3 points par GN⁺ 2024-04-02 | 1 commentaires | Partager sur WhatsApp

Analyse approfondie de la délivrabilité des e-mails

  • En octobre 1971, Ray Tomlinson, diplômé du MIT, a envoyé le tout premier e-mail sur un réseau.
  • L’an dernier, environ 121 billions d’e-mails ont été échangés entre près de 4,3 milliards de personnes.
  • L’e-mail est la forme de communication écrite la plus importante sur Terre, et cela restera probablement vrai dans un avenir proche.

Aperçu

  • Le 3 octobre 2023, Google et Yahoo ont annoncé de nouvelles normes de sécurité des e-mails visant à empêcher le spam, le phishing et les tentatives de malware.
  • À mesure que les fournisseurs de services de messagerie appliquent ces politiques, le respect des directives de délivrabilité des e-mails devient indispensable.
  • Le plus grand changement est la mise en œuvre de standards d’authentification des e-mails comme SPF, DKIM et DMARC.
  • Dans le cas de Gmail, les e-mails non authentifiés sont bloqués.

Personnes concernées

  • Les expéditeurs en masse sont les principaux concernés et doivent activer SPF, DMARC et DKIM sur leurs domaines.
  • Même sans être un expéditeur en masse, on peut être affecté si l’on ne respecte pas les directives.

Calendrier

  • Google exige à partir de février 2024 que les expéditeurs en masse authentifient leurs e-mails.
  • Yahoo applique la même exigence à partir du premier trimestre 2024.

Directives

  • Authentification de l’expéditeur : mettre en œuvre des protocoles d’authentification des e-mails comme SPF, DKIM et DMARC.
  • Exigences pour les expéditeurs en masse : éviter les envois massifs d’e-mails inutiles afin d’échapper au filtrage anti-spam et à la dégradation de la réputation.
  • Désabonnement facile : mettre en place une option de désabonnement simple d’accès.
  • Engagement : éviter les objets trompeurs, la personnalisation excessive et les contenus promotionnels susceptibles de déclencher les filtres anti-spam.

Authentification de l’expéditeur

  • SPF, DKIM et DMARC sont trois standards d’authentification qui aident à protéger les e-mails d’une organisation.
  • Une configuration correcte de ces standards permet de se protéger contre les attaques et d’améliorer la délivrabilité, afin que les e-mails arrivent dans la boîte de réception plutôt que dans le dossier spam.

Impact

  • Google met continuellement à jour ses algorithmes et les données issues des signalements utilisateurs afin d’améliorer le filtrage des e-mails et l’expérience utilisateur.
  • Les nouvelles directives de sécurité mettent en lumière leur impact sur la délivrabilité des e-mails et l’engagement.

Outils

  • Fournit une liste de ressources gratuites en ligne pour aider à configurer, vérifier et maintenir l’hygiène des e-mails.

Mise en œuvre

  • La mise en œuvre de ces directives peut représenter un défi pour les petites organisations aux ressources limitées.
  • Pour mettre en place l’authentification des e-mails, il convient de consulter les ressources ou l’assistance du fournisseur de services.

Bonus

  • Présente plusieurs façons dont les hackers exploitent les vulnérabilités de la sécurité des e-mails.

L’avis de GN⁺

  • Cet article souligne l’importance de se conformer aux standards les plus récents en matière de sécurité des e-mails. Cela contribue à renforcer la fiabilité des communications par e-mail et à protéger les utilisateurs contre des menaces comme le spam ou le phishing.
  • À mesure que les fournisseurs de services de messagerie appliquent ces nouvelles normes de sécurité, les organisations doivent faire des efforts pour s’adapter à ces changements et s’y conformer. C’est d’autant plus important à une époque particulièrement sensible à la protection de la vie privée et à la sécurité des données.
  • Cet article peut être particulièrement utile aux entreprises qui exploitent des activités liées à l’e-mail marketing. Comme l’e-mail marketing reste un canal majeur pour de nombreuses entreprises, maintenir une bonne délivrabilité est essentiel pour réussir ses campagnes.
  • La mise en œuvre des standards d’authentification des e-mails peut constituer un défi technique, notamment pour les organisations qui découvrent pour la première fois des protocoles comme SPF, DKIM et DMARC. L’adoption de ces standards peut nécessiter un support technique et des ressources, donc du temps et des coûts.
  • En fournissant des directives et des outils utiles aux organisations souhaitant renforcer la sécurité de leurs e-mails, cet article peut aider à combler les vulnérabilités des systèmes de messagerie et à améliorer l’expérience utilisateur.

1 commentaires

 
GN⁺ 2024-04-02
Commentaires sur Hacker News
  • En voyant l’influence qu’ont des fournisseurs d’email comme « Gmail », « Outlook » et « Yahoo », je me suis toujours demandé s’il ne serait pas possible de provoquer un échec de délivrabilité ciblé via une autre forme d’attaque visant des entreprises
    Faire en sorte que la victime, en particulier une entreprise, une mailing list ou une ONG, envoie de gros volumes d’emails vers des adresses contrôlées par l’attaquant, puis que l’attaquant marque ces messages comme spam dans Gmail/Yahoo/Outlook
    Les filtres anti-spam par IA pourraient alors apprendre qu’il s’agit d’une nouvelle activité de spam, puis classer comme spam, voire supprimer avant livraison, les emails ensuite envoyés à de vrais clients
    Au bout d’un an, l’entreprise pourrait perdre de l’argent à chaque trimestre, l’équipe marketing s’étonner de la baisse de l’engagement email, et l’équipe technique se retrouver dans la confusion
    Une grande entreprise pourrait tenir le coup ou abandonner complètement l’email, mais une petite entreprise, une ONG ou une mailing list politique risquerait d’en souffrir, par exemple avec une baisse des dons
    Honnêtement, cela reste sans doute peu probable comme vecteur d’attaque, mais c’est une idée qui me trotte dans la tête depuis longtemps

    • Je connais une victime dont les modèles d’emails légitimes ont été purement et simplement volés par de vrais spammeurs
      Les spammeurs inséraient le modèle légitime de façon invisible dans l’email et ne laissaient visibles que quelques lignes de texte frauduleux
      L’idée était de faire passer le message à travers les filtres en donnant l’impression que l’essentiel de l’email était normal, puis, à force de signalements, c’est le modèle lui-même qui finissait par déclencher le blocage
      Les spammeurs passaient alors au modèle d’email de la victime suivante qui arrivait encore à franchir les filtres, et la première victime devait ensuite gérer le fait que ses emails n’arrivaient plus nulle part
    • J’y ai déjà pensé non pas sous l’angle d’une attaque contre une entreprise, mais sous celui des droits des consommateurs ou du boycott
      Après une expérience tellement mauvaise avec une grande entreprise obsédée par la maximisation de la valeur actionnariale, j’ai fouillé dans mes anciens emails et marqué toutes ses communications comme spam
      Ce n’est peut-être qu’une goutte d’eau, mais dans l’univers du spam, il n’est peut-être pas nécessaire d’avoir tant de votes que ça
      La délivrabilité des emails semble évoluer vers un modèle encore plus explicite de passage payant, et il est même possible qu’il existe déjà des accords en coulisses
    • C’est pour cela que la plupart des sites de commerce électronique envoient les emails marketing depuis un domaine distinct
      Même si ce domaine est signalé, les emails transactionnels peuvent continuer à partir du domaine principal
      Bien sûr, cela suppose que les deux serveurs de messagerie aient des IP différentes
    • Il y a sur un forum web que je connais une règle demandant de ne pas marquer comme spam les notifications email envoyées par le site
      On peut s’y désabonner depuis le site, mais ils demandent de ne pas les traiter comme du spam côté client de messagerie
      Pour une petite organisation, cela peut être un risque assez concret
      Je ne sais pas trop comment les grandes organisations atténuent cela
    • Je me demande si ce n’est pas justement quelque chose qu’on peut empêcher avec une politique DMARC
      Si les emails envoyés par l’attaquant échouent aux vérifications SPF/DKIM, on peut configurer une politique DMARC pour que Gmail ne livre même pas ces faux messages à la base
      Dans ce cas, une telle attaque ne fonctionnerait pas
  • Ce changement était nécessaire, et il arrive avec beaucoup trop de retard
    Si l’on exige des propriétaires de domaines qui envoient de gros volumes d’emails qu’ils signent correctement leurs messages, les destinataires peuvent distinguer plus clairement les bons des mauvais emails sur la base de la réputation du domaine plutôt que de la réputation de l’adresse IP
    À mesure que de plus en plus de domaines envoient des emails via l’espace IP partagé de services transactionnels et marketing, la capacité à rattacher de façon fiable la réputation au domaine expéditeur est très utile pour réduire les abus

    • La condition de « gros volume » n’est en fait pas vraie
      Google dit que les nouvelles exigences ne sont obligatoires qu’au-delà de 5 000 messages par jour, mais c’est faux
      Je n’envoyais au maximum que quelques messages par jour, et en général même pas un seul par jour depuis mon compte Gmail, et comme je n’avais mis en place qu’une partie des exigences, Google a commencé à rejeter mes messages
      J’ai fini par perdre du temps à implémenter aussi toutes les exigences quelque peu redondantes
    • En tant qu’administrateur système, je me demande quoi faire quand 5 % des emails finissent dans le spam à cause d’une mauvaise configuration du serveur mail Office365 du destinataire
      Dans l’ensemble, je suis d’accord pour dire que c’est un changement positif, mais c’est vraiment frustrant quand les emails atterrissent dans le dossier spam à cause d’une erreur de configuration côté destinataire
      Par exemple, il arrive que le SPF soit cassé pendant le transfert
    • Nous passons nous aussi progressivement à IPv6, et si l’on peut obtenir autant de nouvelles adresses IP qu’on le souhaite, la réputation fondée sur l’IP perdra en partie son utilité
      Si un expéditeur malveillant peut envoyer chaque email depuis une adresse IPv6 différente, il faudra peut-être par défaut ne faire confiance à aucune nouvelle adresse IPv6
    • D’accord, c’est un avantage clair
      C’est contraignant, mais j’espère que ce changement aidera à assainir l’écosystème de l’email
  • Le spam est impossible à distinguer d’un contenu malveillant
    Vous ne vous êtes jamais inscrit à cette « newsletter », votre adresse email a simplement été récupérée puis transmise à un acteur malveillant qui veut vous harceler
    Si vous cliquez sur quoi que ce soit, vous arriverez sur un site où l’entreprise possède vos informations et ne tient absolument pas compte de vos intérêts
    Dans le meilleur des cas, vous ne supprimerez qu’une source de déchets de votre boîte de réception ; dans le pire, vous cliquerez sur quelque chose qui installera un malware sur votre ordinateur
    Donc ne cliquez pas sur les liens de désinscription, utilisez le bouton de signalement de spam, et arrêtez d’utiliser les grands services de messagerie qui ignorent ces signalements
    Gmail laisse d’autres grandes entreprises vous spammer et ne vous donne même pas la possibilité de bloquer directement tout un domaine
    Tant que vous ne passerez pas à un fournisseur d’email qui prend vraiment au sérieux la vie privée et la sécurité, des contenus malveillants continueront d’arriver dans votre boîte de réception

    • Évaluation pertinente
      Je suis curieux de savoir quel fournisseur de service email vous utilisez
  • Il est surprenant qu’autant de grandes entreprises échouent encore au test de désabonnement en un clic
    Cloudflare ou Akamai bloquent la connexion, ou bien le chargement de la page prend plus de 5 secondes, ou encore il faut se connecter ou ressaisir son adresse e-mail
    Dans ces conditions, il ne faut pas s’étonner que les clients finissent par cliquer sur le bouton de signalement comme spam

    • Je ne me désabonne pas d’un e-mail auquel je n’ai jamais consenti
      Donc je le signale comme spam
    • J’utilise des listes de blocage publicitaire avec NextDNS, c’est en pratique un Pi-hole dans le cloud
      Le plus agaçant, c’est que les expéditeurs d’e-mails font du suivi de clics via des domaines bloqués par ces listes
      J’ai une instance de navigateur séparée pour copier-coller ce genre de liens, mais dans ce cas il faut encore se reconnecter
      Je préfère envoyer un e-mail de désabonnement plutôt que cliquer sur le lien, et Gmail peut automatiser cela
    • Je vais bien me désabonner, mais en 2024, les absurdités du genre « cela peut prendre jusqu’à 14 jours pour être pris en compte » ne sont plus acceptables
      Si je reçois encore des e-mails quelques jours plus tard, je les marquerai comme spam
      Si TripAdvisor est capable de créer des itinéraires de voyage générés par IA, il devrait aussi être capable de trouver comment ne pas me les envoyer par e-mail
    • Au fond, c’est simplement une compétition d’UI
      Le client choisit l’option la plus pratique, que ce soit se désabonner ou signaler comme spam
  • L’un des effets collatéraux des changements d’avril, c’est le transfert entre services e-mail
    Par exemple, si vous faisiez transférer l’adresse de votre ancienne université foo@school.edu vers votre compte Gmail personnel bar@gmail.com, cela ne fonctionnera plus
    Vu la pression exercée par les grands fournisseurs, c’est sans doute un cas d’usage relativement rare, mais pour les personnes concernées, le changement est assez pénible

    • Je ne comprends pas pourquoi cela ne fonctionnerait plus
      Lors d’un transfert, tant que le serveur de transfert ne modifie pas le contenu du message, la signature DKIM correspond toujours et cela devrait donc passer
    • Ce n’est pas nouveau
      SPF a toujours cassé les transferts qui ne modifient pas l’adresse d’expéditeur de l’enveloppe, et c’est normal et approprié
      Le transfert de mail reste possible, mais le serveur de transfert doit réécrire le return path
    • C’est quand même assez important : cela veut dire que le transfert d’e-mails ne fonctionne plus désormais ?
  • Il est étonnant que certains arrivaient encore à faire passer leurs e-mails sans que SPF, DKIM et DMARC soient configurés parfaitement
    J’exploite depuis des années un serveur e-mail personnel auto-hébergé bien configuré, et j’ai malgré tout parfois du mal à faire passer mes messages, même si cela semble s’améliorer petit à petit

    • Ce n’est pas parce que SPF, DKIM et DMARC sont configurés parfaitement que le serveur de réception les considérera comme tels
      Les serveurs Microsoft, en particulier, traitent souvent de façon aléatoire des configurations DKIM sans problème comme des échecs, sans raison apparente
    • Ce n’est pas seulement une question de configuration, la réputation compte aussi
      Si votre volume d’envoi est faible, vous risquez d’être rejeté simplement parce que vous n’êtes pas un expéditeur connu
    • Moi aussi, je me bats avec ce problème depuis des années
      Maintenant que les trois grands ont publié ce type de directives et rendu tout cela plus transparent, j’espère que le comportement sera plus cohérent
    • D’après mon expérience, DKIM n’était pas nécessaire, et dans les nouvelles directives de Google, cela ne reste pas obligatoire si l’on utilise SPF
    • Je trouve surprenant que les gens réduisent la délivrabilité e-mail à la configuration de SPF, DKIM et DMARC
      Les spammeurs peuvent faire exactement la même chose, car la barrière à l’entrée est faible
      C’est important, mais cela a en réalité très peu de rapport avec la délivrabilité dans le monde réel
  • Le plus difficile avec DMARC, c’est qu’il échoue souvent, surtout chez Microsoft
    Et il y a aussi des problèmes dans tous les cas où le destinataire transfère le message, car dans ce cas l’alignement SPF est cassé
    Comme je voulais suivre les bonnes pratiques, j’ai récemment changé p=quarantine en p=none
    J’avais peur que des e-mails légitimes échouent au contrôle DMARC alors même que DKIM et SPF étaient correctement configurés
    J’aimerais vraiment utiliser p=reject, mais je ne peux pas le faire tant que les serveurs de réception n’auront pas été corrigés pour gérer ces exceptions, comme la casse de DMARC provoquée par le transfert d’e-mails

    • Les expéditeurs qui veulent appliquer DMARC tout en permettant le transfert de leurs e-mails doivent utiliser DKIM
      Le transfert d’un message signé avec DKIM ne casse absolument pas DMARC
  • Le pire, c’est de recevoir un e-mail, le classer discrètement comme spam, puis l’envoyer dans un endroit où le destinataire visé ne le verra jamais
    Le Gmail de Google est celui qui fait cela de la manière la plus agressive
    L’e-mail d’entreprise n’est plus vraiment de l’e-mail : c’est un jardin clos et un silo, comme Facebook

    • Heureusement que ces murs existent
      Sinon, on se noierait sous le spam de prospection à froid
      Très franchement, j’ai abandonné l’idée d’exploiter et d’administrer mes propres serveurs et j’utilise Gmail pour toutes mes entreprises
      C’est tragique que ce soit devenu aussi difficile
      J’ai l’impression que, si ce n’est pas hébergé sur un Gmail Workspace correctement configuré, même un e-mail légitime n’a pratiquement aucune chance de passer
    • C’est vraiment agaçant
      Si j’ai bien compris, ils ne veulent pas donner aux spammeurs un signal indiquant si un message a été classé comme légitime ou comme spam
      J’aimerais savoir à quel point les spammeurs exploitent réellement ce genre d’information de manière intelligente
      La plupart des spams ressemblent plutôt à des tentatives massives menées sans tenir compte des retours d’échec
      Sur mon serveur de messagerie, je continue de rejeter temporairement les messages classés comme indésirables avec un message d’erreur standard
      Au moins, les expéditeurs légitimes mal classés reçoivent un DSN de retard puis, à la fin, un retour indiquant que le message n’a pas été reçu
      Beaucoup de serveurs et services de messagerie semblent considérer qu’il est plus important de ne pas envoyer de signal aux spammeurs que d’envoyer un signal utile aux utilisateurs légitimes mal classés
      Peut-être pensent-ils aussi que leur classification est si excellente qu’ils ne commettent jamais de faux positifs
    • Je ne dis pas que c’est juste, mais c’est efficace
      Du point de vue de l’utilisateur, les filtres anti-spam et promotions de Gmail sont fiables à plus de 99 %, avec très peu de faux positifs
    • Malheureusement, de nombreuses protections juridiques contre le spam non sollicité ne s’appliquent qu’aux usages grand public
      En B2B, tout marketeur qui connaît votre adresse e-mail semble avoir le droit de vous envoyer autant de messages qu’il le souhaite
      Sans ces murs, ce serait devenu totalement inutilisable
  • Ma VM personnelle s’est retrouvée sur une RBL, parce que tout l’espace d’adresses /24 a été mis sur liste noire
    Quelqu’un aurait envoyé du spam, et maintenant ma machine, qui envoie à peine trois e-mails par semaine, est aussi bloquée

    • Le problème, c’est que le fournisseur de VM attribue involontairement le même espace d’adresses à des spammeurs
      Le spammeur a peut-être utilisé une adresse arbitraire dans cette plage, ou quelqu’un a pu lancer un serveur SMTP mal configuré autorisant le relais
      De toute façon, faire tourner un serveur SMTP sortant sur une plage d’IP client a tendance à poser problème
      Ces plages peuvent être considérées comme suspectes dans leur ensemble, parce que les spammeurs les utilisent sans se soucier de leur réputation
    • Oui, c’est pénible
      On dirait que les opérateurs de listes de blocage vérifient mal les signalements d’abus, ou provoquent des dommages collatéraux pour pousser l’opérateur réseau à agir
      Se retrouver sur une liste de blocage est pénible, mais il est possible que l’effet net soit positif pour l’Internet dans son ensemble
      Je pense que les serveurs et services de messagerie utilisent mal les listes de blocage basées sur l’IP
      On peut les utiliser comme un signal parmi d’autres, et leur donner plus de poids pour un expéditeur inconnu
      Mais si un message authentifié par SPF/DKIM/DMARC et provenant d’une IP avec laquelle on échangeait déjà régulièrement se retrouve soudainement sur une liste de blocage, la réputation positive acquise auparavant devrait l’emporter sur ce blocage
      On devrait pouvoir continuer à communiquer avec des correspondants connus, et ne refuser les livraisons suivantes ou ne les classer en indésirable qu’après qu’ils ont eux-mêmes marqué le message comme spam
      Aujourd’hui, beaucoup de serveurs et services mail semblent appliquer les listes de blocage IP très tôt dans le processus SMTP pour réduire la charge système
      C’est bon pour la charge système, mais mauvais pour les performances d’analyse
      Globalement, même les grands services de webmail gratuits ne semblent pas très bons pour exploiter la réputation existante dans la distinction entre messages légitimes et spam
      Récemment, j’ai modifié un service web en ligne que j’ai créé pour passer à une inscription par e-mail, comme pour une mailing list, où l’on s’inscrit en envoyant un e-mail à une adresse précise
      L’idée, c’est que si l’utilisateur envoie un e-mail à mon service, j’entre dans sa liste de correspondants connus
      Dans ce cas, la réponse de confirmation alignée SPF/DKIM/DMARC envoyée par mon serveur mail devrait naturellement être acceptée
      Je me demande quel opt-in plus explicite il faudrait encore de plus
      En testant avec quelques grands webmails gratuits, Yahoo a même placé dans le dossier spam la réponse de confirmation qui faisait référence au message d’origine
      À ceux qui pensent qu’il est impossible de rivaliser avec les grands services de messagerie, je dirais que le niveau n’est pas aussi élevé qu’on l’imagine
    • Vraiment désolé
      Réparer sa réputation est presque un cauchemar, même quand tout se passe bien
      J’ai aussi vu la suggestion d’acheter un autre domaine pour y envoyer les e-mails afin de protéger le domaine principal, mais je n’ai pas très envie de faire ça
  • Dans l’article, il semble qu’il y ait confusion entre l’enveloppe (RFC5321) et les en-têtes (RFC5322)
    Il est écrit que « le nom de domaine dans le champ From: des en-têtes de l’enveloppe e-mail est vérifié et aligné avec d’autres domaines authentifiés par SPF ou DKIM », mais une enveloppe n’a pas d’en-têtes, et les en-têtes se trouvent dans le contenu/corps de l’e-mail
    La capture d’écran intitulée « exemple d’enveloppe e-mail d’une organisation qui passe toutes les recommandations de sécurité e-mail » montre elle aussi des en-têtes de mail, pas des informations d’enveloppe
    Il existe une bonne présentation de dmarc.org sur ce sujet
    https://dmarc.org/presentations/Email-Authentication-Basics-...