Blog

  • Blog
  • Changer de nom de domaine pour vos emails ? Une fausse bonne idée qui ouvre la porte aux arnaqueurs
Changer de nom de domaine pour vos emails ? Une fausse bonne idée qui ouvre la porte aux arnaqueurs

Changer de nom de domaine pour vos emails ? Une fausse bonne idée qui ouvre la porte aux arnaqueurs

23 Mars 2026 DNS Domaine

Lors de nos accompagnements, on croise parfois des structures qui utilisent un nom de domaine différent pour leur site web et pour leurs emails. Par exemple, la mairie a son site sur mairie-saint-aubin-d-ici.fr, mais ses emails partent de contact@st-aubin-mairie.fr. L'intention derrière ce choix est souvent bonne : simplifier l'adresse email, éviter le spam, ne pas "exposer" son domaine principal. Mais c'est une fausse bonne idée et parfois une vraie porte d'entrée pour les arnaqueurs.

1. Ça brouille votre identité

Quand vos interlocuteurs reçoivent un email de contact@st-aubin-mairie.fr alors qu'ils connaissent votre site mairie-saint-aubin-de-la-campagne.fr, ils ont une bonne raison de se méfier. Est-ce que c'est bien vous ? Est-ce un spam qui se fait passer pour vous ? Le doute s'installe.

L'identité numérique d'une organisation repose sur la cohérence de ses points de contact. Un nom de domaine unique, utilisé pour le site et les emails, est un signal de confiance immédiat.

2. Le flou que vous créez, d'autres en profitent

C'est là que ça devient sérieux. Si vous utilisez plusieurs domaines, vous habituez vos interlocuteurs à recevoir des messages depuis des adresses variées. Un arnaqueur n'a plus qu'à en enregistrer un troisième, légèrement similaire, et vous usurper sans que personne ne lève le sourcil.

Ce n'est pas de la théorie. C'est exactement le mécanisme exploité par les réseaux de phishing qui font des millions de victimes chaque année.

3. L'exemple (très) instructif de l'État français

L'administration française illustre ce problème à grande échelle.

L'Assurance Maladie envoie ses emails depuis quatre domaines différents : @ameli.fr, @info.ameli.fr, @assurance-maladie.fr et @app.assurance-maladie.fr. Elle doit publier la liste de ses domaines légitimes sur son site pour aider les usagers à s'y retrouver. Résultat prévisible : les fraudeurs créent un cinquième domaine qui se fond dans cette nébuleuse. En début 2026, une vague de phishing "Carte Vitale" a généré plus de 160 signalements en quelques jours.

La DGFiP (les impôts) a son site sur impots.gouv.fr, mais ses emails officiels arrivent depuis @dgfip.finances.gouv.fr — un domaine qui ne contient même pas le mot "impôts". Un citoyen qui reçoit un email de dgfip-finances-gouv.info a toutes les raisons de penser que c'est légitime.

L'ANTAI (les contraventions) fonctionne avec trois portails officiels distincts : antai.gouv.fr, amendes.gouv.fr et stationnement.gouv.fr. Cette fragmentation a permis une campagne massive et récurrente de fausses amendes par SMS et email, qui sévit depuis 2023 et a repris de plus belle en 2026 selon Cybermalveillance.gouv.fr.

La vignette Crit'Air illustre le problème de façon presque comique : le site officiel s'appelle certificat-air.gouv.fr, alors que tout le monde dit "Crit'Air". Les sites frauduleux utilisant "critair" dans leur URL paraissent plus logiques que le vrai site.

Face à ce constat, le gouvernement a pris acte du problème. Une circulaire signée par Élisabeth Borne le 7 juillet 2023 impose désormais à tous les sites de l'État central d'adopter l'extension .gouv.fr, avec pour objectif explicite de "lutter contre les arnaques en ligne" et de "garantir le caractère officiel et authentique des services publics". Les échéances fixées : juillet 2025 pour les sites de communication, janvier 2026 pour les sites de démarches. La migration est en cours — Parcoursup, Service-Public et d'autres ont déjà basculé.

À notre échelle, la leçon vaut pour n'importe quelle organisation.

4. "Je cache mon domaine pour ne pas me faire spammer" — la sécurité par l'obscurité, ça ne marche pas

C'est un argument qu'on entend parfois. L'idée est que si les spammeurs ne connaissent pas votre vrai domaine, ils ne pourront pas vous cibler.

En pratique, c'est une illusion. Votre domaine principal apparaît de toute façon : dans le footer de votre site web, dans vos mentions légales, dans vos signatures d'email, sur vos documents officiels... Même si vous envoyez vos emails depuis un autre domaine, le vrai est visible partout ailleurs. Quiconque veut le trouver le trouve en dix secondes.

Et même sans ça, les spammeurs n'ont pas besoin de "découvrir" votre domaine — ils envoient massivement à des millions d'adresses sans chercher à cibler la vôtre en particulier. Et usurper un domaine ne nécessite pas d'en connaître la configuration : n'importe qui peut envoyer un email en se faisant passer pour vous, avec ou sans domaine secondaire.

Cacher son domaine ne protège donc de rien. Ça affaiblit juste la cohérence de votre identité — et ça ouvre la porte aux confusions décrites plus haut.

Des solutions techniques efficaces existent pour se protéger du spam sans fragmenter son identité numérique. C'est exactement ce sur quoi on travaille avec nos clients chez ézéo.

La bonne pratique, en un mot

Un domaine. Un site. Des emails.

C'est simple, c'est cohérent, et c'est ce qui protège à la fois votre réputation et vos interlocuteurs. Si le nom de domaine de votre site est trop long pour les adresses email, la bonne solution n'est pas d'en créer un deuxième — c'est de choisir un domaine principal lisible dès le départ, et de s'y tenir.

***

ézéo accompagne les entreprises, associations et structures ESS du Grand Ouest dans leur transition numérique vers des outils libres et souverains.

Recherche