Analyse approfondie de la délivrabilité des e-mails
- En octobre 1971, Ray Tomlinson, diplômé du MIT, a envoyé le tout premier e-mail sur un réseau.
- L’an dernier, environ 121 billions d’e-mails ont été échangés entre près de 4,3 milliards de personnes.
- L’e-mail est la forme de communication écrite la plus importante sur Terre, et cela restera probablement vrai dans un avenir proche.
Aperçu
- Le 3 octobre 2023, Google et Yahoo ont annoncé de nouvelles normes de sécurité des e-mails visant à empêcher le spam, le phishing et les tentatives de malware.
- À mesure que les fournisseurs de services de messagerie appliquent ces politiques, le respect des directives de délivrabilité des e-mails devient indispensable.
- Le plus grand changement est la mise en œuvre de standards d’authentification des e-mails comme SPF, DKIM et DMARC.
- Dans le cas de Gmail, les e-mails non authentifiés sont bloqués.
Personnes concernées
- Les expéditeurs en masse sont les principaux concernés et doivent activer SPF, DMARC et DKIM sur leurs domaines.
- Même sans être un expéditeur en masse, on peut être affecté si l’on ne respecte pas les directives.
Calendrier
- Google exige à partir de février 2024 que les expéditeurs en masse authentifient leurs e-mails.
- Yahoo applique la même exigence à partir du premier trimestre 2024.
Directives
- Authentification de l’expéditeur : mettre en œuvre des protocoles d’authentification des e-mails comme SPF, DKIM et DMARC.
- Exigences pour les expéditeurs en masse : éviter les envois massifs d’e-mails inutiles afin d’échapper au filtrage anti-spam et à la dégradation de la réputation.
- Désabonnement facile : mettre en place une option de désabonnement simple d’accès.
- Engagement : éviter les objets trompeurs, la personnalisation excessive et les contenus promotionnels susceptibles de déclencher les filtres anti-spam.
Authentification de l’expéditeur
- SPF, DKIM et DMARC sont trois standards d’authentification qui aident à protéger les e-mails d’une organisation.
- Une configuration correcte de ces standards permet de se protéger contre les attaques et d’améliorer la délivrabilité, afin que les e-mails arrivent dans la boîte de réception plutôt que dans le dossier spam.
Impact
- Google met continuellement à jour ses algorithmes et les données issues des signalements utilisateurs afin d’améliorer le filtrage des e-mails et l’expérience utilisateur.
- Les nouvelles directives de sécurité mettent en lumière leur impact sur la délivrabilité des e-mails et l’engagement.
Outils
- Fournit une liste de ressources gratuites en ligne pour aider à configurer, vérifier et maintenir l’hygiène des e-mails.
Mise en œuvre
- La mise en œuvre de ces directives peut représenter un défi pour les petites organisations aux ressources limitées.
- Pour mettre en place l’authentification des e-mails, il convient de consulter les ressources ou l’assistance du fournisseur de services.
Bonus
- Présente plusieurs façons dont les hackers exploitent les vulnérabilités de la sécurité des e-mails.
L’avis de GN⁺
- Cet article souligne l’importance de se conformer aux standards les plus récents en matière de sécurité des e-mails. Cela contribue à renforcer la fiabilité des communications par e-mail et à protéger les utilisateurs contre des menaces comme le spam ou le phishing.
- À mesure que les fournisseurs de services de messagerie appliquent ces nouvelles normes de sécurité, les organisations doivent faire des efforts pour s’adapter à ces changements et s’y conformer. C’est d’autant plus important à une époque particulièrement sensible à la protection de la vie privée et à la sécurité des données.
- Cet article peut être particulièrement utile aux entreprises qui exploitent des activités liées à l’e-mail marketing. Comme l’e-mail marketing reste un canal majeur pour de nombreuses entreprises, maintenir une bonne délivrabilité est essentiel pour réussir ses campagnes.
- La mise en œuvre des standards d’authentification des e-mails peut constituer un défi technique, notamment pour les organisations qui découvrent pour la première fois des protocoles comme SPF, DKIM et DMARC. L’adoption de ces standards peut nécessiter un support technique et des ressources, donc du temps et des coûts.
- En fournissant des directives et des outils utiles aux organisations souhaitant renforcer la sécurité de leurs e-mails, cet article peut aider à combler les vulnérabilités des systèmes de messagerie et à améliorer l’expérience utilisateur.
1 commentaires
Commentaires sur Hacker News
En voyant l’influence qu’ont des fournisseurs d’email comme « Gmail », « Outlook » et « Yahoo », je me suis toujours demandé s’il ne serait pas possible de provoquer un échec de délivrabilité ciblé via une autre forme d’attaque visant des entreprises
Faire en sorte que la victime, en particulier une entreprise, une mailing list ou une ONG, envoie de gros volumes d’emails vers des adresses contrôlées par l’attaquant, puis que l’attaquant marque ces messages comme spam dans Gmail/Yahoo/Outlook
Les filtres anti-spam par IA pourraient alors apprendre qu’il s’agit d’une nouvelle activité de spam, puis classer comme spam, voire supprimer avant livraison, les emails ensuite envoyés à de vrais clients
Au bout d’un an, l’entreprise pourrait perdre de l’argent à chaque trimestre, l’équipe marketing s’étonner de la baisse de l’engagement email, et l’équipe technique se retrouver dans la confusion
Une grande entreprise pourrait tenir le coup ou abandonner complètement l’email, mais une petite entreprise, une ONG ou une mailing list politique risquerait d’en souffrir, par exemple avec une baisse des dons
Honnêtement, cela reste sans doute peu probable comme vecteur d’attaque, mais c’est une idée qui me trotte dans la tête depuis longtemps
Les spammeurs inséraient le modèle légitime de façon invisible dans l’email et ne laissaient visibles que quelques lignes de texte frauduleux
L’idée était de faire passer le message à travers les filtres en donnant l’impression que l’essentiel de l’email était normal, puis, à force de signalements, c’est le modèle lui-même qui finissait par déclencher le blocage
Les spammeurs passaient alors au modèle d’email de la victime suivante qui arrivait encore à franchir les filtres, et la première victime devait ensuite gérer le fait que ses emails n’arrivaient plus nulle part
Après une expérience tellement mauvaise avec une grande entreprise obsédée par la maximisation de la valeur actionnariale, j’ai fouillé dans mes anciens emails et marqué toutes ses communications comme spam
Ce n’est peut-être qu’une goutte d’eau, mais dans l’univers du spam, il n’est peut-être pas nécessaire d’avoir tant de votes que ça
La délivrabilité des emails semble évoluer vers un modèle encore plus explicite de passage payant, et il est même possible qu’il existe déjà des accords en coulisses
Même si ce domaine est signalé, les emails transactionnels peuvent continuer à partir du domaine principal
Bien sûr, cela suppose que les deux serveurs de messagerie aient des IP différentes
On peut s’y désabonner depuis le site, mais ils demandent de ne pas les traiter comme du spam côté client de messagerie
Pour une petite organisation, cela peut être un risque assez concret
Je ne sais pas trop comment les grandes organisations atténuent cela
Si les emails envoyés par l’attaquant échouent aux vérifications SPF/DKIM, on peut configurer une politique DMARC pour que Gmail ne livre même pas ces faux messages à la base
Dans ce cas, une telle attaque ne fonctionnerait pas
Ce changement était nécessaire, et il arrive avec beaucoup trop de retard
Si l’on exige des propriétaires de domaines qui envoient de gros volumes d’emails qu’ils signent correctement leurs messages, les destinataires peuvent distinguer plus clairement les bons des mauvais emails sur la base de la réputation du domaine plutôt que de la réputation de l’adresse IP
À mesure que de plus en plus de domaines envoient des emails via l’espace IP partagé de services transactionnels et marketing, la capacité à rattacher de façon fiable la réputation au domaine expéditeur est très utile pour réduire les abus
Google dit que les nouvelles exigences ne sont obligatoires qu’au-delà de 5 000 messages par jour, mais c’est faux
Je n’envoyais au maximum que quelques messages par jour, et en général même pas un seul par jour depuis mon compte Gmail, et comme je n’avais mis en place qu’une partie des exigences, Google a commencé à rejeter mes messages
J’ai fini par perdre du temps à implémenter aussi toutes les exigences quelque peu redondantes
Dans l’ensemble, je suis d’accord pour dire que c’est un changement positif, mais c’est vraiment frustrant quand les emails atterrissent dans le dossier spam à cause d’une erreur de configuration côté destinataire
Par exemple, il arrive que le SPF soit cassé pendant le transfert
Si un expéditeur malveillant peut envoyer chaque email depuis une adresse IPv6 différente, il faudra peut-être par défaut ne faire confiance à aucune nouvelle adresse IPv6
C’est contraignant, mais j’espère que ce changement aidera à assainir l’écosystème de l’email
Le spam est impossible à distinguer d’un contenu malveillant
Vous ne vous êtes jamais inscrit à cette « newsletter », votre adresse email a simplement été récupérée puis transmise à un acteur malveillant qui veut vous harceler
Si vous cliquez sur quoi que ce soit, vous arriverez sur un site où l’entreprise possède vos informations et ne tient absolument pas compte de vos intérêts
Dans le meilleur des cas, vous ne supprimerez qu’une source de déchets de votre boîte de réception ; dans le pire, vous cliquerez sur quelque chose qui installera un malware sur votre ordinateur
Donc ne cliquez pas sur les liens de désinscription, utilisez le bouton de signalement de spam, et arrêtez d’utiliser les grands services de messagerie qui ignorent ces signalements
Gmail laisse d’autres grandes entreprises vous spammer et ne vous donne même pas la possibilité de bloquer directement tout un domaine
Tant que vous ne passerez pas à un fournisseur d’email qui prend vraiment au sérieux la vie privée et la sécurité, des contenus malveillants continueront d’arriver dans votre boîte de réception
Je suis curieux de savoir quel fournisseur de service email vous utilisez
Il est surprenant qu’autant de grandes entreprises échouent encore au test de désabonnement en un clic
Cloudflare ou Akamai bloquent la connexion, ou bien le chargement de la page prend plus de 5 secondes, ou encore il faut se connecter ou ressaisir son adresse e-mail
Dans ces conditions, il ne faut pas s’étonner que les clients finissent par cliquer sur le bouton de signalement comme spam
Donc je le signale comme spam
Le plus agaçant, c’est que les expéditeurs d’e-mails font du suivi de clics via des domaines bloqués par ces listes
J’ai une instance de navigateur séparée pour copier-coller ce genre de liens, mais dans ce cas il faut encore se reconnecter
Je préfère envoyer un e-mail de désabonnement plutôt que cliquer sur le lien, et Gmail peut automatiser cela
Si je reçois encore des e-mails quelques jours plus tard, je les marquerai comme spam
Si TripAdvisor est capable de créer des itinéraires de voyage générés par IA, il devrait aussi être capable de trouver comment ne pas me les envoyer par e-mail
Le client choisit l’option la plus pratique, que ce soit se désabonner ou signaler comme spam
L’un des effets collatéraux des changements d’avril, c’est le transfert entre services e-mail
Par exemple, si vous faisiez transférer l’adresse de votre ancienne université foo@school.edu vers votre compte Gmail personnel bar@gmail.com, cela ne fonctionnera plus
Vu la pression exercée par les grands fournisseurs, c’est sans doute un cas d’usage relativement rare, mais pour les personnes concernées, le changement est assez pénible
Lors d’un transfert, tant que le serveur de transfert ne modifie pas le contenu du message, la signature DKIM correspond toujours et cela devrait donc passer
SPF a toujours cassé les transferts qui ne modifient pas l’adresse d’expéditeur de l’enveloppe, et c’est normal et approprié
Le transfert de mail reste possible, mais le serveur de transfert doit réécrire le return path
Il est étonnant que certains arrivaient encore à faire passer leurs e-mails sans que SPF, DKIM et DMARC soient configurés parfaitement
J’exploite depuis des années un serveur e-mail personnel auto-hébergé bien configuré, et j’ai malgré tout parfois du mal à faire passer mes messages, même si cela semble s’améliorer petit à petit
Les serveurs Microsoft, en particulier, traitent souvent de façon aléatoire des configurations DKIM sans problème comme des échecs, sans raison apparente
Si votre volume d’envoi est faible, vous risquez d’être rejeté simplement parce que vous n’êtes pas un expéditeur connu
Maintenant que les trois grands ont publié ce type de directives et rendu tout cela plus transparent, j’espère que le comportement sera plus cohérent
Les spammeurs peuvent faire exactement la même chose, car la barrière à l’entrée est faible
C’est important, mais cela a en réalité très peu de rapport avec la délivrabilité dans le monde réel
Le plus difficile avec DMARC, c’est qu’il échoue souvent, surtout chez Microsoft
Et il y a aussi des problèmes dans tous les cas où le destinataire transfère le message, car dans ce cas l’alignement SPF est cassé
Comme je voulais suivre les bonnes pratiques, j’ai récemment changé
p=quarantineenp=noneJ’avais peur que des e-mails légitimes échouent au contrôle DMARC alors même que DKIM et SPF étaient correctement configurés
J’aimerais vraiment utiliser
p=reject, mais je ne peux pas le faire tant que les serveurs de réception n’auront pas été corrigés pour gérer ces exceptions, comme la casse de DMARC provoquée par le transfert d’e-mailsLe transfert d’un message signé avec DKIM ne casse absolument pas DMARC
Le pire, c’est de recevoir un e-mail, le classer discrètement comme spam, puis l’envoyer dans un endroit où le destinataire visé ne le verra jamais
Le Gmail de Google est celui qui fait cela de la manière la plus agressive
L’e-mail d’entreprise n’est plus vraiment de l’e-mail : c’est un jardin clos et un silo, comme Facebook
Sinon, on se noierait sous le spam de prospection à froid
Très franchement, j’ai abandonné l’idée d’exploiter et d’administrer mes propres serveurs et j’utilise Gmail pour toutes mes entreprises
C’est tragique que ce soit devenu aussi difficile
J’ai l’impression que, si ce n’est pas hébergé sur un Gmail Workspace correctement configuré, même un e-mail légitime n’a pratiquement aucune chance de passer
Si j’ai bien compris, ils ne veulent pas donner aux spammeurs un signal indiquant si un message a été classé comme légitime ou comme spam
J’aimerais savoir à quel point les spammeurs exploitent réellement ce genre d’information de manière intelligente
La plupart des spams ressemblent plutôt à des tentatives massives menées sans tenir compte des retours d’échec
Sur mon serveur de messagerie, je continue de rejeter temporairement les messages classés comme indésirables avec un message d’erreur standard
Au moins, les expéditeurs légitimes mal classés reçoivent un DSN de retard puis, à la fin, un retour indiquant que le message n’a pas été reçu
Beaucoup de serveurs et services de messagerie semblent considérer qu’il est plus important de ne pas envoyer de signal aux spammeurs que d’envoyer un signal utile aux utilisateurs légitimes mal classés
Peut-être pensent-ils aussi que leur classification est si excellente qu’ils ne commettent jamais de faux positifs
Du point de vue de l’utilisateur, les filtres anti-spam et promotions de Gmail sont fiables à plus de 99 %, avec très peu de faux positifs
En B2B, tout marketeur qui connaît votre adresse e-mail semble avoir le droit de vous envoyer autant de messages qu’il le souhaite
Sans ces murs, ce serait devenu totalement inutilisable
Ma VM personnelle s’est retrouvée sur une RBL, parce que tout l’espace d’adresses /24 a été mis sur liste noire
Quelqu’un aurait envoyé du spam, et maintenant ma machine, qui envoie à peine trois e-mails par semaine, est aussi bloquée
Le spammeur a peut-être utilisé une adresse arbitraire dans cette plage, ou quelqu’un a pu lancer un serveur SMTP mal configuré autorisant le relais
De toute façon, faire tourner un serveur SMTP sortant sur une plage d’IP client a tendance à poser problème
Ces plages peuvent être considérées comme suspectes dans leur ensemble, parce que les spammeurs les utilisent sans se soucier de leur réputation
On dirait que les opérateurs de listes de blocage vérifient mal les signalements d’abus, ou provoquent des dommages collatéraux pour pousser l’opérateur réseau à agir
Se retrouver sur une liste de blocage est pénible, mais il est possible que l’effet net soit positif pour l’Internet dans son ensemble
Je pense que les serveurs et services de messagerie utilisent mal les listes de blocage basées sur l’IP
On peut les utiliser comme un signal parmi d’autres, et leur donner plus de poids pour un expéditeur inconnu
Mais si un message authentifié par SPF/DKIM/DMARC et provenant d’une IP avec laquelle on échangeait déjà régulièrement se retrouve soudainement sur une liste de blocage, la réputation positive acquise auparavant devrait l’emporter sur ce blocage
On devrait pouvoir continuer à communiquer avec des correspondants connus, et ne refuser les livraisons suivantes ou ne les classer en indésirable qu’après qu’ils ont eux-mêmes marqué le message comme spam
Aujourd’hui, beaucoup de serveurs et services mail semblent appliquer les listes de blocage IP très tôt dans le processus SMTP pour réduire la charge système
C’est bon pour la charge système, mais mauvais pour les performances d’analyse
Globalement, même les grands services de webmail gratuits ne semblent pas très bons pour exploiter la réputation existante dans la distinction entre messages légitimes et spam
Récemment, j’ai modifié un service web en ligne que j’ai créé pour passer à une inscription par e-mail, comme pour une mailing list, où l’on s’inscrit en envoyant un e-mail à une adresse précise
L’idée, c’est que si l’utilisateur envoie un e-mail à mon service, j’entre dans sa liste de correspondants connus
Dans ce cas, la réponse de confirmation alignée SPF/DKIM/DMARC envoyée par mon serveur mail devrait naturellement être acceptée
Je me demande quel opt-in plus explicite il faudrait encore de plus
En testant avec quelques grands webmails gratuits, Yahoo a même placé dans le dossier spam la réponse de confirmation qui faisait référence au message d’origine
À ceux qui pensent qu’il est impossible de rivaliser avec les grands services de messagerie, je dirais que le niveau n’est pas aussi élevé qu’on l’imagine
Réparer sa réputation est presque un cauchemar, même quand tout se passe bien
J’ai aussi vu la suggestion d’acheter un autre domaine pour y envoyer les e-mails afin de protéger le domaine principal, mais je n’ai pas très envie de faire ça
Dans l’article, il semble qu’il y ait confusion entre l’enveloppe (RFC5321) et les en-têtes (RFC5322)
Il est écrit que « le nom de domaine dans le champ From: des en-têtes de l’enveloppe e-mail est vérifié et aligné avec d’autres domaines authentifiés par SPF ou DKIM », mais une enveloppe n’a pas d’en-têtes, et les en-têtes se trouvent dans le contenu/corps de l’e-mail
La capture d’écran intitulée « exemple d’enveloppe e-mail d’une organisation qui passe toutes les recommandations de sécurité e-mail » montre elle aussi des en-têtes de mail, pas des informations d’enveloppe
Il existe une bonne présentation de dmarc.org sur ce sujet
https://dmarc.org/presentations/Email-Authentication-Basics-...