Sécurité des emails chez les FAI via SPF, DKIM, ARC/DMARC : Orange à la traîne, SFR en tête

C'est ceux qui parlent le plus qui font le moins
Internet 4 min
Sécurité des emails chez les FAI via SPF, DKIM, ARC/DMARC : Orange à la traîne, SFR en tête
Crédits : merznatalia/iStock

Lorsque vous envoyez des emails via l'adresse fournie par votre FAI, celui-ci met-il en œuvre toutes les solutions permettant à vos interlocuteurs de s'assurer qu'il est légitime ? Il y a quelques mois nous avions constaté que ce n'était pas le cas. Depuis, les choses ont-elles changé ?

En juin dernier, nous étions revenus en détail sur différents standards importants de l'email, faisant l'objet de travaux de l'ANSSI pour renforcer leur support. Ses recommandations étaient alors mises à jour.

Une étape nécessaire, car un constat s'imposait alors : bien que certains de ces outils datent de plus de 15 ans, les différents acteurs français n'étaient pas vraiment pressés de les adopter. Lorsqu'il s'agissait de protéger les emails de leurs équipes, tout était le plus souvent en place. Mais pas pour leurs clients.

Ce, bien qu'ils payent parfois pour la fourniture d'un service email. La situation était la même pour l'envoi  par ces hébergeurs et FAI d'informations aussi importantes que des factures ou des URL de remise à zéro d'un mot de passe, par exemple. De quoi expliquer, en partie, pourquoi le spam perdure.

Si certains de nos interlocuteurs ne voyaient pas le problème, d'autres nous promettaient de faire mieux. Nous avons attendu six mois avant de faire un nouveau point, voici ce que nous avons pu constater. 

Projet New MTA : chez Orange, rien de nouveau

Commençons par l'acteur le plus important de l'hexagone, « opérateur historique » et pourtant le moins bien doté en la matière : Orange. Ce dernier n'appliquait aucun des standards que nous avions évoqués dans notre dossier.

Ce n'était donc pas le cas du SPF, qui consiste à déclarer dans un enregistrement DNS les serveurs autorisés à envoyer des emails depuis le domaine Orange.fr. Ni de DKIM signant les messages pour d'assurer de la véracité du destinataire. Pas plus de DMARC qui indique aux serveurs tiers la conduite à tenir en cas de problème.

Réagissant à notre article, le FAI nous promettait à l'époque que le projet New MTA serait pour ses équipes l'occasion de mettre en place DKIM et « un SPF plus restrictif ». Tout devait être finalisé avant la fin de l'année 2020. Il y a quelques jours, nous avons donc effectué de nouveaux essais et... rien n'avait changé.

SPF n'est pas en place, les emails des clients toujours pas signés avec DKIM. L'évolution de la plateforme ne semble pas avoir été opérée. Interrogé sur l'avancée du projet, le FAI n'a pour le moment pas répondu à nos questions.

SPF DKIM ARC DMARC Orange
Les résultats obtenus via Mail Tester

Bouygues Telecom : SPF et c'est tout

Même chose chez Bouygues Telecom : rien n'a changé. Nous constations en juin dernier qu'un enregistrement SPF déclarant les serveurs autorisés à envoyer des emails de clients via Bbox.fr était bien présent, il est toujours là. DMARC/ARC ne sont toujours pas en place, pas plus qu'une signature via DKIM.

Interrogé sur le sujet, le FAI n'a là encore pas répondu à nos questions pour le moment.

SPF DKIM ARC DMARC Bouygues Telecom
Les résultats obtenus via Mail Tester

Free et SFR signent les emails de leurs clients via DKIM

Bonne nouvelle pour les clients Free : si le FAI n'a jamais répondu à nos questions de manière directe, il a finalement mis de l'eau dans son vin. Les emails envoyés par les clients sont désormais signés via DKIM. Cela permet au destinataire de s'assurer de sa provenance. SPF et DMARC arrivent.

SFR qui n'avait pas pris d'engagement particulier, a ajouté la signature DKIM à ses pratiques, en plus de l'enregistrement SPF qui était déjà en place (et qui est resté). ARC/DMARC manquent toujours à l'appel.

SPF DKIM ARC DMARC FreeSPF DKIM ARC DMARC SFR
Free et SFR ont ajouté la signature via DKIM

Bien entendu, nous ferons régulièrement d'autres vérifications, et reviendrons sous peu sur l'évolution des acteurs français sur le sujet, de manière plus générale. Ce sera alors l'occasion de faire le point avec l'ANSSI sur la situation.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !