Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

SPF, DKIM, DMARC : Outlook.com dope ses exigences pour les gros expéditeurs

Le 16 avril à 07h58

Microsoft prévient : les domaines envoyant plus de 5 000 e-mails par jour vont devoir s’assurer de leur compatibilité avec SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance). Objectif, s’assurer que toutes les pratiques vertueuses en matière de courrier électronique sont respectées.

Voici un bref rappel de ce que sont ces trois protocoles :

  • SPF : vérifie la légitimité du domaine d'envoi en garantissant que seules les adresses IP et les hôtes désignés sont inclus dans l'enregistrement DNS du domaine
  • DKIM : valide l'authenticité et l'intégrité d'un courriel par une signature électronique
  • DMARC : permet aux expéditeurs de définir comment gérer les courriels non authentifiés et génère des rapports sur les résultats de l'authentification du courrier électronique

Les expéditeurs concernés ont peu de temps pour s’y mettre si ce n’est pas encore fait, car le changement sera effectif au 5 mai. À compter de cette date, les courriels ne respectant pas ces trois technologies seront tous envoyés dans le dossier Indésirable.

Ce n’est pas tout, car Microsoft fournit plusieurs recommandations. Il ne s’agit donc pas d’obligations, du moins pour l’instant. L’éditeur demande ainsi que les adresses d’expéditeur P2 (primaire) soient conformes, que des liens de désabonnement soient fournis, d’entretenir un niveau d’hygiène sur les listes (suppression régulière des adresses invalides) et d’afficher des pratiques d’envoi transparentes, avec des objets précis, sans en-têtes trompeurs, et avec le consentement des utilisateurs.

Microsoft ajoute se réserver le droit de prendre des « mesures négatives, y compris le filtrage ou le blocage, contre les expéditeurs non conformes ».

Rappelons que les grandes plateformes prennent régulièrement ce type de décision pour monter d’un cran dans la lutte contre le spam. À l’automne 2023 par exemple, Gmail avait annoncé de nouvelles exigences pour l’authentification des e-mails, là aussi pour les expéditeurs dépassant les 5 000 courriels par jour.

Le 16 avril à 07h58

Commentaires (18)

votre avatar
C'est marrant, mais depuis quelques années, la majorité des tentatives d'hameçonnage auquelle je fais face provient d'adresses Gmail. Est-ce que je suis un cas unique ou ça vous parle également ?
votre avatar
Moi c’est par téléphone... c’est lourd même avec toutes les contre mesures qui vont bien.
votre avatar
Hotmail/Outlook est super chiant depuis des années sur la réception de mails, je suis surpris que ces vérifications somme toute assez basiques ne soient obligatoires que maintenant (et ça commence bien en deçà de 5000 mails par jour).
Oh well…
votre avatar
Et pourtant, Outlook est aussi le pire cauchemar de ceux qui envoient des mails. Ca fait 15 ans qu'on respecte toutes les exigences (SPF/DKIM/DMARC) et même les recommandations (Réputation des IP, gestion des NPAI, reverse des serveurs, etc), et pourtant arriver dans la boite de réception est aléatoire. Pendant un moment, ils se permettaient même de répondre "OK" au serveur tout en supprimant purement et simplement le mail, qui n'était jamais remis, même pas en spam.
votre avatar
C'est précisément mon point :)
votre avatar
Je pensais que tu te plaçais côté de celui qui non seulement ne reçoit pas tous les mails légitimes mais en plus se prend quand même du spam.
votre avatar
En fait Outlook est le pire chauchemar tout court :)
Surtout maintenant. Dans les deux sens, et aussi le logiciel !
votre avatar
Pareil pour moi ici.
Autant avec 365 il y-a des procédures postmaster qui marchent.
Autant pour Outlook.fr/com, @msn @live etc... Si tu as la malchance d'avoir une IP d’envoi refusé c'est mort.
Il y qq année tu pouvais discuter et montrer patte blanche, maintenant c'est finit.

Je m’accroche aux 2 IP de mes SMTP qui sont acceptées :stress:
votre avatar
Vu que SPF est très simple à mettre en place (une entrée TXT dans le DNS), franchement je ne comprends pas que tout le monde ne le fasse pas déjà...

Pour DKIM et DMARC, en revanche, c'est déjà plus corsé, donc je peux comprendre.
votre avatar
C'est le problème que j'ai chez OVH, j'ai voulu ajouter DKIM/DMARC et effectivement c'est corsé si l'on a pris qu'un simple domaine avec sa boîte e-mail basique. Le plus simple serait de souscrire à une adresse e-mail plus onéreuse qui aura tout, sauf que je n'en ai pas besoin...
votre avatar
OVH supporte DKIM sur toutes les offres maintenant.
votre avatar
DMARC, pour une policy de base, c'est aussi juste un enregistrement TXT.

Quant à DKIM, c'est n'est pas si compliqué que ça. Soit on administre déjà son serveur de mail auquel cas on a clairement les compétences pour mettre en place DKIM, soit on passe par un fournisseur pour les mails, qui vont juste t'indiquer les enregistrements DNS à ajouter, donc pas plus compliqué que SPF et DMARC.
votre avatar
Vrai pour DMARC, mais ça implique DKIM. Pour ce dernier, je pense qu'il doit y avoir des cas où l'implémentation peut être compliquée, non ?
votre avatar
Pour ma part je n'ai jamais eu de souci à mettre en place DKIM. A l'époque où j'administrais encore des serveurs mail avec postfix c'était un peu technique (mais tout à fait dans les cordes d'un admin postfix), et dernièrement, que ça soit chez OVH ou Microsoft365, c'est l'affaire de quelques clics et deux enregistrements TXT à copier/coller dans la zone DNS.
votre avatar
"afficher des pratiques d’envoi transparentes, avec des objets précis, sans en-têtes trompeurs, et avec le consentement des utilisateurs"...

Ils comptent déployer quoi comme système de vérification/analyse du message pour vérifier cela?

Déjà que gmail n'accepte les archives chiffrées que si la liste des fichiers inclus reste en clair, on se doute donc qu'il y a un passage au crible déjà assez intrusif, là on se dirait qu'Orwell était en fait un optimiste!

Attention aussi avec des messageries instantanées permettant les conversations de groupe s'appuyant sur le mail (genre deltachat) pour faire les rebelles à Whatsapp&Co: Probable que les groupes de bavards vont taper la limite! Va falloir passer à Tox...
votre avatar
J'attends avec impatience une loi en Europe qui interdise de filtrer les envois légitimes.
Pour moi, un envois légitime implique:
- DMARC, DKIM et SPF sont OK ;
- l'adresse de l'expéditeur et le répondre à correspond bien au domaine d'envois ;
- moins de 10 destinataires (sinon, on a toutes les chances de violer le RGPD) ;
- ne contient aucun lien qui mente sur sa destination (qui affiche une URL et qui renvoie sur un autre domaine) ;
- ne contient aucun lien raccourcisseur.

L'affichage d'une politique d'envois et le lien de désinscription ne s'appliquent que pour les envois de listes et ne doivent pas être imposé à 100% des messages.

Dans le cadre d'une association je dois envoyer pas mal de mail qui ne sont pas des mailings et c'est devenu un enfer car chaque opérateur applique ses propres lois.
votre avatar
"moins de 10 destinataires (sinon, on a toutes les chances de violer le RGPD)"

Dans un contexte professionnel, j'ai déjà vu des échanges légitimes avec plus de 10 personnes en copie (chef d'atelier, chef d'atelier + 1, IT, consultant IT, chef IT... bon des fois ça vire à l'exagération, on est d'accord).

"ne contient aucun lien qui mente sur sa destination (qui affiche une URL et qui renvoie sur un autre domaine)"

D'accord sur le principe, mais rien que Microsoft change discrètement toutes les URL d'un message afin de rediriger sur son service de vérification des liens partagés... Ça risque d'être dur de garantir une telle chose si, de manière totalement invisible pour l'expéditeur et souvent pas modifiable, les intermédiaires vont modifier les liens :frown:
votre avatar
Pour le premier point, cela risque en effet d'être compliqué de définir une limite qui fasse consensus.
Toutefois, même en entreprise, il existe des listes de diffusion qui permettent d'éviter les problèmes. Ma limite de 10 proposée tiens aussi compte de la difficulté de gérer correctement la diffusion à partir d'un certain seuil.

Pour le deuxième point, je pense que l'action que tu décries se fait à la réception et non à l'envois. Dans tous les cas, une modification du message est une altération qui ne devrait pas se faire en douce.

Les seules altérations qui sont légitimes à mes yeux sont la suppression des liens et fichiers présentant des risques ou l'ajout de messages explicites de risques. Dans tous les cas, cela ne doit pas se faire en douce.

SPF, DKIM, DMARC : Outlook.com dope ses exigences pour les gros expéditeurs

Fermer