30 novembre
Vous êtes un spammeur
Cela peut arriver à n'importe qui, même à moi (c'est dire!). Mais quoi donc? D'être l'émetteur de message non sollicités, cad du spam. Vous avez surement remarqué que certains messages que vous recevez dans votre boite ont VOUS comme émetteur. Cela n'est pas très grave tant que cela reste entre vous et vous. Mais quand les autres vont vous accuser de faire de la publicité pour du Viagra, ce sera une autre histoire.
Mais comment cela se fait il? Vous êtes certain de ne pas avoir écrit ce message, et en plus vous n'êtes pas somnambule. Reprenons l'histoire, il faut comprendre que tous les messages Internet reposent sur l'utilisation du protocole SMTP (Simple Mail Transfert Protocol). Celui ci fut conçu au tout début du réseau des réseaux, à ce moment nul besoin de souci de sécurité. Internet était un réseau ou des gentils communiquaient avec des encore plus gentils. Tout repose alors sur des relations de confiance entre les différents serveurs. Il est très facile pour n'importe qui (ou presque) de changer certains paquets du message, et faire semblant d'être un autre serveur, ou un autre émetteur.
Où va le monde si je ne peux plus faire confiance à personne! Je n'ouvrirai plus ma boite, na! Heu, cela n'empêchera pas quelqu'un d'utiliser votre «identité ». Alors que faire?? Internet dans son infini sagesse a les protocoles qu'il vous faut pour ne pas douter à priori de qui vous écrit. Il s'agit de SPF/SenderID et DomainKeys/DKIM. SPF est une entrée DNS qui détermine qui dans le domaine a le droit d'émettre un mail. Le récepteur n'aura plus qu'à tester ce champ, et pourra ainsi rejeter le message sans avoir à lire son corps. DKIM est une authentification du message lui même (signature), qu'il sera aisé au receveur de vérifier, s'il supporte aussi ce protocole. Et c'est là qu'est le problème, ces protocoles de sécurité ne sont pas largement déployés, un peu comme le DNSSEC. Une fois de plus des solutions existent au problème (ici le spam), mais presque personne ne les utilise à l'heure actuelle. Allez, un petit effort.
Partager cette note :
Il aurait été intéressant de lier ce billet avec la discussion que nous avons eu avec JF Audenard http://blogs.orange-business.com/securite/2009/11/spamtraps-un-piege-pour-lutter-contre-les-spammers.html#comment-2205 ;)
SPF, c'est bien. Mais imaginons que vous souhaitiez passer par le SMTP d'Orange pour envoyer vos mails. On autorise alors smtp.orange.fr dans le SPF du DNS.
Dès lors un autre utilisateur qui souhaite envoyer un mail en se faisant passer pour vous est autorisé à le faire via smtp.orange.fr :) Et Outlook est suffisant pour le faire.
La seule solution est de passer par un SMTP privé (et de n'utiliser que celui-là). Mais il me semble que le port 25 est réservé à smtp.orange.fr sur les connexions Orange, non ?
On estime à environ 12% l'utilisation des enregistrements SPF sur les domaines en .com
De plus ces méthodes ne sont que temporaires car quand le SPF sera réellement appliqué, les spammeurs créeront des domaines à la volée et définiront les bons enregistrements pour bypasser ces politiques...
Vous l'avez fait, et je vous en remercie
Vous avez raison sur deux points SPF c'est bien mais non suffisant et le port 25 est je le pense aussi réservé à une adresse spécifique.
Il est clair que si le spf est mis e place les spammeurs trouveront autre chose.
Mais d'une autre façon, si nous faisons rien , c'est pas terrible