Dans le cadre de notre série d'articles sur la sécurité des messages électroniques, nous venons de recevoir des réponses des deux FAI, qui n'appliquent selon nos constatations que SPF pour les emails envoyés par leurs clients.
Pour rappel, cela consiste à publier une liste des serveurs pouvant envoyer un email pour le compte d'un domaine (ici @bbox.fr et @sfr.fr). Concernant DKIM (signature du message) et DMARC (politique à suivre et envoi de rapports), c'est plus compliqué.
Dans un premier temps, Bouygues Telecom nous a indiqué avoir « mis en place plusieurs solutions contre l'usurpation d'adresse email, le phishing et le spam et ce depuis l’été 2019. Les protocoles SPF, DMARC et DKIM ont notamment été déployés pour sécuriser la messagerie de nos clients ».
Des propos en contradiction avec nos observations. Après avoir demandé plus de détails, il nous a été précisé : « nous n’appliquons DMARC et DKIM que sur les messages reçus sur le domaine bbox.fr, en vérifiant les signatures et règles du domaine de l’expéditeur, pour protéger la messagerie de nos clients », mais pas pour les emails sortants.
Même son de cloche chez SFR, qui nous a précisé avoir « mis en place les déclarations SPF, les vérifications de signature DKIM et DMARC. [...] La déclaration SPF et les vérifications DKIM sont faites depuis mi-2013, DMARC est rentré en production début 2019 ». SPF est donc bien en place, mais DKIM et DMARC ne servent qu'à la vérification des emails entrants pour le domaine des clients (@sfr.fr).
Une façon de faire unilatérale et contre-productive, ces protocoles n'étant utiles que lorsqu'ils sont appliqués tant par l'expéditeur que le destinataire. En effet, si un client SFR envoie un email (non signé via DKIM) à un client Bouygues Telecom (ou inversement), le serveur mail de ce dernier aura beau être capable de vérifier la signature, il ne se passera rien puisqu'elle n'existe pas. Il en est de même pour DMARC.
Aucun des FAI n'a pu nous préciser quand cela pourrait changer. Sans doute selon l'avancement des travaux menés en concertation avec l'ANSSI sur la question.
Commentaires (21)
#1
Là c’est du haut de niveau de bêtise…
#2
Circulez… il n’y a rien à voir.
#3
Les boites emails des FAI sont des passoires…
Allez expliquer à des clients utilisant leur boite Orange qui ne fonctionne plus (avec nous en tout cas) car les serveurs Orange ont été blacklistés sur les listes internationales pour envoi de SPAM.
#4
“On vérifie que les autres font bien le boulot, mais nous on ne le fait pas….”
#5
#6
C’est peut-être à vous d’expliquer aux clients pourquoi vous utilisez des listes qui blacklistent orange, non ?
A ne pas vouloir de spam, vous avez choisi d’avoir moins de clients.
#7
Il me semble qu’il n’y a gère le choix, non ?
#8
En tout cas merci pour ce travail d’enquête NXi !
Le bilan des FAI est assez catastrophique :/
#9
Appliquer DMARC sur les emails entrants est très important chez un fournisseur de mail grand public : ça protège leurs clients des emails usurpant le domaine de leur banque, des imports, de la CAF, de leur plateforme de commerce en ligne où leur carte bancaire est préenregistrée.
Bref, ça protège leur clients d’un très grand nombre d’arnaques qui peuvent leur faire perdre gros.
Après, quand ils reçoivent un mail de [email protected], ce n’est peut-être pas tatie Danièle qui leur parle. La belle affaire.
#10
Utiliser une liste antispam qui blackliste orange, c’est un choix. Sauf si on passe par un prestataire externe pour gérer le mail et que c’est lui qui décide, mais dans ce cas, ce n’est quand même pas très intelligent de bloquer le principal FAI français.
#11
Sauf si le prestataire a des liens avec un fournisseur de services mail ….
#12
Oui, enfin, un fournisseur de services mail qui blackliste une liste de FAI longue comme le bras (orange, sfr, bouygues en France, j’imagine qu’il y en a beaucoup d’autres de part le monde), j’ai envie de croire qu’il ne tiendra pas longtemps
#13
#14
#15
Charge ensuite à chaque business de décider du niveau de sécurité qu’il veut. Si une banque préfère rembourser des phishings qui lui coûtent 10000€ par victime, c’est son problème. Quand un fournisseur grand public ne gère pas à l’entrée, elle rembourse la victime et ne peut ni améliorer sa sécurité ni se retourner contre le fournisseur.
Implémenter DMARC en mode quarantine ou strict sur les emails sortants est extrêmement compliqué. C’est trivial pour un micro business, ou si ça a été fait dès la création de l’entreprise, mais quand tu arrives après 20 ans d’existence en ligne, avec des centaines de BU qui ont chacune plusieurs (dizaines de) fournisseurs qui envoient des emails en leur nom, le chantier est colossal.
Donc autant je comprends que les gros FAI français ont du mal à implémenter DMARC sur les emails sortants, autant sur l’entrant il est inadmissible qu’ils ne l’aient pas fait plus tôt.
#16
On a toujours des excuses pour ne pas avancer sur la sécurité. Mais sur le fond et comme dit dans le papier de départ, SPF, DKIM et DMARC sont déjà largement courant ailleurs. Et on ne fait que repousser ce qui finira par devenir la règle. En attendant, la protection à sens unique, ça ne marche pas.
#17
C’est arrivé rarement, j’ai assuré le support auprès du client/fournisseur, expliqué la situation, on utilisait une liste anti-spam très connu à l’international et je suis dans un groupe international qui s’en bat les noix si le principal FAI français se fait flasher comme spammeur pendant quelques jours.
Et ta deuxième phrase tu peux te la garder. ;-)
#18
De toute façon, qui utilise encore une boite mail de son FAI ?
Surtout que les gens changent de plus en plus de FAI et que ça complique.
#19
Les gens chez qui seuls Orange ou Numéricable propose un accès correct??
Beaucoup de PME utilisent du @orange.fr ou du @wanadoo.fr
#20
En plus Orange a prévu un enregistrement DNS exprès pour le SPF (ou alors il sert ailleurs, pour la répartition, mais il est utile en SPF) : smtp.smtpout.orange.fr
Comme je m’auto-héberge derrière une Livebox je dois utiliser leurs serveurs en relai pour passer (vu qu’ils bloquent le port 25), du coup mon SPF autorise « a:smtp.smtpout.orange.fr », et ça me permet d’avoir un SPF valide avec les même serveurs d’envoi qu’Orange…
Bon par contre j’ai ajouté à la main la plage IP correspondante par qu’à un moment il y avait un des serveurs qui était plus indiqué dans la liste, mais en gros ça leur demande pas beaucoup d’effort de le faire.
#21
Oui enfin un FAI qui ne propose que du TLS 1.0 et pire du SSLv3, c’est normal qu’ils soient bloqués.
Ils ont 5 ans de retard sur leurs infra mail.
C’est à cause de société comme celle ci (j’ai mon abo chez eux mais je n’utilise pas leurs mails) que les gens prennent des spams et se font arnaquer par des mails de phishing et arnaque aux aides gouvernementales type isolation à 1€ ou restitution d’impots (Outlook.com/live est pas mal aussi la dessus).
Il reste également une chose peu implémentée globalement par tous les acteurs, c’est DANE. Et c’est bien dommage, ca permet d’éviter les attaques type MitM ainsi que les proxy qui déchiffre/rechiffre les communications.