title: "Sécurité Email — Filtres anti-spoofing & anti-spam" description: "GoWeBa protège vos domaines email contre l'usurpation d'identité (spoofing) et le spam grâce à des filtres RFC 2822, SPF, DKIM et DMARC intégrés au moteur de réception." lastUpdated: "2026-05-13" author: "GoWeBa — Équipe sécurité"
Sécurité Email — Filtres anti-spoofing & anti-spam
🛡️ GoWeBa intègre un système de protection email multiniveau qui détecte et bloque automatiquement les emails frauduleux, les tentatives d'usurpation d'identité (spoofing) et le spam, avant même qu'ils n'atteignent votre boîte de réception.
📅 Date : 13 mai 2026 🏷️ Version : 1.2.1 🟢 Statut : Actif — déployé en production
🔒 Qu'est-ce que le spoofing email ?
Le spoofing (usurpation d'identité) est une technique utilisée par les arnaqueurs pour envoyer des emails en faisant croire qu'ils proviennent de votre propre adresse email ou de votre domaine. Le but est de tromper le destinataire en lui faisant croire que le message est légitime.
Exemple courant : un email de sextorsion qui prétend « J'ai piraté votre compte email et j'ai envoyé ce message depuis votre propre adresse ! ». En réalité, l'arnaqueur a simplement falsifié le champ « De » (From) — il n'a aucun accès à votre compte.
⚠️ Important : Un email spoofé ne signifie PAS que votre compte a été piraté. C'est l'équivalent numérique d'écrire une fausse adresse de retour sur une enveloppe papier.
🛡️ Protection multiniveau GoWeBa
GoWeBa utilise un système de défense en profondeur avec 3 couches de protection :
Couche 1 — Filtrage au niveau DNS (prévention)
Vos domaines email sont protégés par trois standards de sécurité Internet :
| Standard | Fonction | Configuration GoWeBa |
|---|---|---|
| SPF (Sender Policy Framework) | Déclare quels serveurs sont autorisés à envoyer des emails pour votre domaine | v=spf1 include:sendgrid.net -all — Mode strict : tout serveur non autorisé est rejeté |
| DKIM (DomainKeys Identified Mail) | Signature cryptographique qui prouve que l'email n'a pas été modifié en transit | Clés RSA 2048 bits (s1 + s2) via SendGrid — signature automatique |
| DMARC (Domain-based Message Authentication) | Politique qui dit aux serveurs du monde entier quoi faire avec les emails non authentifiés | p=reject — Mode strict : les emails spoofés sont rejetés, jamais livrés |
Couche 2 — Filtrage au niveau du webhook (détection en temps réel)
Le moteur de réception de GoWeBa analyse chaque email entrant en temps réel :
| Règle | Détection | Action |
|---|---|---|
| Self-spoofing | L'expéditeur prétend envoyer depuis votre propre domaine, mais échoue la vérification SPF | 🚫 Bloqué — email jamais stocké |
| Spam score élevé | Le score SpamAssassin (fourni par SendGrid) dépasse le seuil de 5.0 | 🚫 Bloqué — email jamais stocké |
| SPF hard fail | La vérification SPF échoue pour n'importe quel expéditeur | 🚫 Bloqué — email jamais stocké |
💡 Chaque email bloqué est journalisé avec la raison, le score spam, et les résultats SPF/DKIM pour audit et analyse.
Couche 3 — Verdicts de sécurité (traçabilité)
Chaque email qui passe les filtres est stocké avec ses verdicts de sécurité complets :
- Résultat SPF : pass, fail, softfail, neutral
- Résultat DKIM : pass, fail
- Score spam : score numérique SpamAssassin
Ces informations sont accessibles dans les métadonnées de chaque message pour une transparence totale.
📊 Tableau de bord de sécurité
Les administrateurs peuvent surveiller la sécurité email depuis le module WEBA Cleanup (/inbox/cleanup) :
- 📈 Statistiques en temps réel — nombre de messages analysés, liens RFC trouvés
- 🔗 Regroupement des conversations — détection des threads fragmentés via In-Reply-To et Message-ID
- 🧹 Nettoyage automatique — suppression des fils vides, correction des compteurs
- ⚡ Regroupement rétroactif — fusion intelligente des conversations dispersées après import/migration
🔧 Configuration recommandée pour vos domaines
Quand vous connectez un domaine personnalisé à GoWeBa, nous configurons automatiquement les enregistrements DNS de sécurité. Voici la configuration optimale :
SPF (enregistrement TXT sur votre domaine)
v=spf1 include:sendgrid.net -all
- ✅
include:sendgrid.net— autorise les serveurs SendGrid (GoWeBa) - ✅
-all— mode strict — rejette tout autre serveur - ⚠️ Ne pas utiliser
~all(tilde) — c'est le mode permissif qui laisse passer les emails spoofés
DKIM (enregistrements CNAME)
s1._domainkey.votredomaine.com → s1.domainkey.u61475168.wl169.sendgrid.net
s2._domainkey.votredomaine.com → s2.domainkey.u61475168.wl169.sendgrid.net
Deux clés de signature RSA 2048 bits pour une redondance et une rotation sécurisée.
DMARC (enregistrement TXT sur _dmarc.votredomaine.com)
v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
- ✅
p=reject— bloque les emails non authentifiés (ne les envoie même pas en spam) - ✅
rua=mailto:...— rapports agrégés DMARC pour monitoring - ✅
pct=100— appliqué à 100% des emails
🆘 Que faire si vous recevez un email suspect ?
| Action | Recommandation |
|---|---|
| Ne pas répondre | Ne répondez jamais à un email de spam ou de sextorsion |
| Ne pas payer | Les demandes de rançon en cryptomonnaie sont toujours des arnaques |
| Ne pas cliquer | Ne cliquez sur aucun lien dans un email suspect |
| Supprimer | Vous pouvez supprimer l'email en toute sécurité |
| Vérifier vos DNS | Confirmez que votre SPF utilise -all et votre DMARC p=reject |
| Contacter le support | En cas de doute, contactez [email protected] |
🏗️ Architecture technique
Flux de réception email
Internet → SendGrid (MX) → Webhook GoWeBa → Filtre anti-spoofing/spam → Stockage
↓
┌───────────────┐
│ Règle 1: Self-spoof │ → Bloqué (SPF fail + même domaine)
│ Règle 2: Spam score │ → Bloqué (score ≥ 5.0)
│ Règle 3: SPF fail │ → Bloqué (hard fail)
└───────────────┘
↓
Email légitime → Stocké avec verdicts
Composants impliqués
| Composant | Rôle |
|---|---|
SendGrid Inbound Parse | Réception des emails via MX, délivrance au webhook |
/api/webhooks/sendgrid-inbound | Webhook de traitement avec filtre anti-spoofing intégré |
checkSpamAndSpoofing() | Fonction de vérification multiniveau (3 règles) |
securityVerdicts | Stockage JSON des résultats SPF, DKIM et spam score par message |
lib/imap/thread-cleanup.ts | Moteur de nettoyage et regroupement des conversations |
✅ Résumé
| Protection | Type | Statut |
|---|---|---|
SPF -all | DNS — prévention | ✅ Configuré par GoWeBa |
| DKIM RSA 2048 | DNS — authenticité | ✅ Configuré par GoWeBa |
DMARC p=reject | DNS — politique | ✅ Configuré par GoWeBa |
| Filtre self-spoofing | Webhook — détection | ✅ Actif |
| Filtre spam score | Webhook — détection | ✅ Actif |
| Filtre SPF hard fail | Webhook — détection | ✅ Actif |
| Verdicts de sécurité | Stockage — traçabilité | ✅ Actif |
| Regroupement RFC 2822 | Nettoyage — conversations | ✅ Actif |
GoWeBa protège vos communications. Vous pouvez envoyer et recevoir des emails en toute confiance. 🛡️
— L'équipe GoWeBa Sécurité 🔒