Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Chez Bouygues Telecom et SFR, DKIM et DMARC ne concernent que les emails entrantsCrédits : oatawa/iStock

Dans le cadre de notre série d'articles sur la sécurité des messages électroniques, nous venons de recevoir des réponses des deux FAI, qui n'appliquent selon nos constatations que SPF pour les emails envoyés par leurs clients.

Pour rappel, cela consiste à publier une liste des serveurs pouvant envoyer un email pour le compte d'un domaine (ici @bbox.fr et @sfr.fr). Concernant DKIM (signature du message) et DMARC (politique à suivre et envoi de rapports), c'est plus compliqué.

Dans un premier temps, Bouygues Telecom nous a indiqué avoir « mis en place plusieurs solutions contre l'usurpation d'adresse email, le phishing et le spam et ce depuis l’été 2019. Les protocoles SPF, DMARC et DKIM ont notamment été déployés pour sécuriser la messagerie de nos clients ».

Des propos en contradiction avec nos observations. Après avoir demandé plus de détails, il nous a été précisé : « nous n’appliquons DMARC et DKIM que sur les messages reçus sur le domaine bbox.fr, en vérifiant les signatures et règles du domaine de l’expéditeur, pour protéger la messagerie de nos clients », mais pas pour les emails sortants.

Même son de cloche chez SFR, qui nous a précisé avoir « mis en place les déclarations  SPF, les vérifications de signature DKIM et DMARC. [...] La déclaration  SPF et les vérifications DKIM sont faites depuis mi-2013, DMARC est rentré en production début 2019 ». SPF est donc bien en place, mais DKIM et DMARC ne servent qu'à la vérification des emails entrants pour le domaine des clients (@sfr.fr).

Une façon de faire unilatérale et contre-productive, ces protocoles n'étant utiles que lorsqu'ils sont appliqués tant par l'expéditeur que le destinataire. En effet, si un client SFR envoie un email (non signé via DKIM) à un client Bouygues Telecom (ou inversement), le serveur mail de ce dernier aura beau être capable de vérifier la signature, il ne se passera rien puisqu'elle n'existe pas. Il en est de même pour DMARC.

Aucun des FAI n'a pu nous préciser quand cela pourrait changer. Sans doute selon l'avancement des travaux menés en concertation avec l'ANSSI sur la question. 

21 commentaires
Avatar de JD Abonné
Avatar de JDJD- 02/07/20 à 09:06:11

Là c'est du haut de niveau de bêtise...

Avatar de Cronycs Abonné
Avatar de CronycsCronycs- 02/07/20 à 09:34:24

Circulez... il n'y a rien à voir.

Avatar de Arona Abonné
Avatar de AronaArona- 02/07/20 à 10:03:14

Les boites emails des FAI sont des passoires...
Allez expliquer à des clients utilisant leur boite Orange qui ne fonctionne plus (avec nous en tout cas) car les serveurs Orange ont été blacklistés sur les listes internationales pour envoi de SPAM.
 

Avatar de Rhebian Abonné
Avatar de RhebianRhebian- 02/07/20 à 10:06:50

"On vérifie que les autres font bien le boulot, mais nous on ne le fait pas...."

Avatar de Grishkaone Abonné
Avatar de GrishkaoneGrishkaone- 02/07/20 à 10:22:22

Rhebian a écrit :

"On vérifie que les autres font bien le boulot, mais nous on ne le fait pas...."

:fr:

Avatar de Gamble INpactien
Avatar de GambleGamble- 02/07/20 à 10:36:40

C'est peut-être à vous d'expliquer aux clients pourquoi vous utilisez des listes qui blacklistent orange, non ?

A ne pas vouloir de spam, vous avez choisi d'avoir moins de clients.

Édité par Gamble le 02/07/2020 à 10:37
Avatar de Thoscellen Abonné
Avatar de ThoscellenThoscellen- 02/07/20 à 10:45:18

Il me semble qu'il n'y a gère le choix, non ?

Avatar de Norde Abonné
Avatar de NordeNorde- 02/07/20 à 10:51:45

En tout cas merci pour ce travail d'enquête NXi !

Le bilan des FAI est assez catastrophique :/

Avatar de traknar Abonné
Avatar de traknartraknar- 02/07/20 à 11:00:19

Appliquer DMARC sur les emails entrants est très important chez un fournisseur de mail grand public : ça protège leurs clients des emails usurpant le domaine de leur banque, des imports, de la CAF, de leur plateforme de commerce en ligne où leur carte bancaire est préenregistrée.

Bref, ça protège leur clients d'un très grand nombre d'arnaques qui peuvent leur faire perdre gros.

Après, quand ils reçoivent un mail de tatie-daniele@sfr.fr, ce n'est peut-être pas tatie Danièle qui leur parle. La belle affaire.

Avatar de Gamble INpactien
Avatar de GambleGamble- 02/07/20 à 11:10:24

Utiliser une liste antispam qui blackliste orange, c'est un choix. Sauf si on passe par un prestataire externe pour gérer le mail et que c'est lui qui décide, mais dans ce cas, ce n'est quand même pas très intelligent de bloquer le principal FAI français.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3