Blog

Free.fr et DMARC : l’occasion manquée d’un acteur majeur de l’email en France

 

DMARC, pilier de la sécurité email moderne

En 2025, la sécurité des emails est plus que jamais un enjeu crucial. L’email reste le vecteur n°1 des attaques informatiques (phishing, usurpation, malware…), et la mise en place de protocoles comme SPF, DKIM et DMARC est aujourd’hui une base incontournable pour limiter les risques.

 

Parmi eux, DMARC (Domain-based Message Authentication, Reporting & Conformance) se distingue par son approche à la fois préventive et collaborative. En plus de définir des règles de traitement pour les messages non conformes (quarantaine, rejet…), DMARC permet aux propriétaires de domaines de recevoir des rapports agrégés (rua) de la part des opérateurs qui reçoivent leurs emails.

 

Ces rapports sont essentiels pour :

 

  • 🔐 Détecter des tentatives de spoofing ou d’abus de leur domaine.
  • 🧪 Surveiller le bon alignement SPF/DKIM.
  • 📊 Analyser les sources légitimes et illégitimes d’envoi.
  • 🚨 Agir en cas d’anomalies ou d’usurpations constatées.

 

Mais pour que ce mécanisme fonctionne, encore faut-il que les opérateurs jouent le jeu…

 

Le cas Free.fr : pas de rapports DMARC, pas de visibilité

Free.fr, acteur majeur de l’Internet et de la messagerie en France, ne semble pas envoyer de rapports DMARC rua aux domaines qui les demandent. Ce constat est partagé par plusieurs professionnels du secteur, y compris mes propres observations en tant que consultant en délivrabilité email.

 

Pourquoi est-ce problématique ?

Lorsqu’un domaine publie une politique DMARC avec un champ rua=mailto:rapports@exemple.com, il s’attend à recevoir des rapports XML quotidiens de la part des opérateurs qui traitent ses emails. Ces rapports permettent de surveiller efficacement l’usage (ou l’abus) de son nom de domaine.

 

👉 En l’absence de rapports de la part de Free, un angle mort important subsiste dans la stratégie de sécurité du domaine émetteur. On ne sait pas ce que Free voit, ni si des emails malveillants tentent de se faire passer pour ce domaine.

C’est comme avoir un système d’alarme sans capteur dans le salon.

 

Free.fr : une absence regrettable dans l’écosystème DMARC

DMARC repose sur la collaboration. Chaque opérateur qui reçoit des emails a la capacité — et la responsabilité — de renvoyer ces rapports pour renforcer la résilience globale de l’écosystème email.

 

La non-participation de Free.fr soulève plusieurs questions :

  • Pourquoi ce choix, alors que d’autres opérateurs français (comme Orange ou OVH) envoient bien des rapports ?

  • Est-ce un oubli, un manque de ressources, ou un choix délibéré ?

  • Quelle image cela renvoie en matière de cybersécurité et de responsabilité numérique ?

 

Ce que Free.fr pourrait (facilement) faire

Mettre en place l’envoi des rapports DMARC n’est ni techniquement complexe, ni coûteux. De nombreuses solutions open source ou commerciales permettent de :

  • Collecter les rapports à générer,

  • Agréger les données,

  • Les formater en XML conforme au standard,

  • Et les envoyer quotidiennement aux domaines concernés.

 

✅ Pour un opérateur de l’envergure de Free, c’est une tâche tout à fait réalisable.

 

Un appel à l’action : pour un email plus sûr, ensemble

L’enjeu dépasse le cas Free. Il s’agit d’une prise de position sur la vision que l’on a d’un Internet collaboratif, où chaque acteur, petit ou grand, contribue à la sécurité commune.

📢 En tant que professionnel de la délivrabilité et de la sécurité email, je lance un appel à Free :

Mettez en place l’envoi des rapports DMARC.
Ce petit geste aura un impact significatif pour les domaines qui luttent quotidiennement contre les abus, et pour la sécurité globale du mail en France.

 

Conclusion

 

Refuser (ou oublier) d’envoyer des rapports DMARC en 2025, c’est laisser une porte ouverte aux usurpateurs, et freiner les efforts collectifs pour sécuriser l’email.

Free a l’opportunité d’évoluer sur ce point, et de rejoindre les rangs des opérateurs responsables et engagés. La balle est dans leur camp.

🛡️ La cybersécurité est l’affaire de tous. L’email reste un maillon faible trop souvent négligé. Agissons ensemble.