EcosMail
EN · Synthese sécurité · 18 avril 2026
Audits externes · mesures, pas proclames

La sécurité
se mesure.

Tous les scores ci-dessous proviennent d'outils publics et open-source. Chaque resultat est vérifiable en un clic — vous n'avez pas a nous croire sur parole.

maximum
SSL Labs / Qualys
A+
TLS 1.3 · HSTS long · politique CAA
maximum
CryptCheck · Aeris FR
A+
Ciphers AEAD + PFS exclusivement
parfait
mail-tester.com
10/10
Delivrabilite outbound sans defaut
zero
Blacklight · The Markup
0
Trackers, cookies tiers, fingerprinting

Comparatif transport mail

Score internet.nl — outil de référence du gouvernement neerlandais (code source ouvert sur GitHub). Mesure l'hygiene MTA ↔ MTA.

Domaine
Score
DNSSEC
DMARC / SPF / DKIM
RPKI
ecosmail.fr
88 %
✓ actif
✓ complet
tuta.com
84 %
gmail.com
78 %
partiel
orange.fr
69 %
proton.com
68 %
partiel
laposte.net
66 %
posteo.de *
66 %
partiel
outlook.com
64 %
partiel
cible 30 j
≥ 95 %
Lecture honnête. Ce classement mesure uniquement le transport mail entre serveurs (hygiène MTA, pas chiffrement E2E client-side). Proton et Tuta conservent une avance sur le chiffrement bout-en-bout, documentée sur notre roadmap Phase 1b → 3 (Q1 a Q4 2027).
Mesures du 2026-04-21 (sauf ecosmail.fr : 2026-04-19). * posteo.de : serveur recepteur temporairement injoignable pendant le scan (erreur STARTTLS/DANE), score sous-estime possible.

Etat des lieux

Ce qui est valide, ce qui est en cours, ce qui est honnetement reporte.

Valide
TLS / Ciphers A+ Headers HTTP renforces DMARC · p=reject MTA-STS publie DNSSEC · fully validated Zero tracker, zero cookie security.txt RFC 9116
En cours
DANE · migration DNS (IONOS sans TLSA) CSP refactor · inline JS IPv6 · bloque IONOS BIMI · planifié Q3 2026
Roadmap
E2E Phase 1a livre E2E Phase 1b · Q1 2027 Pentest FR · audit-friendly CSA STAR L1 · Q3 2026 Europrivacy / ISO 27001 · 2027+

Matrice d'audits externes

10 outils independants, tous publics ou open-source. Chaque carte est cliquable pour relancer le test.

SSL Labs
Qualys · référence industrielle
A+
TLS 1.3, HSTS longue duree, politique CAA. Note maximale.
CryptCheck
Aeris · cabinet open-source FR
A+
Ciphers AEAD avec PFS exclusivement (ECDHE-ECDSA-AES-GCM, ChaCha20). Aucun cipher faible.
mail-tester.com
Delivrabilite outbound
10 / 10
SpamAssassin OK, SPF+DKIM+DMARC valides, aucune blocklist, format propre.
Blacklight
The Markup · privacy
0 / 0
Aucun tracker pub, cookie tiers, fingerprinting, pixel réseau social ni Google Analytics.
Hardenize
Vue panoramique
Passe
Toutes sections vertes. Un warning HSTS preload Chromium (décision reportee).
MXToolbox
DNS / MX / DMARC
MX + DMARC OK
MX record publie, DMARC en mode reject. Warning BIMI — planifié Q3 2026.
Mozilla Observatory
Bonnes pratiques web
80 / 100 · B
9/10 tests passes. CSP 'unsafe-inline' — refactor planifié Q2 2026.
internet.nl Mail
Gouv. Pays-Bas · MTA
88 %
Score à jour 19/04 après activation DNSSEC (+16 pts). DNSSEC ✓, DMARC/DKIM/SPF ✓, RPKI ✓. Restent : IPv6 (bloque IONOS) et DANE (bloque IONOS : pas de TLSA au panel). Cible 95 %+ après deblocage.
internet.nl Web
Gouv. Pays-Bas · HTTPS
86 %
Score a jour 19/04 après activation DNSSEC (+20 pts). DNSSEC ✓, HTTPS ✓, RPKI ✓. Restent : IPv6 (bloque IONOS) et un warning « security options » (CSP refactor planifié Q2). Cible ≥ 90 %.
Webbkoll
Dataskydd · Suede
9/11 PASS
HTTPS + HSTS + Referrer + 0 cookies valides. CSP 9/11 — 2 fails sur inline (refactor Q2).
securityheaders.com
Headers HTTP
A+ attendu
A retester après deploiement headers du 18/04 + retrait doublons reverse proxy.
DNSViz / Verisign
DNSSEC · chaine + DS
fully validated
Chaine complete racine → .fr → ecosmail.fr. DS 39605/RSASHA256 publie a l'AFNIC. DANE TLSA bloque par IONOS (pas de support TLSA au panel) — migration DNS a l'etude.

Journal des correctifs

Chaque livraison technique met a jour cette page. Tracabilite publique.

2026-04-19
DNSSEC active pour ecosmail.fr. Chaine de confiance complete racine → .fr → ecosmail.fr, DS 39605/SHA-256 publie a l'AFNIC, validation stricte confirmee par Verisign DNSSEC Analyzer et delv (; fully validated). Impact scores internet.nl : Mail 72 % → 88 % (+16 pts, 13:10 UTC) et Web 66 % → 86 % (+20 pts, 14:01 UTC). Bloqueurs restants IONOS : IPv6 (AAAA en attente) et DANE TLSA (panel DNS sans support TLSA). Source · Verisign DNSSEC Analyzer, DNSViz, internet.nl Mail, internet.nl Web
2026-04-18
Referrer-Policy renforcee (no-referrer) + CSP default-src 'none' (deny by default). Source · Webbkoll, Mozilla Observatory
2026-04-18
Routage mta-sts.ecosmail.fr corrige — le sous-domaine recevait un certificat invalide via le proxy amont, repointe vers l'infrastructure principale. Source · Hardenize HSTS includeSubDomains
2026-04-18
security.txt RFC 9116 publie a /.well-known/security.txt (contact security@, expire 2027-04-18). Source · internet.nl Web
2026-04-18
Cipher hardening Postfix (exclusion DES/RC4/3DES/SHA1, AEAD-only), headers HTTP renforces (HSTS preload-ready, CSP+, COOP/CORP), dedoublement reverse proxy, masquage version serveur. Source · internet.nl, SSL Labs, Mozilla Observatory, Hardenize
2026-04-03
Fail2ban active sur postfix-sasl et dovecot-auth. Source · logs internes
2026-03-31
DMARC passe a p=reject (precedemment quarantine). Source · internet.nl Mail
2026-03-29
MTA-STS mode enforce + TLS-RPT publies. Source · Hardenize Mail
Verifier en 5 minutes
Ne nous croyez pas. Testez.
Chaque outil cite est public et gratuit. Si un resultat vous parait incoherent avec ce que nous affichons, ecrivez-nous — nous corrigerons ou expliquerons.
Lancer internet.nl security@ecosmail.fr