Dans le cadre de notre série d'articles sur la sécurité des messages électroniques, nous venons de recevoir des réponses des deux FAI, qui n'appliquent selon nos constatations que SPF pour les emails envoyés par leurs clients.
Pour rappel, cela consiste à publier une liste des serveurs pouvant envoyer un email pour le compte d'un domaine (ici @bbox.fr et @sfr.fr). Concernant DKIM (signature du message) et DMARC (politique à suivre et envoi de rapports), c'est plus compliqué.
Dans un premier temps, Bouygues Telecom nous a indiqué avoir « mis en place plusieurs solutions contre l'usurpation d'adresse email, le phishing et le spam et ce depuis l’été 2019. Les protocoles SPF, DMARC et DKIM ont notamment été déployés pour sécuriser la messagerie de nos clients ».
Des propos en contradiction avec nos observations. Après avoir demandé plus de détails, il nous a été précisé : « nous n’appliquons DMARC et DKIM que sur les messages reçus sur le domaine bbox.fr, en vérifiant les signatures et règles du domaine de l’expéditeur, pour protéger la messagerie de nos clients », mais pas pour les emails sortants.
Même son de cloche chez SFR, qui nous a précisé avoir « mis en place les déclarations SPF, les vérifications de signature DKIM et DMARC. [...] La déclaration SPF et les vérifications DKIM sont faites depuis mi-2013, DMARC est rentré en production début 2019 ». SPF est donc bien en place, mais DKIM et DMARC ne servent qu'à la vérification des emails entrants pour le domaine des clients (@sfr.fr).
Une façon de faire unilatérale et contre-productive, ces protocoles n'étant utiles que lorsqu'ils sont appliqués tant par l'expéditeur que le destinataire. En effet, si un client SFR envoie un email (non signé via DKIM) à un client Bouygues Telecom (ou inversement), le serveur mail de ce dernier aura beau être capable de vérifier la signature, il ne se passera rien puisqu'elle n'existe pas. Il en est de même pour DMARC.
Aucun des FAI n'a pu nous préciser quand cela pourrait changer. Sans doute selon l'avancement des travaux menés en concertation avec l'ANSSI sur la question.
