser, soit de quelqu'un qui usurpe activement votre domaine.
Google Postmaster Tools vous indique ce que Gmail pense de votre domaine d'envoi — taux de spam, réputation IP, taux de réussite d'authentification, et le nouveau tableau de bord d'état de conformité qui signale les échecs de conformité aux exigences des expéditeurs en nombre. Notre guide sur la configuration de Google Postmaster Tools explique comment vérifier votre domaine et lire les rapports.
FAQ sur la façon de corriger l'usurpation d'e-mails WordPress
La correction de l'usurpation d'e-mails WordPress est un sujet qui intéresse beaucoup nos lecteurs. Voici les réponses à certaines questions courantes à ce sujet :
Qu'est-ce que l'usurpation d'e-mails dans WordPress ?
L'usurpation d'e-mails dans WordPress se produit lorsque des e-mails semblent provenir de votre domaine mais manquent d'authentification appropriée, entraînant des échecs de livraison et des risques de sécurité.
Cela se produit car WordPress utilise par défaut la fonction mail de base de PHP, qui envoie des messages sans les protocoles d'authentification SPF, DKIM ou DMARC qui prouvent la légitimité de l'e-mail.
Comment savoir si mes e-mails WordPress sont usurpés ?
Vérifiez ces signes :
- les soumissions de formulaire de contact n'atteignent pas les destinataires
- les e-mails atterrissent systématiquement dans les dossiers spam
- vous recevez des messages de rebond concernant des échecs d'authentification
- les fournisseurs d'e-mails affichent des avertissements « expéditeur non vérifié »
- votre domaine apparaît dans des rapports de phishing que vous n'avez pas envoyés.
Testez en envoyant un e-mail à Gmail et en vérifiant dans Afficher l'original les résultats SPF, DKIM et DMARC PASS/FAIL.
Comment savoir si quelqu'un usurpe mon domaine ?
Le signal le plus clair est les messages de rebond ou les réponses d'absence du bureau pour des e-mails que vous n'avez jamais envoyés. Les signalements de clients concernant des messages suspects « de votre part » sont un autre signal d'alarme. La réponse définitive vient des rapports agrégés DMARC, qui listent chaque adresse IP envoyant des e-mails sous votre domaine. Si vous voyez des e-mails authentifiés provenant d'adresses IP que vous ne reconnaissez pas, votre domaine est usurpé. Déplacez votre politique DMARC sur p=reject une fois que vous avez confirmé que tous vos expéditeurs légitimes réussissent l'authentification.
Quelle est la différence entre un e-mail piraté et un e-mail usurpé ?
Un compte de messagerie piraté signifie qu'un attaquant a réellement accédé à votre boîte aux lettres, généralement via un mot de passe volé. Vous verrez des messages inconnus dans votre dossier Envoyés et des alertes de connexion provenant d'endroits où vous n'êtes jamais allé. L'usurpation ne nécessite aucun accès. L'attaquant falsifie l'adresse de l'expéditeur sur un message qu'il envoie depuis son propre serveur, de sorte que votre compte n'est jamais touché. Les messages usurpés n'apparaissent jamais dans votre dossier Envoyés. Les enregistrements d'authentification (SPF, DKIM, DMARC) empêchent l'usurpation. Des mots de passe forts et une authentification à deux facteurs empêchent le piratage de compte.
Comment corriger les problèmes d'usurpation d'e-mails WordPress ?
Installez le plugin WP Mail SMTP, configurez-le avec un fournisseur SMTP professionnel comme SendLayer, configurez les enregistrements SPF, DKIM et DMARC dans votre DNS, activez le paramètre « Forcer l'e-mail d'expéditeur » pour utiliser votre adresse de domaine authentifiée, et testez l'authentification des e-mails à l'aide de la fonction de test de WP Mail SMTP.
Combien de temps faut-il pour corriger l'usurpation d'e-mails WordPress ?
Le côté plugin prend environ 30 minutes. L'installation de WP Mail SMTP, la connexion de votre service d'envoi et l'activation de Forcer l'expéditeur sont généralement effectuées en moins d'une demi-heure, y compris l'envoi de test. Le côté DNS est plus lent. Les enregistrements SPF et DKIM se propagent généralement en quelques heures, mais peuvent prendre jusqu'à 48 heures. L'application de DMARC est un processus plus long : commencez par p=none et examinez les rapports pendant au moins deux semaines avant de passer à p=quarantine, puis encore deux semaines avant p=reject. Le chemin complet, d'une configuration défaillante à l'application complète de DMARC, dure généralement de quatre à six semaines.
SPF seul peut-il arrêter l'usurpation d'e-mails ?
Non. SPF indique seulement aux serveurs de réception quelles adresses IP sont autorisées à envoyer des e-mails depuis votre domaine. Il ne survit pas au transfert (si quelqu'un transfère votre message, le nouveau serveur d'envoi échoue à la vérification SPF) et il n'indique pas aux destinataires quoi faire en cas d'échec de vérification. Vous avez besoin de DKIM pour signer cryptographiquement les messages et de DMARC pour définir une politique en cas d'échec. Les trois travaillant ensemble sont ce qui empêche réellement l'usurpation.
Les formulaires de contact WordPress peuvent-ils causer l'usurpation d'e-mails ?
Oui, les formulaires de contact causent couramment l'usurpation lorsqu'ils utilisent l'adresse e-mail du visiteur comme expéditeur From, donnant l'impression que le visiteur a envoyé l'e-mail directement plutôt que votre site web ne transfère leur message.
Corrigez cela en utilisant WP Mail SMTP avec Forcer l'expéditeur activé et en plaçant les e-mails des visiteurs dans le champ Reply-To à la place.
Quels fournisseurs SMTP empêchent l'usurpation d'e-mails par WordPress ?
Les fournisseurs SMTP professionnels comme SendGrid, Mailgun, Amazon SES, Postmark et SMTP.com empêchent l'usurpation en fournissant une authentification appropriée, la signature DKIM et une infrastructure de délivrabilité.
Évitez d'utiliser des fournisseurs de webmail basiques comme des comptes Gmail personnels, car ils manquent des fonctionnalités d'authentification nécessaires à l'envoi par WordPress.
L'hébergement mutualisé peut-il causer des problèmes d'usurpation d'e-mails par WordPress ?
Oui, l'hébergement mutualisé cause souvent l'usurpation car plusieurs sites web partagent la même adresse IP de serveur, ce qui rend l'authentification SPF difficile, et la plupart des hébergeurs mutualisés ne configurent pas DKIM ou ne fournissent pas une authentification d'e-mail appropriée.
Corrigez cela en utilisant WP Mail SMTP avec un fournisseur de services d'e-mail dédié au lieu de vous fier aux serveurs de messagerie de votre fournisseur d'hébergement.
Ensuite, Apprenez à résoudre les retards d'e-mails dans WordPress
Vos e-mails WordPress arrivent-ils avec 20 minutes de retard ? Ou pire, arrivent-ils des heures après que quelqu'un ait soumis un formulaire ou finalisé une commande ? Consultez ce guide pour découvrir ce qui cause réellement les retards sur votre site et comment les corriger pour que vos e-mails soient envoyés instantanément.
Réparez vos e-mails WordPress maintenant
Prêt à réparer vos e-mails ? Commencez dès aujourd'hui avec le meilleur plugin SMTP WordPress. Si vous n'avez pas le temps de réparer vos e-mails, vous pouvez obtenir une assistance complète de configuration "White Glove" moyennant un supplément, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.
Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de conseils et tutoriels WordPress.
