FrozenSpam
EN Démarrer pour 1 €
Opinion

Le challenge-response est-il dépassé ? Réponse argumentée

Un dev sur deux lève les yeux au ciel quand on dit « défi-réponse ». À tort. Le CR de 2026 n'est pas celui de 2005. Décryptage des arguments et réfutation point par point.

Publié le 21 mai 2026 par Emmanuel Daunizeau · 10 min de lecture

L'argument standard : « SPF/DKIM/DMARC ont rendu le CR obsolète »

On lit ça partout. SpamResource.com, Brad Templeton lui-même nuance. Le raisonnement : puisque SPF/DKIM/DMARC permettent de vérifier que l'expéditeur a le droit d'envoyer depuis son domaine, on n'a plus besoin de défi.

Pourquoi cet argument est faux (à moitié)

SPF/DKIM/DMARC vérifient une chose : l'expéditeur a-t-il le droit d'envoyer depuis ce domaine ?

Ils ne vérifient PAS :

  • Si l'expéditeur a quelque chose de légitime à dire
  • Si le mail est désiré par le destinataire
  • Si l'expéditeur est un humain ou un script

Un spammeur peut parfaitement acheter le domaine opportunite-fiscale-2026.fr, configurer SPF/DKIM/DMARC impeccablement, et vous envoyer 10 000 mails depuis ce domaine techniquement authentifié. SPF/DKIM/DMARC les passeront tous. Les mails seront considérés « légitimes » par votre filtre.

Le défi-réponse résout précisément ce vide : il demande à l'expéditeur de prouver qu'il est humain et qu'il a quelque chose à vous dire. Pas seulement qu'il a payé un domaine.

Les 5 critiques classiques du CR, et leurs réponses

Critique 1 : « Le CR génère du backscatter »

Vraie dans les implémentations naïves des années 2000. Fausse dans les implémentations modernes. FrozenSpam vérifie SPF/DMARC AVANT d'envoyer un défi. Si l'authentification rate, drop silencieux. Pas de défi envoyé à une fausse adresse usurpée. Cf article dédié.

Critique 2 : « Le CR emmerde les expéditeurs »

Vrai pour un expéditeur en moyenne 10 secondes, UNE seule fois dans la relation pro. Sur 5-10 ans de relation, c'est 10 secondes au total. Le ratio coût/bénéfice est imbattable. Et avec l'auto-WL sortants, la majorité des correspondants pro ne reçoivent jamais de défi (parce que vous leur avez écrit en premier).

Critique 3 : « Les expéditeurs ne valident jamais »

Données réelles sur mon usage 12 ans : moins de 1 % de défis non relevés sur des vrais humains. Le défi tombe naturellement dans leur inbox (pas dans leur spam, parce qu'il vient d'un MX bien configuré + DKIM signé). La validation est un clic ou une réponse vide. C'est moins pénible qu'un captcha visuel.

Critique 4 : « Les newsletters / notifications transactionnelles cassent »

Vrai si on configure mal. FrozenSpam détecte automatiquement les patterns `noreply@`, `bounce@`, `mailer-daemon@`, `notification@`, `do-not-reply@` etc. et ne leur envoie pas de défi (ils ne pourraient pas répondre de toute façon). Et vous pouvez whitelister un domaine entier (@newsletter.lemonde.fr) en une ligne.

Critique 5 : « Le CR ne fonctionne pas pour les mails B2B importants »

Faux dans l'usage réel. Les mails B2B importants viennent de personnes vraies, qui prennent 10 secondes pour valider un défi. Le cas pathologique (un client urgent qui ignore le défi) est traité par le numéro de téléphone ACME affiché sur le site et la possibilité d'ajouter manuellement les contacts critiques en whitelist explicite.

Pourquoi le CR moderne est meilleur que le filtrage probabiliste

Le filtrage Bayesian/IA repose sur des probabilités. Il classe un mail comme « probablement spam » ou « probablement légitime ». Il y a toujours un taux d'erreur statistique :

  • Faux négatifs : du spam passe (irritant)
  • Faux positifs : du vrai mail bloqué (perte financière potentielle)

Le CR moderne combine deux mécanismes déterministes :

  • Authentification SPF/DKIM/DMARC : déterministe (pass / fail)
  • Validation humaine : déterministe (clic = oui, pas de clic = non)

Pas de probabilité. Pas de faux positif structurel. Soit l'expéditeur est dans vos whitelists ou votre log sortants → pass. Soit il valide un défi → pass. Soit il ne valide pas → drop. Soit il est usurpé (SPF fail) → drop. Quatre cas, déterministes.

Conclusion

Le défi-réponse n'est pas mort. Le défi-réponse mal implémenté de 2005 est mort. Le défi-réponse moderne, combiné à SPF/DKIM/DMARC + auto-WL sortants + backscatter guard, est la seule technique anti-spam qui offre une garantie déterministe de zéro faux positif.

C'est ce que fait FrozenSpam depuis 12 ans sur mes propres domaines. Et maintenant, sur les vôtres.

Démarrez pour 1 €, remboursable sous 15 jours. Voir comment ça marche en détail.