L'authentification, ultime recours contre le spam
Authentifier l'origine des courriers en créant un lien légitime entre la passerelle SMTP et le serveur DNS favorise la lutte contre les pourriels.
Jérôme Saiz , 01 Informatique (n° 1776), le 02/07/2004 à 00h00
Les e-mails indésirables ont une caractéristique commune : la quasi-totalité d'entre eux prétendent venir de domaines avec lesquels ils n'ont, en réalité, aucun lien. Une telle usurpation d'identité est rendue triviale par la structure même des échanges par messagerie électronique. Le vénérable protocole SMTP n'a pas été conçu pour offrir une quelconque méthode d'authentification fiable. Ainsi, n'importe qui peut envoyer un courrier en empruntant une identité. Et les « spammeurs » ne s'en privent pas. « Tant que l'on ne sera pas capable de déterminer avec certitude l'origine du courrier, on ne pourra pas marquer une avancée significative en matière de lutte contre le spam » , estime Eric Allman, directeur technique de l'éditeur de messagerie Sendmail.
Les grands acteurs d'internet réfléchissent aux enrichissements à apporter à l'en-tête du protocole SMTP pour garantir l'origine du courrier. Trois propositions semblent devoir s'imposer : Domainkeys, promu par Yahoo ; Caller ID for Email, de Microsoft ; et SPF (Sender Policy Framework), développé par Meng Weng Wong et Mark Lentczner. Toutes trois partagent le même objectif : s'assurer que le serveur qui envoie l'e-mail dépend bien du domaine auquel il prétend être rattaché. Destinées à être mises en oeuvre au niveau des passerelles de courrier, ces trois méthodes adoptent néanmoins différentes approches.
L'avantage de la simplicité pour SPF et Caller ID
SPF et Caller ID for Email proposent aux responsables informatiques de définir, au sein de leur serveur de noms de domaine (DNS), un enregistrement nouveau, chargé d'indiquer les adresses IP des serveurs autorisés à envoyer du courrier électronique pour leur domaine. Il s'agit de la procédure inverse à la publication de l'enregistrement MX traditionnel, qui permet d'annoncer au reste du monde quels serveurs sont responsables de recueillir le courrier pour tel ou tel nom de domaine. L'avantage de cette approche réside dans sa facilité de mise en oeuvre : il suffit d'ajouter un enregistrement texte aux serveurs DNS existants. L'opération s'effectue rapidement. Mais, malheureusement, des problèmes sont générés lors de la réexpédition de messages ou de l'émission de listes de diffusion gérées à distance par des partenaires.
SPF et Caller ID sont si proches dans leur principe ils ne diffèrent que par le champ qu'ils contrôlent que Microsoft et Meng Weng Wong ont décidé de fusionner leurs spécifications. Cela donnera naissance à un procédé unique d'authentification du courrier par l'adresse IP. Aujourd'hui, plus de six mille serveurs exploitent SPF.
Yahoo suggère de signer le courrier sortant
Avec Domainkeys, Yahoo se montre plus ambitieux. Son promoteur propose que chaque courrier sortant d'un serveur SMTP soit signé par celui-ci à l'aide d'une clé privée. La clé publique associée seule à même de vérifier cette signature serait alors stockée sur le serveur DNS du domaine en question. A la réception, la passerelle destinataire pourrait récupére la clé publique et vérifier l'authenticité du courrier.
Cette méthode s'avère plus fiable et plus élégante que les précédentes. Elle ne perturbe pas le courrier redirigé ni les autres listes de diffusion. En revanche, elle exige une intervention au niveau des serveurs SMTP. Ceux-ci devront en outre procéder à des calculs cryptographiques gourmands en ressources.
Emailvision envoie entre deux et trois millions d'e-mails publicitaires par jour pour le compte de ses clients. Pourtant, Nick Heys, son fondateur, ne craint pas les techniques d'authentification du courrier. Elles pourraient même s'avérer bonnes pour les affaires. « Aujourd'hui, notre priorité consiste à aider les fournisseurs d'accès à établir une distinction entre le spam et les e-mails marketing légitimes. Prouver l'origine de notre courrier constitue un avantage commercial » , explique le fondateur. D'ailleurs, Emailvision affirme être en train de déployer SPF sur la totalité de ses serveurs.
Eric Allman compte parmi les pères de la messagerie internet. A titre personnel, sans engager Sendmail, il préconise la solution de Yahoo, basée sur du chiffrement fort, plutôt que l'authentification IP, proposée par Caller ID et SPF. « Ces deux dernières méthodes ont pour elles la simplicité de mise en oeuvre et un coût quasiment nul. Elles devraient, à ce titre, s'imposer à court terme. De nombreuses entreprises vont d'ailleurs probablement y venir lorsque la fusion entre SPF et Caller ID sera terminée. Mais il ne s'agit pas réellement d'authentification, car seul un procédé cryptographique peut la garantir. Et, surtout, leur conception casse l'e-mail tel que nous le connaissons dans sa capacité à stocker et à renvoyer le courrier. Les concepteurs de ces méthodes devront trouver une solution. Domainkeys est la voie à suivre sur le long terme. Mais cette méthode demeure également la plus difficile à mettre en oeuvre. Elle aura, en outre, un impact sur les performances des passerelles. Cependant, cette approche a le mérite de régler le problème de la cryptographie personnelle et du manque de tiers de confiance [le chiffrement est assuré par la passerelle NDLR]. Et puisque cette solution ne fait usage que de l'adresse IP, rien ne change dans l'utilisation du courrier. »
 |
|
> ChanceRoom
Découvrez la nouvelle Poker Room montante.
|
 |
||
 |
|
> Logiciel : Trend Micro
Internet Security Une sécurité Internet maximale.
|
|
||
1 Orange
2 Free
3 Bouygues Telecom
> Plus de détails
 |
|
Service Kiosque :
Préservez la nature en téléchargeant vos magazines en illimité !
|
|
||
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM