L’AFNIC tire un triste bilan de son analyse de plus de 3 millions de noms de domaine utilisés pour des emails : 48 421 seulement sont protégés contre l’usurpation d’identité. Nous en profitons pour refaire le tour des quatre FAI nationaux. Free est toujours un bon élève, suivi par SFR. Orange et Bouygues Telecom ferment la marche.
Dans un article publié récemment, l’Association française pour le nommage Internet en coopération (ANFIC) revient sur la sécurité des emails. Elle rappelle que ce service a été conçu à une époque où Internet n’était pas encore un réseau public que l’on connaît. Le premier email date en effet de 1971, tandis que le premier spam est arrivé en 1978. Aujourd’hui encore, l’email manque cruellement de sécurité alors que des solutions existent depuis des années.
SPF, DKIM et DMARC : le tiercé gagnant
« Les cas d’usurpation d’identité utilisant l’email se multiplient car il est possible de renseigner n’importe quelle adresse dans l’en-tête "From" d’un courriel, ce qui a pour conséquence de faciliter divers abus tels que l’hameçonnage », rappelle l’AFNIC. Ce champ From n’est en effet qu’un simple champ de texte parmi d'autres, on peut donc le modifier comme on veut avec un serveur SMTP maison ou peu regardant.
L’Association rappelle qu’il existe des solutions pour se protéger et qu’il « convient d’adopter pour renforcer la confiance dans le courriel ». Elles sont au nombre de trois : SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance). Nous les avons déjà détaillées dans un précédent article, l’AFNIC les a aussi présentées ici.
Moins de 60 % des .fr avec SPF, on tombe sous les 10 % avec DMARC
Avant d’entrer dans les détails, l’Association commence par poser le décor : « Cette étude porte sur 4 029 741 domaines extraits de la zone .fr dans la nuit du 30 au 31 janvier 2023. Sur ces 4 millions, 3 600 347 sont publiés ; parmi eux, 3 096 240 publient un enregistrement MX ». MX signifie pour rappel Mail eXchange. Un enregistrement MX est un enregistrement DNS qui associe un nom de domaine à un serveur de messagerie.
Les statistiques suivantes portent donc uniquement sur un peu plus de 3 millions de noms de domaine, qui disposent d’un enregistrement MX :
- « 57,8 % publient une politique SPF ;
- 23,1 % publient au moins une clef DKIM ;
- 7,8 % publient une politique DMARC ».
L’AFNIC précise que les taux sont un peu supérieurs si on se limite aux noms de domaine .fr associés à un site web : 62,7 %, 25,2 % et 9,8 % respectivement. On reste dans les mêmes ordres de grandeurs et, dans tous les cas, on est loin d’un carton plein…
La conclusion de l’AFNIC est d’ailleurs sans appel : « Aujourd’hui, moins de 10 % des noms de domaine publiés dans la zone .fr exploitent pleinement le DNS pour assurer l’authenticité de leurs envois d’e-mails ».
De bonnes pratiques sur le SPF, il reste du travail sur DMARC
Sur le Sender Policy Framework (SPF) en particulier – qui permet de déclarer quels serveurs peuvent expédier des emails pour les domaines – « au moins 97 % des noms de domaine en .fr ont une politique SPF qui respecte les bonnes pratiques ». C’est-à-dire « suffisamment restrictive (sans « +all » ni de plages IP trop grandes) », ne listent pas d’adresses IP privées ou réservées, avec un type TXT dans un message DNS de moins de 512 octets, etc.
Concernant DKIM, qui est bien moins répandu avec seulement 23,1 % des .fr, pas de détail pour le moment : « L’analyse des sélecteurs DKIM les plus utilisés et des caractéristiques des clefs publiques DKIM est en cours et fera l’objet d’une publication dédiée ».
Enfin, le dernier point concerne DMARC, encore très/trop peu déployé dans la zone .fr, avec seulement 7,8 % des noms de domaine. Le protocole Domain-based Message Authentication, Reporting and Conformance (DMARC), permet d'indiquer ce qu’il faut faire lorsqu'un email ne passe les tests SPF et DKIM.
Trois politiques sont possibles : « p=none » et il ne se passe rien (les serveurs mail destinataires ne rejettent pas les messages), « p=reject » et l’email est rejeté, et enfin « p=quarantine » et dans ce cas l’email est considéré comme suspect. Dans ce dernier cas, il va dans les spams, où il est mis de côté pour un examen ultérieur.
Dans la pratique, on est loin d’une application stricte de DMARC. Sur environ 234 000 noms de domaine avec DMARC déployé, les politiques mises en place sont les suivantes :
- 73,6 % ne font rien (p=none)
- 18,5 % rejettent (p=reject )
- 7,9 % mettent en quarantaine (p=quarantine)
L’AFNIC précise que « parmi les domaines sans site web, le "p=reject" est surreprésenté, sans pour autant être majoritaire : il s’agit de noms de domaine parqués ou achetés à titre défensif ».
Au final, le bilan n’est pas joyeux : « La proportion de noms de domaine en .fr protégés contre l’usurpation est très faible : seuls 48 421, soit 1,3 % de toute la zone .fr, publient une politique DMARC "p=reject" ». Sur les plus de 3 millions de noms de domaine, 7,8 % seulement publient une politique DMARC, et sur ces 7,8 % ils ne sont que 18,5 % à mettre en place une politique de rejet.
L’AFNIC rappelle que, « pour autant, les usurpations d’identité peuvent être lourdes de conséquences : à la fois pour les internautes, qui s’exposent à l’hameçonnage, mais également pour l’image de marque du titulaire/émetteur du courriel ».
Bouygues Telecom et Orange se contentent de SPF
Nous avons à plusieurs reprises fait le tour des quatre fournisseurs d’accès à Internet français (Bouygues Telecom, Free, Orange et SFR) afin de voir quelle était leur politique de protection des emails. La dernière fois, c’était il y a un peu plus d’un an et Orange ne tenait toujours pas ses promesses.
Un peu plus d’un an plus tard, SPF est enfin activé, aussi bien sur les emails @wanadoo.fr et @orange.fr que nous avons testé. Par contre, DKIM et DMARC manquent toujours à l’appel.
Le FAI nous a pourtant annoncé à plusieurs reprises la mise en place de son projet « New MTA » avec SPF et DKIM (DMARC n’était pas au programme). Attendu pour fin 2020, puis au premier trimestre 2021, New MTA n’est visiblement toujours pas entièrement déployé, selon nos constatations.
Continuons avec Bouygues Telecom. Lors de nos derniers tests, seul SPF était implémenté… et rien n’a changé si l’on en croit un test réalisé ce matin depuis une adresse @bbox.fr. Il n’y a toujours pas de signature DKIM ni d’enregistrement DMARC.
Carton plein chez Free, DMARC manque chez SFR
Pas de changement chez Free avec SPF, DKIM et DMARC en service, mais tous les indicateurs étaient déjà au vert lors de nos précédentes campagnes de test. L’opérateur reste donc un bon élève sur la sécurité des emails de ses clients.
Rien ne change non plus chez SFR, qui reste plutôt un bon élève : les emails disposent d’un enregistrement SPF et sont bien signés via DKIM, mais DMARC manque encore et toujours à l’appel.
Voici un rapide résumé de la situation :
- Bouygues Telecom : SPF
- Free : SPF, DKIM et DMARC
- Orange : SPF
- SFR : SPF et DKIM
Vous pouvez tester vous-même votre messagerie via le site mail-tester.com. Le service est gratuit pour quelques tests, mais il faudra ensuite passer à la caisse (6 euros pour 20 tests par exemple).
