Il est nécessaire d’utiliser une adresse de courriel différente pour chaque site ou service pour diverses raisons, notamment éviter le pourriel ou rendre plus difficile le pistage des utilisateurs. Les services proposant des adresses de courriel jetables ou d'alias ont donc fleuri depuis quelques années. Malheureusement, aucun de ces services n’est libre de bout en bout, même s’ils utilisent des logiciels libres. Ainsi, on peut trouver le code source, mais pas la documentation pour bâtir son propre serveur.
SimpleLogin est à la fois un service d'alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Tout le code est fourni, jusqu’aux extensions pour les navigateurs web, et tout est documenté pour que vous puissiez l’installer. Et la documentation est elle‑même… libre !
S’inscrire à un site Web n’est jamais évident : on ne sait jamais si notre adresse de courriel va être vendue aux spammeurs ou si un site va perdre nos données (on peut vérifier si notre adresse est déjà connue par les spammeurs via les sites comme haveibeenpwned.com). On a inventé deux grands remèdes : l’alias de courriel (parfois jetable)1 et l’authentification via un tiers, basée sur les protocoles OAuth2 et OpenID.
Malheureusement, l’un des remèdes autorise un pistage des utilisateurs via les plus grands fournisseurs d’authentification : Facebook, Google, Apple, Microsoft, Amazon… les GAFAM. Il faut cependant leur reconnaître une simplicité de mise en œuvre tentante pour les développeurs.
On veut donc rendre difficile le pistage lorsque l’adresse de courriel est utilisée pour construire un parcours d’utilisateur et lorsque l’authentification est faite via l’un des GAFAM, ces derniers détenant déjà beaucoup trop d’informations sur nous.
Un service libre d'alias de courriels et d'authentification
SimpleLogin répond à ces deux problèmes en offrant une solution simple aux utilisateurs et aux développeurs : des alias illimitées et l'authentification.
Installer l'authentification SimpleLogin sur un site est facile parce que SimpleLogin utilise les protocoles OAuth2 et OpenID Connect, le même standard derrière l'authentification des GAFAM. Ça le rend compatible avec quasiment toutes les bibliothèques ou plugins d'intégration existant, il suffit la plupart du temps de changer les points d'entrées et de sortie.
Quant au serveur d'adresses alternatives, il renverra tous vos alias dans une seule boite aux lettres (tous les alias sont différents, mais basés sur une adresse unique), ceci de façon réversible, c'est à dire que vous pourrez aussi bien recevoir qu'écrire avec vos alias, ce qui est pratique pour travailler avec votre adresse personnelle. Des extensions pour Firefox, Chrome et Safari créent vos alias à la volée.
Utilisez les services de SimpleLogin ou installez vote propre serveur, mais ne vous laissez plus pister.
-
Un « alias jetable » correspond aux alias de courriel créés sur les sites comme http://temp-mail.org qui ont une durée de vie plutôt courte (~1h). Mais un alias peut très bien être permanent, il disparait seulement quand son utilisateur le supprime. Un « alias de courriel » est une redirection vers une adresse de courriel classique, et peut recevoir ou envoyer des courriels. Un tel alias peut donc aussi servir comme une adresse courriel « business ». ↩
Aller plus loin
- SimpleLogin (550 clics)
- Sources et documentation des composants de SimpleLogin (95 clics)
- Documentation pour mettre SimpleLogin sur son site Web (174 clics)
- Sources et documentation du serveur SimpleLogin (120 clics)
# Joker dans l'adresse email
Posté par Maclag . Évalué à 7.
J'essaie déjà de protéger mon email en utilisant un shéma id+service@domain.ext, mais force est de reconnaître que:
Maintenant, j'utilise Yunohost sur mon serveur perso, et il propose déjà les alias, via une interface. Bitwarden me garde au chaud les id/mdp et génère déjà les mdp pour moi.
L'idée d'une extension pour générer les alias automatiquement ne m'était pas venue mais c'est une très bonne idée!
[^] # Re: Joker dans l'adresse email
Posté par jujubickoille . Évalué à 10.
Dans mon postfix j'ai ceci:
recipient_delimiter = +.
Pour le point n°2, je n'ai rien à proposer cependant :/
[^] # Re: Joker dans l'adresse email
Posté par Maclag . Évalué à 4.
Je ne savais même pas qu'on pouvait en mettre plusieurs!!
Merci pour l'astuce, je vais utiliser ça aussi maintenant!
[^] # Re: Joker dans l'adresse email
Posté par liUms . Évalué à 0.
Depuis quelques temps je redirige tous les mails vers mon domaine au même endroit. Comme ça j'ai site@mondomaine, en gros
Bon je suis le seul utilisateur sur mon domaine, mais si je devais héberger d'autres comptes, pourquoi pas carrément le même principe sur des sous-domaines
[^] # Re: Joker dans l'adresse email
Posté par Psychofox (Mastodon) . Évalué à 2.
je n'utilise pas le sigle +, il n'y a pas besoin en fait mais à la place je redirige toutes les adresses commençant par site/shop/compte/account/adm vers une unique adresse.
[^] # Re: Joker dans l'adresse email
Posté par Denis BRAUSSEN . Évalué à 3.
Vieux problème évoqué par exemple ici: Arrêter d'interdire des adresses de courrier légales
:-)
[^] # Re: Joker dans l'adresse email
Posté par Anthony Jaguenaud . Évalué à 2.
J’ai pris un MX-Plan chez ovh. J’ai 1000 redirections… Un mail vpc@mondomaine pour la vente en ligne.
Je me retrouve avec des adresses societe@vpc.mondomaine pour les redirections des comptes de Vente Par Correspondance familiales.
J’ai toute la famille avec le schéma prénom@mondomaine. Pour les comptes individuels, j’utilise :
service@prenom.mondomaine pour les redirections. Par exemple pour steam nous avons trois comptes : le mien, mon fils et ma fille. Les redirections ressemble à :
steam@fils.mondomaine
steam@fille.mondomaine
mon_adresse_standard (mon inscription date un peu :-p)
Les enfants ont fini par prendre le pli, et me demandent une adresse quand ils veulent s’inscrire quelque part.
Ce que je ne sais pas, c’est comment ça va évoluer lorsqu’ils seront adultes et moi grabataire…
[^] # Re: Joker dans l'adresse email
Posté par Faya . Évalué à 3.
Ce qui est embêtant chez OVH c'est qu'il faut créer les alias à la main.
C'est déjà chiant d'avoir à remplir un énième formulaire d'inscription, j'ai souvent la flemme d'aller dans mon manager pour me rajouter un alias. Ça serait bien qu'ils permettent les alias automatiques à base de "+" ou "."
[^] # Re: Joker dans l'adresse email
Posté par DjeFr . Évalué à 1.
Chez gandi j'utilise les alias de boites email qui acceptent les wildcards, c'est bien pratique :
[^] # Re: Joker dans l'adresse email
Posté par petitsurfeur . Évalué à -1.
Idem, c'est super pratique avec Gandi
[^] # Re: Joker dans l'adresse email
Posté par Anonyme . Évalué à 2. Dernière modification le 09 février 2020 à 21:38.
Sauf que le
+dans une adresse e-mail est simplement une convention, doncfoo+bar@example.comdoit être traité comme étant complètement différent defoo@example.com.# Pas le premier
Posté par GuiLG . Évalué à 1.
Et erine.email alors ? C'est un revival de spam gourmet qui a fermé ses portes, c'est open source et il y a un tuto pour l'installer chez soi.
[^] # Re: Pas le premier
Posté par ZeroHeure (site web personnel) . Évalué à 2.
Désolé, on a complété l'article en modération et j'ai rajouté cet intertitre sans réfléchir. C'est corrigé, merci.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Pas le premier
Posté par son . Évalué à 1.
SpamGourmet est finalement repris par le fils de fondateur : https://bbs.spamgourmet.com/viewtopic.php?f=7&t=1793&sid=91eafca02c8f811e2bdc390a01a3870f
SpamGourmet est aussi une inspiration pour SimpleLogin par ses éthiques et qualité de service:
https://simplelogin.io/blog/spamgourmet/
# vs gestionnaires de mdp?
Posté par Maxzor . Évalué à 1.
J'utilise doucement KeypassX sur ubuntu.
Quelle est la valeur ajoutée?
[^] # Re: vs gestionnaires de mdp?
Posté par aiolos . Évalué à 2.
Diversifier les adresses mail en plus des mots de passe pour éviter le traçage, masquer l'adresse réelle.
[^] # Re: vs gestionnaires de mdp?
Posté par son . Évalué à 2. Dernière modification le 07 février 2020 à 12:21.
Le fondateur de SimpleLogin a aussi écrit un article sur le sujet https://dev.to/simplelogin/there-are-better-alternatives-to-password-manager-1655
En résumé, email et mot de passe sont souvent associé pour un identifiant en ligne. Les password managers se focalisent sur le mot de passe mais "oublient" en quelque sorte les emails.
# Solution simple avec Haraka
Posté par xryl669 . Évalué à 4.
Personnellement, vu le problème des
a+b@domain.comqui ne sont, ni privés (n'importe quel programmeur peut décider de supprimer tout ce qui est entre + et @ pour avoir l'email source), ni acceptés partout, je suis tombé sur la solution open source Haraka.Ça marche très bien. On peut choisir le format de la redirection (par exemple
a.b@domain.comqui eux, sont acceptés partout, ou simplementb@siteinconnu.domain.com).Ça ne consomme rien en ressources, et on peut faire des tas d'analyses, rejet des spams etc…
J'ai fait un tutoriel pour l'installer:
https://steemit.com/mail/@xryl669/forwarding-email-to-your-domain-to-your-personal-email-box-anti-challenge-1
[^] # Re: Solution simple avec Haraka
Posté par Faya . Évalué à 2.
Jamais entendu parler de ce projet, il est intéressant. Ça mériterait un journal ou une dépêche !
Tu as testé les plugins pour IMAP et les spams ?
[^] # Re: Solution simple avec Haraka
Posté par Astaoth . Évalué à 2.
Haraka propose en gros d'utiliser le point au lieu du plus pour alias comme ce que tu peux faire avec 2 touches de configs sur procmail ?
Emacs le fait depuis 30 ans.
[^] # Re: Solution simple avec Haraka
Posté par xryl669 . Évalué à 0.
Désolé pour la réponse tardive. Haraka n'est pas un serveur mail classique comme Procmail. C'est un outil de pre-processing de mail. Il y a des dizaines de fonctions pour préprocesser les mails qui entrent, les filtrer, les aliases, les modifier, etc…
Tu peux par exemple, passer un filtre anti-spam (classique) mais dans ce cas, activer le mode tarpit qui va mettre très longtemps à répondre (genre 1 octet par seconde), et ainsi retarder fortement le spammeur. Tu peux faire les alias comme j'ai indiqué, faire du DKIM verify avec action paramétrable si ça échoue, du DKIM sign, …
L'une des options intéressantes c'est de récupérer les mails pour les stocker en BDD, pour faire un service mail qui n'utilise pas les classiques IMAP mais au contraire JMAP ou autre. Bref, c'est une boite à outils, à toi de faire une application avec.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.