Lorsque vous envoyez des emails via l'adresse fournie par votre FAI, celui-ci met-il en œuvre toutes les solutions permettant à vos interlocuteurs de s'assurer qu'il est légitime ? Il y a quelques mois nous avions constaté que ce n'était pas le cas. Depuis, les choses ont-elles changé ?
En juin dernier, nous étions revenus en détail sur différents standards importants de l'email, faisant l'objet de travaux de l'ANSSI pour renforcer leur support. Ses recommandations étaient alors mises à jour.
Une étape nécessaire, car un constat s'imposait alors : bien que certains de ces outils datent de plus de 15 ans, les différents acteurs français n'étaient pas vraiment pressés de les adopter. Lorsqu'il s'agissait de protéger les emails de leurs équipes, tout était le plus souvent en place. Mais pas pour leurs clients.
Ce, bien qu'ils payent parfois pour la fourniture d'un service email. La situation était la même pour l'envoi par ces hébergeurs et FAI d'informations aussi importantes que des factures ou des URL de remise à zéro d'un mot de passe, par exemple. De quoi expliquer, en partie, pourquoi le spam perdure.
Si certains de nos interlocuteurs ne voyaient pas le problème, d'autres nous promettaient de faire mieux. Nous avons attendu six mois avant de faire un nouveau point, voici ce que nous avons pu constater.
- Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
- Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Projet New MTA : chez Orange, rien de nouveau
Commençons par l'acteur le plus important de l'hexagone, « opérateur historique » et pourtant le moins bien doté en la matière : Orange. Ce dernier n'appliquait aucun des standards que nous avions évoqués dans notre dossier.
Ce n'était donc pas le cas du SPF, qui consiste à déclarer dans un enregistrement DNS les serveurs autorisés à envoyer des emails depuis le domaine Orange.fr. Ni de DKIM signant les messages pour d'assurer de la véracité du destinataire. Pas plus de DMARC qui indique aux serveurs tiers la conduite à tenir en cas de problème.
Réagissant à notre article, le FAI nous promettait à l'époque que le projet New MTA serait pour ses équipes l'occasion de mettre en place DKIM et « un SPF plus restrictif ». Tout devait être finalisé avant la fin de l'année 2020. Il y a quelques jours, nous avons donc effectué de nouveaux essais et... rien n'avait changé.
SPF n'est pas en place, les emails des clients toujours pas signés avec DKIM. L'évolution de la plateforme ne semble pas avoir été opérée. Interrogé sur l'avancée du projet, le FAI n'a pour le moment pas répondu à nos questions.
Les résultats obtenus via Mail Tester
Bouygues Telecom : SPF et c'est tout
Même chose chez Bouygues Telecom : rien n'a changé. Nous constations en juin dernier qu'un enregistrement SPF déclarant les serveurs autorisés à envoyer des emails de clients via Bbox.fr était bien présent, il est toujours là. DMARC/ARC ne sont toujours pas en place, pas plus qu'une signature via DKIM.
Interrogé sur le sujet, le FAI n'a là encore pas répondu à nos questions pour le moment.
Les résultats obtenus via Mail Tester
Free et SFR signent les emails de leurs clients via DKIM
Bonne nouvelle pour les clients Free : si le FAI n'a jamais répondu à nos questions de manière directe, il a finalement mis de l'eau dans son vin. Les emails envoyés par les clients sont désormais signés via DKIM. Cela permet au destinataire de s'assurer de sa provenance. SPF et DMARC arrivent.
SFR qui n'avait pas pris d'engagement particulier, a ajouté la signature DKIM à ses pratiques, en plus de l'enregistrement SPF qui était déjà en place (et qui est resté). ARC/DMARC manquent toujours à l'appel.
Free et SFR ont ajouté la signature via DKIM
Bien entendu, nous ferons régulièrement d'autres vérifications, et reviendrons sous peu sur l'évolution des acteurs français sur le sujet, de manière plus générale. Ce sera alors l'occasion de faire le point avec l'ANSSI sur la situation.
Commentaires (59)
#1
Vous ne voulez pas continuer à mettre la pression à OVH en les affichant? :-)
Ils ne proposent pas DKIM et DMARC sur leur offre Hosted Exchange… https://www.ovh.com/fr/emails/
#1.1
Comme dit on fera un point plus général dans un second temps, des vérifications/échanges sont déjà en cours ;)
#1.2
Oui ce serait bien comme ça les emails envoyés aux clients arrêteront d’arriver en SPAM..
#2
Je plussoie, surtout sur leur “email pro” bien cher, pas de DKIM…
#3
#4
Quand on voit comment sont frileux les serveurs d’Orange dès qu’on leur envoie plus de 3 mails simultanés, c’est la panique, personnellement ça ne me laisse rien envisager ni à court ni à moyen terme question évolution de leurs infrastructures.
Toujours pareil, une boite qui reste sur ces acquis… Et puis c’est tout.
#5
Les problèmes mail de Free, c’est surtout en réception. Je recois les spams sans aucun problème (sur la boîte principal, pas dans le dossier spam. Ca serait trop simple). Par contre les mails concernant les changements d’adresse mail ou de réinitialisation de mot de passe, ca fait des dizaines que j’attends toujours…
#5.1
+1 tu n’es pas le seul, je te rassure.
#5.2
Pareil chez moi, sur mon adresse @free.fr (pourtant peu utilisée) depuis quelques semaines c’est une invasion de spams et de phishing, parfois une dizaine par jour, tout y passe: Ouest france, Le Monde, Linkedin, divers sites de VPC et de rencontres, voire la mairie de Saintes.
En géneral les liens pointent vers des arnaques type “assistance Microsoft”.
Rien à signaler sur mes autres adresses chez GMX, y compris celles utilisées comme “poubelle”. Ce qui me fait dire que c’est du coté de free qu’il y a un léger souci.
Et pareil pour les mails “perdus” ca a toujours été une calamité avec free mais depuis quelque temps c’est de pire en pire
#6
Moi je dirais (subjectif hein) que le problème numéro 1 c’est que l’on ne peut pas facilement auto-héberger nos mails ailleurs que chez Free à ma connaissance (je ne sais pas pour SFR).
Orange bloque le port 25 sortant. Pas moyen de désactiver. Du coup je suis obligé de passer par leur serveur relais (en le rajoutant au SPF) et leur faire lire tous mes mails sortants… Sans parler des soucis de hairpinning.
Bouygues permet de désactiver le pare-feu dans l’interface de la box, mais ne permet pas de configurer le reverse DNS, ce qui est gênant pour certaines destination (outlook notamment). Ça passe pour gmail.
Au passage, les mails sont plutôt simples à configurer sur yunohost ! Et c’est finalement assez simple et très robuste (je peux laisser mon serveur déconnecté quelques heures). J’en ai un peu marre de ces fournisseurs de demi-accès à internet.
Ah, et on peut parler d’IPV6 sur les serveurs mails si vous voulez…
#6.1
Non ce n’est pas le problème N°1 parce que gérer ses propres emails ce n’est pas simple, pas conseillé au plus grand nombre, donc la solution doit être ailleurs. Mais oui pour ceux qui veulent le faire il y a peu de solution et le plus simple est souvent d’avoir un serveur hébergé pour ça.
#6.3
Si on lit l’étiquette, rien n’oblige un FAI à fournir une boîte mail. Et je râle car ce n’est pas un accès à internet complet qu’ils fournissent. Au moins, orange s’est pas mal mis à l’IPv6, c’est déjà ça…
Je suis conscient que ce n’est pas simple ni conseillé au plus grand nombre. Mais c’est le cas de beaucoup d’autres choses, et ça change tout le temps.
Cependant, ça ne nécessite qu’un tout petit peu d’électricité (<1W pour un pi zero) pour une machine qui devra tourner 24⁄7. <20€/an en incluant un nom de domaine. Et avec un peu de bonne volonté de la part des opérateurs, ça pourrait devenir super simple. Je suspecte qu’ils veulent surtout faire du datamining sur les mails.
#6.4
Le mail c’est quand même un métier, en tous cas si on veut le faire bien et sur la durée. Le souci pour le grand public de mon point de vue, c’est que la plupart des prestataires FR ne font pas ce qu’ils devraient sur le sujet, contrairement à pas mal d’autres acteurs (EU ou non).
Après les raisons du blocage du port 25 sont connues, mais je suis d’accord sur le fait qu’ils devraient permettre de le débloquer, en affichant les avertissement nécessaires et en sanctionnant en cas d’éventuels abus.
#6.5
vrai la version gratuite mail (offert avec un domaine) d’infomaniak rend un 10⁄10 sans rien touché.
#6.6
Oui on l’avait évoqué dans l’article sur le sujet
#6.2
un VPS et c’est réglé …
un script parmi d’autres : mailinabox.email
#6.7
Oui, le cloud c’est facile, bla bla bla, mais c’est du minitel, pas de l’internet
Je m’auto-héberge car ça coûte moins cher, je peux bouger ma configuration comme je veux et où je veux, je suis plus libre au niveau logiciel et matériel, et juste en bon citoyen d’Internet.
Au passage, dire qu’un droplet de à 5€/mois (dans la vidéo de présentation du lien) n’est pas assez puissant pour du mail… Je coderai peut-être un serveur mail pour ESP2866 voire Arduino un de ces quatre, pour m’amuser, je pense que ça devrait suffire ^^” (j’ai un doute pour TLS sur l’arduino, mais on peut s’en passer).
Cela dit la solution pérenne est peut-être juste de me prendre un VPN chez l’un des FAI de la ffdn :)
#6.8
à la maison c’est compliqué d’avoir une continuité de service …
et faut avoir une vraie connexion, c’est pas avec un adsl de village que tu vas heberger des services chez toi (genre un mail)
#7
serveur mail perso : 10⁄10
https://www.mail-tester.com/test-4uvuthtdo
#7.1
je troll, mais je sais bien qu’il y a une légère différence entre faire tourner une machine pour son usage perso, et monter un service pour des millions d’users, avec des milliers de configs à supporter, dont surement encore des machines sous Windows95
#7.2
Bien joué !
Moi aussi j’ai un 10⁄10 sur le mien !
Ceci dit, Yahoo a aussi 10⁄10 par exemple.
Par contre tu n’as pas de soucis en envoyant des mails vers des adresses microsoft (outlook.fr, live.fr, hotmail.fr…) ? Mes mails arrivent au mieux dans les spam, au pire pas du tout !!
#7.3
Pareil , dernière fois que j’ai tenté, rien ne passe vers MS
#7.4
D’accord, merci du retour.
C’est la plaie…. Si quelqu’un a une solution…
#7.5
Ya une procédure pour white lister son IP chez ms… J’avais abandonné…
#8
Sur mon mail Free, je reçois depuis environs 2 mois des mails qui ne sont pas pour moi, ça ne ressemble pas à des spams, car l’adresse de destination qui devrait être la mienne, est une autre adresse, parfois avec les même premières lettres que la mienne, parfois rien à voir.
J’ai reçu des mails qui semblaient être pro, des trucs venant de linkedin, une conversation entre plusieurs personnes qui avaient hâtes d’aller au resto, et des trucs un peu plus cocasses comme un mail de confirmation de création de compte pour un site pr0n. D’ailleurs lui il était désespéré parce que j’ai reçu 4 ou 5x son mail de confirmation dans la même journée
Je sais pas d’où ça vient, j’ai essayé de faire des recherches, mais rien de concluant et rien pour le signaler à Free, du coup j’ai basculé tout ce qui était sensible sur une adresse non Free, et si ça continue, je vais voir pour récupérer mes archives et supprimer mon adresse…
#8.1
Ah, j’ai ça aussi, depuis quelques semaines également. Et il y avait déjà eu (au moins) une période similaire il y a quelques années. Ça passe les filtres à spam, c’est pénible; même si on parle au max de max de deux ou trois mails par jour. Je ne sais pas non plus ce que c’est, je me contente de les ignorer.
#9
Au moins, j’ai réussi a résoudre mon problème de mail laposte.net qui n’arriver pas dans thunderbird, innocent tout les 2, c’est peerblock qui fouter la merde en bloquant.
#10
Le prestataire mailo/netcourrier permet d’activer DKIM/SPF/DMARC sur les domaines extérieurs et c’est fait d’emblée sur les domaines gérés.
#10.1
Oui on l’a déjà dit dans l’article à leur sujet et de mémoire quand ils l’ont activé dans le brief. Mais ce n’est pas un FAI, donc pas le sujet ici ;)
#11
Ah oui les FAI… j’étais sur les fournisseurs de mail gratuit en général. Désolé
#12
Ca je me doutais, malheureusement
Mais c’est quand même merdique de devoir contacter individuellement chaque service pour leur dire qu’on ne peut recevoir les mails de changement car chez Free c’est pourri et qu’on ne peut changer par nous-même…
Vu les liens à l’intérieur (je regarde mes mails depuis Thunderbird, en survolant un lien avec la souris il me l’affiche en bas comme un navigateur), je pense sérieusement que c’est un nouveau type de spam. Ou alors il y a beaucoup plus de sites que je ne le croyais qui sont hébergés en Russie ou qui ont des adresses web qui ne correspondent absolument pas à leur nom
#12.1
Je viens de tomber sur un fil twitter qui dit globalement la même chose que toi, ce serait du spam un peu évolué pour passer à travers les filtres de Free et te faire croire que c’est “un bug”, des mails volés suite à des fuites de données repris tels quels dans lesquels ils glissent des liens fraduleux au millieu du truc pour te piéger. Par exemple je ne serais pas le seul à avoir eu la conversation du restau.
Du coup ça me rassure un peu parce que ça voudrait dire que j’ai pas eu de mails confidentiels dans la nature.
#13
Même sur un serveur hébergé, c’est pas si simple et parfois loin d’être trivial.
J’ai bien tout activé, mais, pour les rapport dmarc par exemple, j’ai beau envoyé des mails, il n’y a jamais eu que google pour traiter le rapport et me le renvoyer…
#14
Idem pour moi, je reçois des mails adressés à des gens qui ont mon prénom mais un nom différent.
#14.1
En fait le mail t’es bien adressé c’est le champ mail affiché par le webmail/client qui est faux. C’est du mauvais spam.
Vérifie en affichant les headers/code source voir.
#15
#15.1
C’est pas parce qu’il t’envoie le mot de passe en clair qu’il n’est pas chiffré dans la DB. IL stockerai un hash du mot de passe, il ne pourrait pas, mais un mot de passe chiffré en AES peut très bien être déchiffré. C’est pas terrible, mais mieux que rien (tant qu’il ne stocke pas la clef AES juste à côté de la DB)…
#15.2
L’article a été mis à jour suite aux annonces de Free notez aussi que Gandi a indiqué des changements à venir sur le sujet dans le courant du mois
Dans tous les cas c’est en opposition avec toutes les recommandations sur le sujet.
#16
Sans avoir fait de configuration particulière, je suis à 9⁄10 chez Gandi. Pas de DKIM ni de DMARC, mais je ne sais pas si j’ai une configuration particulière à faire sur mon domaine, peut-être !
#17
Heu, et le port 587 pour l’envoi de mail authentifiés et avec STARTTLS en bonus pour que ça ne passe pas en clair chez ton fai ???
(au passage orange business c’est pareil port 25 bloqué et non déblocable)
#17.1
Hmm, je parle bien de messages de Message Transfer Agents (MTA) à MTA (serveur-serveur), pas client-serveur (MUA)->MSA/MTA .
(bien que la différence entre client et serveur mail me semble parfois un peu ténue).
Au passage, STARTTLS utilise aussi le port 25 et négocie le passage à SSL/TLS. SSL/TLS utilisait 465. Il semble que le passage au port 587 soit intervenu plus tard pour distinguer le trafic relais (MTA<->MTA) du trafic client-serveur.
#18
Eh bien ! moi je reçois plein de rapports. J’ai essayé d’ailleurs https://app.dmarcanalyzer.com pour les analyser et l’outil et plutôt pratique, mais très cher au delà des 15j d’essai.
Par contre, configurer le DKIM sur une soluce Office365 Business, c’est tout de même la plaie…. Petit retour trouvé par ici : https://techblog.bozho.net/one-month-of-microsoft-dkim-failure-and-thoughts-on-technical-excellence/
Et chez moi, ça fonctionne
#19
Au moins il y a ton prénom. Là je viens de vérifier, j’ai eu un faux mail Engie pour Aurore et un faux mail Veepee pour Magalie… Pourtant mes attributs de famille me font dire que je ne suis pas une femme
Et t’affirment droit dans les yeux que si ton compte a été potentiellement piraté et qu’il est bloqué dans la foulée c’est de ta faute parce que tu as communiqué ton mot de passe ailleurs…
(Oui, j’y ai eu droit l’an dernier)
#20
Et même ça, ça marche bien sauf pour les domaines de microsoft (hotmail, office365, outlook, live) - qui font davantage confiance à Orange qui est quasi en openrelay qu’à ton petit serveur mail qui obtient pourtant 10⁄10 à mailtester, supporte IPv6 et dispose d’un reverse et d’un certificat valide.
Ce qui pose de gros soucis en particulier pour communiquer avec les entreprises qui délèguent à Office365 la gestion de leurs mails - et donc drop silencieusement les miens dans un sens comme dans l’autre.
Idem (mais moins grave) pour Yahoo qui classe en spam tous mes envois - mais au moins, ils sont acheminés.
Pourtant pour tous les autres domaines , y compris google, j’ai pas de soucis.
=> Pour moi on va sur les mails comme sur les réseaux sociaux , à un “entre-soit” des grands noms du secteur qui vont pousser les utilisateurs sur leurs plateforme et ignorer les autres, qui vivoterons de leur coté.
#21
C’est un peu des gros branleurs. Autre chose “amusante” avec Free, quand tu déménages, ils réinitialisent tous tes paramètres téléphoniques, notamment le fait que tu ne veuilles pas que ton numéro de tél soit public (chez Orange, il y a une case pour demander à être sur liste rouge dans le formulaire d’abonnement). Du coup, après avoir déménagé, j’ai du enlever mes tél fixes à force de recevoir des dizaines d’appels par semaine.
#22
Merci pour cet article détaillé par opérateur, j’ai beaucoup de soucis pour faire admettre à mes collègues que ce sont les oranges, …. qui ne font pas leur boulot pour sécuriser leurs mails.
A titre perso je suis content de moi, mon résultat / mail-tester pour mon mail perso sur domaine à mon nom. le tout sur une instance yunohost : https://nsi.ynh.fr/jirafeau/f.php?h=1C0ASwWI&p=1
#23
Purée grave ! Mes mails arrivent (généralement) bien partout, sauf chez MS, et ce rapport m’aiderait grandement, mais en effet, je ne reçoit ces rapports que de Google
.
#24
Honnêtement, j’ai beau avoir réussi à tout faire passer sur un serveur personnel (cloud/partage de données and co), je ne me vois pas du tout faire ça pour les mails.
Non pas que ce soit compliqué, mais c’est comme une boîte postale et je récupère trop de données personnelle pour m’en servir dans un usage normal.
#25
Ah, détrompes-toi, le mail ne date pas d’hier. Mon serveur vient de passer quelques mois (environ 8) à la campagne, et les mails sont l’un des rares services qui gonctionnaient parfaitement, depuis le LAN ou l’extérieur (Matrix avait du mal, par exemple).
J’avais environ 600 Ko/s de down et 80 Ko/s de up… Ces vitesses étaient déjà assez importantes lors des débuts du mail.
De plus, ton serveur peut être hors ligne une semaine, les serveurs vont régulièrement retenter l’envoi de mails qui ne sont pas passés (15 jours par défaut, je crois? Quelques heures/jours de downtime ne sont pas super importants).
Il faudra que j’expérimente avec un serveur de secours chez d’autres amis qui font cela…
#26
Si tu peux le déchiffrer,un attaquant aussi, peu importe où est la clé.
La vraie bonne façon de stocker les mots de passe c’est avec un algo fait pour ça (type bcrypt) et rien d’autre.
#26.1
On est d’accord, mais de là à accuser Free de le stocker en clair, alors qu’en fait t’en sais rien…
#27
On a traité cela milieu d’année au boulot. Une solution cloud permettait aux utilisateurs de faire du suivi de dossier, avec envoi de mail à la fin. Les @sfr.fr, @neuf.fr, @laposte.net ne recevaient pas, et nos utilisateurs avaient un retour.
On n’a pas été beaucoup aidés par le presta qui faisait un peu au pif.
Et c’est un vrai problème actuellement: si on multiplie les solutions cloud qui envoient des mails, on peut dépasser des limites du DNS (champs TXT trop grands).
Là où j’ai ri, c’est quand un commercial de laposte nous a dit qu’il n’arrivait pas à nous envoyer de mail. On lui a expliqué que d’après leurs DNS, c’était parce que le serveur @laposte.net n’était pas autorisé à envoyer du @xxx.laposte.net. Il nous a pris de haut le gars…
#27.1
laposte.net est à peu près aussi fiable que sa contrepartie physique (j’attends toujours l’accusé de réception du LRAR envoyé à mon syndic de copro en novembre dernier, heureusement que j’avais envoyé en // par mail)… Ce sont eux à l’époque qu’ils m’ont convaincu d’auto héberger mes mails et j’ai eu moins de soucis durant cette période qu’avec leur service.
#28
Pareil, je suis allé au bout du process. Ca n’a jamais fonctionné.
C’est dommage. Comme dit un contributeur plus haut, même propre à 100% MS est pas fan des petits hébergeurs.
Par contre accepter du mail d’Orange qui accepte de faire du SSLv3 et refuse TLSv1.1 et TLSv1.2 bah c’est openbar.
Sinon on en parle pas beaucoup mais DANE + DNSSEC est un bon moyen de sécuriser les communication et éviter le poisonning DNS et le rechiffrement par proxy MITM.
#29
Pour ceux qui ne connaissement pas déjà et qui ne veulent pas forcément se lancer dans la mise en place d’un serveur de mail perso, il y a alwaysdata.com qui est pas mal.
On peut régler facilement l’ensemble des paramètres qui permettent d’améliorer la délivrabilté, spf, dkim du moment qu’on passe bien sur par leur smtp…
#30
Rien n’empèche de payer un abonnement Office 365 (et un seul, juste pour la configuration en fait) pour utiliser Exchange comme point d’entrée MX.
et y’a un mois gratuit pour essayer de faire le con avec la configuration.
Il faut quelques bases en Exchange par contre, et penser à passer le domaine en “Interne” au lieu de “Faisant autorité”.
Ca fonctionne et ça coûte 4€20HT/mois
Pour ma part, ayant mes DNS chez Gandi, je configure comme je veux les DNS en suivant les consignes Office 365, comme ça je peux rajouter mon MX interne dans le SPF en plus d’Exchange.
#31
Même chose chez moi mais avec Orange ! Ça fait de longs mois, voir peut-être un an maintenant que ça m’arrive sur une vieille adresse Wanadoo. Il y a des discussions sur le forum d’Orange mais j’ai l’impression qu’il ne faut pas attendre grand chose des FAI. A part changer son mot de passe et vérifier qu’une redirection des mails vers une autre adresse n’a pas été mise en place il n’y a pas grand chose à faire…
#32
C’est une solution , mais….. ça m’ennuie (même si l’on peux en amont mettre un filtre pour ne forwarder à leur MTA que les messages à destination des adresses @hotmail/live/outlook et garder son propre SMTP pour le reste):
Quelque part c’est leur “donner raison” , et au final tu paies 4.2€ /mois simplement pour le privilège que tes emails soient délivrés à leur destinataire.
Demain, quoi ? Faudra un compte Gmail pour envoyer à des utilisateurs gmail, puis un compte iCloud pour envoyer sur des machines Apple, un compte yahoo pro pour envoyer des @yahoo.fr , et avoir un portable Dell pour envoyer des mails à un serveur mail hébergé sur dell !?
La force de l’email c’est justement que c’est pas un silo comme whatsapp et consorts, et c’est ça que microsoft est en train de mettre à mal.
#32.1
Tu te fourvoies, je me sers d’Office365 comme un MX entrant et sortant pour tous mes mails, pas que pour outlook/office. Leur MX est relativement fiable et personne ose les blacklister sauvagement
Et comme la relation est contractuelle, les données sont là où c’est choisi à la création (Europe de l’ouest pour ma part) et ils ont une obligation de résultat.