Anti-spam : adoptons SPF maintenant !

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
18
fév.
2004
Internet
En début de mois, en lisant la dépêche "La Commission Européenne déclare la guerre au spam", j'ai vu une référence, une seule, au procédé SPF (Sender Permitted From, renommé Sender Policy Framework) qui mérite à mon avis qu'on s'y intéresse plus, et vite !

Ce procédé qui consiste simplement à déclarer dans votre zone DNS (exemple linuxfr.org) quelles machines sont susceptibles d'envoyer un mail en votre nom (From: untel@linuxfr.org) permettrait de combler la lacune de SMTP qui permet à tout spammeur de se faire passer pour qui que ce soit (vous, moi ou votre voisin). SPF me semble le moyen le plus prometteur de lutter contre le spam car :
- il est simple, ce qui le distingue des solutions de Microsoft et Yahoo
- il est compatible avec le DNS existant (ça marche déja à titre de test "in vivo")
- il se marie très bien avec une solution de type Bayesien (il peut influer sur le calcul de la "spamicité")
- il n'est pas la panacée mais compliquerait sérieusement la tâche aux spammeurs en les poussant vers des "domaines poubelles"

Son promoteur parie sur une adoption volontaire et progressive, de la part des ISPs qui ne veulent plus qu'on spamme "en leur nom"... il est d'ailleurs intéressant de noter que des acteurs aussi divers que AOL, Mail.com, le GNU.org ou le W3C ont déja adopté ce procédé, ainsi que des milliers d'autres.

Aller plus loin

  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  . Évalué à 4.

    A lire avant d'adopter toute solution miracle :

    http://www.rhyolite.com/anti-spam/you-might-be.html(...)

    SPF tombe parfaitement dans :

    * Spammers won't ignore, subvert, or exploit the FUSSP if you publish it as an RFC.

    * The FUSSP won't be effective until it has been deployed at more than 60% of SMTP servers and that's not a problem.

    Bref, SPF peut limiter le nombre de spammers qui se font passer pour vous, mais n'a strictement aucune efficacité sur le nombre de spam que vous recevrez ...
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 7.

      Pour limiter la réception, on peut commencer par limiter l'émission...
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 0.

      tu pourrais peut etre nous dire ce que veut dire "FUSSIP"...
    • [^] # je n'ai pas parlé de FUSSP !

      Posté par  . Évalué à 5.

      c'est très clair : c'est juste le moyen qu'on écrive pas des mail en mon nom !

      c'est juste une manière de limiter le "spoofing" (usurpation) d'adresse.

      mais l'avantage de celle-ci c'est qu'elle est simple et efficace. pas besoin de crypto, pas besoin de nouveau protocole, etc...
      • [^] # Re: je n'ai pas parlé de FUSSP !

        Posté par  . Évalué à -1.

        c'est juste une manière de limiter le "spoofing" (usurpation) d'adresse.

        Voila.

        Ça n'a rien à voir avec le spam.
        • [^] # Re: je n'ai pas parlé de FUSSP !

          Posté par  . Évalué à 5.

          ben le spam fait très souvent du spoofing d'adresses...

          pour moi ça a qquech à voir avec :)
          • [^] # Re: je n'ai pas parlé de FUSSP !

            Posté par  . Évalué à 2.

            le spam fait très souvent du spoofing d'adresses...

            Mais pas forcément ...

            Quand le SPF sera en service partout, les spammeurs utiliseront des adresses avec un joli SPF renseigné dans le DNS 2 heures plus tôt et on aura pas avancé d'un iota dans la lutte conte le spam.
            • [^] # Re: je n'ai pas parlé de FUSSP !

              Posté par  (site web personnel) . Évalué à 4.

              Si.

              L'intérêt, c'est de pouvoir avoir une whitelist fiable pour ton logiciel de tri de spam.

              J'ai beaucoup de correspondants avec une adresse @imag.fr, et j'ai *@imag.fr dans ma whitelist spamassassin. Résultat, je recois des spams avec usurpation de l'adresse admin@imag.fr, et ils passent àu travers.
        • [^] # Re: je n'ai pas parlé de FUSSP !

          Posté par  (site web personnel) . Évalué à 1.

          Par contre, ça peut lutter contre une certaine forme de la propagation des virus, basé sur la confiance en l'expéditeur supposé. Et aussi de recevoir des centaines de messages de serveur disant que l'adresse à laquelle vous avez écrit n'existe pas (alors que vous n'avez rien écrit).
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 0.

      D'autant plus qu'il existe déjà un moyen dans le DNS de
      faire à peu prés la même chose: utiliser le MX pour vérifier
      si le serveur émetteur est bien un MX pour le domaine.

      Or si vous mettez ça en place, vous allez facilement éliminer
      50% de messages valides tout simplement parce que les
      champs ne sont pas renseignés.

      Par exemple, il *faudrait* (je crois que c'est un SHOULD dans
      un RFC) que les serveurs SMTP soient aussi enregistrés dans
      le champ IN-ARPA.NET du DNS, celui qui permet de retrouver le
      nom du serveur a partir de l'adresse IP. Il est possible de rejeter
      les serveurs mal configurés, c'est à dire ceux dont il est impossible
      de retrouver le nom.

      Et la c'est probablement 80% des messages qui vont gicler.....

      Conclusion: batir une stratégie de combat contre les SPAMs sur
      la bonne volonté et/ou la bonne connaissance des admins (de
      *tous* les admins potentiels) sur Internet est plus qu'illusoire.

      Joel Saunier
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 1.

        Un serveur d'envois n'est pas obligatoirement un serveur de reception. Et justement, c'est le cas chez les isp.
        • [^] # Re: Anti-spam : adoptons SPF maintenant !

          Posté par  . Évalué à 1.

          > Un serveur d'envois n'est pas obligatoirement un serveur de
          > reception. Et justement, c'est le cas chez les isp.

          Oui, mais rien n'aurait empêcher de déclarer les serveurs d'envois
          en MX avec un poid très faible (euh non, très fort), voir même de
          refuser les connections entrantes dessus, et utiliser les RFCs déjà
          existants pour mettre en place ce type de protection. Or ce n'est
          pas le cas. Juste pour dire que SPF simplifie peut être ce qu'il
          est déjà possible de faire, mais n'apporte apparement rien de
          plus!

          De plus, il faut quand même se rappeler qu'il n'y a pas que des
          ISPs sur Internet, il y a aussi beaucoup d'entreprises connectées
          en direct.

          Tiens justement, comment fait-on avec SPF pour tester les MX
          backups des ISPs et autres ? Supposons que j'ai un MX backup
          chez quelqu'un qui me fournit aussi la connection Internet, mais
          pas le relais SMTP. Si celui-ci (chez moi) tombe, le MX backup de
          *mon* domaine va récupérer *tous* les messages. Quand je
          relance mon serveur, le backup va m'envoyer tous les messages
          sans être bien sûr déclarer dans le SPF des émetteurs. Comment
          je vérifie ? En faisant juste confiance au MX backup ?

          Conclusion: c'est bien, c'est mieux que l'existant équivalent, mais
          comme ce n'est pas un saut significatif en avant, ça va pas être
          suffisament utilisé, hélas!

          Joël
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  (site web personnel) . Évalué à 1.

        La RFC 2821[1] précise MX ou A.

        Mais ne t'inquiète pas: des FAIs peu scrupuleux tels que Wanadoo n'ont pas hésité à imposer une telle vérification allant au-delà des préconisations de la RFC.
        En effet, ils vérifient uniquement si tu as un MX, point.

        [1]: http://rfc.net/rfc2821.html(...)
        --
        Raphaël SurcouF
        • [^] # rectification :

          Posté par  . Évalué à 1.

          En effet, ils vérifient uniquement si tu as un MX, point.

          Ils ont vérifié... pendant quelques jours !

          voyant que ça posait plus de problèmes que ça n'apportait de solutions, ils ont fait marche arrière.

          c'est là que SPF se distingue : au lieu de tenter l'incompatibilité de front avec le reste de l'Internet, ce procédé se lance en douceur... (il n'y a qu'à voir les stats d'adoption qui grimpent à un bon petit rythme)
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  (site web personnel) . Évalué à 5.

    AOL l'utilise déjà, d'ailleurs. (moi aussi, mais l'impact est moindre ;-))

    Le principal reproche que les gens font à SPF, en général, est que ça interdit d'envoyer des mails avec son adresse perso de n'importe où.
    Pour adresser ce problème, les créateurs de SPF préconisent d'installer un accès SMTP authentifié (le problème se déporte alors sur les admins tâches qui firewallent le port ssmtp en sortie) et/ou webmail.
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  (site web personnel) . Évalué à 0.

      non, aol ne l'utilise pas "deja"
      AOL l'active de temps en temps. pour etre precis ils l'ont utilisé deux fois 1 jour le mois passé.
      • [^] # si, AOL l'a déja mis en place

        Posté par  . Évalué à 7.

        dig aol.com txt | grep spf

        aol.com. 296 IN TXT "v=spf1 ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/24 ip4:205.188.157.0/24 ip4:205.188.159.0/24 ip4:64.12.136.0/24 ip4:64.12.137.0/24 ip4:64.12.138.0/24 ptr:mx.aol.com ?all"

        traduction : si vous recevez un mail "From: untel@aol.com" qui provient d'une de ces adresses, AOL vous garantit que c'est bien un mail d'un abonné AOL.

        en revanche, dans le cas d'une autre IP, rien n'est sûr... à vous de voir !
        soit vous ignorez l'avertissement (et vous passez la main à votre "Junk filter")
        soit vous augmentez la spamicité dans vos filtres
        soit vous mettez le mail en quarantaine
        etc.

        bien entendu, tout ça est encore au stade de prototype, ce qui veut dire qu'il reste à implémenter ça dans les logiciels de lecture de courrier et/ou les filtres type bogofilter et/ou dans les serveurs SMTP.
        • [^] # Re: si, AOL l'a déja mis en place

          Posté par  . Évalué à 4.

          Oui mais coté user ça signifie que pour poster un mail avec son adresse aol faut être sur un pc connecté au net via aol.

          Par exemple mes parents ont une adresse mail chez free (parce que c'est leur ancien provider) mais maintena ils ont changés de FAI. Il utilisent donc la passerelle SMTP de leur nouveau FAI.
          Donc si free fait ça, leurs mails vont avoir un fort coef de spamicité. Completement crétin.
          C'est pareil avec les adresses @laposte.net.
          Je poste from laposte.net en passant par un SMTP de wanadoo. Tout ce qui vient laposte.net est deja considéré louche par bcp, avec ça mes destinataires ne risqueraient plus de recevoir grand chose.
          • [^] # Re: si, AOL l'a déja mis en place

            Posté par  . Évalué à 1.

            je ne connais pas bien AOL mais je suppose qu'on peut utiliser leurs serveurs SMTP en s'identifiant dessus, non ?

            si c'est le cas tu devrais pouvoir écrire via leurs serveurs de mail quelle que soit ta connection.
            et là ton mail avec un "From: ....@aol.com" sera "certifié" SPF.
            • [^] # Re: si, AOL l'a déja mis en place

              Posté par  . Évalué à 1.

              oui mais on a pas toujours envie d'écrire avec une adresse de son FAI dans le champ from... C'est ça le problème.
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  . Évalué à 7.

    C'est pas une bonne idée. Dans mon cas, ça me compliquerais la vie.
    Un de mes cousins gére le domaine nom_de_famille.org et à un server mail quelques part. Du coup, beaucoup de personnes dans la famille on une adresse mail prenom@nom.org, pour certains c'est un alias, pour d'autre un boite au lettre. Mais le smtp de nom.org ne permet pas que l'on envoie des mails, sinon les spammer feront du FROM trucmuche@nom.org. Je vois mal mon cousins rajouter toutes les adresse wanadoo, free et autre ISP pour que l'on puisse se servir encore de nos adresse.

    Par contre pour les ISP, c'est super interressant comme solution, ça empeche que l'on se servent d'adresse autre que celle qu'ils nous fournissent, du coup, on se retrouve bloquer chez eux. Idem pour les mail type yahoo, hotmail, etc... On sera obligé de passer par leur webmail.

    Une solution beaucoup plus efficace dans un premier temps est de mettre la verification du HELO obligatoire. C'est fous ce qu'ils sont fantaisistes les spammeurs avec les HELO.
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  (site web personnel) . Évalué à 4.

      d'où la nécessité d'installer un smtp authentifié.
      Pour le HELO, c'est clair. je droppe environ 60 mails/jour avec des
      HELO localhost
      HELO 127.0.0.1
      HELO colino.net [mon domaine...]
      HELO 62.212.100.143 [mon ip...]
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 5.

        Qu'est-ce que c'est un HELO ?

        BeOS le faisait il y a 20 ans !

        • [^] #

          Posté par  (site web personnel) . Évalué à 5.

          C'est quand on dit bonjour au serveur, et qu'on se présente.
          On est censé donner le hostname de la machine qui envoie le mail.
          Ici on propose de virer les mails dont le nom passé par HELO n'existe pas, parce que les spammeurs utilisent souvent n'importe quoi ici.
          • [^] # Re: Anti-spam : adoptons SPF maintenant !

            Posté par  . Évalué à 2.

            Je suis d'accord sur le fond ... mais ta méthode ne fonctionnera qu'un temps ... quand les spammeurs se rendront compte qu'il faut utiliser un HELO valide ... ils le feront systématiquement au lien d'envoyer n'importe quoi ...
            • [^] # Re: Anti-spam : adoptons SPF maintenant !

              Posté par  (site web personnel) . Évalué à 1.

              Ben, la lutte contre le spam c'est ça... une courses aux armes. Tu es débarrassé du problème tant que ton filtre a une longeur d'avance, tu re-prends dans la mailbox quand les spammeurs rattrapent...
              Ad vitam eternam j'en ai peur (avec ce protocole du moins).
              • [^] # Re: Anti-spam : adoptons SPF maintenant !

                Posté par  . Évalué à 1.

                La méthode que tu proposes est une perte de temps. Ce qu'il faut, c'est des moyens plus intelligents, dont l'efficacité ne repose pas uniquement sur l'effet surprise.
                • [^] # Re: Anti-spam : adoptons SPF maintenant !

                  Posté par  (site web personnel) . Évalué à 1.

                  Je dirais même plus, ça serait bien que quelqu'un trouve une bonne méthode facile à installer et très efficace ;-). Mais bon, en attendant j'utilise la vérif par le HELO, ça prend 15 minutes à installer et ça marche.
                  • [^] # Re: Anti-spam : adoptons SPF maintenant !

                    Posté par  . Évalué à 1.

                    "ça prend 15 minutes à installer et ça marche"

                    Et ca va completement à l'encontre des RFCs.

                    Super les rois de l'interop de la liberté et du respect des "stds".

                    héhé
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 1.

        D'ailleurs, je ne comprends pas l'interet du helo.

        Ce champ pourrait être rempli automatiquement
        avec l'adresse IP de l'envoyeur.

        C'est dans le cas ou on passe derriere NAT ?

        Y a t'il des solutions existantes permettant de controler
        le helo ?

        Je veux dire, verifier que le "helo" envoyé n'est pas sans rapport
        avec l'adresse d'envoi (mais pas forcement identique ?).
    • [^] # Re: Anti-spam : N'adoptons PAS SPF maintenant !

      Posté par  (site web personnel) . Évalué à 4.

      Autre exemple pour lequel ce n'est pas une bonne idée:

      Je veux écrire sur une liste intéressante mais mal administrée (il y en a!) dont les archives sont sur le web avec les adresses des expéditeurs intactes.
      J'ai une adresse pour ce genre de chose chez _mon_ fai pour ça, mais je suis justement chez des amis qui sont chez autre_fai, qui utilise spf.
      Résultat: je ne peux pas poster en mettant mon adresse pour les spam (en fait je ne peux même pas envoyer de mail du tout si je n'ai pas d'adresse chez autre_fai !)

      Et ne me dites pas que les webmails sont là pour ça! En dehors de mutt, point de salut!

      (après ce dernier troll habilement dissimulé, je me dirige discretement vers --->[] )
    • [^] # je me répète : on n'est pas obligé d'adopter cette méthode, mais...

      Posté par  . Évalué à 3.

      si pour une bonne raison tu ne peux pas l'adopter c'est pas la mort !

      a contrario, ceux qui peuvent l'adopter se prémunissent contre l'usurpation de leurs adresses...
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  . Évalué à 4.

    Je comprends pas tres bien... il faut déclarer dans la zone DNS toutes les IP des machines depuis lesquelles je suis suceptible d'envoyer un mail ?

    Par exemple, j'aurai une adresse chez laposte.net, et je suis un chti étudiant à la fac. Je ne pourrai pas envoyer d'e-mail avec mon adresse de laposte.net depuis le smtp de la fac parce que laposte ne l'aurai pas autorisé ? (ou alors mon e-mail serait envoyé, mais marqué comme SPAM...?)

    J'ai peut etre raté un truc, mais ca me parait un peu capilotracté... et pas vraiment pratique...
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  (site web personnel) . Évalué à 4.

      Tu as raté le smtps. Lisez les liens avant de poster, on se croirait sur /. !

      (adieu xps...)
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 0.

        Comment ça raté le smtps ? Tu crois qu'il va reconfigurer la configuration smtp de chaque client courriel qu'il va utiliser ?

        En quoi le fait que la session smtp soit sécurisée ou pas change quoi que ce soit, par ailleurs, concernant le problème donné ?
        • [^] # Re: Anti-spam : adoptons SPF maintenant !

          Posté par  (site web personnel) . Évalué à 1.

          authentification sur un serveur autorisé à envoyer des mails pour example.com.

          Sinon, ce n'est pas "je crois", c'est "la solution proposée par SPF".
          • [^] # Re: Anti-spam : adoptons SPF maintenant !

            Posté par  . Évalué à 3.

            Sauf erreur de ma part, le s de smtps signifie que la connexion est sécurisé. Par qu'elle soit authentifiée.

            Tu peux faire de l'authenfication sans smtps, tu peux faire du smtps sans authentification... c'est sans rapport, même si évidemment, si fait de l'authentification, smtps est préférable.
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  (site web personnel) . Évalué à 8.

    De mon point de vue c'est à chier comme idée. Concrêtement j'héberge des sites sur ufoot.org via proxad mais mon fournisseur d'accès à la maison c'est wanadoo. Va falloir que j'explique à wanadoo que "oui c'est normal j'envoie des mails signés trucmuche@ufoot.org mais en fait c'est moi y'a pas de problème". Je doute qu'ils soient prêts à changer leur config rien que pour mes beaux yeux, je vois d'ici l'argumentaire "vous avez une boite gnagna@wanadoo.fr c'est de celle là qu'il faut se servir". Super, ça risque d'être sympa... Sans compter qu'utiliser une adresse wanadoo m'obligerait à faire mettre à jour le carnet d'adresse de tous mes correspondants, et me lierait à wanadoo en tant que fournisseur d'accès de manière quasi définitive (compliqué de changer d'email...). C'est d'ailleurs ce dernier point qui me fait craindre que les fournisseurs d'accès, s'ils mettent en place SPF, le feront sans souplesse, ça leur permet d'obliger les gens à utiliser la "bonne" adresse, celle qui contient wanadoo et fait de la pub pour eux.

    A part ça le SPF ne résoud absolument pas le problème des virus qui pourraient très bien envoyer des mails depuis le bon compte "user@wanadoo.fr" des mails avec virus en attachement...
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 5.

      Non, c'est exactement l'inverse: il faudrait que tu rajoutes dans ton champ DNS TXT d'ufoot.org un "include: wanadoo.fr", pour que tu puisses poster avec ton adresse ufoot.org depuis wanadoo.

      En fait, elle est là, la limite de SPF: si elle n'est pas adoptée par tout le monde, elle marche pas. En l'espèce, si wanadoo n'a pas renseigné son champ DNS SPF, ça sert à rien.

      Dans l'immédiat, il y a un drapeau, ~all, qui permet de dire dans le champ DNS TXT SPF si on a décrit la totalité des IP pouvant poster depuis cette adresse. donc, si on ne met pas ce drapeau, on ne bloque rien, mais on permet à SpamAssassin de rajouter une règle avec un certain poids en cas de non-concordance entre le domaine de l'envoyeur, l'adresse IP de l'envoyeur et le DNS SPF.

      Pour finir, reste encore à ce que les fournisseurs de domaines/DNS comme gandi et amen laissent la possibilité de renseigner un champ TXT, ce qui n'est pas gagné...
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 2.

        Justement, si j'ai bien compris SPF n'est pas fait pour empecher (techniquement et absolument) le spam mais pour le rendre plus difficile a faire / facile a voir. Dans la plupart des cas, ca serait surtout un outil de plus pour Spam-assassin.

        Ca ne changerait pas grand-chose pour les boites hotmail, ect... qui recoivent deja la plupart de leur spam de domaines exotiques avec sujets verts, a trois bras, et qui proposent d'acheter des pilules bleues.
        Dechets qui, em passant, serait faciles a eviter/reduire si lesdits fournisseurs de webcourrier filtraient un minimum.

        Donc : c'est plutot une bonne chose pour ceux qui ont un petit domaine et en ont marre de recevoir des erreurs consecutives a des mails qu'ils n'ont pas envoye.
        A fortiori, aussi pour ceux qui ont beaucoup d'adresse sur leur domaine (isps)

        Ma question va sans doute sembler con, mais en quoi ca pose probleme de n'etre pas a la maison pour envoyer un mail ? Il suffirait au serveur de demander un mdp associe a une adresse pour s'assurer (tres basiquement, oui) que c'est bien un utilisateur "autorise" qui utilise le serveur. Un pop 3 a l'envers quoi.
        ___

        pardon pour les accents, clavier uk...
        • [^] # Re: Anti-spam : adoptons SPF maintenant !

          Posté par  . Évalué à 2.

          le SPF n'est pas spécifiquement dirigé contre le spam, mais contre le spoofing d'adresse, c'est à dire contre la possibilité qui existe à l'heure actuelle d'usurper une adresse "From". il va de soi que ceci a une incidence sur le spam, les spammeurs étant friands de cette technique.

          cependant, en aucun cas ceci n'est suffisant pour lutter contre le spam. en effet, tant que les spammeurs pourront aller s'installer dans des pays sans législation restrictive, et y acheter des domaines, ils pourront envoyer du spam, et cela ne sera pas beaucoup plus compliqué qu'aujourd'hui (on pourra toujours "griller" ces domaines dans les RBL, mais ça prendra toujours un certain temps). de meme, cela n'améliore pas beaucoup les choses dans le cas du spam envoyé depuis des ordinateurs vérolés par les virus appropriés. il suffira alors de forger une adresse correspondant à le FAI utilisé par l'ordinateur en question, et banco ! certes, c'est un peu plus compliqué, mais quand je vois l'ingéniosité déployée par les spammeurs pour passer les différents systèmes anti-spam, je me dis qu'ils trouveront de quoi contourner ces petits problèmes assez aisément...

          bref, la seule amélioration que ça apporte, c'est la fin des messages d'erreur quand une adresse d'un domaine qu'on possède a été utilisée pour envoyer du spam (et encore, sous réserve qu'il n'y ait pas eu de machine compromise par un virus ou autre dans le domaine en question).

          enfin, le "pop3 à l'envers" comme tu dis, existe depuis longtemps, et c'est bien ce qui est préconisé par les gens de SPF (SMTPS, SMTP+SASL), et il y a meme des versions pas basiques du tout (du genre DIGEST-MD5, CRAM-MD5, etc. pour l'authentification).
  • # Protocole de mail Nouvelle Génération

    Posté par  (site web personnel) . Évalué à 2.

    Pour ceux que l'anglais ne rebute pas, une liste de discussion a été créé il y a deux semaines sur le thème "comment remplacer SMTP, POP et IMAP pour plus de sécurité et moins de spam".

    Plus de renseignements sur:
    http://www.imc.org/mail-ng/index.html(...)
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 1.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: protocole BikINI

        Posté par  (site web personnel) . Évalué à 1.

        En quoi BikINI est-il mieux qu'IMAP ?
        Il serait plus facile à implémenter, soit-disant, mais IMAP a le net avantage d'être *déjà* déployé. Donc, il faudrait plus qu'un simple avantage...
        Peux-tu préciser ?
  • # Mise au point

    Posté par  (site web personnel) . Évalué à 3.

    Bonjour a tous,

    Si j'ai bien compris, SPF n'empeche pas a quelqu'un d'envoyer un email avec une adresse "forgee". Vous pouvez donc toujours envoyer vos emails depuis n'importe ou avec n'importe quelle adresse d'expediteur.

    Ce que permet SPF, c'est d'identifier si l'email qui arrive soit-disant de untel@example.com vient bien d'une machine autorisee a envoyer des emails de ce domaine. La verification n'est faite que si le serveur de reception du courrier veut la faire, en interrogeant "l'interface SPF" du domaine d'envoi (ici example.com).

    Le filtrage se fait donc a la reception des messages, SPF ne bloque pas leur envoi.

    Autrement dit, SPF est un moyen qu'un admin d'un domaine met a disposition de tous les utilisateurs d'internet pour leur dire si un email venant soit-disant de ce domaine vient effectivement de ce domaine ou pas. Celui qui interroge le serveur peut ensuite faire ce qu'il veut de la reponse : effacer l'email, le flaguer comme un spam potentiel, etc.

    J'ai bon ? Sinon, mille excuses.

    Yann
    • [^] # Re: Mise au point

      Posté par  . Évalué à 1.

      oui.

      disons qu'un client mail qui reconnait ce champ texte pourra afficher un beau smiley bien content si l'expéditeur est reconnu, et un point d'interrogation sinon, par exemple.
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  (site web personnel) . Évalué à 2.

    Mouais :

    - ca n'empechera pas les problèmes de spam faits à partir de virus (vu comme les virus se développent ça ne devrait pas tarder à venir) vu que là le poste d'origine sera bien le bon

    - Tant que tout le monde n'utilise pas ça on ne pourra pas s'en servir pour filtrer les mails qui ne s'en servent pas. Si on ne s'en sert pas pour les mails où ce n'est pas spécifier ça n'empeche pas le spam, ça empeche juste le spam en ton nom. Le problème c'est qu'il me parait FORTEMENT illusoire de faire évoluer tout le monde vers ce système.

    - Qu'est ce qui empeche les spammeurs de faire un domaine poubelle ? vu le prix d'un domaine ca n'est pas trop gênant. Ils créent le domaine, spamment une ou deux journées avec, le domaine sera (éventuellement) grillé par certaines listes mais trop tard, le spam aura été recu et lu par une grosse majorité

    - Quand on recoit un spam, soit on grille l'utilisateur et dans ce cas le spammeur n'a qu'à rajouter plein d'utilisateurs sur son domaine à chaque fois qu'on lui en grille un (on finira par lui griller le domaine mais ça lui laissera pas mal de temps pour spammer), soit on grille le domaine et il y a des dommages collatéraux si jamais on se retrouve sur le même domaine qu'un spammeur
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  (site web personnel) . Évalué à 1.

      Le spam est tres tres juste en cout. Si tu ajoutes 12 euro par jour pour envoyer du spam, tu peux effectivement tuer le modele economique du spam.
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  (site web personnel) . Évalué à 1.

        Le spam est tres tres juste en cout. Si tu ajoutes 12 euro par jour pour envoyer du spam, tu peux effectivement tuer le modele economique du spam.

        On aura tout vu !!

        D'une par les spammeurs font déjà l'acquisition de noms de domaines poubelle pour ca, et d'autre part, il est loin d'être juste en cout... malheureusement la connerie humaine est un marché rentable et sans fond.
  • # SPF pour les webmails

    Posté par  . Évalué à 4.

    Un truc de plus en plus employé par les spammers consiste à ouvrir un compte bidon sur un webmail gratuit, puis à spammer à partir d'autres machines mais avec le compte du webmail en guise d'expéditeur.

    Intérêt : l'expéditeur est valide, ça passe au travers certains filtres à spam.

    L'utilisation de SPF permet d'éviter radicalement ce type d'abus.

    Par exemple http://skymail.fr(...) le webmail de Skyrock publie ses SPF dans ce but.
    • [^] # Re: SPF pour les webmails

      Posté par  . Évalué à 5.

      Pour skymail, Skyrock devrait mettre en place par ordre de priorité, avant le SPF, le DMF (decent music form)... Un jour peut-être...
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  . Évalué à 2.

    Je ne suis pas certain que SPF soit véritablement la solution.

    Soyons honnête, SMTP a atteint ses limites avec l'arrivée du SPAM.

    Si nous voulons véritablement arriver à bout du SPAM, il faut:
    1) tenter de jouer sur les lois (solution à court terme, mais ne sera jamais fiable à 100%). Quand je dis jouer, ça signifie coordonner toutes les législations, ou du moins les législations dans les pays avancés technologiquement.
    2) dévelloper un nouveau protocole from scratch avec pour objectif le transport d'e-mails, mais de manière entièrement sûre où tous les intervenants (expéditeur, destinataire, éléments de routages de mail) sont autentifiés auprès de son fournisseur d'accès internet (p.ex), lui même autentifié vers une autorité de confiance.

    Pourquoi proposer un nouveau protocole plutôt que se baser sur SMTP en tentant de le patcher ? Parce que de par sa nature, SMTP n'offre pas ce moyen d'autentification hierarchique. On peut naturellement tenter de rajouter une surchouche pour gérer ces besoins, mais dans ce cas, il suffit d'un seul élément qui soit mal configuré pour qu'il soit le point d'entrée de SPAM dans un environnement, pourtant, authentifié.
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 4.

      D'accord sur le fond du problème ... mais dans la vie pratique ... je vois encore presque chaque jour des collègues utiliser telnet ... alors que openssh est disponible depuis bien bien longtemps ...

      Eduquer les gens, les faire changer de mentalité ... éviter les préjugés ... c'est là le vrai travail !!!
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  (site web personnel) . Évalué à 1.

      Si on reprend les mêmes comparaisons avec lesquelles SMTP en est le sujet, le courier postal, qu'est-ce qui te permet de savoir qu'une personne t'a bien rédigé telle ou telle lettre ?

      La signature ? On a actuellement déjà deux technologies GnuPG et S/MIME.
      La première est très utilisé dans un cadre personnel car il faut soi-même monter son propre réseau de confiance.
      La seconde s'appuie sur un tiers, dit de confiance, serait plus utile dans le cadre d'une entreprise et de ses partenaires voire aussi les administrations.

      Mais, je reprendrais les arguments déjà exposés: au lieu d'imposer ces technologies, il faudrait déjà éduquer les utilisateurs qui adopteront aisément l'une de ces technologies. Et non pas SPF, qui n'est qu'un erastz de sécurité...
      Si tu veux que cette solution soit adoptée, il faut que ce soit simple à faire et que ça ne complique pas davantage la vie de l'utilisateur.
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 2.

        Si on reprend les mêmes comparaisons avec lesquelles SMTP en est le sujet, le courier postal, qu'est-ce qui te permet de savoir qu'une personne t'a bien rédigé telle ou telle lettre ?

        On s'en fout car le courrier papier a un cout certain, et donc l'emmeteur payant le transport, il s'oblige a cibler plus pour rester rentable.

        Le SPAM par SMS est la même chose, l'emmeteur paye donc cherche a cibler.
        • [^] # Re: Anti-spam : adoptons SPF maintenant !

          Posté par  (site web personnel) . Évalué à 2.

          Ils ne passent pas nécessairement par la Poste pour poster leurs prospectus.
          Mais la comparaison a ses paradoxes: personne ne se plaint publiquement de recevoir des tas de prospectus dans sa boîte aux lettres. Mais des spams sur sa bal, alors là, oui...
          • [^] # Re: Anti-spam : adoptons SPF maintenant !

            Posté par  (site web personnel) . Évalué à 1.

            > personne ne se plaint publiquement de recevoir des tas de prospectus dans sa boîte aux lettres

            Je dois être une exception.
            bon, ma boite n'est pas grosse, mais si je la laisse une semaine elle est bourrée, avec des journaux qui ressortent à moitié.
            • [^] # Re: Anti-spam : adoptons SPF maintenant !

              Posté par  (site web personnel) . Évalué à 1.

              La nuisance n'est pas tant d'avoir une boîte bourrée mais de risquer de perdre un courrier important parmi leur prospectus...
              Tout autant celui du spam, d'ailleurs...
              • [^] # Re: Anti-spam : adoptons SPF maintenant !

                Posté par  (site web personnel) . Évalué à 1.

                >La nuisance n'est pas tant d'avoir une boîte bourrée

                Parles pour toi. Personnellement le risque de perdre un courrier parce que ma boite est pleine (que ce soit ma boite électronique ou ma boite postale) est réel. Et si des courriers sont ainsi refusés ou perdus c'est pour moi un dommage réel.

                Le temps monstrueux passé à vérifier à la main les dossiers de spam pour éviter les false positive n'est qu'accessoire .. parce que ça je peux y faire quelque chose (il suffit d'y passer du temps).
          • [^] # Re: Anti-spam : adoptons SPF maintenant !

            Posté par  (site web personnel) . Évalué à 1.

            C'est une question de proportions; et d'identifiabilité.

            Le spam papier est tout de suite identifiable (format different des lettres normales, photos couleurs partout, la pub du grand magasin du coin va direct à la poubelle).

            Mais surtout, les proportions ne sont pas les mêmes; je dois recevoir une dizainne de lettres légitimes à tout casser sur une semaine (et encore, c'est une grosse semaine), pour peut-être une 20aine de spam-papier. C'est gérable; d'autant plus que les lettres legitimes j'en connais l'expediteur sans trop de problèmes (car il n'y en a pas bcp justemment).

            En courrier éléctronique par contre... déjà, rien ne distingue un courrier rfc-822 légitime d'un qui ne l'est pas; les enveloppes electroniques sont toutes identiques.

            Et puis, je reçois par semain plusieures centaines de messages légitimes, et de 1.500 à 2.000 spams.

            Bien sûr, il y a des gens moins consommateurs de courrier éléctronique que moi; et d'autres plus; mais le traffic est bien plus intense que pour le courrier papier; on arrive donc facilement à l'ordre des centaines ou milliers, ce qui n'est plus humainement gérable si on devait faire manuellement le tri.

            Si on recevait du spam-papier dans un même ordre de grandeur (genre entre entre 1.000 et 5.000 dépliants publicitaires par mois dans sa boîte aux lettres) nul doute qu'on râlerait très fort aussi.

            A noter aussi qu'une partie du spam-papier peut être tout de même utile (il a un contenu local, programmes culturels, infos sur les travaux de voirie, fêtes scolaires, etc); et que dans tous les cas il a des infos sur l'éditeur responsable.
            Le spam éléctronique lui n'a rien de local, et l'expediteur fait tout pour se cacher; c'est à dire qu'il sait que ce qu'il fait est mal et que les gens ne veulent pas le lire, mais il fait tout son possible pour passer outre.
            C'est ça aussi qui fait enrager.

            Car quand on mets "pas de publicités svp" sur sa boîte aux lettres, les distributeurs de dépliants le respectent, mais les spameurs éléctroniques eux non, et quand ils savent qu'on utilise un filtre, ils essayent de passer outre.
            C'est comme si, pour le spam papier, quelqu'un s'introduisait dans ton jardin, cassait une vitre de ta cuisine, pour y jeter les dépliants, car tu as bouché la boîte aux lettres.
            Je crois que c'est cet aspect là qui est le pire: le total irrespect de la part des spameurs.
  • # Re: Anti-spam : adoptons SPF maintenant !

    Posté par  (site web personnel) . Évalué à 1.

    Ce que les spammeurs ne nous ont pas encore enlevé comme liberté, les anti-spams à la con nous le font perdre !!!

    Ce machin, est, au mieux, une petite règle pour SpamAssassin, au pire un truc bon pour la poubelle. Ca nie complètement l'existance des mécanismes de forward de mail. Et je peut vous garantir que c'est utilisé un peu partout.

    Ca oblige aussi a faire du SMTP Auth, pas forcemment possible partout, et bon, vu l'utilisation de forward et les envois avec plusieurs identités (utilisation de hooks dans mutt) moi et tous mes potes qui ont des noms de domaines, on est pas prêt d'adopter ca. Ca fait au moins 20 noms de domaines qui seront toujours sans SPF. Alors leur promesse que le jour ou tout le monde adoptera ca il y aura moins, ils peuvent se la foutre DLC, la moitié des postmaster sont opposés a son utilisation, surtout en Europe. Je pense qu'on peut compter déjà dans mon entourage proche environ 80 000 comptes mails (bon, ya un petit FAI avec).
    Mais le pire étant que SPF ne lutte pas contre le spam, mais l'usurpation d'identité en provenance d'un autre domaine (ce qu'a l'heure actuelle bcp de spammeurs font, mais vous savez, les spammeurs savent contourner les filtres). Bref, de la merde en boite juste bonne pour un DSI paranoïaque. Et peut-etre pour la branlette des fans de sendmail.cf au petits oignons et à la syntaxe imbitable, voire les fans d'Exim. Et éventuellement ca servira pour les FAIs, pour vous obliger a utiliser leurs services webmail avec de la pub plutot que le SMTP.

    Si vraiment linuxfr veux parler d'antispams, autant publier des liens vers mon site, ou vous pourrez trouver des infos sur Spam Assassin (dont des règles pour les spams francophones et un utilitaire en version préliminaire pour mettre a jour les règles), et une vraie méthode de filtrage (de non filtrage en fait).

    http://maxime.ritter.eu.org(...)
    • [^] # Re: Anti-spam : adoptons SPF maintenant !

      Posté par  . Évalué à 1.

      Salut,

      je comprends ton énervement manifeste... je suis aussi convaincu que toi que le spam est en train de foutre en l'air l'e-mail SMTP tel que nous l'aimons.

      en revanche ce qui me déplais c'est que tu dis "Ca oblige aussi a ..."
      je le répète pour la énième fois : SPF n'oblige personne à rien du tout !

      c'est juste un moyen, non-contraignant, pas obligatoire, de lutter contre l'usurpation d'identité (moyen utilisé par 99% des spammeurs actuellement)

      c'est un moyen de TE protéger contre l'utilisation de TON adresse par des spammeurs ou des virus.

      il permet aussi à l'inverse d'accorder une plus grande confiance à un mail qui provient d'un serveur qui publie SPF dans sa zone de nommage.

      et c'est tout !
      ou vois-tu une obligation ?
      • [^] # Re: Anti-spam : adoptons SPF maintenant !

        Posté par  . Évalué à 1.

        > c'est un moyen de TE protéger contre l'utilisation de TON adresse
        > par des spammeurs ou des virus.

        Euh, non pas tout à fait, si j'ai bien compris: SPF permet aux autres
        de protéger *mon* domaine, car la vérif se fait par les autres. C'est
        juste une indication que *je* fourni. Ce n'est pas une protection
        en soi.
        Moi, je vérifie *déjà* qu'un message entrant dans mon domaine
        n'est pas émis par une adresse externe qui se fait passer pour
        quelqu'un de mon domaine, et je n'ais pas besoin de SPF.

        C'est bien le problème de ce type de protection: on ne se protége
        pas, on ne protége pas son domaine, on fourni suffisament
        d'indications pour permettre aux autres de le faire à sa place.
        C'est le point faible: ça ne marche que s'il y a suffisament (50,
        60, 90%?) de domaines qui l'utilise.

        Joël

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.