SimpleLogin, un outil open source pour protéger nos adresses de courriel

Posté par  . Édité par ZeroHeure, Benoît Sibaud, Davy Defaud, Pierre Jarillon et devnewton. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
35
6
fév.
2020
Internet

Il est nécessaire d’utiliser une adresse de courriel différente pour chaque site ou service pour diverses raisons, notamment éviter le pourriel ou rendre plus difficile le pistage des utilisateurs. Les services proposant des adresses de courriel jetables ou d'alias ont donc fleuri depuis quelques années. Malheureusement, aucun de ces services n’est libre de bout en bout, même s’ils utilisent des logiciels libres. Ainsi, on peut trouver le code source, mais pas la documentation pour bâtir son propre serveur.

SimpleLogin est à la fois un service d'alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Tout le code est fourni, jusqu’aux extensions pour les navigateurs web, et tout est documenté pour que vous puissiez l’installer. Et la documentation est elle‑même… libre !

S’inscrire à un site Web n’est jamais évident : on ne sait jamais si notre adresse de courriel va être vendue aux spammeurs ou si un site va perdre nos données (on peut vérifier si notre adresse est déjà connue par les spammeurs via les sites comme haveibeenpwned.com). On a inventé deux grands remèdes : l’alias de courriel (parfois jetable)1 et l’authentification via un tiers, basée sur les protocoles OAuth2 et OpenID.

Malheureusement, l’un des remèdes autorise un pistage des utilisateurs via les plus grands fournisseurs d’authentification : Facebook, Google, Apple, Microsoft, Amazon… les GAFAM. Il faut cependant leur reconnaître une simplicité de mise en œuvre tentante pour les développeurs.

On veut donc rendre difficile le pistage lorsque l’adresse de courriel est utilisée pour construire un parcours d’utilisateur et lorsque l’authentification est faite via l’un des GAFAM, ces derniers détenant déjà beaucoup trop d’informations sur nous.

Un service libre d'alias de courriels et d'authentification

SimpleLogin répond à ces deux problèmes en offrant une solution simple aux utilisateurs et aux développeurs : des alias illimitées et l'authentification.

Installer l'authentification SimpleLogin sur un site est facile parce que SimpleLogin utilise les protocoles OAuth2 et OpenID Connect, le même standard derrière l'authentification des GAFAM. Ça le rend compatible avec quasiment toutes les bibliothèques ou plugins d'intégration existant, il suffit la plupart du temps de changer les points d'entrées et de sortie.

Quant au serveur d'adresses alternatives, il renverra tous vos alias dans une seule boite aux lettres (tous les alias sont différents, mais basés sur une adresse unique), ceci de façon réversible, c'est à dire que vous pourrez aussi bien recevoir qu'écrire avec vos alias, ce qui est pratique pour travailler avec votre adresse personnelle. Des extensions pour Firefox, Chrome et Safari créent vos alias à la volée.

Utilisez les services de SimpleLogin ou installez vote propre serveur, mais ne vous laissez plus pister.


  1. Un « alias jetable » correspond aux alias de courriel créés sur les sites comme http://temp-mail.org qui ont une durée de vie plutôt courte (~1h). Mais un alias peut très bien être permanent, il disparait seulement quand son utilisateur le supprime. Un « alias de courriel » est une redirection vers une adresse de courriel classique, et peut recevoir ou envoyer des courriels. Un tel alias peut donc aussi servir comme une adresse courriel « business ». 

Aller plus loin

  • # Joker dans l'adresse email

    Posté par  . Évalué à 7.

    J'essaie déjà de protéger mon email en utilisant un shéma id+service@domain.ext, mais force est de reconnaître que:

    1. Beauuuuucoup de services n'acceptent pas le "+" dans les adresses email
    2. Ça ne serait pas bien compliqué de stripper toute la partie derrière le "+" et extraire les adresses de base.

    Maintenant, j'utilise Yunohost sur mon serveur perso, et il propose déjà les alias, via une interface. Bitwarden me garde au chaud les id/mdp et génère déjà les mdp pour moi.

    L'idée d'une extension pour générer les alias automatiquement ne m'était pas venue mais c'est une très bonne idée!

    • [^] # Re: Joker dans l'adresse email

      Posté par  . Évalué à 10.

      Dans mon postfix j'ai ceci:

      recipient_delimiter = +.
      Ce qui me permet, en plus du signe "+" d'avoir aussi le "." qui est nettement mieux supporté.

      Pour le point n°2, je n'ai rien à proposer cependant :/

      • [^] # Re: Joker dans l'adresse email

        Posté par  . Évalué à 4.

        Je ne savais même pas qu'on pouvait en mettre plusieurs!!
        Merci pour l'astuce, je vais utiliser ça aussi maintenant!

    • [^] # Re: Joker dans l'adresse email

      Posté par  . Évalué à 0.

      Depuis quelques temps je redirige tous les mails vers mon domaine au même endroit. Comme ça j'ai site@mondomaine, en gros

      Bon je suis le seul utilisateur sur mon domaine, mais si je devais héberger d'autres comptes, pourquoi pas carrément le même principe sur des sous-domaines

    • [^] # Re: Joker dans l'adresse email

      Posté par  . Évalué à 2.

      je n'utilise pas le sigle +, il n'y a pas besoin en fait mais à la place je redirige toutes les adresses commençant par site/shop/compte/account/adm vers une unique adresse.

    • [^] # Re: Joker dans l'adresse email

      Posté par  . Évalué à 3.

      Beauuuuucoup de services n'acceptent
      pas le "+" dans les adresses email

      Vieux problème évoqué par exemple ici: Arrêter d'interdire des adresses de courrier légales
      :-)

    • [^] # Re: Joker dans l'adresse email

      Posté par  . Évalué à 2.

      J’ai pris un MX-Plan chez ovh. J’ai 1000 redirections… Un mail vpc@mondomaine pour la vente en ligne.
      Je me retrouve avec des adresses societe@vpc.mondomaine pour les redirections des comptes de Vente Par Correspondance familiales.

      J’ai toute la famille avec le schéma prénom@mondomaine. Pour les comptes individuels, j’utilise :
      service@prenom.mondomaine pour les redirections. Par exemple pour steam nous avons trois comptes : le mien, mon fils et ma fille. Les redirections ressemble à :
      steam@fils.mondomaine
      steam@fille.mondomaine
      mon_adresse_standard (mon inscription date un peu :-p)

      Les enfants ont fini par prendre le pli, et me demandent une adresse quand ils veulent s’inscrire quelque part.

      Ce que je ne sais pas, c’est comment ça va évoluer lorsqu’ils seront adultes et moi grabataire…

      • [^] # Re: Joker dans l'adresse email

        Posté par  . Évalué à 3.

        Ce qui est embêtant chez OVH c'est qu'il faut créer les alias à la main.
        C'est déjà chiant d'avoir à remplir un énième formulaire d'inscription, j'ai souvent la flemme d'aller dans mon manager pour me rajouter un alias. Ça serait bien qu'ils permettent les alias automatiques à base de "+" ou "."

        • [^] # Re: Joker dans l'adresse email

          Posté par  . Évalué à 1.

          Chez gandi j'utilise les alias de boites email qui acceptent les wildcards, c'est bien pratique :

          Entrez le nom de d'alias, sans inclure le @. Vous pouvez également utiliser le caractère joker "*" pour, par exemple, avec "pierre*", rediriger tout ce qui commence par pierre dans votre boite (ex.: pierre*@ -> pierremartin@, pierreafeu@, etc.). Cette option ne fonctionne toutefois qu'avec un minimum de 2 caractères avant ou après le joker "*".

    • [^] # Re: Joker dans l'adresse email

      Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 09/02/20 à 21:38.

      Ça ne serait pas bien compliqué de stripper toute la partie derrière le "+" et extraire les adresses de base.

      Sauf que le + dans une adresse e-mail est simplement une convention, donc foo+bar@example.com doit être traité comme étant complètement différent de foo@example.com.

  • # Pas le premier

    Posté par  . Évalué à 1.

    Et erine.email alors ? C'est un revival de spam gourmet qui a fermé ses portes, c'est open source et il y a un tuto pour l'installer chez soi.

  • # vs gestionnaires de mdp?

    Posté par  . Évalué à 1.

    J'utilise doucement KeypassX sur ubuntu.
    Quelle est la valeur ajoutée?

  • # Solution simple avec Haraka

    Posté par  . Évalué à 4.

    Personnellement, vu le problème des a+b@domain.com qui ne sont, ni privés (n'importe quel programmeur peut décider de supprimer tout ce qui est entre + et @ pour avoir l'email source), ni acceptés partout, je suis tombé sur la solution open source Haraka.

    Ça marche très bien. On peut choisir le format de la redirection (par exemple a.b@domain.com qui eux, sont acceptés partout, ou simplement b@siteinconnu.domain.com).

    Ça ne consomme rien en ressources, et on peut faire des tas d'analyses, rejet des spams etc…

    J'ai fait un tutoriel pour l'installer:
    https://steemit.com/mail/@xryl669/forwarding-email-to-your-domain-to-your-personal-email-box-anti-challenge-1

    • [^] # Re: Solution simple avec Haraka

      Posté par  . Évalué à 2.

      Jamais entendu parler de ce projet, il est intéressant. Ça mériterait un journal ou une dépêche !
      Tu as testé les plugins pour IMAP et les spams ?

    • [^] # Re: Solution simple avec Haraka

      Posté par  . Évalué à 2.

      Haraka propose en gros d'utiliser le point au lieu du plus pour alias comme ce que tu peux faire avec 2 touches de configs sur procmail ?

      Opera le fait depuis 10 ans.

      • [^] # Re: Solution simple avec Haraka

        Posté par  . Évalué à 0.

        Désolé pour la réponse tardive. Haraka n'est pas un serveur mail classique comme Procmail. C'est un outil de pre-processing de mail. Il y a des dizaines de fonctions pour préprocesser les mails qui entrent, les filtrer, les aliases, les modifier, etc…

        Tu peux par exemple, passer un filtre anti-spam (classique) mais dans ce cas, activer le mode tarpit qui va mettre très longtemps à répondre (genre 1 octet par seconde), et ainsi retarder fortement le spammeur. Tu peux faire les alias comme j'ai indiqué, faire du DKIM verify avec action paramétrable si ça échoue, du DKIM sign, …

        L'une des options intéressantes c'est de récupérer les mails pour les stocker en BDD, pour faire un service mail qui n'utilise pas les classiques IMAP mais au contraire JMAP ou autre. Bref, c'est une boite à outils, à toi de faire une application avec.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.