Passer au contenu principal
Comment le protocole DMARC permet de détecter les stratagèmes organisés d'abus du protocole SPF

Comment le protocole DMARC permet de détecter les stratagèmes organisés d'abus du protocole SPF

5 juin 2026
Informations sur la sécuritéConseils techniques

Dans cet article, Steven Iacoviello, notre spécialiste de la prestation de services, explique comment les cybercriminels exploitent les enregistrements CNAME orphelins et les erreurs dans les entrées DNS pour détourner des domaines à des fins d'hameçonnage.   

Dans le cadre de notre travail quotidien visant à aider les utilisateurs à déployer et à gérer DMARC, nous identifions des domaines utilisés pour envoyer des e-mails frauduleux, bien qu’ils soient conformes à DMARC. Ces e-mails sont authentifiés par SPF, et la plupart des enregistrements SPF associés proviennent de CNAME malveillants. Or, le propriétaire du domaine n’a pas conscience que ses enregistrements SPF ont été compromis.

Le coupable : les enregistrements CNAME DNS orphelins

Nous constatons que diverses organisations sont touchées, et aucun secteur ne semble être épargné. Tout le monde est visé, les cybercriminels tirant parti des enregistrements CNAME DNS orphelins et des fautes de frappe dans les enregistrements DNS de type texte. De nombreux domaines présentant un problème de DNS orphelin partagent les mêmes enregistrements SPF reçus via les CNAME et semblent faire partie d'un stratagème organisé d'abus de CNAME. 

Des acteurs malveillants identifient les enregistrements CNAME DNS non résolus et ciblent plusieurs domaines en y ajoutant un enregistrement SPF malveillant contenant des inclusions et des adresses IP afin d'envoyer des e-mails frauduleux, mais authentifiés.

Graphique illustrant l'évolution du pourcentage d'abus de noms de domaine CNAME dans le SPF
L'année 2026 s'annonce plus intense que les années précédentes en matière de campagnes abusives de SPF utilisant des enregistrements CNAME flottants.

Exploitation du typosquatting et des domaines ressemblants

Certains des enregistrements CNAME qui partagent le même enregistrement SPF corrompu proviennent d'un domaine similaire qui a peut-être été ajouté par erreur par le propriétaire du domaine. Les registres publics montrent que les pirates enregistrent ces domaines « typosquattés » après que le CNAME mal orthographié a été ajouté au DNS.

Même les fautes de frappe dans les masques CIDR (Classless Inter-Domain Routing) sont visées, par exemple lorsqu'un utilisateur souhaite saisir « /32 » mais tape par erreur « /3 ». Dans ce cas, le chiffre inférieur autorise l'attribution de millions d'adresses IP, contre une seule avec la saisie « /32 ». Cela expose l'enregistrement SPF à des abus massifs. 

Lorsque des cybercriminels repèrent ces erreurs, ils se mettent à envoyer de faux e-mails authentifiés par SPF. Nous pensons que ces cybercriminels analysent les enregistrements DNS à la recherche de fautes de frappe à exploiter, puis enregistrent des domaines à cette fin. Une fois cela fait, il ne leur faut que quelques semaines pour repérer les fautes de frappe dans les enregistrements DNS et lancer leurs campagnes de phishing.

Les points communs que l'on observe chez les domaines piratés   

Tous les domaines identifiés comme faisant l'objet d'une utilisation abusive des enregistrements CNAME présentent des caractéristiques similaires. Certains de ces enregistrements CNAME renvoient vers les mêmes enregistrements SPF, qui changent fréquemment en raison de la rotation des adresses IP et/ou des inclusions

Bien qu'il puisse être difficile d'identifier un enregistrement CNAME malveillant, il est possible de l'évaluer en examinant l'historique de ses enregistrements SPF. Même si plusieurs domaines sans lien apparent semblent n'avoir rien en commun, vous pouvez identifier un enregistrement CNAME malveillant en vérifiant s'ils partagent tous exactement les mêmes enregistrements SPF.

Nous avons également constaté que les cybercriminels mettent continuellement à jour ces enregistrements SPF afin de remplacer les adresses IP mal réputées par de nouvelles, ce qui leur permet de contourner l'authentification et de donner l'impression d'utiliser une infrastructure de messagerie légitime. 

Six façons de détecter et de mettre fin aux abus liés aux enregistrements CNAME

  1. Configurez DMARC, SPF et DKIM
  2. Surveillez vos données et vérifiez s'il y a des enregistrements CNAME inutilisés dans votre DNS. 
  3. Configurez des alertes dans votre compte dmarcian via Alert Central pour être averti des modifications apportées au DNS. 
  4. Consultez vos sources dans notre visualiseur de sources
  5. Consultez les détails des e-mails envoyés dans la fenêtre de détail
  6. Suivez l'évolution de vos modifications DNS grâce à notre outil Chronologie

Si vous surveillez régulièrement votre compte dmarcian, vous pourrez détecter ces campagnes SPF malveillantes avant même qu'elles ne commencent. Nous sommes là pour aider les utilisateurs à comprendre et à mettre en œuvre DMARC en toute sécurité ; n'hésitez donc pas à nous contacter si vous avez des questions concernant les enregistrements CNAME ou nos services d'assistance.

Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécuritéDMARCRecherche

Articles connexes