Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Free a tout compris

52

Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

L’AFNIC tire un triste bilan de son analyse de plus de 3 millions de noms de domaine utilisés pour des emails : 48 421 seulement sont protégés contre l’usurpation d’identité. Nous en profitons pour refaire le tour des quatre FAI nationaux. Free est toujours un bon élève, suivi par SFR. Orange et Bouygues Telecom ferment la marche.

Dans un article publié récemment, l’Association française pour le nommage Internet en coopération (ANFIC) revient sur la sécurité des emails. Elle rappelle que ce service a été conçu à une époque où Internet n’était pas encore un réseau public que l’on connaît. Le premier email date en effet de 1971, tandis que le premier spam est arrivé en 1978. Aujourd’hui encore, l’email manque cruellement de sécurité alors que des solutions existent depuis des années. 

SPF, DKIM et DMARC : le tiercé gagnant

« Les cas d’usurpation d’identité utilisant l’email se multiplient car il est possible de renseigner n’importe quelle adresse dans l’en-tête "From" d’un courriel, ce qui a pour conséquence de faciliter divers abus tels que l’hameçonnage », rappelle l’AFNIC. Ce champ From n’est en effet qu’un simple champ de texte parmi d'autres, on peut donc le modifier comme on veut avec un serveur SMTP maison ou peu regardant.

L’Association rappelle qu’il existe des solutions pour se protéger et qu’il « convient d’adopter pour renforcer la confiance dans le courriel ». Elles sont au nombre de trois :  SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance). Nous les avons déjà détaillées dans un précédent article, l’AFNIC les a aussi présentées ici.

Moins de 60 % des .fr avec SPF, on tombe sous les 10 % avec DMARC

Avant d’entrer dans les détails, l’Association commence par poser le décor : « Cette étude porte sur 4 029 741 domaines extraits de la zone .fr dans la nuit du 30 au 31 janvier 2023. Sur ces 4 millions, 3 600 347 sont publiés ; parmi eux, 3 096 240 publient un enregistrement MX ». MX signifie pour rappel Mail eXchange. Un enregistrement MX est un enregistrement DNS qui associe un nom de domaine à un serveur de messagerie. 

Les statistiques suivantes portent donc uniquement sur un peu plus de 3 millions de noms de domaine, qui disposent d’un enregistrement MX : 

  • « 57,8 % publient une politique SPF ;
  • 23,1 % publient au moins une clef DKIM ;
  • 7,8 % publient une politique DMARC ».

L’AFNIC précise que les taux sont un peu supérieurs si on se limite aux noms de domaine .fr associés à un site web : 62,7 %, 25,2 % et 9,8 % respectivement. On reste dans les mêmes ordres de grandeurs et, dans tous les cas, on est loin d’un carton plein…

La conclusion de l’AFNIC est d’ailleurs sans appel : « Aujourd’hui, moins de 10 % des noms de domaine publiés dans la zone .fr exploitent pleinement le DNS pour assurer l’authenticité de leurs envois d’e-mails ».

De bonnes pratiques sur le SPF, il reste du travail sur DMARC

Sur le Sender Policy Framework (SPF) en particulier – qui permet de déclarer quels serveurs peuvent expédier des emails pour les domaines – « au moins 97 % des noms de domaine en .fr ont une politique SPF qui respecte les bonnes pratiques ». C’est-à-dire « suffisamment restrictive (sans « +all » ni de plages IP trop grandes)  », ne listent pas d’adresses IP privées ou réservées, avec un type TXT dans un message DNS de moins de 512 octets, etc. 

Concernant DKIM, qui est bien moins répandu avec seulement 23,1 % des .fr, pas de détail pour le moment : « L’analyse des sélecteurs DKIM les plus utilisés et des caractéristiques des clefs publiques DKIM est en cours et fera l’objet d’une publication dédiée ». 

Enfin, le dernier point concerne DMARC, encore très/trop peu déployé dans la zone .fr, avec seulement 7,8 % des noms de domaine. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC), permet d'indiquer ce qu’il faut faire lorsqu'un email ne passe les tests SPF et DKIM.

Trois politiques sont possibles : « p=none » et il ne se passe rien (les serveurs mail destinataires ne rejettent pas les messages), « p=reject » et l’email est rejeté, et enfin « p=quarantine » et dans ce cas l’email est considéré comme suspect. Dans ce dernier cas, il va dans les spams, où il est mis de côté pour un examen ultérieur. 

Dans la pratique, on est loin d’une application stricte de DMARC. Sur environ 234 000 noms de domaine avec DMARC déployé, les politiques mises en place sont les suivantes : 

  • 73,6 % ne font rien (p=none)
  • 18,5 % rejettent (p=reject )
  • 7,9 % mettent en quarantaine (p=quarantine)

L’AFNIC précise que « parmi les domaines sans site web, le "p=reject" est surreprésenté, sans pour autant être majoritaire : il s’agit de noms de domaine parqués ou achetés à titre défensif ».

Au final, le bilan n’est pas joyeux : « La proportion de noms de domaine en .fr protégés contre l’usurpation est très faible : seuls 48 421, soit 1,3  % de toute la zone .fr, publient une politique DMARC "p=reject" ». Sur les plus de 3 millions de noms de domaine, 7,8 % seulement publient une politique DMARC, et sur ces 7,8 % ils ne sont que 18,5 % à mettre en place une politique de rejet. 

L’AFNIC rappelle que, « pour autant, les usurpations d’identité peuvent être lourdes de conséquences : à la fois pour les internautes, qui s’exposent à l’hameçonnage, mais également pour l’image de marque du titulaire/émetteur du courriel ».

Bouygues Telecom et Orange se contentent de SPF

Nous avons à plusieurs reprises fait le tour des quatre fournisseurs d’accès à Internet français (Bouygues Telecom, Free, Orange et SFR) afin de voir quelle était leur politique de protection des emails. La dernière fois, c’était il y a un peu plus d’un an et Orange ne tenait toujours pas ses promesses.

Un peu plus d’un an plus tard, SPF est enfin activé, aussi bien sur les emails @wanadoo.fr et @orange.fr que nous avons testé. Par contre, DKIM et DMARC manquent toujours à l’appel. 

Le FAI nous a pourtant annoncé à plusieurs reprises la mise en place de son projet « New MTA » avec SPF et DKIM (DMARC n’était pas au programme). Attendu pour fin 2020, puis au premier trimestre 2021, New MTA n’est visiblement toujours pas entièrement déployé, selon nos constatations. 

Continuons avec Bouygues Telecom. Lors de nos derniers tests, seul SPF était implémenté… et rien n’a changé si l’on en croit un test réalisé ce matin depuis une adresse @bbox.fr. Il n’y a toujours pas de signature DKIM ni d’enregistrement DMARC.

Sécurité emailsSécurité emails

Carton plein chez Free, DMARC manque chez SFR

Pas de changement chez Free avec SPF, DKIM et DMARC en service, mais tous les indicateurs étaient déjà au vert lors de nos précédentes campagnes de test. L’opérateur reste donc un bon élève sur la sécurité des emails de ses clients. 

Rien ne change non plus chez SFR, qui reste plutôt un bon élève : les emails disposent d’un enregistrement SPF et sont bien signés via DKIM, mais DMARC manque encore et toujours à l’appel.

Sécurité emailsSécurité emails

Voici un rapide résumé de la situation : 

  • Bouygues Telecom : SPF
  • Free : SPF, DKIM et DMARC
  • Orange : SPF
  • SFR : SPF et DKIM

Vous pouvez tester vous-même votre messagerie via le site mail-tester.com. Le service est gratuit pour quelques tests, mais il faudra ensuite passer à la caisse (6 euros pour 20 tests par exemple). 

Commentaires (52)


Merci beaucoup par cet article !



Est-ce que vous envisagez un test de distributions ou logiciels pour être son propre hébergeur ?



Par exemple :
Mail-in-a-box
IRedMail
HMail Server
Modoboa
Mailcow



Pas de changement chez Free avec SPF, DKIM et DMARC en service, mais tous les indicateurs étaient déjà au vert lors de nos précédentes campagnes de test. L’opérateur reste donc un bon élève sur la sécurité des emails de ses clients.




Certes. Mais je vous souhaite bon courage pour utiliser un email @free.fr ou un site *.free.fr comme adresse professionnelle. Outre le coté “ca fait pas sérieux” (totalement subjectif, j’en conviens), il y a aussi le problème du risque de blocage par les filtres anti-spam/anti-phishing.



Donc, s’il faut passer par un email/site tiers “reconnu” puis rerouter le trafic vers son email/site free.fr sécurisé, ca annule un peu le coté sécurisé.


Tutanota tout est OK, j’avais jamais checké mais le contraire m’aurait étonné quand même. Je suppose que c’est la même chose pour Proton.



Ca fait pas très pro non plus d’avoir une adresse en orange.fr ou wanafoo.fr, pourtant il y en a à la pelle…




(reply:2127359:Fab’z)
Je voulais retenter BIMI sur O365, la dernière fois que j’avais regardé ce n’était pas possible. Je ne sais pas s’il y a eu des modifications.



C’est correct, mais il faut savoir qu’il y a un “alias” à free , c’est online. Je l’utilise depuis… toujours. Ça doit faire 20ans que je donne mon argent à free. Quel horreur :oops: C’est plus geek d’accord, mais ça passe. Par contre à la caisse de votre supermarché ou autre prêtez attention à l’orthographe, même correctement prononcé tout (presque) le monde écrit ONELINE. C’est plus court à épeler que schwartzmann.
anecdote l’abonnement mensuel ne coutait que 98FF, si ma mémoire est bonne. Donc plus de 20ans, pour les moins de 20ans…


Aucun mail n’est supprimé ou bloqué chez Free, en revanche ils ont ajoutés des filtres automatiques pour rediriger dans des dossiers Commercial / Réseaux sociaux (en plus de spam !)




X-ProXaD-SC: state=HAM:SocialNetwork
X-ProXaD-SC: state=SPAM




Il suffit d’aller dans zimbra > préférence > Mails > Filtre pour décocher les cases correspondantes.



Tu peux également charger ces dossiers, dans ton client mails, ou modifier les règles à ta guise.
Je trouve que c’est largement mieux que la concurrence : tu as vraiment la main sur le filtre anti-spam, le serveur note les mails et tu peux créer n’importe quelle règle : soit dans Zimbra pour qu’elles s’appliquent côté serveur, mais si tu préfères tu peux aussi toutes les supprimer pour gérer dans Outlook / Thunderbird directement.



Le plus gros problème est l’absence de doc et de comm’ sur ce sujet ! (J’ai mis un moment à comprendre que le filtre dans zimbra ne s’applique pas qu’au webmail)


Pour tester ses envois de mail, je recommande aussi d’envoyer un petit mail aux automates: echo [at] nic.fr (pour tester si l’envoi marche) et ping [at] tools.mxtoolbox.com qui effectue une analyse similaire à celle de mail-tester et vous l’envoie en réponse sous quelques secondes.



Jeanprofite a dit:


Merci beaucoup par cet article !



Est-ce que vous envisagez un test de distributions ou logiciels pour être son propre hébergeur ?



Par exemple : Mail-in-a-box IRedMail HMail Server Modoboa Mailcow




J’ajouterai poste.io.
Ainsi que le récent Stalwart (qui supporte JMAP en plus d’IMAP), écrit en Rust, qui promet d’être très cool si tout ce qui est annoncé est réalisé.



(Désolé du double post, les autres comm’ sont arrivées après la publication du miens)


Merci pour poste.io je ne connaissais pas, ça a l’air pas mal du tout en effet :yes:


Merci, je ne connaissais pas. :inpactitude:




OB a dit:


Merci pour l’article !



J’ai 1010 sur mon serveur perso, avec un DMARC p=quarantine et pct=100.



Je trouve aussi que c’est un exercice très important, mais ce n’est pas sans risques:




  • Déjà faire ça depuis sa propre ligne FTTH c’est mort, les plages IP “résidentielles” sont pratiquement toute dans les RBL et impossible d’en sortir.

  • Ensuite, bah ya toujours des opérateurs scélérats qui refusent, voir carrément suppriment les mails silencieusements , sans pour autant s’abstenir de chercher à en déliver. Un exemple réccurent d’un tel opérateur c’est Microsoft, avec ses domaines outlook. et hotmail. : Mes mails depuis mon serveur perso ne passent jamais (pourtant la volumétrie est anectdotique) alors que le même mail depuis gmail passe sans soucis. Parfois (pas tout le temps) ils envoient un bounce , qui dit que le serveur est dans leur propre RBL et qu’on peux rien y faire. C’est un comportement que je trouve monopolistique et contre la nettiquette et du coup ce que j’ai fait c’est que je refuse désormais les mails depuis les domaines microsoft (bon, ils s’en foutent bien sur. mais au moins mon correspondant est averti)




Merci pour ton témoignage.
Effectivement j’ai souvenir de courriels qui n’arrivaient jamais sur une boîte en dbmail.com (à l’époque gérée par Microsoft) alors que le serveur de destination n’envoyait pas de message de rejet.
(L’occasion de découvrir que c’est aussi le nom d’un MDA ).



Pour espérer passer il faut se rendre par là (compte Microsoft obligatoire)…



Du coup, est-ce que tu refuses les courriels de MS par réglages au niveau serveur ou tu préviens oralement tes intercocuteurs ?


Les mails sont un gros problème à “sécuriser”, notamment à l’envoi. Même avec des notes de 1010, on peut être ban par SFR, Orange ou Free pendant 1j ou plus, sans explication.


Ah ba ça tombe bien je suis en plein dedans. J’étais en train de relire les articles de David sur le sujet ces derniers jours.



J’ai réussi a faire fonctionner le dkim sur un exchange de test. J’ai réussi à avoir un score de 1010 sur mailtester ! (Chui un peu fière ^^). Par contre le BIMI ça marche pas du tout sans VMC. C’est réservé aux riches. Par contre yahoo c’est infernal. On se prend constamment des deffered due to volume or user complaint… j’ai même pas envoyé 10 mail et on a pas des tonnes d’IP publiques. Alors pour les clients qui envoient des notifications…



(quote:2127352:127.0.0.1)
Certes. Mais je vous souhaite bon courage pour utiliser un email @free.fr ou un site *.free.fr comme adresse professionnelle. Outre le coté “ca fait pas sérieux” (totalement subjectif, j’en conviens), il y a aussi le problème du risque de blocage par les filtres anti-spam/anti-phishing.



Donc, s’il faut passer par un email/site tiers “reconnu” puis rerouter le trafic vers son email/site free.fr sécurisé, ca annule un peu le coté sécurisé.




Même quand c’est “reconnu”, le fonctionnement est très aléatoire…
Mon ancien bailleur avait des difficultés avec les mails Free : certains comme moi recevaient bien ce qu’ils envoyaient, par contre pour d’autres, avec le même expéditeur, c’était systématiquement bloqué (ils n’arrivaient même pas dans la boîte spam)! Et pour d’autres services (au hasard, humblebundle ou robertspaceindustries), s’ils t’envoie un mail publicitaire ou si qqu’un de la boîte t’écrit, tu a bien le mail, par contre quand il s’agit d’une procédure de recouvrement de mot de passe ou pour changer de boîte mail… Tu ne recois jamais rien.



Jeanprofite a dit:


Est-ce que vous envisagez un test de distributions ou logiciels pour être son propre hébergeur ?




Je suis preneur aussi !



(reply:2127354:gouge_re) Merci pour les automates de test !



Le mail, cet ensemble de rustines avec un service planqué derrière.



(quote:2127368:dvr-x)
Tutanota tout est OK




Je correspond avec quelqu’un qui a un mail @tutanota.com
Je
vois dans Wikipedia :




Pour les destinataires extérieurs, qui n’utilisent pas Tutanota, une notification est envoyée avec un lien vers un compte Tutanota temporaire. Après avoir entré un mot de passe échangé précédemment, le destinataire peut lire le message et répondre de manière chiffrée de bout en bout.
(La note explicative 13 renvoyant vers une erreur 404)




Et pourtant , je lis et réponds sans cette procédure…


A l’expédition du mail, tu peux choisir de chiffrer ou pas le mail.
Si tu prends l’option “confidentiel” et que ton correspondant n’utilise pas tutanota, alors c’est le mécanique que tu décris. Si c’est en mode “non confidentiel”, il n’y a pas le chiffrement du mail, donc pas le système de mot de passe.


Exchange chez OVH, ça a mis du temps à venir mais on peut désormais tout activer. Plusieurs de mes mails n’arrivaient pas à atteindre certains de mes interlocuteurs et c’était particulièrement gênant.



(quote:2127368:dvr-x)
Tutanota tout est OK, j’avais jamais checké mais le contraire m’aurait étonné quand même. Je suppose que c’est la même chose pour Proton.




Pour Proton j’ai un score de 8,210 avec mailtester. Il bute sur le contenu HTML et quelques points en moins rubrique SpamAssasin


Ça reste quand même difficile d’activer le DMARC “p=reject” quand on voit le nombre de personne qui n’ont pas activer le SPF et le DKIM à moins de vouloir se débarrasser de beaucoup de mail ! 😆
Parfois, ce n’est même pas possible d’activer le DKIM sur son mail (je pense notamment à OVH pour les adresse sur serveurs mutualisés ou même les adresses pro)


C’est ce que j’allais dire. Pour ma part j’ai configuré mon Dmarc pour que tout ce qui ne passe pas soit mis en quarantaine sur Mailcow, avec un mail pour prévenir le destinataire et lui permettre d’éventuellement récupérer le mail douteux si c’est un faux-positif.


Adresse en .fr non associé à un site et un score de 1010: il n’y a pas que les FAI dans la vie. :yes:


1010 chez gandi :)


domaine perso pour une asso : Votre joli total : 1010



merci mail-in-a-box (et sa variante ldap) qui facilite grandement le travail !


1010 pour mail plus sur synology :-)


Chez l’OVH de mon association, j’ai réussi à activer SPF. Pour le DKIM, j’ai vaguement compris que je devais créer puis importer une clé. Les seuls tutoriel que je trouve sur le sujet c’est dans le but de faire de l’envoie de mail commercial (et passer la barrière de Gmail). Rien pour le gars lambda comme moi.



Je pense que l’hébergeur devrait me faire le certificat DKIM, comme il le fait déjà pour le TLS. À cette condition, le DKIM pourrait se populariser.


Le DKIM est dispo sur les offres Exchange (c’est nouveau et il faut chercher un peu sur https://community.ovh.com/).



Sinon, pour les boites mail gratuites MXplan, un SPF correctement configuré permet d’envoyer des mail à Gmail et autre Outlook sans problème.



OVH à un peu de retard la dessus.


gg40

Le DKIM est dispo sur les offres Exchange (c’est nouveau et il faut chercher un peu sur https://community.ovh.com/).



Sinon, pour les boites mail gratuites MXplan, un SPF correctement configuré permet d’envoyer des mail à Gmail et autre Outlook sans problème.



OVH à un peu de retard la dessus.


J’ai du MXplan.


J’ai un domaine en .fr, qui ne me sert que pour les e-mails. Je pense que je suis concerné par cet article ? Mais je n’ai pas compris grand-chose. L’article n’est pas en cause :) c’est juste que je préfère payer un fournisseur pour qu’il s’occupe des réglages : c’est lui le pro, pas moi.



Y a-t-il quelque chose que je fois faire de mon côté ? Ou bien juste lui demander ? (ce qui n’a pas trop de sens si je dois poser des questions que je ne comprends pas).



Je n’ai pas réussi à me servir de https://www.mail-tester.com/ comme l’indique l’article : quand je tente de “vérifier mon score”, j’ai une erreur “Please send your message to a [email protected] address”. Ce qui ne m’avance pas des masses…


Il faut envoyer un message à l’adresse indiquée sur mail-tester depuis ton compte mail que tu veux tester, et ensuite tu clic sur “vérifier mon score”.


Merci pour l’article !



J’ai 1010 sur mon serveur perso, avec un DMARC p=quarantine et pct=100.



Ceci dit je pense que Orange ne pourra jamais installer DKIM & DMARC sur ses serveurs, car beaucoup de leurs clients et surtout des tpe/pme utilisent des softs mal conçus (logiciels métiers, de backup, …) dans lesquel sont renseignés leur addresse mail genre [email protected] et comme SMTP “smtp.orange.fr” sans authentification sur le port 25…



renforcer les contrôles sur les mails c’est se prendre des appels de “petits pro” furibards à la hotline, leur hantise.
Sachant que leur status de OCEN (voire même de boite internationale) leur garantie que leurs mails seront délivrés pratiquement partout même si c’est spameux.




Jeanprofite a dit:


Est-ce que vous envisagez un test de distributions ou logiciels pour être son propre hébergeur ?



Par exemple : Mail-in-a-box IRedMail HMail Server Modoboa Mailcow




Je trouve aussi que c’est un exercice très important, mais ce n’est pas sans risques:




  • Déjà faire ça depuis sa propre ligne FTTH c’est mort, les plages IP “résidentielles” sont pratiquement toute dans les RBL et impossible d’en sortir.

  • Ensuite, bah ya toujours des opérateurs scélérats qui refusent, voir carrément suppriment les mails silencieusements , sans pour autant s’abstenir de chercher à en déliver.
    Un exemple réccurent d’un tel opérateur c’est Microsoft, avec ses domaines outlook. et hotmail. :
    Mes mails depuis mon serveur perso ne passent jamais (pourtant la volumétrie est anectdotique) alors que le même mail depuis gmail passe sans soucis.
    Parfois (pas tout le temps) ils envoient un bounce , qui dit que le serveur est dans leur propre RBL et qu’on peux rien y faire.
    C’est un comportement que je trouve monopolistique et contre la nettiquette et du coup ce que j’ai fait c’est que je refuse désormais les mails depuis les domaines microsoft (bon, ils s’en foutent bien sur. mais au moins mon correspondant est averti)



C’ets une des raisons pour lesquelles je milite pour que les gens qui le peuvent créent leur propre serveur mail mais ce n’est pas une sinécure.




Jarodd a dit:


Je n’ai pas réussi à me servir de https://www.mail-tester.com/ comme l’indique l’article : quand je tente de “vérifier mon score”, j’ai une erreur “Please send your message to a [email protected] address”. Ce qui ne m’avance pas des masses…




Tu dois envoyer un mail depuis ta propre addresse à l’addresse marquée sur le site web (genre avec ton logiciel de mail favori).
Ensuite tu cliques sur le bouton sur le page web et ça te dis ton score , car leur logiciel vérifie via le mail recu à l’addresse donnée ton serveur mail.
Parfois il faut attendre un peu si le delivery n’est pas immédiat.



edit: grillé



(reply:2127412:dvr-x)




Merci, je n’avais pas compris ça :chinois:



J’ai 8.210 (je suis chez Infomaniak). Je n’ai pas compris grand-chose au rapport, comme prévu :transpi:
Vu que le lien du test affiche mon adresse, cela m’empêche de mettre son url ici. Je l’ai masqué dans cette image : https://postimg.cc/k2ZCR8SS Si quelqu’un peut me me faire un petit résumé :smack:


Jarodd


(reply:2127412:dvr-x)




Merci, je n’avais pas compris ça :chinois:



J’ai 8.210 (je suis chez Infomaniak). Je n’ai pas compris grand-chose au rapport, comme prévu :transpi:
Vu que le lien du test affiche mon adresse, cela m’empêche de mettre son url ici. Je l’ai masqué dans cette image : https://postimg.cc/k2ZCR8SS Si quelqu’un peut me me faire un petit résumé :smack:


Il faut que tu rajoutés un champ TXT dans tes DNS avec un DMARC valide (tu peux en générer un sur MxToolbox), et surtout essaie avec un autre contenu dans ton message, visiblement ce que tu as envoyé est flaggé.


gouge_re

Il faut que tu rajoutés un champ TXT dans tes DNS avec un DMARC valide (tu peux en générer un sur MxToolbox), et surtout essaie avec un autre contenu dans ton message, visiblement ce que tu as envoyé est flaggé.


Oh pinaise… Je savais que j’avais de grandes chances de ne rien comprendre. Mais pas à ce point !


Jarodd

Oh pinaise… Je savais que j’avais de grandes chances de ne rien comprendre. Mais pas à ce point !


En fait si l’on veut caricaturer (ce n’est pas des définitions précises, loin de là):



La sécurité des mails, du point de vue “setup” se fait principalement via des politiques de sécurité que l’on définit dans les champs DNS de type TXT* de son nom de domaine :




  1. un champ SPF va permettre de déclarer les IP ou plages IP des serveurs qui sont autorisés à envoyer des mails depuis ce nom de domaine. Il se configure à la racine du domaine. Un exemple:
    Sur mon domaine, imaginons aaaaaa.aa, je mets un champ TXT sur la racine avec comme valeur “v=spf1 mx ip4:9.9.9.9 ip6:2620:fe::9 -all”. Cela signifie que j’autorise :




  • le(s) serveur(s) réceptionnant les mails (configuré(s) dans le(s) champ(s) MX)

  • l’IPv4 9.9.9.9 et l’IPv6 2620:fe::f9
    à envoyer des mails depuis mon domaine. “-all” signifie que le serveur recevant mon mail doit appliquer strictement la politique que j’ai définit.




  1. un champ DKIM, qui va contenir une clef de chiffrement. Celui-ci se définit souvent sous la forme xxxx._domainkey.aaaaaaaa.aa ; avec xxxx une valeur souvent fournie par le logiciel de serveur mail utilisé. La valeur du champ est en général prémachée avec la clef correspondante par le logiciel de serveur mail.

  2. un champ DMARC permet au serveur destinataire de savoir quoi faire en cas de problème avec l’authentification du domaine (SPF, DKIM, …) : rejet pur et simple du mail, mise en quarantaine (revue par un administrateur), des rapports réguliers doivent-ils ou non être envoyés, à quel pourcentage de mails cela s’applique… Le champ DMARC est également un champ de type TXT, placé sur le sous-domaine _dmarc.aaaaaaaaa.aa
    Exemple de valeur de champ DMARC: “v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1”
    Le paramètre p définit la politique à appliquer par le serveur recevant mon mail : reject, quarantine ou none.
    Le paramètre rua correspond à l’email qui recevra les rapports dmarc transmis par les serveurs mail supportant cela. ruf est la même chose, à ceci près que l’email indiquée dans ruf recevra des rapports d’erreur uniquement, plus détaillés. fo correspond à la condition selon laquelle un rapport détaillé doit être envoyé (voir la page Wikipedia pour plus de détails sur ces paramètres et sur les autres paramètres disponibles).



Il existe des générateurs pour chaque type de champ. Cherchez par exemple DKIM generator sur Gougleuh et vous devriez trouver votre bonheur (ceux de Mxtoolbox dont je parlais plus tôt sont très bien). Mxtoolbox propose d’ailleurs dans son générateur de superviser/analyser les rapports Dmarc reçus.



*note: le champ SPF a aussi existé avec un type de champ propre (type “SPF” aussi appelé “type 99”) et non dans un champ TXT, mais celui-ci a été déprécié par l’article 14.1 de la RFC7208, certains logiciels de serveur mail ne le reconnaissent même pas. Il faut donc spécifier ses paramètres SPF dans un champ TXT.


Merci !


J’ai pas compris l’interet pour le DMARC de choisir p=reject, plutot que none ou quarentaine. Si SPF et Dkim sont bien parametré y a un avantage?
par ailleurs, je rappelle l’importance de bien configurer le reverse dns, meme si c’est au niveau du fai ou est branché le serveur, et non pas la zone dns du fournisseur de nom de domaine. Chez free par exemple, l’ipv6 est au fraise, il faut donc le bloquer sur l’ipv4, sinon gmail rejette tout!


Remarque de mise en page.
Serait il possible d’avoir des articles en Arial avec comme taille 12 ?
Pour être plus lisible.


Mode texte et/ou Ctrl+ ?


Merci pour ce super article de rappel qui montre à quel point on a du chemin à faire.



Je travaille en ce moment pour une presta “marketing” pour un hôpital public et tous leurs mails sur leur .fr sont en clair… Comment dire. Quand j’ai remonté le sujet on m’a dit de ne pas faire de vague avec le service info parce que le gars est un mec difficile à gérer et patatipatata.
Cela me fait un peu peur parce que le type gère aussi deux autre petites structures à côté.
Ce qui me rassure c’est que je crois qu’ils vont avoir un audit dans pas longtemps.



De notre côté, pour la maison on a pas un pas de point fr mais sur un autre nom de domaine on a notre propre serveur de mails perso avec SPF DMARC DKIM. Mais j’avoue le DMARC est en p=none pour le moment. Derrière on a le traitement des mails entrant par rspamd.



J’ai toujours pas pigé l’utilité totale du DMARC. Et maintenant on nous colle dans les patounes le STS et le DANE, donc… y a de quoi devenir un peu chèvros.



fofo9012 a dit:


Aucun mail n’est supprimé ou bloqué chez Free, en revanche ils ont ajoutés des filtres automatiques pour rediriger dans des dossiers Commercial / Réseaux sociaux (en plus de spam !)



Il suffit d’aller dans zimbra > préférence > Mails > Filtre pour décocher les cases correspondantes.



Tu peux également charger ces dossiers, dans ton client mails, ou modifier les règles à ta guise. Je trouve que c’est largement mieux que la concurrence : tu as vraiment la main sur le filtre anti-spam, le serveur note les mails et tu peux créer n’importe quelle règle : soit dans Zimbra pour qu’elles s’appliquent côté serveur, mais si tu préfères tu peux aussi toutes les supprimer pour gérer dans Outlook / Thunderbird directement.



Le plus gros problème est l’absence de doc et de comm’ sur ce sujet ! (J’ai mis un moment à comprendre que le filtre dans zimbra ne s’applique pas qu’au webmail)




Le seul filtre existant que j’ai est celui qui envoie les spams dans le dossier “spam” (et encore, il est TRES mauvais : 90% des spams arrivent dans la boîte de réception…). La case “ne pas appliquer d’autres filtres” est même cochée. Et ceux dont je parle n’y apparaissent jamais, ils sont donc bien bloqués par Free.



(reply:2127368:dvr-x)




Non, microsoft le prend pas en charge. Sur le site bimigroup.org c’est clairement indiqué. Il y a Apple, Google, Yahoo, La poste et d’autres… La poste étant un des seuls à proposer sans VMC sous conditions.



Jeanprofite a dit:


Du coup, est-ce que tu refuses les courriels de MS par réglages au niveau serveur ou tu préviens oralement tes intercocuteurs ?




Les 2 :-)


Pour la deuxième, j’imagine que cela est possible pour la majorité des gens, pour la première j’aimerai bien savoir faire. Un tuto ?


Simplement un nom de domaine chez ovh et un p’tit serveur sur un raspi avec un ssd et ….
https://depot.kaz.bzh/f.php?h=2k1cqr-H&p=1
Et je ne suis pas un grand spécialiste en informatique, j’ai simplement suivi des tutos et demandé l’aide de copains d’aquilenet pour le paramétrage chez ovh.
et vous ?


C’est quand même pas simple la messagerie auto hébergée. J’avais une formation basique d’exchange mais quand on commence à mettre les mains dedans… j’ai l’impression de rien savoir au fur et à mesure de lire des articles ici et là ^^



La bonne compréhension DNS nécessaire, l’importance d’avoir une IP publique dédiée, les mécaniques d’authenticités de cet article, les problèmes d’interoperabilité des clients de messagerie (ex: outlook + imap + zimbra), les systèmes de réputation, les dnsbl, … je sens que j’en oubli.



(reply:2127550:Fab’z)




+1.
Si tu veux une qualité de service pro, c’est vraiment un métier.



OB a dit:


Un exemple réccurent d’un tel opérateur c’est Microsoft, avec ses domaines outlook. et hotmail. : Mes mails depuis mon serveur perso ne passent jamais (pourtant la volumétrie est anectdotique) alors que le même mail depuis gmail passe sans soucis. Parfois (pas tout le temps) ils envoient un bounce , qui dit que le serveur est dans leur propre RBL et qu’on peux rien y faire.




Oui, Microsoft a de grosses exigences, mais si on peut faire quelque chose. Je le sais, ça m’ait arrivé. Alors, je n’ai plus la page en tête, mais tu as des outils pour tester. Et dans mon cas, il se trouve que mon serveur privée était sur une liste noire (une seule, sur près d’une centaine). Ce qui suffisait à Microsoft pour refuser mes mails.



J’ai contacté la liste en question, j’ai fait retiré mon adresse IP, et hop, c’était bon.



fdorin a dit:


Oui, Microsoft a de grosses exigences, mais si on peut faire quelque chose. Je le sais, ça m’ait arrivé. Alors, je n’ai plus la page en tête, mais tu as des outils pour tester. Et dans mon cas, il se trouve que mon serveur privée était sur une liste noire (une seule, sur près d’une centaine). Ce qui suffisait à Microsoft pour refuser mes mails.



J’ai contacté la liste en question, j’ai fait retiré mon adresse IP, et hop, c’était bon.




Alors moi c’est pas mon cas: Je suis dans aucune RBL connue.



Par contre Microsoft a quand même des RBL internes et non publiques.
J’avais remué ciel et terre, “enregistré” mon IP auprès d’eux (il y a un site pour ca). Au final j’avais contacté le support et ils m’avaient débloqué manuellement. 1 an précisement. Au bout d’un an, re-blocage.



J’ai pas refait les démarches. Ya un moment, ca suffit.



OB a dit:


Ceci dit je pense que Orange ne pourra jamais installer DKIM & DMARC sur ses serveurs, car beaucoup de leurs clients et surtout des tpe/pme utilisent des softs mal conçus (logiciels métiers, de backup, …) dans lesquel sont renseignés leur addresse mail genre [email protected] et comme SMTP “smtp.orange.fr” sans authentification sur le port 25…




Justement, c’est aux TPE/PME de configurer DKIM et DMARC sur l’entrée DNS de toto-immobilier.com avec le bon SPF…



Je trouve que c’est assez bien foutu.



Le problème c’est que c’est très loin de résoudre quoique ce soit. Si tu envoies 50 mails en 1 min à SFR, ils te bloquent pour quelques heures. Même MS est capable de bloquer la réception de mails envoyés par un domaine hébergé sur leur propre serveur…



Sans compter le blocage IP par certains: les serveurs MS étant partagés par x entreprises, tu peux te retrouver bloquer chez Free, SFR, Orange parce qu’ils ont reçus trop d’email de cette IP, sauf que cette IP est partagée et que ce n’est pas toi qui a envoyé…



OB a dit:


Alors moi c’est pas mon cas: Je suis dans aucune RBL connue.



Par contre Microsoft a quand même des RBL internes et non publiques. J’avais remué ciel et terre, “enregistré” mon IP auprès d’eux (il y a un site pour ca). Au final j’avais contacté le support et ils m’avaient débloqué manuellement. 1 an précisement. Au bout d’un an, re-blocage.



J’ai pas refait les démarches. Ya un moment, ca suffit.




Alors au premier contact que j’avoue eu, le support m’avait redirigé vers mxtoolbox pour faire mes vérifications. Tout était vert. Ils m’ont ensuite donné un autre lien, lié à Microsoft, qui faisait état de toutes les listes noires. Et il y en avait certaines qui n’étaient pas référencées par des outils généralistes comme mxtoolbox. Et c’est sur une de ces listes que se trouvaient mon serveur (enfin son IP).



Mais par contre, je confirme que j’avais du batailler pour réussir à avoir l’info, car pas vraiment accessible depuis les différents portails et que si le support ne m’avais pas donné le lien, je ne l’aurais sans doute jamais trouvé.



Mais il y a 6 ans de ça maintenant… c’est loin.


En l’attente d’un hypothétique article de NextInpact :
Est-ce que quelqu’un aurait testé plusieurs de ces solutions pour nous dire les avantages et inconvénients ?




Fermer