Connexion
Abonnez-vous

Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Les protocoles bougent... mais les services ?

Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le 16 juin 2020 à 10h11

S'il est de plus en plus souvent chiffré pendant son transport et parfois lui-même, l'email n'est pour autant pas conçu comme très sécurisé. Spam, phishing et spoofing sont ainsi encore son quotidien, notre quotidien. Heureusement, il existe des solutions... qu'il faut pouvoir utiliser.

Le saviez-vous : n'importe qui peut envoyer un email depuis l'adresse de son choix. Il est très simple d'envoyer un email avec comme expéditeur [email protected] depuis n'importe quel ordinateur connecté à internet. Il suffit pour cela d'avoir accès à un serveur SMTP maison, ou peu regardant. L'origine de nombreux problèmes.

L'envoi sécurisé d'emails, un problème depuis près de 40 ans

SMTP est l'un de ces vieux protocoles des débuts d'Internet. Il n'a guère évolué depuis, si ce n'est pour préciser son implémentation du chiffrement TLS... en 2018. Pour lui, l'adresse de l'expéditeur (from) n'est qu'un champ de texte parmi d'autres, ne nécessitant aucune authentification ou vérification spécifique.

Et quand bien même : un serveur SMTP (ou Mail Transfer Agent, MTA) peut utiliser n'importe quelle adresse d'expéditeur. La mise en place d'une telle sécurité ne permet donc à un service que de se protéger contre les actions malveillantes de ses utilisateurs. Ainsi, lorsque vous vous connectez avec votre compte Google au SMTP de Gmail, c'est pour se protéger que l'entreprise décide que « [email protected] » sera forcément utilisée comme adresse d'expéditeur.

Mais n'importe qui pouvant expédier des emails depuis son propre MTA, comment s'assurer qu'il a le droit d'envoyer un email pour tel ou tel domaine, que cette information est fiable, que le message ou ses en-têtes n'ont pas été modifiés pendant le transport ? Ce, sans avoir à remplacer une brique logicielle telle que SMTP, créé il y a près de 40 ans, à la base de très nombreux outils et services, utilisé au quotidien et aux multiples implémentations. 

Ce n'est pas la signature cryptographique des emails qui peut aider ici. Car, même si elle était massivement utilisée (ce qui n'est pas le cas), elle ne permettrait que de certifier qu'un message n'a pas été modifié et a bien été envoyé par un utilisateur détenant une clé privée. Aucune assurance qu'il est bien le propriétaire d'un domaine ou d'une adresse email.

Heureusement, des solutions ont été trouvées sous forme d'acronymes, reposant en partie sur ce bon vieux DNS : SPF, DKIM, (DM)ARC et BIMI. Vous n'en avez jamais entendu parler ? Vous n'êtes pas les seuls...

SPF : qui peut faire quoi ?

SPF a été défini il y a une quinzaine d'années pour apporter une première solution à la lutte contre l'usurpation d'identité (spoofing). Elle est donc le plus souvent mise en place par les hébergeurs et fournisseurs de services. Il reste néanmoins nécessaire de vérifier que c'est bien le cas et que la règle énoncée correspond à ce que vous désirez.

Le Sender Policy Framework (SPF) permet de déclarer quels serveurs peuvent expédier des emails pour chacun de vos domaines et quoi faire en cas d'erreur. Ainsi, lorsqu'un utilisateur recevra un email depuis l'un de vos domaines dans l'adresse de l'expéditeur, son MTA pourra très facilement vérifier qu'il vient d'un serveur autorisé et aura une indication de la marche à suivre dans le cas contraire. Il reste néanmoins maître de sa décision (nous en reparlerons).

SPF prend la forme d'un enregistrement DNS de type TXT, lisible avec une simple commande dig ou nslookup. Par exemple, pour le domaine de Stéphane Bortzmeyer, qui a analysé la RFC 7208 détaillant la procédure :

nslookup -type=txt bortzmeyer.fr

On obtient le résultat suivant : 

text ="v=spf1 mx -all"

Il signifie que tous les serveurs indiqués dans les enregistrements DNS de type MX du domaine (ceux utilisés pour la réception d'emails) peuvent en envoyer. Tous les autres doivent être rejetés, un choix symbolisé par le « - ». Il se fait parmi quatre possibilités, nommées qualifieurs. Ils sont présentés ainsi par Google : 

  • Validé (rien ou +) : Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur « + » (ou sans qualifieur), il est validé. Le destinataire doit accepter l'e-mail.
  • Échec (-) : Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur « - », il est mis en échec. Le destinataire doit rejeter l'e-mail.
  • Échec partiel (~) : Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur « ~ », il est validé, mais considéré comme suspect.
  • Neutre (?) : Les mécanismes dotés du qualifieur « ? » n'ont pas d'incidence sur la validation de l'e-mail.

Certains domaines renvoient une réponse avec un indicateur de version différent, comme ici :

v=spf2.0/pra

Il correspond à la norme Sender ID, un temps défendue par Microsoft, mais tombée en désuétude depuis.

Attention : un seul enregistrement est toléré par domaine, mais il peut être composé de manière plus ou moins complexe, avec plusieurs IPv4 ou IPv6, domaines, etc. Il est néanmoins conseillé de garder une déclaration simple. Vous rencontrerez parfois dans la réponse le mécanisme include, comme chez OVH, Gandi ou divers services en ligne :

text ="v=spf1 include:mx.ovh.com ~all"
text ="v=spf1 include:_mailcust.gandi.net ?all"

Il signifie que les paramètres SPF à utiliser sont ceux du domaine « inclus ». Par exemple pour mx.ovh.com :

text ="v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"

Cette solution permet aux services de transmettre un paramètre simple à leurs clients, tout en utilisant une variable plus complexe en réalité, qu'ils pourront faire évoluer quand bon leur semble, selon leurs besoins.

DKIM : la cryptographie à la rescousse

SPF est un enregistrement DNS indiquant une liste de serveur considérés comme conformes. Mais comment assurer que le message l'est également ? C'est le rôle de DomainKeys Identified Mail (DKIM).

Comme son nom l'indique, il s'agit d'une mécanique d'authentification du domaine exploitant du chiffrement asymétrique. Ce n'est pas un remplaçant de SPF, mais plutôt un complément, accompagnant tout message sortant d'une signature numérique (dans son en-tête), générée depuis un couple de clés publique/privée liées au domaine.

Cela permet non seulement de vérifier que le message a bien été envoyé depuis le domaine de l'expéditeur annoncé, mais également qu'il n'a pas été modifié pendant son transport. Une double assurance bienvenue. En complément de SPF, DKIM doit permettre aux MTA de déterminer si un message doit être considéré ou non comme du spam.

Mais il n'est presque jamais exposé à l'utilisateur, peu de clients email affichant le statut SPF ou DKIM d'un message reçu. Google le fait dans Gmail depuis quelques années. Il existe également une extension Thunderbird trop peu connue pour cela. Des services tiers existent également come Mail Tester ou MX Toolbox. Vous pouvez enfin regarder les en-têtes des emails si votre client le permet, ici Outlook (Fichier > Propriété du message) :

DKIM SPF Fail Orange
Si vous recevez un email d'un abonné Orange, il ne passera ni le test SPF, ni DKIM. Bienvenue en 2020 !

Une solution parfaite ? Eh bien non. Car si DKIM est entré dans les mœurs des grandes plateformes/entreprises et autres institutions, il est loin d'être généralisé, surtout chez de plus petits acteurs ou dans le service proposé au client.

(DM)ARC : que faire des mails reçus, mais mal identifiés ?

Vous savez désormais comment indiquer qu'un serveur est autorisé à envoyer des emails depuis votre domaine, comment ajouter une signature numérique dans l'en-tête de vos messages pour vérifier leur destinataire et assurer qu'ils n'ont pas été modifiés. Mais lorsque vous recevez des emails, comment prendre ces signaux en compte ?

C'est le rôle du protocole Domain-based Message Authentication, Reporting and Conformance (DMARC), permettant d'indiquer quoi faire lorsqu'un email ne passe les tests SPF et DKIM. Ou lorsque les domaines des deux tests ne sont pas « alignés » (identiques ou sous-domaine l'un de l'autre). Vous avez alors trois possibilités :

  • Rejeter (Reject)
  • Ne rien faire (none)
  • Considérer comme suspect (quarantine)

Précision : dans le cas de la politique none, il sera précisé que l'email n'a pas passé le test, mais aucune action n'est demandée. La suspicion n'entraîne également pas d'action systématique, tout dépendra du MTA du destinataire et de son filtre anti-spam. Seul cas où la sentence est directe, presque irrévocable : le rejet.

La diffusion de cette politique prend à nouveau la forme d'un enregistrement DNS de type TXT. Cette fois, elle correspond au sous-domaine _dmarc. du domaine concerné. Par exemple dans le cas du service d'emails de Microsoft :

nslookup -type=txt _dmarc.outlook.com

On obtient le résultat suivant :

"v=DMARC1; p=none; sp=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Comme pour SPF, on a tout d'abord un indicateur de version (DMARC1), puis un autre paramètre obligatoire (p). Les autres sont facultatifs, détaillés dans le point 6.3 de la RFC 7489. Pour ceux présents ci-dessus : 

  • p : politique à suivre pour le domaine principal
  • sp : politique à suivre pour les sous-domaines
  • pct : pourcentage d'emails concernés par l'analyse DMARC (100 par défaut)
  • rua : adresse à laquelle envoyer les rapports agregés de DMARC
  • ruf : adresse à laquelle envoyer les rapports d'erreur individuels
  • fo : configuration du rapport DMARC

Notez la possibilité de recevoir des rapports, qui peut être intéressante pour savoir qui exploite votre domaine de manière non désirée. Même si vous avez une politique ouverte (none), c'est un élément intéressant pour agir en cas d'abus.

Pourtant et contrairement à SPF, la précision d'une politique via DMARC est encore trop rare. Elle peut d'ailleurs poser problème. Le cas AOL/Yahoo est l'un des plus connus : en 2014, l'entreprise a du jour au lendemain décidé d'indiquer que tous les emails jugés non conformes devaient être rejetés. Un choix qui n'a pas changé depuis :

"v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];"

De quoi perturber de nombreux services qui recevaient des emails d'utilisateurs AOL/Yahoo, SPF et DKIM étant des solutions imparfaites. Notamment en cas de redirection ou de transmission via une liste de diffusion, qui peuvent renvoyer un résultat négatif pour SPF (expéditeur modifié) ou DKIM (message modifié). Des cas pourtant légitimes.

L'Authenticated Received Chain (ARC) a été imaginée pour répondre à ces problèmes. Il s'agit, lorsqu'un message passe par différents serveurs et intermédiaires, de préserver le résultat des tests DKIM et SPF originaux, tout en constituant une chaîne de confiance au fil des serveurs. Le MTA du destinataire recevra l'ensemble des informations, et pourra choisir s'il accepte ou non de considérer le(s) serveur(s) intermédiaire(s) comme tiers de confiance.

Pour cela, il devra se fier à trois éléments d'en-tête ajoutés à chaque « hop » et numérotés (variable « i ») :

  • ARC-Authentication-Results : le statut ARC/DMARC, DKIM et SPF à réception du message
  • ARC-Message-Signature : une signature du message à son expédition
  • ARC-Seal : une signature des en-têtes ARC au fil de la chaîne

Concernant son support, on se retrouve dans la même situation que DKIM : cela dépendra principalement de la configuration du serveur de mail et donc de votre configuration ou de votre prestataire. Il ne reste donc plus qu'à espérer que le plus grand nombre s'y mette rapidement (plus que pour DKIM...).

BIMI : votre logo illustre vos emails

Dernière initiative en date : Brand Indicators for Message Identification (BIMI). Cette fois, il ne s'agit pas d'ajouter un élément technique invisible à l'utilisateur mais, au contraire, de faire apparaître le logo (carré, SVG) d'une entité dans les clients emails compatibles si un message est considéré comme valide. L'URL est précisée dans un enregistrement DNS.

Par exemple chez Dropbox, avec la requête suivante :

nslookup -type=txt default._bimi.dropbox.com

On obtient : 

text ="v=BIMI1; l=https://cfl.dropboxstatic.com/static/images/logo_catalog/dropbox_logo_glyph_m1_bimi.svg;"

Un standard en cours de finition, déjà en cours d'implémentation ici ou là. Il doit être complété par la création de Mark Verifying Authority (MVA) délivrant des certificats (VMC) pour confirmer qu'un logo peut être utilisé par un domaine, à la manière des certificats SSL. Là aussi pour éviter toute usurpation d'identité.

Un processus dont il y a fort à parier qu'il sera payant une fois mis en place.

BIMI

SPF, DKIM et (DM)ARC ne protègent pas de tout

Comme on l'a vu, les différentes solutions existantes assurent un certain niveau de protection malgré la permissivité intrinsèque de l'email. Ils permettent d'effectuer des vérifications à de nombreux niveaux : autorisation du serveur, légitimité de l'expéditeur, intégrité du message, politiques à appliquer, affichage dans le client, etc.

Pour les grandes plateformes, ils sont autant de signaux à prendre en compte. Si vous ne les fournissez pas, vous avez de grandes chances de terminer dans les spams par défaut ou même d'être rejeté. Mais à l'inverse, ce n'est pas parce que vous avez suivi l'ensemble des instructions à la lettre que vos emails seront forcément considérés comme légitimes. Ou que tous les emails que vous recevrez en tant qu'internaute seront débarrassés de tout message malveillant.

Car c'est la politique anti-spam du MTA qui fait foi. Et celle-ci peut décider de prendre en compte de nombreux autres facteurs, comme la réputation du domaine, des serveurs, des listes d'adresses IP connues pour être malveillantes ou peu regardantes, etc. Voilà pourquoi des emails envoyés par des clients de grands FAI français arriveront à bon port même sans passer les tests DKIM et SPF, alors que votre domaine personnalisé pourra être rejeté s'il n'a que du SPF.

Cela dépendra des acteurs – aucune règle globale n'a été établie, comme l'a montré le cas de la politique de rejet dure via DMARC de Yahoo – et de l'impact que cela peut avoir. Il est ainsi d'autant plus important que les fournisseurs de services d'email s'adaptent au plus vite à ces différentes procédures, en place pour certaines depuis une quinzaine d'années. De quoi réduire les risques pour tout le monde, sans les supprimer.

Car rien n'empêche un acteur malveillant de créer un faux domaine 0range.fr, avec les validations SPF/DKIM/DMARC, pour envoyer de faux formulaires à des clients du FAI et tenter de récupérer leurs identifiants. En l'état, si on ne s'appuyait que sur ces critères, il serait plus légitime qu'un email envoyé par Orange ou ses clients. Un comble !

La vigilance reste de mise, avec toujours le même triptyque : 

  • Méfiez-vous des emails reçus et regardez-y à deux fois avant de livrer des informations sensibles
  • N'hésitez pas à signaler tout comportement malveillant détecté
  • Privilégiez des services privilégiant votre sécurité

Commentaires (83)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En mail pro, j’ai abandonné tout espoir de comportement raisonnable des gens.



Pour mon mail perso, si les gens ne sont pas content que mes mails soient en texte pur, ils peuvent aller gentiment aller voir ailleurs si j’y suis (c’est jamais arrivé) :)

votre avatar

Merci pour cet article !

votre avatar

Disons que je ne l’exprime pas comme ça (dans le sens où la notion d’enveloppe pour l’email n’est pas toujours connue et peut prêter à confusion, certains pensent que ça désigne le tuyau transport par exemple).



Mais je précise bien que SPF est là pour confirmer (ou non) une autorisation du serveur d’expédition par rapport aux infos de l’expéditeur là où DKIM est une signature propre au message. SPF peut aussi avoir des soucis avec les listes de diffusion d’ailleurs, s’il y a passage par un serveur intermédiaire dans certains cas par exemple.

votre avatar







John Shaft a écrit :



J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).



Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”





C’est ce que je fais et je pleure quand je reçois des courriels de mac-users qui intègrent les pièces jointes dans l’HTML (et ne sont donc pas visible en mode texte seulement)…









eingrossfilou a écrit :



C’est ce que je faisais, mais j’ai abandonné pour ces raisons:




  • certains services envoient le message encodés en base64 (genre rma de western digital),

  • si tu demande aux gens/boites de m’envoyer le message en texte seul , tu as comme réponse on peut pas/on sait pas faire et surtout on en a rien a foutre, notre logiciel métier d’envoi automatique d’email nous a coûté une blinde, ne venez pas nous dire qu’il est pourri (sous forme polie bien sur)

  • quand tu réponds à un message html en texte, l’autre en fasse pleure. Pour un peu que se soit important, le message est potentiellement non lu car pour la personne en fasse, il y a plein de balise html partout avec ton message perdu dedans



    Tu as beau leur dire que tu utilises un client en ligne de commande pour forcer la main, que tu ne peux (ou ne veux) pas faire autrement, il n’y a rien à faire. Tu fais face a une telle inertie que tu passes un temps fou a gérer tes mails pour juste avoir en envoyer le message



    C’est pourtant pratique les emails en texte seul. Ça pèse moins lourd, ça force les gens à aller à l’essentiel (le message), et tu vois les liens tels qu’ils sont, ce qui rend la lutte contre le fishing plus efficace.

    Après ça bloque une certaine forme de business, comme le tracking, donc les boites préfèrent le html.





    J’écris tous mes courriels en texte brut et j’ai pas ce problème de balises html dans les réponses.

    Certains trouvent mes courriels austères (mais arrivent très bien à les lire), mais moi je trouve les leurs hideux (si j’active le html <img data-src=" />)


votre avatar







Mihashi a écrit :



C’est ce que je fais et je pleure quand je reçois des courriels de mac-users qui intègrent les pièces jointes dans l’HTML (et ne sont donc pas visible en mode texte seulement)…







Je crois que la personne personne sous Mac avec qui j’échange des mails régulièrement est bien éduquée :)


votre avatar

Il n’est pas question de forcer les autres à n’envoyer que du texte seul, mais plutôt toi, quand tu reçois un mail en multipart/alternative, il vaut mieux lire la partie texte.

Et quand tu reçois un mail qui est uniquement en html, tu peux parfaitement y répondre en texte brut sans qu’il y ait des balises html partout pour peu que tu ais un mailer qui tient la route.

votre avatar







flying38 a écrit :



Personnellement j’avais un exchange OVH […]







OVH est très mal réputé : mes domaines sont physiquement hébergés chez eux, avec une IP fixe à eux. Je suis sans cesse blacklisté et mes mails me reviennent dans la tronche.

Même chose avec mon IP chez moi (étant chez OVH Telecom) : je suis régulièrement détecté comme un spammeur alors que je ne fais que surfer en ligne, juste parce que l’IP appartient à OVH.



Il y a environ 5-6 ans, j’ai eu de gros soucis avec Hotmail/Outlook/Live : mes e-mails étaient systématiquement refusés.

Ça marchait partout sauf chez Microsoft, malgré toutes les mesures appliquées (celles présentées dans l’article).



Je ne compte pas non plus le nombre de fois que l’on répond à mes messages, mais que au lieu du “RE”, ou “FWD” qu’on voit dans le titre, j’ai droit à un “SPAM”, qui signifie que le correspondant a vu mon e-mail tomber dans ses spam (et consent malgré tout à répondre).


votre avatar

J’ai monté mon serveur mail perso il y a un an et demi. J’ai bien mis en place les mécanismes SPF/DKIM/DMARK avec 1010 surhttps://www.mail-tester.com/ et j’ai une IP avec une bonne réputation (0 blacklistes). Je n’ai pas eu de soucis avec la plupart des acteurs mis à part Outlook et Yahoo avec lesquels il est impossible d’avoir un échange constructif avec le support (on est face à un robot avec des réponses toutes faites…).

votre avatar

Ce sont les VPS d’OVH qui ont mauvaise réputation, mais les adresse IP d’OVH Telecom sont dans un autre AS que les VPS, donc aucun problème de ce côté-là. Le problème qu’il y a eu quelque temps, c’est que la plage d’adresses IP d’OVH Telecom était anciennement affectée à une société russe, et tous ceux avec un geoip pas à jour pensaient que tu étais russe et spammeur. Ça doit bien faire 5 ans que ça ne m’a plus causé de problème.

&nbsp;

J’ai aussi mon mail principal qui est en mutualisé chez OVH. C’est clairement l’adresse qui me pose le moins de problèmes, que ce soit pour envoyer ou recevoir, comparé à mon adresse pro ou aux hébergeurs gratuits.

&nbsp;

votre avatar

Chouette article ! Je ne connaissais pas le BIMI <img data-src=" />



Par contre, un truc que je ne saisie pas bien avec le SPF : il est censé “approuver” les serveurs du domaine de l’expéditeur (from), on est d’accord ?



Prenons un exemple :





  • Domaine : example.com

  • SPF : “v=spf1 mx spf.mywebhosting.com -all”





    Si on prend le cas d’une newsletter, c’est souvent un prestataire externe qui s’en charge (disons mailmonkey.biz), en envoyant le message comme s’il provenait du domaine concerné (from: [email protected]). En théorie, le SPF du domaine example.com n’autorise pas les serveurs de mailmonkey.biz, donc il devrait y avoir un échec. Pourtant, en pratique, ça passe, comme on peut le voir dans les entêtes :





    Authentication-Results: spf=pass

    Received-SPF: Pass





    Bref, il ne se base pas (que) sur le domaine présent dans le champ “from” ? Autre chose ? C’est un peu obscur pour moi, je dois l’avouer… <img data-src=" />

votre avatar

Dommage de ne pas parler du “PTR” que l’on aperçois dans une des réponses.

&nbsp;







Vekin a écrit :



Bref, il ne se base pas (que) sur le domaine présent dans le champ “from” ? Autre chose ? C’est un peu obscur pour moi, je dois l’avouer… <img data-src=" />





En pratique, normalement, il doit y avoir un “include:spf.mailmonkey.biz” (ou un nom dans le genre) dans l’enregistrement.


votre avatar







dvr-x a écrit :



Dommage de ne pas parler du “PTR” que l’on aperçois dans une des réponses.&nbsp;&nbsp;





https://tools.ietf.org/html/rfc7208#section-5.5&nbsp;;)


votre avatar

Je sais oui, mais c’est quand même mieux expliqué avec tes mots que dans une doc :)



Avant que j’ai un enregistrement PTR, ceux qui ne recevaient pas nos mails me sortait leur document de Best Practice :&nbsphttps://www.m3aawg.org/sites/default/files/document/M3AAWG_Senders_BCP_Ver3-2015…



Que peux utilisent en fait j’ai l’impression.

votre avatar

Merci à toi David, ainsi qu’à toute l’équipe. Ces articles de fond sur des problématiques concrètes sont vraiment très appréciables. Super boulot. <img data-src=" />

votre avatar

Il faudrait aussi parler du Reverse DNS et de l’outil : https://mxtoolbox.com/



Et Outlook, office365 et consort classent par défaut les nouveaux domaines en spam jusqu’à ce que suffisamment de leurs utilisateurs qualifient ces domaines.



C’est très pénible et je n’ai rien trouvé à faire.

votre avatar

C’est dans l’article ;)

&nbsp;





madhatter a écrit :



Merci à toi David, ainsi qu’à toute l’équipe. Ces articles de fond sur des problématiques concrètes sont vraiment très appréciables. Super boulot. <img data-src=" />





<img data-src=" />


votre avatar

Toujours sympas les forums de libristes, avec dès le premier commentaire une tournure de phrase à connotation raciste. <img data-src=" />

“toi relire message calmement”

&gt;&gt; Évalué à 10 (+29/-7) &lt;&lt;

Avec donc un bon nombre de personnes que ça ne dérange pas.

votre avatar

Envoyer un mail à [email protected] est également intéressant.

votre avatar

Exactement le même problème, les seuls chez qui j’arrive en spam sont Yahoo et Microsoft. Pourtant j’ai fait le max, spf, dkim, dmarc, 0 blacklist.

Mon serveur est chez moi et je suis chez OVH.

Si quelqu’un a une solution je suis preneur, surtout pour Microsoft (outlook, hotmail, live ça fait quand même du monde).

votre avatar

Moi j’ai souvent le souci inverse : des emails Wanadoo/Orange où un mail MS (outlook.com) n’arrive jamais <img data-src=" />

votre avatar







Hipparchia a écrit :



Toujours sympas les forums de libristes, avec dès le premier commentaire une tournure de phrase à connotation raciste. <img data-src=" />

“toi relire message calmement”

&gt;&gt; Évalué à 10 (+29/-7) &lt;&lt;

Avec donc un bon nombre de personnes que ça ne dérange pas.



Il y a quoi de raciste exactement là-dedans? A moins que tu n’aimes pas le racisme anti-cons (vu qu’il ne s’agit que de ca ici)…


votre avatar







dvr-x a écrit :



Avant que j’ai un enregistrement PTR, ceux qui ne recevaient pas nos mails me sortait leur document de Best Practice :&nbsp;https://www.m3aawg.org/sites/default/files/document/M3AAWG_Senders_BCP_Ver3-2015…





Le MAAWG (cartel de gros opérateurs) ne fait pas l’unanimité.


votre avatar







Hipparchia a écrit :



Toujours sympas les forums de libristes, avec dès le premier commentaire une tournure de phrase à connotation raciste. <img data-src=" />





Alors, même en lisant trois fois les commentaires à l’article sur Linux-Fr, je ne vois pas la moindre trace de racisme. De l’aggressivité, peut-être, mais aucune allusion de près ou de loin à une race ou une origine ethnique.

&nbsp;


votre avatar

Utiliser une formulation en “petit nègre” c’est tout à fait normal, bien entendu. Pas du tout connoté, absolument nécessaire.

https://www.franceculture.fr/sciences-du-langage/le-francais-petit-negre-une-con…

votre avatar

Désolé, mais franchement “toi relire message calmement.” ?

J’ai du mal à penser que personne n’aurait le bagage culturel pour saisir les références. C’est totalement déplacé, et visiblement ça ne choque pas grand monde. C’est quand même problématique, non ?



https://www.franceculture.fr/sciences-du-langage/le-francais-petit-negre-une-con…

votre avatar

Au passage, le sujet de l’article n’est pas les commentaires de sites tiers, merci de ne pas dériver à répétition <img data-src=" />

votre avatar







Hipparchia a écrit :



&nbsp;C’est totalement déplacé, et visiblement ça ne choque pas grand monde. C’est quand même problématique, non ?





Non.


votre avatar







Vekin a écrit :



&nbsp;Par contre, un truc que je ne saisie pas bien avec le SPF : il est censé “approuver” les serveurs du domaine de l’expéditeur (from), on est d’accord ?



&nbsp;

Attention, il y a deux from (celui de l’enveloppe et celui de l’en-tête) et l’article ne parle pas de cette différence cruciale. SPF n’authentifie que celui de l’enveloppe.


votre avatar







Oliverpool a écrit :



Et pour tester une config en live, un petit tour par https://www.mail-tester.com/ peut être une bonne idée !





Il y a d’autres auto-répondeurs : cf.https://www.bortzmeyer.org/repondeurs-courrier-test.html (et si vous en connaissez qui ne sont pas sur la liste, je suis preneur).


votre avatar







Hipparchia a écrit :



Désolé, mais franchement “toi relire message calmement.” ?

J’ai du mal à penser que personne n’aurait le bagage culturel pour saisir les références. C’est totalement déplacé, et visiblement ça ne choque pas grand monde. C’est quand même problématique, non ?



https://www.franceculture.fr/sciences-du-langage/le-francais-petit-negre-une-con…





Moi, ce qui me choque, c’est ton avatar digne d’une république bananière. “C’est totalement déplacé, et visiblement ça ne choque pas grand monde. C’est quand même problématique, non ?” <img data-src=" />



Plus sérieusement, va sur LinuxFR faire part de ton indignation, puisque c’est là-bas que le message a été posté. Merci. Surtout que cela n’a rien à voir avec le sujet de l’article. Et tu peux également utiliser la loi Avia. Le site aura 24h pour réagir <img data-src=" />


votre avatar

Sorti de son contexte c’est très facile de critiquer.

Et puis il tu y voie ce que tu veux y voir, si tu as l’esprit assez tordu pour y mettre un accent quelconque c’est toi que ça regarde.

votre avatar

Va faire un tour par ici, ça t’aidera sûrement pour Hotmail.

votre avatar







David_L a écrit :



Hors webmail, ça ne fait que Thunderbird non ? (ce qui est un peu court comme liste de lecteurs de courriels dignes de ce nom)



MailMate aussi (mais que OSX).


votre avatar







tomdom a écrit :



Ben si ça existe. Il a toujours été comme convention (dans les mails ou dans les postes nntp (forum) )  définie dans la netiquette, que _xxx_ était un souligné, /xxx/ était un italique …etc…

Le markdown n’existait pas







Non, car du dépend du client mail du destinataire, sur lequel tu n’as aucun contrôle. De plus, une convention, n’est pas une norme.



Et la netiquette n’a rien à voir avec la définition de la mise en forme. C’était plutôt du style, n’écrivez pas en majuscule, car ON A L’IMPRESSION QUE VOUS CRIEZ, mais ce n’était nullement pour mettre en italique, utilisez /mot/ (qui, d’ailleurs, pour ma part, à toujours été _mot_, même avant la popularisation du Markdown)







Mihashi a écrit :



C’est le but de ne pas supporter le changement de couleur ni de police. On est pas en maternelle que je sache…





va dire ça aux personnes qui l’utilisent. En milieu pro, c’est très courant. Par exemple, voici une ébauche de mail. La personne répond “c’est bien, mes corrections sont en rouge”. Et ce n’est qu’un exemple. Merci de montrer un minimum de respect. Ce n’est pas parce que ce n’est pas ton usage qu’il n’y a pas d’utilité.







Mihashi a écrit :



Si t’es obligé de faire une mise en page complexe, c’est tout simplement que le courriel n’est pas le bon outil.

Et les factures c’est pas le courriel en lui même, mais en pièce attachée.





Encore une fois, ce n’est pas ton usage. Certains le font. Par exemple, j’ai commandé chez les Editions ENI, et j’ai un récapitulatif par e-mail de ma commande. Récapitulatif impossible à faire en l’état en Markdown.







Mihashi a écrit :



Et les balises markdown de base sont supportées par n’importe quel lecteur de courriel digne de ce nom.







Je ne connais aucun logiciel client lourd qui le supporte nativement sans avoir besoin au minimum d’une extension. Et même pour les webmails, c’est “pas gagné”. Gmail ne le supporte pas par exemple.


votre avatar

  • C’est ce qui permet de maquiller facilement un mail et détourner l’attention (phising)

  • Le tracking

  • Ajouter du JS -&gt; perte de sécurité

votre avatar

Ce n’est pas une question de lire les entêtes (je ne les regarde que rarement, surtout que désormais le mail plus simple contient 4ko d’entêtes pour 20 octets de corps de message)

votre avatar

On peut les voir dans les entêtes, non ? Pourtant, je ne trouve qu’un seul “from:” ou alors c’est Outlook qui ne m’affiche pas tout <img data-src=" />

votre avatar







fdorin a écrit :



va dire ça aux personnes qui l’utilisent. En milieu pro, c’est très courant. Par exemple, voici une ébauche de mail. La personne répond “c’est bien, mes corrections sont en rouge”. Et ce n’est qu’un exemple. Merci de montrer un minimum de respect. Ce n’est pas parce que ce n’est pas ton usage qu’il n’y a pas d’utilité.





D’ailleurs, les mails finissent bien souvent par être le cahier des charges du projet <img data-src=" />


votre avatar







Vekin a écrit :



On peut les voir dans les entêtes, non ? Pourtant, je ne trouve qu’un seul “from:” ou alors c’est Outlook qui ne m’affiche pas tout <img data-src=" />





C’est sûr qu’Outlook, comme outil d’analyse et de déboguage…


votre avatar

Non, tu ne vois que le “contenu” de l’enveloppe (headers + message) et non les commandes SMTP qui ont été exécutées et qui constituent l’enveloppe de l’email (en l’occurence MAIL FROM et RCPT TO qui peuvent diverger des headers correspondants).

votre avatar

Note pour David :

Merci pour ce super article instructif. Juste un petit soucis graphique sur Chrome mobile (v83.0.4103. 106 sur Android), les sorties console ne sont pas responsive, et donc dépasse la largeur de l’écran.

Correction à venir dans la v8 peut-être… :)

votre avatar

et c’est bien connu qu’en milieu pro on utilise toujours l’outil adapté aux besoins… <img data-src=" />

genre Excel pour faire des bases de données, Word pour faire des tableaux mais “avec une mise en page jolie”, et le mail pour faire des factures…

tu veux faire un bon de livraison? Tu le fais en PDF et tu l’ajoutes en pièce-jointe. l’HTML dans le mail est une fausse bonne idée qui ne sert plus qu’à mettre des pixels trackers et des images qui bouffent 10% de la bande passante mondiale.

votre avatar

Partir de cas particuliers pour dénigrer tout un ensemble d’usage… comment dire <img data-src=" /> Oui, on peut faire des trucs moches en HTML, mais ce n’est pas lié qu’aux mails !



Tu n’en as pas besoin ? je suis très heureux pour toi. D’autres l’ont. Et je vais même te dire un truc qui risque de te défriser : en plus d’être pratique dans le mail, car pas à faire un clic supplémentaire (les gens sur mobile apprécient), c’est plus sécurisé car limite le vecteur d’attaque (en n’ayant pas besoin d’ouvrir une autre application, et en évitant les failles PDF).



Le HTML c’est peut être une fausse bonne idée. En attendant, ça fait des années que c’est comme ça, ça fait au moins 10 ans que j’entends que le mail est mort, et pourtant, il est toujours là. Et à mon avis, ce n’est pas près de changer, tant les habitudes sont ancrés chez de nombreuses personnes.

votre avatar

On n’utilise pas forcément toujours les outils que l’on veut <img data-src=" />



Cela dit, c’est pareil avec Thunderbird, mais j’ai mis compris cette histoire d’enveloppe et de contenu.

votre avatar







Minikea a écrit :



l’HTML dans le mail est une fausse bonne idée qui ne sert plus qu’à mettre des pixels trackers et des images qui bouffent 10% de la bande passante mondiale.





Ah d’accord, donc lorsque je rédige un mail en HTML, j’insère forcément un pixel tracker et des images ? Merci de généraliser <img data-src=" />


votre avatar

relis ce que je dis: sans HTML, pas de pixel tracker, avec HTML, c’est possible.

je dis pas que tu le fais, je dis que cela rend possible ce genre de pratique, et pas que celle-là, et que c’est déjà largement utilisé. donc TON usage ne fais celui qui est majoritaire sur le net (parce que le spam est majoritaire)







fdorin a écrit :



Partir de cas particuliers pour dénigrer tout un ensemble d’usage… comment dire <img data-src=" />





je te retourne le compliment. l’usage de pixel trackers dans le courrier de spam est avéré et le spam est largement supérieur à toute utilisation même pro du mail… donc TON usage n’est plus celui qui prédomine.


votre avatar

Super articleJe n’ai pas vu le MTA-STS dans l’article. :https://security.googleblog.com/2019/04/gmail-making-email-more-secure-with-mta….



Ma grande question, c’est une fois que j’ai tout mis en place. Comment je réduis le risque de phishing dans ma compagnie ?

votre avatar







Minikea a écrit :



je te retourne le compliment. l’usage de pixel trackers dans le courrier de spam est avéré et le spam est largement supérieur à toute utilisation même pro du mail… donc TON usage n’est plus celui qui prédomine.





Tu n’as rien à me retourner, car je n’ai rien généralisé comme tu le fais. Je n’ai pas non plus nié l’existence de cette pratique, je dis qu’il n’y a pas que ça. Je n’ai parlé en rien de MON usage, mais d’usage que tu ne semblais pas du tout considérer. Mais tu veux qu’on creuse ? Creusons.



Sais-tu que le spam représente entre 55% et 95% du traffic total associé aux mails ? MAIS ! 90% de ce dernier est déjà filtré et n’arrive même pas dans ta boite mail. Rajoute à cela le % de mail correctement étiqueté SPAM et qui arrive dans ton dossier dédié et tu verras que l’usage principal reste lié à des mails tout à fait légitimes.



Je m’attends aussi à ce que tu tiennes le même discours pour les pièces jointes, car c’est exactement le même souci ! De nombreux virus et autres malwares circulent via ce mécanisme. Il y a donc une mauvaise utilisation. Il faut donc l’interdire. Les gens pourraient utiliser des services de transfert de fichiers à la place…



On peut continuer longtemps comme ça. Pour ma part, je m’arrête là, j’ai du spam des mails à envoyer <img data-src=" />


votre avatar
votre avatar

J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).



Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”

votre avatar

Pour ceux qui se lancent dans l’aventure, si vous êtes directement envoyés en SPAM malgré le SPF/DKIM (comme dans l’article de linuxfr dans le commentaire précédent), vous pouvez chercher à contacter l’hébergeur en question.



C’était il y a 6 ans (donc ça a pu bouger depuis) mais j’avais réussi à contacter Outlook et Gmail et j’avais pu via une procédure passer de SPAM par défaut à OK la plupart du temps.

votre avatar

Et pour tester une config en live, un petit tour par https://www.mail-tester.com/ peut être une bonne idée !

votre avatar

Oui, j’en parle dans le papier à venir <img data-src=" />

votre avatar







John Shaft a écrit :



J’ajouterai que quand cela est possible, forcer l’affichage du mail en texte dans son client : HTML dans le mail, cay mal et la plupart des mails en HTML sont en réalité en “multipart/alternative”, contenant à la fois le mail en texte simple et en HTML (avec parfois des surprises).



Sous Thunderbird, c’est dans “Affichage” / “Corps du message en” / “Texte seul”





C’est ce que je faisais, mais j’ai abandonné pour ces raisons:




  • certains services envoient le message encodés en base64 (genre rma de western digital),

  • si tu demande aux gens/boites de m’envoyer le message en texte seul , tu as comme réponse on peut pas/on sait pas faire et surtout on en a rien a foutre, notre logiciel métier d’envoi automatique d’email nous a coûté une blinde, ne venez pas nous dire qu’il est pourri (sous forme polie bien sur)

  • quand tu réponds à un message html en texte, l’autre en fasse pleure. Pour un peu que se soit important, le message est potentiellement non lu car pour la personne en fasse, il y a plein de balise html partout avec ton message perdu dedans



    Tu as beau leur dire que tu utilises un client en ligne de commande pour forcer la main, que tu ne peux (ou ne veux) pas faire autrement, il n’y a rien à faire. Tu fais face a une telle inertie que tu passes un temps fou a gérer tes mails pour juste avoir en envoyer le message



    C’est pourtant pratique les emails en texte seul. Ça pèse moins lourd, ça force les gens à aller à l’essentiel (le message), et tu vois les liens tels qu’ils sont, ce qui rend la lutte contre le fishing plus efficace.

    Après ça bloque une certaine forme de business, comme le tracking, donc les boites préfèrent le html.


votre avatar

Merci pour ces explications <img data-src=" />

votre avatar







zwindler a écrit :



Pour ceux qui se lancent dans l’aventure, si vous êtes directement envoyés en SPAM malgré le SPF/DKIM (comme dans l’article de linuxfr dans le commentaire précédent), vous pouvez chercher à contacter l’hébergeur en question.



C’était il y a 6 ans (donc ça a pu bouger depuis) mais j’avais réussi à contacter Outlook et Gmail et j’avais pu via une procédure passer de SPAM par défaut à OK la plupart du temps.





Personnellement j’avais un exchange OVH, DKIM n’est pas implémenté, et ne le prévoit pas d’après mes échanges avec le support. Résultat, la moitié de mes mails en SPAM.

J’ai changé pour Microsoft365 sur lequel DKIM est pris en charge et plus de soucis depuis.


votre avatar







eingrossfilou a écrit :



C’est ce que je faisais, mais j’ai abandonné pour ces raisons:




  • certains services envoient le message encodés en base64 (genre rma de western digital),

  • si tu demande aux gens/boites de m’envoyer le message en texte seul , tu as comme réponse on peut pas/on sait pas faire et surtout on en a rien a foutre, notre logiciel métier d’envoi automatique d’email nous a coûté une blinde, ne venez pas nous dire qu’il est pourri (sous forme polie bien sur)

  • quand tu réponds à un message html en texte, l’autre en fasse pleure. Pour un peu que se soit important, le message est potentiellement non lu car pour la personne en fasse, il y a plein de balise html partout avec ton message perdu dedans



    Tu as beau leur dire que tu utilises un client en ligne de commande pour forcer la main, que tu ne peux (ou ne veux) pas faire autrement, il n’y a rien à faire. Tu fais face a une telle inertie que tu passes un temps fou a gérer tes mails pour juste avoir en envoyer le message



    C’est pourtant pratique les emails en texte seul. Ça pèse moins lourd, ça force les gens à aller à l’essentiel (le message), et tu vois les liens tels qu’ils sont, ce qui rend la lutte contre le fishing plus efficace.

    Après ça bloque une certaine forme de business, comme le tracking, donc les boites préfèrent le html.





    C’est sur que de demander aux utilisateurs de se passer de l’HTML dans Outlook, c’est pas simple. On peut être sur que 2mn après, ils débarquent au bureau car ils ne peuvent plus changer la couleur du texte ou insérer une image dans le mail.


votre avatar

L’article ne parle pas de la différence entre enveloppe et en-tête. Je suppose qu’elle a été trouvée trop subtile et trop difficile à pédagogiser mais elle est cruciale. Par exemple, SPF teste l’enveloppe et DKIM l’en-tête (et c’est pour ça que DKIM a des problèmes avec les listes de diffusion, mais pas SPF).

votre avatar

Merci pour cet article.



Cela fait longtemps que je n’avais rien changé sur la config de mon serveur de mail.

J’ai vu que l’hébergeur avait mis en place SPF de lui même et j’ai pu activer DKIM en un clic.



Je vais attendre un peu avant de mettre en place DMARC.

votre avatar

Pourquoi l’HTML dans les mails c’est le mal ? (mis à part les balises de tracking)

votre avatar

Parce que les barbus ne jurent que par le texte brut, le vrai ! Il n’y a qu’à voir la tronche des RFC <img data-src=" />



Plus sérieusement, je me pose la même question. Dans le contexte pro où j’évolue, rares sont ceux qui n’échangent pas des mails HTML, vraiment très pratique pour inclure des images, mettre en forme le texte (gras, souligné…), etc.

votre avatar

Le phishing ou voir les headers facilement je suppose,



deux choses trés faciles à faire dans des mails HTMLs :




  • laisser le pointeur sur un lien avant de cliquer (ou copier le lien et le coller dans la barre d’adresse)

  • en cas de doute sur un mail c’est assez simplement d’activer l’option afficher les headers



    J’avoue ne pas comprendre la plus-value à suivre ce “conseil”:

  • nombre de mails légitimes seront illisibles

  • peu de gens sauront décrypter ces headers

  • quant au phishing si tu ne lis pas les liens avant de les suivre, ça ne changera pas grand-chose que le lien soit écrit en toute lettre ou formaté en un lien.

votre avatar

Ce serait surtout déjà bien que les éléments importants remontés par les headers soient rendus visibles à l’utilisateur (DKIM/SPF & co en faisant partie), tout comme l’accès à ceux-ci. Cela permettrait de facilement indiquer des éléments auxquels porter une attention en cas de doute.

votre avatar







Vekin a écrit :



Parce que les barbus ne jurent que par le texte brut, le vrai ! Il n’y a qu’à voir la tronche des RFC <img data-src=" />



Plus sérieusement, je me pose la même question. Dans le contexte pro où j’évolue, rares sont ceux qui n’échangent pas des mails HTML, vraiment très pratique pour inclure des images, mettre en forme le texte (gras, souligné…), etc.



A part la taille plus réduite (donc une conso inférieure pour sa transmission et son stockage), j’ai du mal à voir l’intérêt aussi…


votre avatar







Vekin a écrit :



Parce que les barbus ne jurent que par le texte brut, le vrai ! Il n’y a qu’à voir la tronche des RFC <img data-src=" />



Plus sérieusement, je me pose la même question. Dans le contexte pro où j’évolue, rares sont ceux qui n’échangent pas des mails HTML, vraiment très pratique pour inclure des images, mettre en forme le texte (gras, souligné…), etc.





La mise en forme (gras, souligné, italique) ça existe aussi en mode texte.


votre avatar







Mihashi a écrit :



La mise en forme (gras, souligné, italique) ça existe aussi en mode texte.







Hélas non. Uniquement en HTML. Le texte brut ne permet aucune mise en forme.


votre avatar

Une pétition pour le markdown comme nouveau standard des emails ? Je signe !

votre avatar







David_L a écrit :



Une pétition pour le markdown comme nouveau standard des emails ? Je signe !





En théorie, moi aussi. En pratique, il existe autant de standards Markdown que d’implémentations <img data-src=" />



Et ça ne supporte pas la couleur non plus, ni le changement de police. Rien que ça, ça fait que beaucoup ne l’utiliseront pas. Et je n’aborde pas le problème de mise en page pour des mails comme les newsletters, les factures, les confirmations de commandes, etc… <img data-src=" />



Le changement est trop gros. Et les gens n’aiment pas le changement <img data-src=" />


votre avatar

C’est le moment de renforcer et unifier le standard, vite une RFC ! <img data-src=" />

votre avatar







David_L a écrit :



C’est le moment de renforcer et unifier le standard, vite une RFC ! <img data-src=" />







Ca me fait penser à ça perso <img data-src=">


votre avatar

Sauf que c’est la foire et ça veut dire que tu dois traiter indépendamment avec chaque fournisseur problématique (les deux cités faisant partie des cancers du mail en pratique), alors que SPF, DKIM et DMARC doivent être des solutions universelles qui doivent justement éviter de recourir à ces procédures moisies. Le pire étant Microsoft, qui répond pas toujours, ou qui te dit “oui”, et qui dans la pratique ne change rien (je crois me souvenir qu’ils disaient dans la doc du JMRP que ça garantissait pas la bonne délivrabilité, alors que le programme est justement conçu pour améliorer le truc…)

votre avatar

Ben si ça existe. Il a toujours été comme convention (dans les mails ou dans les postes nntp (forum) )&nbsp; définie dans la netiquette, que _xxx_ était un souligné, /xxx/ était un italique …etc…

Le markdown n’existait pas

votre avatar







fdorin a écrit :



En théorie, moi aussi. En pratique, il existe autant de standards Markdown que d’implémentations <img data-src=" />



Et ça ne supporte pas la couleur non plus, ni le changement de police. Rien que ça, ça fait que beaucoup ne l’utiliseront pas. Et je n’aborde pas le problème de mise en page pour des mails comme les newsletters, les factures, les confirmations de commandes, etc… <img data-src=" />



Le changement est trop gros. Et les gens n’aiment pas le changement <img data-src=" />





C’est le but de ne pas supporter le changement de couleur ni de police. On est pas en maternelle que je sache…



Si t’es obligé de faire une mise en page complexe, c’est tout simplement que le courriel n’est pas le bon outil.

Et les factures c’est pas le courriel en lui même, mais en pièce attachée.



Et les balises markdown de base sont supportées par n’importe quel lecteur de courriel digne de ce nom.


votre avatar







Mihashi a écrit :



Et les balises markdown de base sont supportées par n’importe quel lecteur de courriel digne de ce nom.





Hors webmail, ça ne fait que Thunderbird non ? (ce qui est un peu court comme liste de lecteurs de courriels dignes de ce nom)


votre avatar

Afficher les mails en format texte reste donc un mauvais conseil, vu que la plupart seront illisibles, ceux à peu près lisible seront noyé de 4ko de header que tu ne lis pas, autant afficher le HTML par défaut , et chercher dans les sources en cas de doutes.



Concernant le javascript je doute sérieusement qu’un mail avec une balise script dépasse le filtre anti-spam :)



Pour les images en BASE64 c’est plutôt une bonne manière de faire car ça évite tout doute de tracking contrairement au lien vers des sites externes qui inclus en général un id dans l’url pour accuser lecture.

votre avatar

Afficher un courriel au format texte, n’affiche pas le header…

votre avatar

Le format texte concerne bien le contenu du mail et pas son “code source” ;)



&nbsp;

votre avatar







fofo9012 a écrit :



Afficher les mails en format texte reste donc un mauvais conseil, vu que la plupart seront illisibles, ceux à peu près lisible seront noyé de 4ko de header que tu ne lis pas, autant afficher le HTML par défaut , et chercher dans les sources en cas de doutes.





J’affiche tout mon courrier en texte (en prime, ça me fait suivre les recommandations de mon RSSI, c’est bien) et je ne trouve pas la plupart des messages illisibles. Ceux qui le sont sont des messages de marketeux qu’il est bon d’ignorer de toute façon.


votre avatar

L’immense problème de MTA-STS, c’est qu’il nécessite un site web sur un domaine spécifique (mta-sts.example.com) pour servir la politique.



Transporter du mail (on est entre MTA là) ne devrait pas nécessiter d’HTTP au milieu.



Mieux que STS, il y a DANE qui est bien plus efficace, n’utilise pas d’autre protocoles que ceux déjà utilisés par le mail, mais - s’il commence à être pas mal déployé - ne l’ai pas par les ogres du mail



Sinon, SMTP s’est récemment doté d’une option pour exiger TLS (RFC 8689), mais c’est vraiment tout frais. (Je pense essayer quand il sera dispo dans Postfix :) ). Bon le problème avec cette option, c’est que je la vois mal fleurir sur les serveurs pour l’instant (trop risqué encore malheureusement)

votre avatar







flying38 a écrit :



C’est sur que de demander aux utilisateurs de se passer de l’HTML dans Outlook, c’est pas simple. On peut être sur que 2mn après, ils débarquent au bureau car ils ne peuvent plus changer la couleur du texte ou insérer une image dans le mail.





Pour un utilisateur, ça dépend. Pour une boite IT comme WD qui met son texte en base64 dans du html, c’est autre chose.


votre avatar







John Shaft a écrit :



En mail pro, j’ai abandonné tout espoir de comportement raisonnable des gens.



Pour mon mail perso, si les gens ne sont pas content que mes mails soient en texte pur, ils peuvent aller gentiment aller voir ailleurs si j’y suis (c’est jamais arrivé) :)





On va dire que j’apprécie suffisamment mes parents pour ne pas leur dire d’aller voir ailleurs.


votre avatar







Mihashi a écrit :



J’écris tous mes courriels en texte brut et j’ai pas ce problème de balises html dans les réponses.

Certains trouvent mes courriels austères (mais arrivent très bien à les lire), mais moi je trouve les leurs hideux (si j’active le html <img data-src=" />)









alex.d. a écrit :



Il n’est pas question de forcer les autres à n’envoyer que du texte seul, mais plutôt toi, quand tu reçois un mail en multipart/alternative, il vaut mieux lire la partie texte.

Et quand tu reçois un mail qui est uniquement en html, tu peux parfaitement y répondre en texte brut sans qu’il y ait des balises html partout pour peu que tu ais un mailer qui tient la route.







Bon au temps pour moi, après vérification, j’avais des problèmes sur les forward de mail.


votre avatar

Je n’ai pas lu le message dont tu parles, mais uniquement ton commentaire, j’y ai vu pour ma part une allusion à la façon de parler d’un homme préhistorique comme on peut le voir dans certains films&nbsp;

Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

  • L'envoi sécurisé d'emails, un problème depuis près de 40 ans

  • SPF : qui peut faire quoi ?

  • DKIM : la cryptographie à la rescousse

  • (DM)ARC : que faire des mails reçus, mais mal identifiés ?

  • BIMI : votre logo illustre vos emails

  • SPF, DKIM et (DM)ARC ne protègent pas de tout

Fermer