J’en parlais depuis quelques mois à mes clients et contacts de l’importance de personnaliser l’enveloppe et de l’importance de la prise en compte de DMARC (Domain-based Message Authentication, Reporting and Conformance).
Yahoo a bougé et vient de mettre un gros DMARC dans la face de ses utilisateurs qui envoient des mails en passant le paramètre de DMARC à p=reject. Du coup tous les mails signés d’une adresse Yahoo mais non issus des serveurs de Yahoo se voient rejetés. Cela signifie une énorme perte de délivrabilité pour ceux qui utilisaient les services d’ESP externes tout en signant quand même avec une adresse Yahoo.
C’est également un gros problème pour les listes de diffusion car la présence d’une signature Yahoo en sender fait capoter les envois. Il y a même un risque de boomerang car les mails peuvent bouncer à toute la liste qui rebounce et ainsi de suite.
Les premiers retours semblent satisfaire pleinement Yahoo vu que cela coupe court à toutes tentatives de spoofing d’emails utilisant leur nom de domaine. Ils n’auront plus qu’à vérifier ce qu’envoie en interne leurs serveurs et leur problème sera réglé. Par contre pour leurs utilisateurs, c’est une autre paire de manche 🙂 Changer son adresse d’expéditeur n’est as toujours aisé, surtout si elle est utilisée depuis longtemps. Impossible également de prévenir ses abonnés en envoyant un email depuis Yahoo si la base est vraiment très grosse. (quoi que Yahoo devrait peut être mettre en place qqch pour ces cas là)
Et l’avenir de DMARC ?
Dans l’avenir, je suis sur que le DMARC va se démocratiser. Même si au début beaucoup ne voyaient pas vraiment l’importance de mettre cela en place pour les petits domaines, il suffit d’être touché une seule fois par du spoofing d’email pour en comprendre immédiatement l’intérêt. C’est comme une ceinture de sécurité, c’est inutile tant que t’as pas d’accident. Mais le jour où t’en a un, t’es bien content de l’avoir ta ceinture !
Gmail utilise lui aussi le DMARC mais pour l’instant le paramétrage est sur p=none ce qui signifie qu’il n’y a pas encore de consigne spécifique de filtrage mais il y a fort à parier que le move de Yahoo leur donne des idées rapidement ! Et quand les mails signés Gmail ne pourront plus être envoyés en externe, le séisme sera bien plus grand. Préparez-vous, ça viendra assez vite 🙂
Y’a pas que Gmail qui doit vous inquiéter. Si DMARC est appliqué chez les FAI, LA CA FERA MAL ! Imaginez tous les mails envoyés depuis les applications externes et pourtant signés avec des adresses de FAI. Brrr ! ça fait froid dans le dos 🙂
Et que faire maintenant ?
- Si vous utilisez un email en Yahoo, il faut changer l’adresse émettrice. Cela vaut aussi si vous utilisez une adresse d’un autre webmail ou FAI. Oui, il n’est pas impossible que les FAI aussi obligent un jour ou l’autre à passer par leurs serveurs exclusivement.
- Utilisez l’email de votre nom de domaine, là au moins vous aurez la mains pour gérer tous les paramètres techniques et pourquoi pas aussi y ajouter un DMARC 🙂
- Utilisez un outil qui vous permet de configurer et personnaliser l’enveloppe complète de vos envois. Si vous pouvez signer avec votre nom de domaine mais qu’on ne vous demande aucune modification dans vos DNS, y’a un loup !
Edit : Quand je parlais d’un risque de propagation aux FAI, AOL vient d’appliquer le rejet DMARC à ses emails : L’article ici
One Rétrolien
[…] Lire la suite […]