Lorsque vous envoyez des emails via l'adresse fournie par votre FAI, celui-ci met-il en œuvre toutes les solutions permettant à vos interlocuteurs de s'assurer qu'il est légitime ? Il y a quelques mois nous avions constaté que ce n'était pas le cas. Depuis, les choses ont-elles changé ?
En juin dernier, nous étions revenus en détail sur différents standards importants de l'email, faisant l'objet de travaux de l'ANSSI pour renforcer leur support. Ses recommandations étaient alors mises à jour.
Une étape nécessaire, car un constat s'imposait alors : bien que certains de ces outils datent de plus de 15 ans, les différents acteurs français n'étaient pas vraiment pressés de les adopter. Lorsqu'il s'agissait de protéger les emails de leurs équipes, tout était le plus souvent en place. Mais pas pour leurs clients.
Ce, bien qu'ils payent parfois pour la fourniture d'un service email. La situation était la même pour l'envoi par ces hébergeurs et FAI d'informations aussi importantes que des factures ou des URL de remise à zéro d'un mot de passe, par exemple. De quoi expliquer, en partie, pourquoi le spam perdure.
Si certains de nos interlocuteurs ne voyaient pas le problème, d'autres nous promettaient de faire mieux. Nous avons attendu six mois avant de faire un nouveau point, voici ce que nous avons pu constater.
- Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?
- Protection contre le phishing et le spoofing d'email via SPF et DKIM : une faillite française
Projet New MTA : chez Orange, rien de nouveau
Commençons par l'acteur le plus important de l'hexagone, « opérateur historique » et pourtant le moins bien doté en la matière : Orange. Ce dernier n'appliquait aucun des standards que nous avions évoqués dans notre dossier.
Ce n'était donc pas le cas du SPF, qui consiste à déclarer dans un enregistrement DNS les serveurs autorisés à envoyer des emails depuis le domaine Orange.fr. Ni de DKIM signant les messages pour d'assurer de la véracité du destinataire. Pas plus de DMARC qui indique aux serveurs tiers la conduite à tenir en cas de problème.
Réagissant à notre article, le FAI nous promettait à l'époque que le projet New MTA serait pour ses équipes l'occasion de mettre en place DKIM et « un SPF plus restrictif ». Tout devait être finalisé avant la fin de l'année 2020. Il y a quelques jours, nous avons donc effectué de nouveaux essais et... rien n'avait changé.
SPF n'est pas en place, les emails des clients toujours pas signés avec DKIM. L'évolution de la plateforme ne semble pas avoir été opérée. Interrogé sur l'avancée du projet, le FAI n'a pour le moment pas répondu à nos questions.
Les résultats obtenus via Mail Tester
Bouygues Telecom : SPF et c'est tout
Même chose chez Bouygues Telecom : rien n'a changé. Nous constations en juin dernier qu'un enregistrement SPF déclarant les serveurs autorisés à envoyer des emails de clients via Bbox.fr était bien présent, il est toujours là. DMARC/ARC ne sont toujours pas en place, pas plus qu'une signature via DKIM.
Interrogé sur le sujet, le FAI n'a là encore pas répondu à nos questions pour le moment.
Les résultats obtenus via Mail Tester
Free et SFR signent les emails de leurs clients via DKIM
Bonne nouvelle pour les clients Free : si le FAI n'a jamais répondu à nos questions de manière directe, il a finalement mis de l'eau dans son vin. Les emails envoyés par les clients sont désormais signés via DKIM. Cela permet au destinataire de s'assurer de sa provenance. SPF et DMARC arrivent.
SFR qui n'avait pas pris d'engagement particulier, a ajouté la signature DKIM à ses pratiques, en plus de l'enregistrement SPF qui était déjà en place (et qui est resté). ARC/DMARC manquent toujours à l'appel.
Free et SFR ont ajouté la signature via DKIM
Bien entendu, nous ferons régulièrement d'autres vérifications, et reviendrons sous peu sur l'évolution des acteurs français sur le sujet, de manière plus générale. Ce sera alors l'occasion de faire le point avec l'ANSSI sur la situation.
