L'année dernière, Orange nous annonçait l'arrivée de son serveur mail nouvelle génération, devant lui permettre de gérer enfin les standards assurant la sécurité des emails. Un sujet où il est à la traine face à ses principaux concurrents. Et avec le temps qui passe, l'écart se creuse, les promesses se fanent.
Cela fait maintenant plus d'un an que nous analysons le respect des standards de la sécurité des emails chez les grands fournisseurs d'accès Internet français. Et autant dire qu'en juin 2020, la situation était catastrophique. Presque aucun ne jouait le jeu dans les adresses fournies aux clients ou même les mails leur étant envoyés.
- Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
- Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Pourtant, ces solutions sont connues et maîtrisées, certaines existant depuis plus de 15 ans. Elles visent principalement à s'assurer de la provenance d'un message et donc de mieux lutter contre le spam ou encore l'usurpation d'identité. Des sujets où tous les FAI sont engagés, notamment dans une charte signée avec l'ANSSI.
Au fil des mois, des vérifications et de nos échanges avec les équipes de ces sociétés, les choses se sont peu à peu améliorées. Cela concerne d'ailleurs d'autres acteurs tels que les hébergeurs où nous avions relevé de bons élèves comme Infomaniak, ou Gandi qui a changé ses pratiques suite à nos articles.
Mais un mauvais élève se fait remarquer depuis le début de cette « affaire » : Orange. Et alors que la société va sans doute vanter son amour de la cybersécurité au FIC de Lille, force est de constater qu'elle fait peu d'effort lorsqu'il s'agit de renforcer la protection des emails de ses clients avec SPF, DKIM ou (DM)ARC. Malgré ses promesses.
Comme prévu, Free a implémenté SPF et DMARC
Commençons par une bonne nouvelle : Free, lui, a fait ce qu'il avait dit. Le FAI était pourtant le moins enclin à nous répondre ou même à évoluer lors de nos premières analyses. Mais fin 2020 il a revu sa position.
Il a en effet commencé à signer ses emails via DKIM, ce qui permet de s'assurer que la personne ayant envoyé un email est bien propriétaire de l'adresse utilisée. Les enregistrements DNS SPF et DMARC, qui servent à préciser la liste des serveurs utilisés par le service et la politique en cas de problème devaient arriver plus tard.
Selon nos essais effectués ce matin, c'est bien le cas désormais. Tout est donc au vert :
New MTA : l'arlésienne d'Orange
Chez Orange, c'est le calme plat, une situation incompréhensible pour plusieurs raisons. Tout d'abord parce que le FAI est l'opérateur « historique », celui qui compte le plus de clients, largement engagé dans le domaine de la cybersécurité. Il est donc étonnant qu'il soit toujours le moins responsable sur le sujet.
Les emails Orange, ce sont ceux de particuliers, mais aussi de milliers de PME et d'artisans qui méritent plus de considération que cela. Le FAI nous a d'ailleurs annoncé plusieurs fois la mise en place de son « New MTA » devant corriger ces soucis. Il était attendu fin 2020, puis au premier trimestre 2021. En mai nous avions posé des questions à son sujet, sans obtenir de réponse à l'époque.
Nous avons recontacté le FAI ce matin pour savoir où en était le projet. Mais selon nos constatations via plusieurs adresses email de clients, ni SPF, ni DKIM, ni DMARC ne sont implémentés pour le moment.
Toujours pas de DKIM chez Bouygues, seul DMARC manque à SFR
SFR était plutôt un bon élève sur ce point et ça n'a pas changé. Il ne lui manque que DMARC pour le moment, les emails envoyés sont bien signés via DKIM et disposent d'un enregistrement SPF pour identifier les serveurs autorisés. Chez Bouygues Télécom aussi pas de changement, mais c'est moins rose : seul SPF est implémenté.
Commentaires (60)
#1
Bonjour,
Merci pour le suivi sur ce sujet.
Pouvez-vous continuer d’insister aussi auprès des grands hébergeurs, je pense à OVH notamment… c’est toujours attendu sur des offres haut de gamme (Exchange) chez eux!
Merci
#1.1
Oui ça fera l’objet d’un article à part
#1.2
Super! On espère avec des bonnes nouvelles… ou au moins des explications de la part d’OVH…
#2
Bonjour,
Quel outil avez-vous utilisé pour réaliser les tests ?
#2.1
https://www.mail-tester.com/
#2.2
et malgré un score de 10⁄10 sur un VPS yunohost avec nom de domaine perso, je continue à tomber dans les spam chez gmail, hotmail et yahoo…beau suivre leur pseudo tuto et déclaration de domaine (exemple chez Google) ça ne change rien.
N’étant pas un expert des protocoles liés et RFC il faut souvent doubler ses mails d’un message/sms “coucou je t’ai envoyé un mail, regarde dans les spams”
#2.3
En pratique pas mal de serveurs se reposent sur des listes pour savoir quelles IP laisser passer ou pas, ce qui explique que les mails Orange continuent de passer alors que c’est géré comme de la merde côté respect des standards par exemple C’est un vrai problème de fond de l’email, sans solution pour le moment (et tant qu’on aura des acteurs irresponsables comme Orange).
Chaque chose en son temps
#2.4
J’ai fait le test. Il y a juste un aspect qui m’a paru très étonnant !
Aujourd’hui, si la présence d’un reverse DNS est effectivement vérifiée, la valeur ne l’est normalement pas. En effet, on ne peut attribuer qu’un seul domaine par IP, et cela sera juste infaisable avec les domaines perso dès lors que l’on utilise un prestataire (gmail, office365, etc…).
Tu peux vérifier aussi auprès de mxtoolbox si ton serveur n’est pas blacklisté. Ils utilisent un plus grand nombre de liste, et il suffit d’être blacklisté sur une seule pour avoir des soucis. Parfois, c’est juste que ton serveur est dans une plage blacklistée même si la configuration est bonne (c’était mon cas).
#2.5
On peut mettre plusieurs enregistrements PTR sur une même IP, mais c’est vrai que je n’irais pas jusqu’à en mettre plusieurs milliers. Donc on peut aligner reverse DNS et domaine d’envoi, mais dans certaines limites seulement.
#3
Belle pression, un point à ajouter, les versions de TLS supportées.
Orange était à la traîne là dessus aussi.
#4
“Chez Orange, […], une situation incompréhensible”
On a le droit de troller ?
#5
C’est étrange quand même, j’héberge quelques sites web qui envoient des mails transactionnel et ça passe avec juste la SPF correctement configurée.
Le score mail tester est au alentour de 8⁄10 et je n’ai pas de plainte à ce niveau.
#5.1
hum peut être que les range IP OVH ne sont pas trop appréciés alors, faudrait que je teste en hébergeant moi-même @home si c’est mieux
#5.2
J’espère que tu n’est pas chez orange, leurs pools d’ip pour les offres grand public traînent aussi dans in certains nombre de blacklist.
#6
Une bonne questions de journaliste pour le mettre en porte à faux.
#7
Tout est chez OVH, chaque serveur à une IP failover pour l’envoie des email (que je déplace lors du remplacement de la machine afin de conserver la réputation de l’IP).
Parfois, je doit montrer pâte blanche en remplissant un formulaire (presque systématique chez Outlook par exemple pour nouvelle IP).
Regarde dans les log du MTA, des message t’indique quoi faire.
#8
Entièrement d’accord, chez OVH le DKIM est un gros manque, ça ne fait pas sérieux pour des offres dites “PRO”
#9
Juste avec SPF, ici, on est régulièrement considéré comme spammeur chez Free et toute la galaxie SFR et la poste.
Remarque: docaposte eux-même étaient considérés comme des spammeurs pour la poste à un moment.
#10
J’ai du mail auto hébergé, avec toute la collection SPF, DKIM, DMARC, mon propre domaine.
Mais là où ça coince, c’est au niveau du reverse DNS.
Ça ne marche pas chez Free.
Du coup, quand le SMTP d’en face vérifie mon IP, il tombe sur un bidule typique de FAI, genre …IP…proxad…
Ça fait sérieusement baisser la note …
#10.1
Pareil, c’est un gros problème, je ne reçoit pas certains courriels, à cause de ça à priori…
Et j’ai lu quelque part, que Free est au courant, mais qu’ils ne peuvent pas régler le problème tant qu’il y a de l’IPv4 .
#10.2
Effectivement, le reverse DNS avec de l’autohébergement, généralement ça coince. Après, comme je le disais, qu’importe le domaine vers lequel pointe l’IP, tant que l’enregistrement est présent. C’est l’absence d’enregistrement qui est très pénalisant.
Et de ce point de vue, les FAI ne permettent pas grand chose en général, sauf peut être quand on bénéficie d’une IP fixe. Et encore…
#11
Docappste, ce n’est la filiale de La Poste chargée de monayé les informations personnelles auprès des publicitaires ?? C’est alors d’être placé en SPAM
#12
Chez Sosh et tout est en vert :
[SPF] Votre serveur xxx.xxx.xxx.xxx est authentifié pour utiliser [email protected]
Votre signature DKIM est valide
Votre message a réussi le test DMARC
Votre serveur xxx.xxx.xxx.xx est correctement associé avec mail-xxx-xxx.google.com
Votre nom de domaine gmail.com est rattaché à un serveur mail.
Votre nom d’hôte mail-xxx-xxx.google.com est rattaché à un serveur.
#13
Il y a certaines plages IP qui sont mal vue par les DNSBL aussi. J’ai un client qui a changé d’abonnement sans prévenir. Résultat, changement d’IP publique dans une plage considéré comme potentiellement indésirable (8x.xx.xx.xx j’ai plus la plage exacte). C’est le cas avec sorbs par ex qui affiche un warning.
#14
Pour ne revenir à orange si encore leur système de mail était fiable.
Pas moyen de faire 3 mois sans une panne nationale.
Sans compter la stabilité : defois il faut envoyer authentifié, puis quelques semaines après surtout pas, puis de nouveau…
Bref les mails c’est vraiment pas leur point fort.
#15
La c’est gmail que tu testes :)
#16
David a pris les devant on dirait ;) https://twitter.com/davlgd/status/1435177661614202883
#16.1
Beau troll, bravo David!!
#17
sinon il y a aussi ce service : https://ssi.economie.gouv.fr/courriel
#17.1
Oui il complète bien, disons que sur email-tester l’analyse se base sur un email effectivement envoyé plutôt que les seuls DNS & co, mais ça revient le plus souvent au même.
#18
Je sais que cela n’a rien a voir avec les FAI, mais pensez faire un test sur le nouveau système de domaine d’apple ?
Puis pourquoi pas (si quelqu’un de chez vous) a un microsoft 365.
Histoire de comparer la gestion des domaines externe chez les GAFAM / Hebergeur EU / FAI
#19
Office 365, 8⁄10. Une action faisable (DMARC), un autre … impossible (domaine de réponse différent)
#20
Apple domain j’ai un 10⁄10
edit: j’ai ajouté le dmarc, moi meme je sais pas si apple le prend en compte par contre.
Mais bon si derrière ca permet d’évité une mauvaise note spam assassin ou autre sur mon domaine meme s’il l’ignore je le laisse
#21
C’est possible d’avoir A++ ? j’ai fait un test sur le mien qui suit a la lettre tous les réglages que je connais et j’ai “que” un B, un tuto traine (pour voir ce qu’il manque)
#21.1
J’ai un A avec mon domaine chez Zoho.
Si ça peut aider:
DNSSEC: activé
MX: 3 serveurs chez 2 hébergeurs différents (mx*.zoho.eu)
SPF: strict avec 1800 IP autorisées
DKIM: présent
DMARC: quarantaine avec reporting
Autoconfig:
#21.2
a mon avis c’est l’autoconfig qui me manque (bien que je n’ai absolument pas besoin d’autoconfig vu que j’utilise les produit apple qui s’autoconfig) et il manque dnssec chez Atreide_NI, par contre du coup je présume que A+ c’est DNSSEC manquant chez le serveur mail et A++ c’est le mta-sts.
Edit: dans mon cas je suis en reject partout sauf sur mon domaine principale que j’ai pas encore rollout en reject (le sp est reject mais pas le principale encore).
#21.3
Oui j’obtiens A++ avec mon hébergement perso.
#21.4
Part curiosité, qu’est-ce que tu as de différent par rapport à:
#21.5
DNSSEC
Clés DSkey publiées.
MX
IPv4/IPv6 avec STARTTLS
SPF : strict avec 2 IP
DKIM
La réponse NOERROR pour _domainkeys indique l’existence de sélecteurs.
DMARC
Rejet des courriels non authentifiables.
Autoconfig
Information de configuration automatique des clients comme Mozilla Thunderbird
Accès aux boîtes aux lettres : SSL
Envoi de messages : STARTTLS
#22
Pas grand chose à tester sur O365, ca prend tout en charge (si tu le configure).
Le reverse DNS sortira toujours en erreur sur le test. Mais bon, ca reste une note basée sur des critères plus ou moins objectifs.
D’ailleurs elle est bien différente selon le site de test.
C’est déjà bien, j’ai un C de mon coté :)
SFP / DKIM / DMARC config sur O365.
#23
A priori, tant que tu a dmarc, dkim, spf, c’est pas mal, je regrette juste qu’il aie pas (GAFAM) dnssec activé sur tout leur domaine, sans parlé du nouveau mta-sts, non activé non plus.
#23.1
Oui c’est ce que je me dis, mais du coup, je me demande pourquoi un “C”
#24
Etrange, j’ai fait le test avec mon adresse free et j’ai ca comme erreur: “Votre message n’est pas signé avec DKIM”
#25
DNSSEC est activé sur ton domaine ?
C’est la seul potentiel différence avec mon cas.
Edit : d’ailleurs je viens de voir que chez infomaniak dnssec est obligatoire quand il est déjà activé ^^, j’espère qu’il auront activé aussi les “désactivé” par défaut.
Edit 2 : j’entend par la la politique tu opt-out, niveau dnssec, vu que la majorité des user ne l’active pas alors que leur services le supporterais.
Et ferait donc une demande de désactivation manuelle et motivée.
#26
depuis leur webmail ? (il me semble chez certain fournisseur c’est signé que depuis le webmail
#27
Nan depuis ma messagerie. Mais c’est peut être ca. A essayer.
#28
le pire c’est quand ca passe chez tous le monde … sauf outlook …
Le syndrome post traumatique IE est de retours chez moi xD
#29
La “connerie” d’Orange a été d’externaliser les mail chez un presta externe et de regrouper l’ensemble des mail de presque tout les pays sur le même système.
C’est déjà pas mal qu’il est le projet de sortir de la, par contre je comprend mieux pourquoi le dit prestataire faisait la tronche quand je suis passer chez eux l’année dernière pour faire la transition (sortante pour eux) d’un autre gros système de mail
#30
Pour les prestataires, c’est juste impensable. Sinon, une simple recherche et hop, on a la liste de leur clients
En théorie, s’il est possible d’avoir plusieurs enregistrements PTR, en pratique, je n’ai pas vu de possibilité de configurer plusieurs enregistrements sur mes différents hébergements. Peut être que certains le permette.
Quoi qu’il en soit, c’est un comportement “indéterminé” (dans le sens non spécifié par la RFC). Du coup, beaucoup de logiciels font l’hypothèse une IP = un PTR. S’il y en a plusieurs, on risque des comportements plus qu’aléatoire (quel enregistrement est pris ? Un au hasard ? Est-ce que le logiciel crash ?).
Quand on controle toute la chaine (les serveurs et les clients qui s’y connectent), ce n’est pas trop un problème. Quand c’est dans un cadre d’interopérabilité… il faut y aller avec des pincettes !
Un autre exemple classique, c’est l’activation de TLSv1.3. La simple activation peut rendre les connexions par TLSv1.2 impossible pour certains, en fonction des routeurs et proxy présents sur le réseau ! La faute a une mauvaise implémentation du protocole TLS dans certains équipements…
Bref, faut se méfier de la théorie ;) En théorie, plusieurs PTR ça marche, en pratique…
#31
Les mails en provenance de @orange.com possède bien du SPF et du DKIM (mais pas de DMARC):
#31.1
Orange.com (corp) sans doute, mais les clients sont en orange.fr ;) (On avait un peu la même chose chez Free qui au départ refusait le moindre standard sur Free.fr mais avait blindé iliad.fr qui est utilisé pour les mails corpo).
Drame classique de l’ossification des standards
#31.2
Zut, Orange n’a même pas l’excuse de l’absence de compétences en interne …
#32
C’est payant apparemment.
#32.1
Non, tu peux tester trois emails gratuitement par jour (ce que je fais lors de mes analyses), ce qui suffit le plus souvent pour un besoin non professionnel.
#33
Donc, j’ai l’impression qu’il y a pas mal de gens d’administration française qui doivent tester aujourd’hui. Effet NXi ? ;)
#33.1
Ah Ah c’est le risque Mais de mémoire ça limite par IP oui.
#34
Il y a d’autres moyens pour ça :
https://securitytrails.com/list/cname/aspmx.l.google.com
Si tu peux importer un fichier de conf au format de Bind, c’est faisable. Il me semble que ça marche chez Gandi, par exemple.
Je suis curieux de savoir ce que des spécialistes du mail conseilleraient : plusieurs PTR, ou bien un PTR qui ne match pas.
Ça résume beaucoup de chose en informatique et ailleurs :-)
#35
Attention, il faut faire l’opération non pas sur la zone DNS d’un nom de domaine, mais sur la zone DNS ayant l’autorité sur l’adresse IP. Par exemple, une zone en 0.168.192.in-addr.arpa.
A moins d’avoir accès à cela, cela me semble difficile, sauf à ce que ton hébergeur le permette.
Chez OVH par exemple, on ne peut le faire mais que pour un nom de domaine.
Il semble que cela soit la même chose chez Gandi.
Oh ça oui !
#35.1
j’aime beaucoup la formulation :
“quelle est la différente entre la théorie et la pratique ? en théorie y’en a pas …”
(pardon pour le HS)
#35.2
je connaissais une autre version : “En théorie, la théorie et la pratique c’est pareil. En pratique c’est pas vrai.”