On utilise souvent le mot "spam" pour désigner tout email indésirable. Mais derrière ce terme générique se cachent des réalités très différentes — du simple email commercial non sollicité à la tentative d'escroquerie sophistiquée. Comprendre les distinctions permet de mieux se protéger.
Voici les cinq types d'emails malveillants ou indésirables les plus courants, expliqués clairement.
Type 1 : le spam commercial
C'est la forme la plus commune. Le spam commercial est un email publicitaire envoyé en masse à des destinataires qui n'ont pas consenti à le recevoir — ou qui ont consenti une fois, il y a longtemps, sans vraiment le réaliser.
Comment le reconnaître : objet accrocheur ("Offre exclusive -70 %"), expéditeur peu familier, lien vers un site marchand, lien de désabonnement en bas de page.
Danger : faible directement, mais encombrant et parfois vecteur de phishing si on clique sans vérifier. La RGPD impose un consentement explicite pour les envois commerciaux en Europe — mais beaucoup d'expéditeurs hors UE ne respectent pas ces règles.
Légalité : en France, envoyer un email commercial sans consentement préalable est illégal pour les particuliers (opt-in obligatoire). Pour les professionnels B2B, la règle est plus souple — le "cold email" est toléré sous conditions.
Type 2 : le phishing
Le phishing ("hameçonnage") est une tentative d'usurpation d'identité par email. L'objectif : vous faire croire que l'email provient d'une entité de confiance (votre banque, PayPal, La Poste, les impôts) pour vous pousser à cliquer sur un lien et saisir vos identifiants ou informations bancaires.
Comment le reconnaître :
- Urgence artificielle ("Votre compte sera suspendu dans 24h")
- Adresse expéditeur qui imite mais ne correspond pas au vrai domaine (
service@la-poste-info.netau lieu de@laposte.fr) - Lien qui pointe vers une URL différente de celle affichée (survolez sans cliquer)
- Fautes d'orthographe ou mise en page approximative
Règle d'or : aucune institution sérieuse ne vous demandera vos identifiants ou numéro de carte par email. En cas de doute, allez directement sur le site officiel — ne cliquez jamais sur le lien de l'email.
Type 3 : le spear phishing
Le spear phishing est une forme ciblée de phishing. Contrairement aux campagnes de masse, l'attaquant a préalablement recherché des informations sur vous : votre nom, votre employeur, votre poste, un contexte récent (une commande, un voyage, un événement). L'email semble parfaitement légitime et personnalisé.
Exemple concret : vous venez de commander sur Amazon. Vous recevez un email qui reprend exactement le nom du produit commandé, vous demandant de "confirmer votre adresse de livraison" via un lien frauduleux. L'expéditeur connaissait votre commande parce que vos données ont été exposées lors d'une fuite.
Pourquoi c'est dangereux : le taux de succès du spear phishing est beaucoup plus élevé que le phishing classique, précisément parce que l'email ne ressemble pas à un spam. C'est la raison pour laquelle l'isolation par alias est précieuse : si chaque service a son alias dédié, vous pouvez détecter immédiatement qu'une communication "Amazon" arrivant sur votre alias Cdiscount est frauduleuse.
Type 4 : le spoofing
Le spoofing (usurpation) consiste à falsifier l'adresse de l'expéditeur pour faire croire que l'email vient d'une personne ou d'une entité que vous connaissez. Techniquement, le protocole email originel (SMTP) ne vérifie pas l'identité de l'expéditeur — ce qui rend le spoofing possible.
Formes courantes :
- Email qui semble venir d'un collègue ou de votre patron ("arnaque au président")
- Email qui usurpe l'adresse d'une marque légitime
- Email de "sextorsion" qui prétend avoir piraté votre webcam et utilise une ancienne adresse email comme expéditeur pour sembler crédible
Comment se protéger : vérifiez systématiquement les en-têtes email sur les messages suspects. Les protocoles SPF, DKIM et DMARC permettent aux serveurs de messagerie de détecter le spoofing — mais ils ne sont pas universellement déployés.
Type 5 : le cold email (légal vs illégal)
Le cold email est une prise de contact commerciale non sollicitée, mais pas nécessairement illégale. En B2B, il est toléré si l'email est pertinent par rapport à l'activité professionnelle du destinataire, que l'expéditeur s'identifie clairement, et qu'un lien de désabonnement est présent.
Il devient illégal quand il cible des particuliers sans consentement préalable (violation du RGPD), quand il utilise des données achetées ou scrappées sans base légale, ou quand il usurpe une identité.
La nuance importante : un cold email reçu sur votre adresse professionnelle par un commercial qui propose un service lié à votre secteur est différent d'un spam de masse. Le premier peut être légitime mais indésirable. Le second est illégal.
Tableau récapitulatif
| Type | Objectif | Danger | Signal d'alerte |
|---|---|---|---|
| Spam commercial | Vendre un produit | Faible | Expéditeur inconnu, offre promotionnelle |
| Phishing | Voler des identifiants | Élevé | Urgence + lien suspect |
| Spear phishing | Cibler une victime précise | Très élevé | Personnalisation suspecte |
| Spoofing | Usurper une identité | Élevé | Expéditeur connu + demande bizarre |
| Cold email illégal | Prospection non consentie | Faible à moyen | Pas de consentement, B2C non sollicité |
Pourquoi la prévention vaut mieux que le filtre
Les filtres anti-spam de Gmail, Outlook ou Apple Mail sont efficaces contre le spam commercial de masse. Ils le sont beaucoup moins contre le spear phishing ciblé, qui ressemble à un email légitime. La meilleure protection reste de limiter l'exposition de votre adresse email réelle.
Avec des alias dédiés par service, vous savez précisément d'où vient chaque email. Un email qui prétend venir d'Amazon mais qui arrive sur votre alias Spotify est immédiatement suspect — même si sa mise en page est parfaite. C'est cette traçabilité qui fait la différence.
Pour aller plus loin, lisez notre guide sur la protection contre le phishing ou découvrez les 5 habitudes anti-spam à adopter dès aujourd'hui.
Protégez votre boîte mail dès maintenant
Créez votre adresse MailClear en 30 secondes — gratuit, sans carte bancaire.
Créer mon adresse gratuite →