Comment fonctionne un e-mail

et surtout parce que ça finit dans les spams

Puisqu'il s'agit d'un sujet complexe qui se prête à de longues discussions techniques, pour le faire comprendre au public "normal" j'essaie de simplifier. Imaginons que nous ayons deux amis qui s'écrivent, l'expéditeur A s'appelle COSO et le destinataire B est appelé BOUGO.

Coso écrit un e-mail à Bugo. Que se passe-t-il dans les coulisses ?
Le serveur A de Coso envoie un e-mail au serveur B de Bugo.
En termes simples, cosi@vattelapesca.it écrit à bugo@nonmissassare.com.

Tout va bien pour vous. Où est le problème? Ce n'est en fait pas tout à fait ça. Cela arrive beaucoup. J'omets les détails de la façon dont le courrier est "emballé" et envoyé par paquets pour plusieurs itinéraires différents à travers l'univers Internet pour être réassemblé par le serveur de messagerie Bugo car cela devient très long et nous déraillerions.

Revenons à cosi@vattelapesca.it qui écrit à bugo@nonmissassare.com.

Coso ne reçoit aucune réponse. Les jours passent et toujours pas de réponse. Pourtant c'est une communication importante ! Alors il appelle Bugo au téléphone et Bugo lui répond qu'il n'a jamais reçu le mail !

Généralement, Bugo appelle alors son responsable informatique ou le responsable de l'hébergement puis celui qui alimente les boîtes aux lettres et le serveur de messagerie se met à fulminer : « Ici ! Rends-moi mon argent, voleur ! Les mails ne fonctionnent pas !!! Je ne reçois pas d'e-mails de cosi@vattelapesca.it.

Vous avez tous eu un peu ce problème. Le fait est qu'une fois tout passé, aujourd'hui avec les problèmes de sécurité qui existent, les choses ont changé, grâce aussi à vous qui êtes de grands maladroits.

Lorsque Coso envoie un e-mail à Bugo, le serveur de messagerie Bugo vérifie, fait comme le saumon et retrace le chemin inverse de l'e-mail reçu. Et vérifiez deux ou trois choses :

La première chose qu'il vérifie est si l'expéditeur est vraiment celui qu'il prétend être. Cela peut vous sembler anodin, mais ce n'est pas du tout le cas ! Le fait que tu sois cosi@vattelapesca.it ça ne veut rien dire du tout.

En fait, le serveur de messagerie Bugo vérifie que l'adresse IP de l'hôte de l'expéditeur, c'est-à-dire "vattelapesca.com” dans ce cas, correspond à l'adresse IP du serveur de messagerie. Banal? Non! C'est souvent le premier problème rencontré. Les responsables informatiques internes des entreprises commettent souvent la simple erreur de mal configurer la zone DNS du domaine et de ne pas attribuer correctement l'adresse IP du serveur de messagerie. Cela est particulièrement vrai s'il existe plusieurs domaines différents sur un même serveur. Souvent, dans le cas de ceux qui vendent des services d'hébergement en partitionnant le serveur qu'ils gèrent, ils se trompent sur ce point. Les grands fournisseurs traitent ce problème de manière systémique et donc le problème n'est presque jamais rencontré. Mais dans les grandes/moyennes entreprises, avec des responsables informatiques pas tout à fait à la hauteur, qui gèrent leurs propres serveurs de messagerie en interne, ce problème devient fréquent.

Fondamentalement, le serveur de messagerie Bugo classe l'e-mail comme spam car il ne comprend pas qui est réellement l'expéditeur. Dans ces cas, même l'e-mail est complètement brûlé et n'est même pas récupérable à partir du dossier spam.

Au lieu de cela, assurons-nous que la configuration du serveur de messagerie de l'expéditeur est correcte et que le serveur de messagerie Bugo, en faisant l'inverse, certifie que l'adresse IP est correcte et donc que l'expéditeur est celui qu'il prétend être.

Mais le courrier n'arrive toujours pas à destination. Encore un appel de Bugo à son responsable informatique etc… Le responsable informatique contrôle et vérifie qu'il manque le marquage SPF. Aie! Qu'est-ce que le marquage SPF ?

Sender Policy Framework (SPF) est un système de validation des e-mails conçu pour détecter les tentatives d'usurpation d'e-mails. Le système offre aux administrateurs d'un domaine de messagerie un mécanisme de définition des hôtes autorisés à envoyer des messages depuis ce domaine, permettant au destinataire de vérifier leur validité.[ La liste des hôtes autorisés à envoyer des e-mails pour un domaine donné est publiée dans le système de noms de domaine (DNS) pour ce domaine, sous la forme d'enregistrements TXT spécialement formatés. L'hameçonnage, et parfois même le spam, utilisent de fausses adresses d'expéditeur, de sorte que la publication et la vérification des enregistrements SPF peuvent être considérées en partie comme une technique anti-spam.

Traduit, le serveur de messagerie Bugo vérifie que le serveur de messagerie Coso a l'autorisation d'envoyer des e-mails depuis l'hôte Coso, c'est-à-dire cosi@vattelapesca.it, vérifiant ainsi la validité de l'expéditeur et la liste des hôtes autorisés. Si le marquage SPF est absent, de nombreux serveurs de messagerie, du moins les plus sérieux aujourd'hui, brûlent le courrier, souvent vous ne le trouvez même plus dans la boîte de courrier indésirable.

Fini? Non!

Faisons comme si cosi@vattelapesca.it a également le marquage SPF correctement configuré.

Le mail n'arrive toujours pas. Encore l'appel de Bugo à son responsable informatique et au responsable informatique qui contrôle. Et que trouve-t-il ?

Le marquage DKIM manque Appero ! Et qu'est ce que c'est? C'est quoi cette diablerie ?

DomainKeys Identified Mail (DKIM) : permet aux gestionnaires de domaine d'ajouter une signature numérique via une clé privée aux messages électroniques. DKIM ajoute donc un outil supplémentaire pour vérifier la correspondance entre l'expéditeur et son domaine d'appartenance.

Encore une fois, pour simplifier, avec l'email, cosi@vattelapesca.it il envoie également une clé privée aléatoire liée à une clé publique qui réside dans la zone DNS du domaine vattelapesca.it et le serveur de messagerie du destinataire vérifie que les clés sont liées. Si ce n'est pas le cas, l'e-mail se retrouve dans les spams.

Le contrôle parfait est juste Reverse+SPF+DKIM. Si un e-mail ne passe pas cette vérification, l'e-mail est brûlé.

Souvent certains clients me demandent de whitelister par exemple le domaine vattelapesca.it mais si en faisant l'inverse, l'IP n'est toujours pas correcte, la Whitelist ne sert à rien. De plus, il s'agit d'une demande incorrecte pour une raison simple : vous ne pouvez pas savoir si l'expéditeur en question est "de bonne foi" car parfois, même l'expéditeur lui-même ne sait pas qu'il l'est. C'est comme si vous aviez un ami qui habite près d'un camp nomade et que vous lui demandiez de garder la porte d'entrée ouverte, « de bonne foi ».

Mais continuons.

Lors de la vérification, supposons que le cryptage DKIM fonctionne également. Ou peut-être que ce n'est même pas nécessaire. Mais le mail n'arrive pas.

Encore une fois, l'appel de Bugo à son responsable informatique désormais épuisé. La demande est définitive : mettre cosi@vattelapesca.it sur liste blanche.

Mais vous ne pouvez pas. Vous violez les protocoles de sécurité mettant l'ensemble de l'entreprise en grave danger. Le responsable informatique vérifie et…

Le domaine vattelapesca se trouve dans plusieurs RBL/DNSBL. Ah ! Câpres! Mais quels sont-ils ?

Une liste noire basée sur DNS (également DNSBL, liste noire en temps réel ou RBL) est un moyen par lequel il est possible de publier une liste d'adresses IP, dans un format spécial qui peut être facilement « interrogé » via Internet. Comme son nom l'indique, le mécanisme de travail est basé sur le DNS (Domain Name System). Les DNSBL sont principalement utilisés pour publier des adresses IP liées aux spammeurs d'une manière ou d'une autre. La plupart des serveurs de messagerie peuvent être configurés pour rejeter ou signaler les messages envoyés par des hôtes sur une ou plusieurs listes.

Mais à ce moment-là, le responsable informatique de Bugo répond à son employeur et dit : "Les gars, s'ils sont inscrits dans un RBL, ce n'est pas nous qui devons comprendre pourquoi et résoudre le problème, c'est le responsable informatique de l'expéditeur qui doit y penser".

Et le mail finit à la poubelle.

Il y aurait beaucoup plus à ajouter, mais je veux m'arrêter ici. Cependant, disons que tout cela est le minimum indispensable, qu'il ne suffit pas de bloquer les méchants, que d'autres contrôles s'ajoutent et aussi des problèmes inhérents aux protocoles DKIM qui sont des protocoles ouverts et interprétables et donc il n'y a pas d'uniformité, donc à tel point qu'il y a souvent des problèmes d'envoi/de réception depuis/vers des boîtes aux lettres sur Libero, Virgilio, Gmail etc…. et ce sont des problèmes très difficiles à résoudre. A cela s'ajoutent des problèmes de comportement d'individus souvent contraires à la nétiquette comme l'utilisation incorrecte des en-têtes d'e-mails, l'envoi simultané à plusieurs utilisateurs différents en clair, etc.

Un monde s'ouvre où techniciens, informaticiens, ingénieurs, mathématiciens, physiciens s'affrontent sans toutefois avoir réussi en principe à trouver une solution (et à mon avis ils ne la trouveront jamais).

Ce que je peux dire, c'est que le choix d'un bon service d'hébergement doit passer par différents facteurs qui ne sont jamais le prix et surtout il doit répondre à des besoins de sécurité qui devraient être l'ABC de toute entreprise qui s'expose aujourd'hui sur internet dans les différentes formes et de diverses manières.

Formation