Les spammeurs exploitent mieux SPF, DKIM et DMARC

 (toad.social)
14 points par GN⁺ 2025-03-26 | 2 commentaires | Partager sur WhatsApp
  • Les méthodes d’authentification des e-mails comme DMARC, SPF et DKIM sont utilisées pour réduire le spam, mais en pratique ce sont les expéditeurs de spam qui les exploitent le mieux.
  • Ces méthodes d’authentification n’apportent généralement pas d’avantage particulier à la plupart des expéditeurs, et le rejet des e-mails fondé sur un échec d’authentification peut au contraire être nuisible.
  • Les spammeurs savent très bien acheter des domaines à bas prix pour faire passer l’authentification.

Problèmes de transfert d’e-mails et Gmail

  • Gmail exige des mécanismes d’authentification comme DMARC, ce qui peut poser des problèmes lors du transfert d’e-mails.
  • Lors d’un transfert d’e-mails, SPF peut être cassé, tandis que DKIM est préservé tant que le corps du message ou les en-têtes ne sont pas modifiés.
  • La fonction de récupération POP3 de Gmail est difficile à déclencher manuellement et son intervalle automatique est plutôt long.

Les limites de l’authentification des e-mails

  • L’authentification des e-mails empêche l’usurpation d’un domaine précis, mais ne bloque pas le spam utilisant des domaines ressemblants ou des fautes de frappe.
  • L’authentification est utile pour vérifier l’identité de l’expéditeur, mais elle est distincte de l’autorisation.
  • Les spammeurs peuvent définir des politiques d’authentification, ce qui peut jouer un certain rôle dans le contrôle du spam.

Lutte contre le spam et sécurité des e-mails

  • Diverses méthodes sont utilisées pour lutter contre le spam, mais il n’existe pas de solution parfaite.
  • Des services comme Spamhaus sont utiles pour bloquer le spam, mais des faux positifs peuvent se produire.
  • La sécurité des e-mails nécessite une gestion et des mises à jour continues.

À lire aussi

2 commentaires

 
GN⁺ 2025-03-26
Avis Hacker News

  • En tant que personne qui exploite son propre serveur mail, je constate en continu des tentatives d’envoi d’e-mails depuis des adresses IP russes en utilisant mon nom de domaine

    • Les personnes dont le métier consiste à envoyer des e-mails savent configurer correctement leur messagerie
    • Il est surprenant que tant d’administrateurs système n’arrivent pas à mettre en place correctement les réglages de base
    • Si je reçois un e-mail DMARC indiquant que des e-mails Sendgrid sont rejetés à cause d’une signature SPF incorrecte, je devrai demander au marketing s’il l’utilise légitimement
    • Les signatures automatiques ont une valeur limitée, mais les rejets fondés sur SPF et DKIM sont rarement des erreurs
    • La situation est peut-être pire dans les grandes organisations, mais sur un petit serveur de messagerie, un rejet technique est généralement la bonne décision
    • Les listes de diffusion sont une exception, mais ceux qui les utilisent peuvent trouver comment ajouter des exceptions

  • Même avec SPF, DKIM et DMARC correctement configurés, ainsi qu’un domaine avec un score de spam nul, je rencontre encore le problème des messages qui finissent dans le dossier spam

    • Pour qu’un e-mail soit accepté par Gmail, il faut une « réputation »
    • Si les e-mails vont directement dans le spam, il est difficile de comprendre comment bâtir cette réputation
    • Les e-mails de LinkedIn ne sont pas considérés comme du spam, et leurs dark patterns ne sont pas bloqués même lorsqu’ils vous ajoutent à une liste de diffusion

  • SPF/DKIM sont liés à la réputation du serveur mail

    • Cela profite surtout aux grands serveurs comme Google, Microsoft et Yahoo
    • Les tentatives anti-spam des grands fournisseurs nuisent aux petits fournisseurs
    • Il ne devrait pas être nécessaire de suivre la réputation des serveurs de messagerie, mais celle des expéditeurs
    • On devrait pouvoir traiter différemment les e-mails anonymes et ceux de personnes que l’on connaît réellement
    • À l’heure actuelle, il n’existe aucun moyen pour un expéditeur déjà connu de présenter en toute sécurité un expéditeur inconnu

  • SPF et DKIM n’arrêtent pas complètement le spam, mais DMARC est probablement inutile

    • Les spammeurs peuvent eux aussi lire ces standards, donc SPF/DKIM ne peuvent pas éliminer totalement le spam
    • Avant l’adoption de SPF/DKIM, je recevais beaucoup d’e-mails de phishing avec des adresses comme support@paypal.com
    • PayPal indique clairement les adresses IP autorisées via SPF, et les e-mails peuvent être vérifiés avec DKIM
    • Spamassassin réduit fortement le score de spam pour les e-mails avec un DKIM valide et provenant de paypal.com

  • Le but de SPF/DKIM/DMARC est de lier l’e-mail à un domaine afin d’empêcher l’usurpation

    • Il est naïf de penser qu’une simple authentification suffira à réduire le spam

  • Google est maladroit avec SPF et DKIM

    • Il y a quelques mois, j’ai essayé de répondre par e-mail à un message du bug tracker de Chromium, mais cela a échoué
    • L’e-mail n’a pas été traité au motif que la vérification SPF/DKIM avait échoué
    • Mon SPF et mon DKIM n’avaient pourtant aucun problème
    • L’outil recommandé pour configurer Google Workspace ne fonctionne pas correctement depuis longtemps
    • Le lien de retour ne fonctionne pas correctement non plus

  • J’exploite un serveur mail personnel, et la plupart des spams échouent aux vérifications SPF/DKIM

    • La proportion de spam qui les passe a augmenté ces dernières années
    • 90 à 95 % des e-mails attendus passent SPF/DKIM
    • J’applique des règles strictes sur les expéditeurs
    • J’ai publié mon adresse e-mail sur un site, mais je reçois très peu de spam

  • J’utilise un filtre anti-spam simple, basé sur des heuristiques

    • Je vérifie les e-mails envoyés, et je ne marque pas comme spam les messages dont l’expéditeur ou l’objet correspondent à ceux que j’ai moi-même envoyés
    • Les spams provenant de nouvelles adresses sont marqués comme non lus
    • Les e-mails comme les confirmations d’abonnement apparaissent en haut du dossier spam

  • J’ai migré ma messagerie vers Proton, et le processus d’ajout et de vérification des entrées DNS a été très simple

    • Au départ, cette étape me faisait peur, mais elle s’est révélée facile

  • Je pensais que la valeur de SPF, DKIM et DMARC venait du fait que la réputation se déplace d’un modèle fondé sur l’IP vers un modèle fondé sur le domaine

    • Je m’attendais à ce qu’en maintenant une bonne réputation de domaine et en configurant correctement SPF, DKIM et DMARC, il soit possible d’héberger un serveur SMTP sur n’importe quelle IP
    • Je me demande pourquoi cela ne fonctionne pas ainsi