FrozenSpam
EN Démarrer pour 1 €
Analyse

Pourquoi le spam revient en 2026 (et pourquoi votre filtre Gmail ne suit plus)

Les volumes de spam ont explosé de +40 % depuis 2024. Les filtres traditionnels craquent. Décryptage des trois forces qui ont changé le jeu — et de ce que ça implique pour votre boîte mail professionnelle.

Publié le 24 mai 2026 par Emmanuel Daunizeau · 8 min de lecture

1. Les LLM ont rendu le spam économiquement viable à nouveau

Entre 2010 et 2022, le spam a globalement décliné comme part du volume mail mondial. Les filtres Bayesian + DNSBL + SPF/DMARC ont rendu le spam de masse économiquement non rentable : le coût d'envoi devenait supérieur au gain par mail délivré.

Depuis 2024, ce calcul a basculé. Pourquoi ? Parce que les LLM accessibles à 1 € par 1000 mails permettent de produire industriellement du contenu varié, en français correct, contextualisé. Le spam de 2026 n'est plus du texte traduit à la chaîne : c'est du contenu rédigé par GPT-4 ou Claude, qui passe naturellement les filtres lexicaux.

Concrètement : un spammeur en Asie du Sud-Est ou en Europe de l'Est peut produire 10 000 variations uniques d'un mail commercial trompeur en quelques heures pour quelques dollars. Aucun filtre Bayesian classique ne tient.

2. DMARC est mal configuré chez 70 % des domaines pro français

D'après l'étude DMARC.org 2026 (publiée mars 2026), seulement 30 % des domaines .fr publient une politique DMARC stricte (`p=reject` ou `p=quarantine`). Les 70 % restants soit n'ont pas DMARC du tout, soit sont en `p=none`.

Résultat : un spammeur qui usurpe votre adresse contact@masociete.fr a 70 % de chances que le destinataire n'ait pas de mécanisme pour rejeter le mail. Il passe.

Pire : même les domaines qui ont DMARC strict ont souvent SPF mal configuré (records dépassés, manque d'inclusion d'un nouveau fournisseur mail) qui cassent l'authentification de leurs propres mails légitimes — ce qui pousse les destinataires à désactiver DMARC strict côté réception pour éviter les faux positifs. Cercle vicieux.

3. L'ingénierie sociale a été industrialisée

Le spam de 2026 n'est plus le mail nigérian. C'est :

  • L'invoice fraud : un mail apparemment d'un fournisseur connu changeant ses coordonnées bancaires (signé Emmanuel, mais en fait usurpé)
  • Le CEO fraud personnalisé : un mail qui imite votre dirigeant avec ton et signature correctes, demandant un virement urgent
  • Le faux mail RH : « Votre fiche de paie est disponible » avec lien vers une page qui ressemble à votre vrai SIRH
  • L'inscription forcée : 200 newsletters auxquelles vous n'avez jamais souscrit qui apparaissent en 24 h, suite à une fuite ou un test concurrent

Ces attaques sont conçues pour passer les filtres : pas d'URL suspecte, pas de mot-clé évident, signature plausible. Les filtres statistiques Bayesian sont impuissants.

Pourquoi Gmail Workspace ne suit plus aussi bien qu'avant

Gmail reste excellent sur le spam de masse reconnaissable. Mais sa précision sur le spear-phishing ciblé (les attaques ci-dessus) est mesurée par l'étude Barracuda 2026 à seulement ~80 %. Soit 1 attaque sur 5 qui passe.

Pour une PME qui reçoit 30 tentatives par mois, c'est 6 attaques qui arrivent dans la boîte de votre dirigeant ou compta. Une seule peut coûter plusieurs dizaines de milliers d'euros (cas documentés AFNIC, ANSSI).

Que faire en 2026

Trois actions :

  1. Configurer DMARC strict sur votre domaine (`p=reject` au minimum, après un mois de monitoring `p=none`). Notre guide détaille la procédure en 20 minutes.
  2. Ajouter une couche de défi-réponse en amont de votre filtre actuel. Pas pour remplacer Gmail/M365 — pour les compléter. Le CR exige une réponse humaine, ce qui stoppe net le spear-phishing automatisé.
  3. Former vos équipes aux nouveaux patterns (CEO fraud, invoice fraud, faux RH). Ce sont des attaques d'ingénierie sociale, pas techniques.

Comment FrozenSpam s'inscrit dans cette stratégie

FrozenSpam est une gateway MX qui se met en amont de votre serveur mail existant (Gmail Workspace, M365, Exchange, SmarterMail, OVH Mail Pro). Sans rien changer côté utilisateur, FrozenSpam :

  • Rejette les zombies SMTP via DNSBL Spamhaus (couche 1)
  • Vérifie SPF/DKIM/DMARC stricts et drop silencieusement les usurpations (couche 2 + 4)
  • Demande un défi humain aux inconnus avant de transférer le mail (couche 5)
  • Laisse passer instantanément les contacts à qui vous avez écrit (auto-whitelist sortants — la garantie zéro faux positif)

Résultat sur 12 ans de prod chez nous : près d'un million de spams bloqués, zéro faux positif documenté. Pas par chance. Par construction logique.

Vous lisez ça parce que votre inbox est invivable. FrozenSpam la rend habitable en cinq minutes. Démarrez pour 1 €, remboursable 15 jours.

Pour aller plus loin

Coulisses

12 ans de défi-réponse

Ce que j'ai appris à coder un anti-spam tout seul.

 Technique

Auto-WL sortants

La feature manquante de tous les anti-spam.

 Opinion

Le CR est-il dépassé ?

Réponse argumentée aux critiques du défi-réponse.