Journal Il a demandé à Free, il a rien compris

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
42
4
fév.
2013

Bonjour Nal,

Récemment un ami m'a demandé de l'aide, car son client mail affichait un message d'erreur inquiétant:

Vérification du certificat SSL pour imap.free.fr :
(…)
Signature : MAUVAIS

N'étant pas sur place, je lui ai demandé de faire appel au support de Free, leur réponse est assez étrange:

Nous vous informons qu'il n'est pas utilisé d'authentification SSL par défaut avec un logiciel de messagerie pour un compte mail FREE.

Si votre ordinateur dispose des outils de protection importants tels qu'antivirus et pare-feu, et que ceux-ci sont régulièrement mis à jour, alors cette authentification des mails n'est pas indispensable pour garantir la sécurité de vos correspondances.

Je n'ai pas bien compris ce que propose le support de Free pour protéger mes correspondances.

Dois-je installer OpenOffice?

  • # Rigolo

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 04 février 2013 à 11:21.

    Rigolo que la réponse soit à côté de la plaque.
    Quand on demande du SSL, c'est parce qu'on n'a pas confiance dans les intermédiaires. Ca n'a rien à voir avec sa machine.

    Après, je ne sais pas ce que tu as fait, mais je viens de tester, et tout en sécurisé (IMAP sur SSL trouvé par Thunderbird, SMPTE/SSL manuellement), je n'ai pas d'avertissement de sécurité, le certificat semble être bon (ou alors c'est moi qui vais m'inquiéter sur la sécurité de ma machine), et je ne suis pas sur le réseau de Free du tout. Donc pas de soucis.

    • [^] # Re: Rigolo

      Posté par  . Évalué à 10.

      Bon, et bien je peux confirmer qu'il est possible d'utiliser SSL pour l'IMAP (port 993 sur imap.free.fr) et pour le serveur SMTP (port 465 sur smtp.free.fr). Dans les deux cas, le certificat est le même : il s'agit d'un certificat "wild card" *.free.fr valide jusqu'au 23 mai 2013 et signé par GeoTrust (dont l'autorité racine semble bien présente dans les navigateurs).

      En revanche, il n'y a pas de possibilité d'utiliser TLS (STARTTLS) sur les port 93 (IMAP) ou 25/587 (SMPT/soumission) : c'est peut-être à cause de ça qu'il y a eu une erreur…

  • # Pareil chez Online.net

    Posté par  . Évalué à 0.

    En cherchant bien on peut appeler IMAP et le webmail avec SSL, mais pas leur serveur SMTP.

    Concrètement, ça veut dire qu'il n'est pas possible d'envoyer des emails avec un compte mail de chez Online sans risquer de compromettre son mot de passe de messagerie.

    BeOS le faisait il y a 20 ans !

    • [^] # Re: Pareil chez Online.net

      Posté par  (site web personnel) . Évalué à 6.

      mais pas leur serveur SMTP.

      Euh… J'ai testé smpt.free.fr port 465 SSL/TLS ave mot de passe "normal" ou "chiffré" (sans mot de passe, ça ne marhce pas et c'et normal) et ça a l'air de marcher. STARTTLS ne marche pas par contre.

    • [^] # Re: Pareil chez Online.net

      Posté par  (site web personnel) . Évalué à 4.

      Concrètement, ça veut dire qu'il n'est pas possible d'envoyer des emails avec un compte mail de chez Online sans risquer de compromettre son mot de passe de messagerie.

      SSL fonctionne.
      Tu peux utiliser ce que tu veux comme smtp, y compris le tiens.

      • [^] # Re: Pareil chez Online.net

        Posté par  . Évalué à -1.

        La doc indique que SSL ne fonctionne pas. C'est une erreur de doc ? ( http://documentation.online.net/fr/hebergement-mutualise/gestion-email/envoi-emails )

        Sinon effectivement, je pourrais aussi utiliser un autre serveur SMTP, mais ça dégraderait les scores de SPAM de mes emails non ?

        BeOS le faisait il y a 20 ans !

        • [^] # Re: Pareil chez Online.net

          Posté par  (site web personnel) . Évalué à 4.

          Sinon effectivement, je pourrais aussi utiliser un autre serveur SMTP, mais ça dégraderait les scores de SPAM de mes emails non ?

          Pourquoi ?

          • [^] # Re: Pareil chez Online.net

            Posté par  . Évalué à 4.

            Parce que tu es nécessairement non authentifié comme expéditeur du mail ? On voit ca maintenant sur gmail, les emails d'utilisateurs gmail qui viennent d'un autre smtp que celui de gmail sont affichés comme possible usurpateur. Et de fait, un type qui envoie du mail a partir d'un @gmail.com sur smtp.free.fr n'a pas eu a rentrer son mot de passe.

            Ca m'étonnerait pas que Google dégrade le score de ces mails la.

            • [^] # Re: Pareil chez Online.net

              Posté par  (site web personnel) . Évalué à 3.

              On Mon, Feb 04, 2013 at 05:14:17PM +0100, flagos wrote:

              Parce que tu es nécessairement non authentifié comme expéditeur du mail ?

              Depuis quand c'est au smtp du destinataire d'authentifier l'expediteur ? N'est ce pas plutot le rôle de la signature du mail ?

              On voit ca maintenant sur gmail, les emails d'utilisateurs gmail qui viennent d'un autre smtp que celui de gmail sont affichés comme possible usurpateur.

              Eventuellement d'accord que gmail authentifie ses utilisateurs mais de la à degrader quand c'est un @foo qui envoi chez eux je ne vois pas…

              • [^] # Re: Pareil chez Online.net

                Posté par  . Évalué à 5.

                Depuis quand c'est au smtp du destinataire d'authentifier l'expediteur ? N'est ce pas plutot le rôle de la signature du mail ?

                Depuis que de nombreux smtp supportent l'authentification. C'est quand même une bonne pratique pour un smtp d'éviter de relayer de tout et n'importe quoi, quand bien même c'est issu de son réseau.

                Eventuellement d'accord que gmail authentifie ses utilisateurs mais de la à degrader quand c'est un @foo qui envoi chez eux je ne vois pas…

                J'y connais pas grand chose, il est fort probable que je dise une grosse connerie: ce n'est pas précisement le but du reverse dns ? Vérifier que le smtp qui envoit le mail est celui du nom de domaine ?

                • [^] # Re: Pareil chez Online.net

                  Posté par  (site web personnel) . Évalué à 2.

                  Depuis que de nombreux smtp supportent l'authentification. C'est quand même une bonne pratique pour un smtp d'éviter de relayer de tout et n'importe quoi, quand bien même c'est issu de son réseau.

                  Que le smtp ne relaie pas n'importe quoi est une bonne idée pour ne pas qu'il se fasse bloquer, mais le smtp de destination ne connais et n'a pas à connaitre la politique d'authentification du smtp emmeteur.
                  Si j'envoie un mail avec un from: @foob.ar depuis un smtp qui a comme reverse dns toto.com parce que je n'ai pas la main sur le reverse dns ou autre, en quoi ça veut dire que je ne suis pas un utilisateur legitime ? De plus je peux etre authentifié sur smtp.toto.com et ne jamais relayer de spam.

                  Le seul certificat de mon identité c'est une eventuelle signature cryptographique du mail.

                  J'y connais pas grand chose, il est fort probable que je dise une grosse connerie: ce n'est pas précisement le but du reverse dns ? Vérifier que le smtp qui envoit le mail est celui du nom de domaine ?

                  C'est une pratique courante mais pas obligatoire, de la meme maniere que certains destinataire refusent les ip domestique, c'est problematique.

                  • [^] # Re: Pareil chez Online.net

                    Posté par  . Évalué à 3.

                    Si j'envoie un mail avec un from: @foob.ar depuis un smtp qui a comme reverse dns toto.com parce que je n'ai pas la main sur le reverse dns ou autre, en quoi ça veut dire que je ne suis pas un utilisateur legitime ?

                    Je suis d'accord que ca ne suffit pas. C'est pour ca que ca me parait logique que ca aurait tendance a baisser tes points de spam: quand tu en as trop perdu, tu passes dans l'autre coté du filtre.

                    Tu te fais filtrer en spam sur une série de critères, et clairement cette habitude de passer par un smtp où tu n'es pas authentifié est quelque chose que tu as en commun avec les 90% des spams de la planète (évalution méthode Zénitram).

                    • [^] # Re: Pareil chez Online.net

                      Posté par  (site web personnel) . Évalué à 2.

                      On Mon, Feb 04, 2013 at 06:32:41PM +0100, flagos wrote:

                      et clairement cette habitude de passer par un smtp où tu n'es pas authentifié est quelque chose

                      Comment le destinataire peux savoir que je ne suis pas authentifié dessus ? Je peux n'ecouter que sur 127.0.0.1, utiliser un certificat, un vpn ou une methode d'authenfication maison, le destinataire n'en sais rien, comme la concierge du destinataire qui met le courrier dans les BAL ne sais pas si je me suis authentifié à la poste francaise ou si mon colis à transité par des postes etrangeres.

                      • [^] # Re: Pareil chez Online.net

                        Posté par  (site web personnel) . Évalué à 7.

                        Tu fais comme tu veux.
                        Mais si tu t'amuses avec ton SMTP de chez toi alors que free a une entrée SPF, j'avoue que je n'aurai aucun remord à te mettre en "SMTP sans doute de spammeur" car 99% (comment ça on balance 90% comme méthode Zenitram? Je le prend mal ;-) ) des mails de ce type son des spams.

                        Les SMTP partout où on a envie, c'est bien mignon mais c'était pour quand il y avait que des "gentils" sur Internet. Et puis, après, tu peux faire ça, mais alors pas avec un mail Free, tu prend ton domaine et tu t'amuses avec tes zones DNS.

                        • [^] # Re: Pareil chez Online.net

                          Posté par  . Évalué à 2.

                          Mais si tu t'amuses avec ton SMTP de chez toi alors que free a une entrée SPF, j'avoue que je n'aurai aucun remord à te mettre en "SMTP sans doute de spammeur"

                          En l’occurence, il semble que free.fr n’a pas d’entrée SPF (ni de SenderID), donc le fait qu’un mail de free.fr ne vienne pas des serveurs de free.fr ne peut pas motiver une « présomption de spam ».

                          • [^] # Re: Pareil chez Online.net

                            Posté par  . Évalué à 2.

                            Sauf que ce n'est généralement pas le seul critère utilisé par les filtres antispam qui vont généralement attribuer une note (ou % de probabilité de SPAM) en fonction de différents critères.

                            Il y aura donc de grandes chances, par exemple, qu'une connexion ADSL soit sur une liste d'adresse IP de type "dial-up*" et donc de te retrouver marqué avec une forte probabilité de SPAM si ton email n'est carrément pas directement rejeté.

                            Au exemple, certains filtres "poussés" vont vérifier que le reverse DNS de la connexion correspond au @domaine qui essaye d'envoyer.

                            (*: je ne suis plus certain du terme, mais en gros c'est pour indiquer que c'est une des IP utilisée par un FAI et attribué à un client lambda à un instant t, pour un court terme)

                            • [^] # Re: Pareil chez Online.net

                              Posté par  . Évalué à -2. Dernière modification le 05 février 2013 à 22:14.

                              Tiens, une astérisque qui ne renvoi à rien. Était-ce volontaire ?

                              Well…

                              Non c'est pas dial-up le terme que tu cherches mais attribution d'adresse temporaire.

            • [^] # Re: Pareil chez Online.net

              Posté par  (site web personnel) . Évalué à 2.

              les emails d'utilisateurs gmail qui viennent d'un autre smtp que celui de gmail sont affichés comme possible usurpateur.

              C'est sûrement en rapport avec le fait que gmail.com utilise des politiques SPF et DKIM (ce qui n'est pas le cas de online.net, visiblement).

  • # Pour d'autres correspondances du même acabit

    Posté par  . Évalué à 7.

    http://www.pebkac.fr/ !

    Please do not feed the trolls

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.