ServicesBlogA proposContact
Retour au blog

Sécurité email

Domaine parqué : pourquoi il reste un risque email

Un domaine parqué ou inutilisé peut servir à l'usurpation, au phishing ou à des abus DNS. Voici pourquoi le surveiller et quelles protections email appliquer.

29 avril 2026 - 7 min

Illustration d'un domaine parqué avec signaux DMARC, SPF, DNS et risque d'usurpation

Un domaine parqué n’est pas forcément un domaine inactif.

Beaucoup d’entreprises possèdent des noms de domaine achetés “au cas où” : anciens projets, variantes de marque, domaines défensifs, noms jamais vraiment utilisés ou domaines conservés pour éviter le cybersquatting.

Sur le papier, ces domaines semblent sans enjeu. Ils ne servent pas au site principal. Ils ne sont pas utilisés par les équipes. Ils n’envoient pas de newsletters. Parfois, personne ne se souvient même pourquoi ils ont été achetés.

Pourtant, un domaine oublié peut devenir un vrai risque email et sécurité.

Un domaine inutilisé reste un actif numérique

Un nom de domaine appartient à l’entreprise. Même s’il dort dans un registrar, il reste lié à la marque, à son histoire, à ses produits ou à ses dirigeants.

C’est précisément ce qui le rend intéressant pour un attaquant.

Un domaine parqué peut ressembler à un domaine légitime. Il peut contenir le nom de la marque, une ancienne activité, une variante orthographique ou une extension proche. Pour un client, un fournisseur ou un collaborateur, la différence peut être difficile à percevoir.

Un domaine inutilisé ne doit donc pas être considéré comme “vide”. Il doit être vu comme un actif numérique à protéger, au même titre qu’un domaine de production.

Les scénarios de risque les plus fréquents

Même si le domaine ne sert pas à envoyer des emails, il peut être exploité de plusieurs façons.

Carte des risques liés à un domaine parqué

Usurpation de l’entreprise

Un attaquant peut tenter d’envoyer des emails en utilisant une adresse liée au domaine parqué. Si le domaine n’a pas de politique SPF, DKIM ou DMARC claire, certains contrôles peuvent être faibles ou ambigus.

L’objectif est simple : faire croire que le message vient de l’entreprise.

Ce type d’usage peut viser des clients, des partenaires, des fournisseurs ou des équipes internes. Même si l’attaque échoue techniquement, elle peut créer du doute, de la perte de temps et un risque de réputation.

Phishing et confusion de marque

Un domaine défensif ou une variante de marque peut être utilisé pour créer une page de phishing, une fausse facture, un faux support ou une campagne d’hameçonnage.

Le problème est souvent psychologique : le domaine semble proche du vrai, donc le destinataire baisse sa vigilance.

Dans ce contexte, le domaine parqué devient une surface d’attaque. Il ne suffit pas qu’il soit inutilisé. Il faut aussi qu’il soit verrouillé, surveillé et documenté.

DNS mal nettoyé

Les domaines anciens transportent parfois des traces de projets passés :

  • un ancien CNAME vers un service SaaS ;
  • un vieux MX encore présent ;
  • une entrée TXT ajoutée pour une vérification temporaire ;
  • un sous-domaine oublié ;
  • une redirection devenue inutile ;
  • une délégation DNS vers une zone qui n’est plus suivie.

Ces restes peuvent paraître anodins, mais ils créent parfois des opportunités d’abus. Le risque dépend du contexte, mais le principe est toujours le même : ce qui n’est plus utilisé doit être retiré ou surveillé.

La base email minimale pour un domaine parqué

Un domaine inutilisé ne devrait pas rester sans politique email.

La bonne pratique consiste à publier des enregistrements qui indiquent clairement que le domaine n’est pas autorisé à envoyer des emails.

Exemple de SPF restrictif :

v=spf1 -all

Exemple de DMARC protecteur :

_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Dans certains cas, il peut aussi être pertinent de vérifier l’absence de services d’envoi rattachés. Le point important est de rendre l’intention explicite : ce domaine ne doit pas envoyer d’emails.

Les contrôles à faire régulièrement

Un domaine parqué devrait être surveillé comme n’importe quel actif numérique. Pas forcément tous les jours, mais assez régulièrement pour éviter les angles morts.

Checklist de sécurité pour un domaine parqué

Voici les contrôles simples à intégrer :

  • vérifier la présence d’un DMARC protecteur ;
  • configurer un SPF restrictif lorsque le domaine n’envoie pas ;
  • contrôler l’absence d’anciens CNAME, MX ou services oubliés ;
  • surveiller les certificats TLS émis sur le domaine ;
  • vérifier les sous-domaines exposés ;
  • contrôler les tentatives d’usurpation ou d’usage frauduleux ;
  • documenter le propriétaire interne du domaine ;
  • conserver une liste des domaines défensifs et historiques.

Cette liste n’a rien de spectaculaire. C’est justement ce qui la rend utile. La plupart des incidents évitables commencent par un élément simple qui n’a jamais été revu.

Un domaine parqué n’a pas besoin d’être actif pour devenir utile à un attaquant.

Le lien avec la délivrabilité

On pense souvent aux domaines parqués sous l’angle cybersécurité. C’est logique, mais le sujet touche aussi la délivrabilité.

Les fournisseurs de messagerie évaluent la cohérence d’un écosystème email : domaines, sous-domaines, authentification, réputation, alignement, historique et signaux de confiance.

Un domaine secondaire mal configuré ne va pas forcément dégrader directement le domaine principal. Mais il peut créer de la confusion, faciliter des abus ou affaiblir la perception globale de la marque.

En email, la confiance se construit par cohérence.

Conclusion

Un domaine parqué ne doit pas être laissé “vide”.

La bonne pratique minimale est claire : mettre en place une politique email restrictive, surveiller les changements DNS et garder une visibilité sur les usages éventuels du domaine.

En cybersécurité comme en délivrabilité email, les angles morts sont souvent les plus dangereux. Les domaines parqués en font clairement partie.