SPF, DKIM et (DM)ARC dans les emails : Free au top, Orange ne tient pas ses promesses
FIC alors
L'année dernière, Orange nous annonçait l'arrivée de son serveur mail nouvelle génération, devant lui permettre de gérer enfin les standards assurant la sécurité des emails. Un sujet où il est à la traine face à ses principaux concurrents. Et avec le temps qui passe, l'écart se creuse, les promesses se fanent.
Cela fait maintenant plus d'un an que nous analysons le respect des standards de la sécurité des emails chez les grands fournisseurs d'accès Internet français. Et autant dire qu'en juin 2020, la situation était catastrophique. Presque aucun ne jouait le jeu dans les adresses fournies aux clients ou même les mails leur étant envoyés.
- Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
- Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Pourtant, ces solutions sont connues et maîtrisées, certaines existant depuis plus de 15 ans. Elles visent principalement à s'assurer de la provenance d'un message et donc de mieux lutter contre le spam ou encore l'usurpation d'identité. Des sujets où tous les FAI sont engagés, notamment dans une charte signée avec l'ANSSI.
Au fil des mois, des vérifications et de nos échanges avec les équipes de ces sociétés, les choses se sont peu à peu améliorées. Cela concerne d'ailleurs d'autres acteurs tels que les hébergeurs où nous avions relevé de bons élèves comme Infomaniak, ou Gandi qui a changé ses pratiques suite à nos articles.
Mais un mauvais élève se fait remarquer depuis le début de cette « affaire » : Orange. Et alors que la société va sans doute vanter son amour de la cybersécurité au FIC de Lille, force est de constater qu'elle fait peu d'effort lorsqu'il s'agit de renforcer la protection des emails de ses clients avec SPF, DKIM ou (DM)ARC. Malgré ses promesses.
Comme prévu, Free a implémenté SPF et DMARC
Commençons par une bonne nouvelle : Free, lui, a fait ce qu'il avait dit. Le FAI était pourtant le moins enclin à nous répondre ou même à évoluer lors de nos premières analyses. Mais fin 2020 il a revu sa position.
Il a en effet commencé à signer ses emails via DKIM, ce qui permet de s'assurer que la personne ayant envoyé un email est bien propriétaire de l'adresse utilisée. Les enregistrements DNS SPF et DMARC, qui servent à préciser la liste des serveurs utilisés par le service et la politique en cas de problème devaient arriver plus tard.
Selon nos essais effectués ce matin, c'est bien le cas désormais. Tout est donc au vert :
New MTA : l'arlésienne d'Orange
Chez Orange, c'est le calme plat, une situation incompréhensible pour plusieurs raisons. Tout d'abord parce que le FAI est l'opérateur « historique », celui qui compte le plus de clients, largement engagé dans le domaine de la cybersécurité. Il est donc étonnant qu'il soit toujours le moins responsable sur le sujet.
Les emails Orange, ce sont ceux de particuliers, mais aussi de milliers de PME et d'artisans qui méritent plus de considération que cela. Le FAI nous a d'ailleurs annoncé plusieurs fois la mise en place de son « New MTA » devant corriger ces soucis. Il était attendu fin 2020, puis au premier trimestre 2021. En mai nous avions posé des questions à son sujet, sans obtenir de réponse à l'époque.
Nous avons recontacté le FAI ce matin pour savoir où en était le projet. Mais selon nos constatations via plusieurs adresses email de clients, ni SPF, ni DKIM, ni DMARC ne sont implémentés pour le moment.
Toujours pas de DKIM chez Bouygues, seul DMARC manque à SFR
SFR était plutôt un bon élève sur ce point et ça n'a pas changé. Il ne lui manque que DMARC pour le moment, les emails envoyés sont bien signés via DKIM et disposent d'un enregistrement SPF pour identifier les serveurs autorisés. Chez Bouygues Télécom aussi pas de changement, mais c'est moins rose : seul SPF est implémenté.
Commentaires (60)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/09/2021 à 07h19
Bonjour,
Merci pour le suivi sur ce sujet.
Pouvez-vous continuer d’insister aussi auprès des grands hébergeurs, je pense à OVH notamment… c’est toujours attendu sur des offres haut de gamme (Exchange) chez eux!
Merci
Le 07/09/2021 à 07h26
Oui ça fera l’objet d’un article à part
Le 07/09/2021 à 18h46
Super! On espère avec des bonnes nouvelles… ou au moins des explications de la part d’OVH…
Le 07/09/2021 à 07h50
Bonjour,
Quel outil avez-vous utilisé pour réaliser les tests ?
Le 07/09/2021 à 07h52
https://www.mail-tester.com/
Le 07/09/2021 à 08h17
et malgré un score de 10⁄10 sur un VPS yunohost avec nom de domaine perso, je continue à tomber dans les spam chez gmail, hotmail et yahoo…beau suivre leur pseudo tuto et déclaration de domaine (exemple chez Google) ça ne change rien.
N’étant pas un expert des protocoles liés et RFC il faut souvent doubler ses mails d’un message/sms “coucou je t’ai envoyé un mail, regarde dans les spams”
Le 07/09/2021 à 08h20
En pratique pas mal de serveurs se reposent sur des listes pour savoir quelles IP laisser passer ou pas, ce qui explique que les mails Orange continuent de passer alors que c’est géré comme de la merde côté respect des standards par exemple
C’est un vrai problème de fond de l’email, sans solution pour le moment (et tant qu’on aura des acteurs irresponsables comme Orange).
Chaque chose en son temps
Le 07/09/2021 à 08h28
J’ai fait le test. Il y a juste un aspect qui m’a paru très étonnant !
Aujourd’hui, si la présence d’un reverse DNS est effectivement vérifiée, la valeur ne l’est normalement pas. En effet, on ne peut attribuer qu’un seul domaine par IP, et cela sera juste infaisable avec les domaines perso dès lors que l’on utilise un prestataire (gmail, office365, etc…).
Tu peux vérifier aussi auprès de mxtoolbox si ton serveur n’est pas blacklisté. Ils utilisent un plus grand nombre de liste, et il suffit d’être blacklisté sur une seule pour avoir des soucis. Parfois, c’est juste que ton serveur est dans une plage blacklistée même si la configuration est bonne (c’était mon cas).
Le 07/09/2021 à 18h59
On peut mettre plusieurs enregistrements PTR sur une même IP, mais c’est vrai que je n’irais pas jusqu’à en mettre plusieurs milliers. Donc on peut aligner reverse DNS et domaine d’envoi, mais dans certaines limites seulement.
Le 07/09/2021 à 08h18
Belle pression, un point à ajouter, les versions de TLS supportées.
Orange était à la traîne là dessus aussi.
Le 07/09/2021 à 08h19
“Chez Orange, […], une situation incompréhensible”
On a le droit de troller ?
Le 07/09/2021 à 08h20
C’est étrange quand même, j’héberge quelques sites web qui envoient des mails transactionnel et ça passe avec juste la SPF correctement configurée.
Le score mail tester est au alentour de 8⁄10 et je n’ai pas de plainte à ce niveau.
Le 07/09/2021 à 08h29
hum peut être que les range IP OVH ne sont pas trop appréciés alors, faudrait que je teste en hébergeant moi-même @home si c’est mieux
Le 07/09/2021 à 10h58
J’espère que tu n’est pas chez orange, leurs pools d’ip pour les offres grand public traînent aussi dans in certains nombre de blacklist.
Le 07/09/2021 à 08h32
Une bonne questions de journaliste pour le mettre en porte à faux.
Le 07/09/2021 à 08h59
Tout est chez OVH, chaque serveur à une IP failover pour l’envoie des email (que je déplace lors du remplacement de la machine afin de conserver la réputation de l’IP).
Parfois, je doit montrer pâte blanche en remplissant un formulaire (presque systématique chez Outlook par exemple pour nouvelle IP).
Regarde dans les log du MTA, des message t’indique quoi faire.
Le 07/09/2021 à 08h59
Entièrement d’accord, chez OVH le DKIM est un gros manque, ça ne fait pas sérieux pour des offres dites “PRO”
Le 07/09/2021 à 10h32
Juste avec SPF, ici, on est régulièrement considéré comme spammeur chez Free et toute la galaxie SFR et la poste.
Remarque: docaposte eux-même étaient considérés comme des spammeurs pour la poste à un moment.
Le 07/09/2021 à 10h36
J’ai du mail auto hébergé, avec toute la collection SPF, DKIM, DMARC, mon propre domaine.
Mais là où ça coince, c’est au niveau du reverse DNS.
Ça ne marche pas chez Free.
Du coup, quand le SMTP d’en face vérifie mon IP, il tombe sur un bidule typique de FAI, genre …IP…proxad…
Ça fait sérieusement baisser la note …
Le 07/09/2021 à 11h52
Pareil, c’est un gros problème, je ne reçoit pas certains courriels, à cause de ça à priori…
Et j’ai lu quelque part, que Free est au courant, mais qu’ils ne peuvent pas régler le problème tant qu’il y a de l’IPv4
.
Le 07/09/2021 à 12h25
Effectivement, le reverse DNS avec de l’autohébergement, généralement ça coince. Après, comme je le disais, qu’importe le domaine vers lequel pointe l’IP, tant que l’enregistrement est présent. C’est l’absence d’enregistrement qui est très pénalisant.
Et de ce point de vue, les FAI ne permettent pas grand chose en général, sauf peut être quand on bénéficie d’une IP fixe. Et encore…
Le 07/09/2021 à 10h49
Docappste, ce n’est la filiale de La Poste chargée de monayé les informations personnelles auprès des publicitaires ?? C’est alors d’être placé en SPAM
Le 07/09/2021 à 11h00
Chez Sosh et tout est en vert :
[SPF] Votre serveur xxx.xxx.xxx.xxx est authentifié pour utiliser [email protected]
Votre signature DKIM est valide
Votre message a réussi le test DMARC
Votre serveur xxx.xxx.xxx.xx est correctement associé avec mail-xxx-xxx.google.com
Votre nom de domaine gmail.com est rattaché à un serveur mail.
Votre nom d’hôte mail-xxx-xxx.google.com est rattaché à un serveur.
Le 07/09/2021 à 11h01
Il y a certaines plages IP qui sont mal vue par les DNSBL aussi. J’ai un client qui a changé d’abonnement sans prévenir. Résultat, changement d’IP publique dans une plage considéré comme potentiellement indésirable (8x.xx.xx.xx j’ai plus la plage exacte). C’est le cas avec sorbs par ex qui affiche un warning.
Le 07/09/2021 à 11h02
Pour ne revenir à orange si encore leur système de mail était fiable.
Pas moyen de faire 3 mois sans une panne nationale.
Sans compter la stabilité : defois il faut envoyer authentifié, puis quelques semaines après surtout pas, puis de nouveau…
Bref les mails c’est vraiment pas leur point fort.
Le 07/09/2021 à 11h02
La c’est gmail que tu testes :)
Le 07/09/2021 à 11h04
David a pris les devant on dirait ;)
Twitter
Le 07/09/2021 à 11h30
Beau troll, bravo David!!
Le 07/09/2021 à 11h51
sinon il y a aussi ce service : https://ssi.economie.gouv.fr/courriel
Le 07/09/2021 à 12h01
Oui il complète bien, disons que sur email-tester l’analyse se base sur un email effectivement envoyé plutôt que les seuls DNS & co, mais ça revient le plus souvent au même.
Le 07/09/2021 à 13h16
Je sais que cela n’a rien a voir avec les FAI, mais pensez faire un test sur le nouveau système de domaine d’apple ?
Puis pourquoi pas (si quelqu’un de chez vous) a un microsoft 365.
Histoire de comparer la gestion des domaines externe chez les GAFAM / Hebergeur EU / FAI
Le 07/09/2021 à 13h51
Office 365, 8⁄10. Une action faisable (DMARC), un autre … impossible (domaine de réponse différent)
Le 07/09/2021 à 13h52
Apple domain j’ai un 10⁄10
edit: j’ai ajouté le dmarc, moi meme je sais pas si apple le prend en compte par contre.
Mais bon si derrière ca permet d’évité une mauvaise note spam assassin ou autre sur mon domaine meme s’il l’ignore je le laisse
Le 07/09/2021 à 13h55
C’est possible d’avoir A++ ? j’ai fait un test sur le mien qui suit a la lettre tous les réglages que je connais et j’ai “que” un B, un tuto traine (pour voir ce qu’il manque)
Le 07/09/2021 à 19h06
J’ai un A avec mon domaine chez Zoho.
Si ça peut aider:
DNSSEC: activé
MX: 3 serveurs chez 2 hébergeurs différents (mx*.zoho.eu)
SPF: strict avec 1800 IP autorisées
DKIM: présent
DMARC: quarantaine avec reporting
Autoconfig:
Le 07/09/2021 à 19h39
a mon avis c’est l’autoconfig qui me manque (bien que je n’ai absolument pas besoin d’autoconfig vu que j’utilise les produit apple qui s’autoconfig) et il manque dnssec chez Atreide_NI, par contre du coup je présume que A+ c’est DNSSEC manquant chez le serveur mail et A++ c’est le mta-sts.
Edit: dans mon cas je suis en reject partout sauf sur mon domaine principale que j’ai pas encore rollout en reject (le sp est reject mais pas le principale encore).
Le 08/09/2021 à 12h41
Oui j’obtiens A++ avec mon hébergement perso.
Le 08/09/2021 à 19h11
Part curiosité, qu’est-ce que tu as de différent par rapport à:
Le 09/09/2021 à 07h39
DNSSEC
Clés DSkey publiées.
MX
IPv4/IPv6 avec STARTTLS
SPF : strict avec 2 IP
DKIM
La réponse NOERROR pour _domainkeys indique l’existence de sélecteurs.
DMARC
Rejet des courriels non authentifiables.
Autoconfig
Information de configuration automatique des clients comme Mozilla Thunderbird
Accès aux boîtes aux lettres : SSL
Envoi de messages : STARTTLS
Le 07/09/2021 à 14h19
Pas grand chose à tester sur O365, ca prend tout en charge (si tu le configure).
Le reverse DNS sortira toujours en erreur sur le test. Mais bon, ca reste une note basée sur des critères plus ou moins objectifs.
D’ailleurs elle est bien différente selon le site de test.
C’est déjà bien, j’ai un C de mon coté :)
SFP / DKIM / DMARC config sur O365.
Le 07/09/2021 à 14h27
A priori, tant que tu a dmarc, dkim, spf, c’est pas mal, je regrette juste qu’il aie pas (GAFAM) dnssec activé sur tout leur domaine, sans parlé du nouveau mta-sts, non activé non plus.
Le 07/09/2021 à 14h53
Oui c’est ce que je me dis, mais du coup, je me demande pourquoi un “C”
Le 07/09/2021 à 15h35
Etrange, j’ai fait le test avec mon adresse free et j’ai ca comme erreur: “Votre message n’est pas signé avec DKIM”
Le 07/09/2021 à 16h20
DNSSEC est activé sur ton domaine ?
C’est la seul potentiel différence avec mon cas.
Edit : d’ailleurs je viens de voir que chez infomaniak dnssec est obligatoire quand il est déjà activé ^^, j’espère qu’il auront activé aussi les “désactivé” par défaut.
Edit 2 : j’entend par la la politique tu opt-out, niveau dnssec, vu que la majorité des user ne l’active pas alors que leur services le supporterais.
Et ferait donc une demande de désactivation manuelle et motivée.
Le 07/09/2021 à 16h20
depuis leur webmail ? (il me semble chez certain fournisseur c’est signé que depuis le webmail
Le 07/09/2021 à 21h10
Nan depuis ma messagerie. Mais c’est peut être ca. A essayer.
Le 07/09/2021 à 22h40
le pire c’est quand ca passe chez tous le monde … sauf outlook …
Le syndrome post traumatique IE est de retours chez moi xD
Le 08/09/2021 à 05h49
La “connerie” d’Orange a été d’externaliser les mail chez un presta externe et de regrouper l’ensemble des mail de presque tout les pays sur le même système.
C’est déjà pas mal qu’il est le projet de sortir de la, par contre je comprend mieux pourquoi le dit prestataire faisait la tronche quand je suis passer chez eux l’année dernière pour faire la transition (sortante pour eux) d’un autre gros système de mail
Le 08/09/2021 à 07h35
Pour les prestataires, c’est juste impensable. Sinon, une simple recherche et hop, on a la liste de leur clients
En théorie, s’il est possible d’avoir plusieurs enregistrements PTR, en pratique, je n’ai pas vu de possibilité de configurer plusieurs enregistrements sur mes différents hébergements. Peut être que certains le permette.
Quoi qu’il en soit, c’est un comportement “indéterminé” (dans le sens non spécifié par la RFC). Du coup, beaucoup de logiciels font l’hypothèse une IP = un PTR. S’il y en a plusieurs, on risque des comportements plus qu’aléatoire (quel enregistrement est pris ? Un au hasard ? Est-ce que le logiciel crash ?).
Quand on controle toute la chaine (les serveurs et les clients qui s’y connectent), ce n’est pas trop un problème. Quand c’est dans un cadre d’interopérabilité… il faut y aller avec des pincettes !
Un autre exemple classique, c’est l’activation de TLSv1.3. La simple activation peut rendre les connexions par TLSv1.2 impossible pour certains, en fonction des routeurs et proxy présents sur le réseau ! La faute a une mauvaise implémentation du protocole TLS dans certains équipements…
Bref, faut se méfier de la théorie ;) En théorie, plusieurs PTR ça marche, en pratique…
Le 08/09/2021 à 07h38
Les mails en provenance de @orange.com possède bien du SPF et du DKIM (mais pas de DMARC):
Le 08/09/2021 à 07h40
Orange.com (corp) sans doute, mais les clients sont en orange.fr ;) (On avait un peu la même chose chez Free qui au départ refusait le moindre standard sur Free.fr mais avait blindé iliad.fr qui est utilisé pour les mails corpo).
Drame classique de l’ossification des standards
Le 08/09/2021 à 10h01
Zut, Orange n’a même pas l’excuse de l’absence de compétences en interne …
Le 08/09/2021 à 10h57
C’est payant apparemment.
Le 08/09/2021 à 11h07
Non, tu peux tester trois emails gratuitement par jour (ce que je fais lors de mes analyses), ce qui suffit le plus souvent pour un besoin non professionnel.
Le 08/09/2021 à 11h13
Donc, j’ai l’impression qu’il y a pas mal de gens d’administration française qui doivent tester aujourd’hui. Effet NXi ? ;)
Le 08/09/2021 à 12h05
Ah Ah c’est le risque
Mais de mémoire ça limite par IP oui.
Le 08/09/2021 à 19h09
Il y a d’autres moyens pour ça :
https://securitytrails.com/list/cname/aspmx.l.google.com
Si tu peux importer un fichier de conf au format de Bind, c’est faisable. Il me semble que ça marche chez Gandi, par exemple.
Je suis curieux de savoir ce que des spécialistes du mail conseilleraient : plusieurs PTR, ou bien un PTR qui ne match pas.
Ça résume beaucoup de chose en informatique et ailleurs :-)
Le 09/09/2021 à 06h55
Attention, il faut faire l’opération non pas sur la zone DNS d’un nom de domaine, mais sur la zone DNS ayant l’autorité sur l’adresse IP. Par exemple, une zone en 0.168.192.in-addr.arpa.
A moins d’avoir accès à cela, cela me semble difficile, sauf à ce que ton hébergeur le permette.
Chez OVH par exemple, on ne peut le faire mais que pour un nom de domaine.
Il semble que cela soit la même chose chez Gandi.
Oh ça oui !
Le 09/09/2021 à 08h22
j’aime beaucoup la formulation :
“quelle est la différente entre la théorie et la pratique ? en théorie y’en a pas …”
(pardon pour le HS)
Le 10/09/2021 à 08h14
je connaissais une autre version : “En théorie, la théorie et la pratique c’est pareil. En pratique c’est pas vrai.”