Ce qu'une adresse e-mail révèle sur un utilisateur (FR)

Un nouvel utilisateur tape une adresse e-mail lors de l'inscription. Cela ressemble à une chaîne de caractères. Ce n'en est pas une.

Avant même de demander un document ou de procéder à une reconnaissance faciale, cette adresse vous fournit déjà des informations : si la boîte de réception est réelle, si le domaine accepte les e-mails, si le fournisseur est un service temporaire et si l'adresse est apparue dans des fuites de données. Tout cela ne nécessite aucune action de l'utilisateur — vous l'obtenez dès qu'il entre la chaîne de caractères.

Cet article explique ce que signifient ces signaux, comment les équipes antifraude agissent sur ceux-ci, et comment la Vérification d'e-mail Didit les regroupe en un contrôle à 0,03 $ que vous pouvez placer au début de tout parcours d'intégration.

Points clés à retenir

• Une adresse e-mail est un signal de fraude multidimensionnel : la délivrabilité, le type de fournisseur, la réputation du domaine et l'exposition aux violations détectent chacun différents types de risques.
• Les e-mails jetables peuvent être signalés avant même de payer pour une vérification KYC.
• L'exposition aux violations est corrélée au risque de bourrage d'identifiants et de prise de contrôle de compte ; un nombre élevé de violations à l'inscription représente un profil différent d'une nouvelle adresse d'entreprise.
• L'intelligence e-mail est un filtre à faible friction — les utilisateurs légitimes le remarquent à peine, tandis que les utilisateurs cherchant à contourner votre processus d'intégration ont moins d'options à bas coût.
• La Vérification d'e-mail Didit effectue la livraison d'OTP et des signaux de risque — BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, INVALID_EMAIL, DUPLICATED_EMAIL — en un seul appel à 0,03 $, configurable par avertissement pour approuver, réviser ou refuser.

Ce qu'une adresse e-mail contient réellement

Si vous retirez le @, vous obtenez deux parties : la partie locale et le domaine. Les deux portent un signal.

La partie locale peut indiquer une automatisation. Les chaînes séquentielles, les motifs de clavier ou les longues chaînes alphanumériques aléatoires sont inhabituels pour de vrais utilisateurs. Les réseaux de fraude créant des comptes en masse génèrent souvent des parties locales de manière programmatique.

Le domaine vous indique si la boîte de réception est réelle et joignable — la santé des enregistrements MX et la configuration DNS sont importantes. Un domaine enregistré il y a trois mois sans historique de courrier antérieur semble très différent de gmail.com ou acme-corp.com.

Le fournisseur vous renseigne sur l'intention. Les fournisseurs d'e-mails jetables — des services conçus pour générer des adresses temporaires qui expirent en quelques minutes — sont anormaux partout. Il en existe des milliers, et la liste s'allonge à mesure que les outils de fraude évoluent.

Les quatre signaux de fraude dans une adresse e-mail

1. Délivrabilité et validité MX

Si le domaine n'a pas d'enregistrements MX valides, que la syntaxe est mal formée ou que la boîte aux lettres est connue pour générer des rebonds, l'adresse est non livrable — l'OTP n'arrivera pas et il est inutile de continuer. Détecter cela tôt permet d'économiser le coût de vérification complet et d'éviter d'intégrer un utilisateur que vous ne pouvez pas contacter.

2. Détection des fournisseurs jetables

Les services d'e-mails jetables n'existent que dans un seul but : compléter une inscription sans laisser d'identité traçable. Les utilisateurs qui souhaitent réellement un compte n'ont aucune raison de les utiliser. Les utilisateurs abusant des programmes de parrainage, exploitant les essais gratuits ou renouvelant des comptes bannis le font. La détection des fournisseurs jetables nécessite une base de données à jour et maintenue de services connus — Didit la conserve dans le cadre de l'évaluation des risques pour chaque vérification.

3. Exposition aux violations

Lorsque des bases de données sont divulguées, les enregistrements exposés contiennent des adresses e-mail associées à des mots de passe ou des données personnelles. Une adresse apparaissant dans de nombreuses violations connues modifie le profil de risque : elle est ancienne, largement utilisée et peut avoir des identifiants en circulation. Pour le risque de prise de contrôle de compte, un nombre élevé de violations à l'inscription mérite un examen plus approfondi. Pour la fraude aux comptes synthétiques, l'inverse s'applique souvent — les adresses temporaires créées pour la fraude ont tendance à n'avoir aucun historique de violation.

4. Utilisation en double

Un e-mail déjà enregistré sous une identité d'utilisateur différente est soit une erreur, soit un multi-compte. Un e-mail en double est généralement un signal de révision plutôt qu'un refus catégorique — les familles partagent parfois une adresse — mais cela met en évidence le schéma tôt.

Pourquoi l'e-mail est un premier filtre, pas un verdict final

L'intelligence e-mail s'exécute en moins de 2 secondes, ne nécessite aucun effort de l'utilisateur et arrête la fraude à faible effort avant que vous ne dépensiez pour l'analyse de documents ou les vérifications de vivacité. À 0,03 $ avant un flux KYC de base à 0,33 $, la détection d'un e-mail jetable économise 0,30 $ par tentative bloquée — et maintient entièrement les documents frauduleux hors de votre file d'attente de révision.

L'e-mail seul ne constitue pas une image complète — les utilisateurs légitimes peuvent utiliser Gmail, apparaître dans d'anciennes bases de données de violations ou rencontrer un comportement MX étrange. Il calibre vos dépenses en aval ; il ne remplace pas la vérification de documents et la vérification biométrique.

Comment Didit vous aide

La Vérification d'e-mail Didit combine la livraison d'OTP avec une évaluation complète des risques à 0,03 $ par vérification. Didit envoie un code à durée limitée à l'adresse (6 chiffres, configurable de 4 à 8), les codes expirent en 5 minutes, et jusqu'à 3 tentatives d'entrée sont autorisées par session.

En plus de l'OTP, Didit signale quatre avertissements de risque :

Avertissement	Signification
BREACHED_EMAIL	L'adresse apparaît dans une ou plusieurs bases de données de violations de données connues ; la réponse liste les services exposés.
DISPOSABLE_EMAIL	L'adresse appartient à un fournisseur d'e-mail temporaire ou jetable connu.
UNDELIVERABLE_EMAIL	L'adresse ne peut pas recevoir de courrier — mauvais domaine, pas d'enregistrements MX, ou adresse connue pour générer des rebonds.
INVALID_EMAIL	L'adresse est syntaxiquement mal formée.
DUPLICATED_EMAIL	L'adresse a déjà été enregistrée sous une identité d'utilisateur différente dans votre espace de travail.

Chaque avertissement est configurable indépendamment — définissez duplicated_email_action, breached_email_action et disposable_email_action sur APPROVE (approuver), REVIEW (réviser) ou DECLINE (refuser) dans le Workflow Builder. Un mode basé sur la session (flux Didit hébergé) et un mode API autonome (POST /v3/email/send/ → POST /v3/email/check/) sont disponibles.

Cas d'utilisation

Intégration de la fintech grand public — les vérifications des e-mails jetables et non livrables arrêtent la fraude de compte à faible effort avant que tout contrôle de document ne soit payé. L'exposition aux violations signale les identifiants réutilisés à l'inscription.

Vérification des vendeurs de marketplace — un nom de domaine d'e-mail fraîchement créé sur un compte vendeur est un signal d'alerte avant le KYB. L'intelligence e-mail fournit un signal rapide et bon marché avant les vérifications coûteuses.

Abus de parrainage et de promotion — la détection des e-mails jetables est la principale contre-mesure pour l'exploitation des parrainages : les mauvais acteurs utilisant des adresses temporaires pour collecter des bonus d'inscription.

Flux d'escalade — si l'e-mail d'un utilisateur change en cours de cycle de vie, relancer la vérification détecte la substitution vers un fournisseur jetable — une étape courante dans la préparation à la prise de contrôle de compte.

Comment s'intégrer à Didit

Basé sur la session (flux hébergé)

1. Dans la console d'entreprise, ajoutez la fonctionnalité EMAIL à votre workflow et configurez les trois actions de risque.
2. Créez une session — POST /v3/session/ avec workflow_id, vendor_data et callback.
3. Ouvrez session.url pour l'utilisateur — la collecte d'e-mail, l'OTP et l'évaluation des risques se déroulent en bande.
4. Lisez le résultat via GET /v3/session/{sessionId}/decision/ ou session.status.updated. Les résultats d'e-mail se trouvent dans email_verifications[].

API autonome (paire OTP de serveur à serveur)

# Étape 1 — envoyer le code
curl -X POST 'https://verification.didit.me/v3/email/send/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "vendor_data": "user-1234" }'

# Étape 2 — vérifier le code (après que l'utilisateur l'ait entré dans votre UI)
curl -X POST 'https://verification.didit.me/v3/email/check/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "code": "123456", "disposable_email_action": "DECLINE" }'

La réponse de vérification inclut toujours toutes les métadonnées de l'e-mail : breaches[] avec les services exposés, le drapeau disposable et le drapeau deliverable.

Référence complète : Vue d'ensemble de la vérification d'e-mail, catalogue des avertissements, schéma de rapport.

Questions fréquemment posées

La vérification d'e-mail remplace-t-elle la vérification de documents ?

Non — c'est un pré-filtre qui arrête la fraude à faible effort avant que vous ne dépensiez pour les contrôles de documents et biométriques.

Qu'est-ce qui est considéré comme un fournisseur d'e-mail jetable ?

Didit maintient une base de données en direct des services d'e-mails temporaires connus, mise à jour en continu. Les webmails gratuits génériques (Gmail, Outlook) ne sont pas signalés comme jetables ; des signaux de réputation distincts couvrent ces modèles.

Une adresse e-mail violée peut-elle toujours être légitime ?

Oui. L'exposition à une violation signifie que l'adresse est apparue dans une base de données divulguée, pas que l'utilisateur est un fraudeur. La manière dont vous agissez sur BREACHED_EMAIL dépend de votre tolérance au risque et du nombre de violations que la réponse retourne.

Que se passe-t-il si l'e-mail de l'utilisateur est non livrable ?

L'OTP n'est pas envoyé et la vérification s'arrête là. Consultez votre accord de facturation pour savoir comment les détections de non-livrabilité sont comptabilisées.

Comment fonctionne la vérification des e-mails en double ?

DUPLICATED_EMAIL se déclenche lorsque la même adresse est enregistrée sous un vendor_data différent dans votre espace de travail. Le même utilisateur qui se revérifie ne le déclenche pas.

Prêt à commencer ?

La vérification d'e-mail est une couche dans la surface de fraude plus large de Didit — couplez-la avec l'analyse IP et d'appareil, la vérification de documents, la biométrie et le filtrage AML, tous composables dans un seul workflow.

• Découvrez la fonctionnalité → Docs de vérification d'e-mail
• Voyez-la en action sur la plateforme → Vérification d'utilisateur
• Vérifiez le prix → Tarification — Vérification d'e-mail à 0,03 $, 500 vérifications gratuites/mois
• Commencez gratuitement → business.didit.me