Pistes de vérification des adresses d'expéditeur
Sujet : Pistes de vérification des adresses d'expéditeur
De : tanguy (at) *nospam* ortolo.eu (Tanguy Ortolo)
Groupes : fr.comp.usenet.serveursDate : 29. Oct 2023, 19:29:22
Autres entêtes
Message-ID : <uhm8a2$q8v8$4@herbert.ortolo.eu>
User-Agent : tin/2.6.2-20221225 ("Pittyvaich") (Linux/6.1.0-13-amd64 (x86_64))
Bonjour,
Comme vous le savez sans doute, le courrier électronique a connu
quelques évolutions pour ajouter une couche de vérification partielle de
l'identité des expéditeurs, en fait une vérification du nom de domaine
de leur adresse électronique :
- Sender Policy Framework, ou SPF, pour permettre par une vérification
d'adresse IP de détecter l'usurpation de nom de domaine dans l'adresse
de l'expéditeur d'enveloppe, et lutter ainsi contre le /backscatter/ ;
- DomainKeys Identified Mail, ou DKIM, pour permettre à un serveur
de certifier par une signature cryptographique l'authenticité et le
contenu d'un message : conventionnellement, cela sert à certifier le
nom de domaine utilisé dans le champ d'expéditeur ;
- Domain-base Message Authentication, Reporting and Conformance, qui
s'appuie entre autres sur SPF et DKIM pour ajouter entre autres une
vérification, à la demande du gestionnaire d'un nom de domaine, de
la légitimité de l'utilisation de ce nom dans le champ d'expéditeur :
c'est un peu long à expliquer, le mieux est encore de lire la RFC.
iAutant que je sache, il n'existe rien de tel pour les nouvelles, mais
je m'interroge sur la possibilité de proposer quelque chose sur ce
sujet. Les nouvelles du réseau Usenet diffèrent du courrier électronique
par plusieurs points essentiels pour ce genre de question :
- il n'existe pas de notion d'enveloppe et donc pas d'expéditeur
d'enveloppe, un message a donc seulement un expéditeur indiqué dans
l'en-tête : à vrai dire, cela simplifie une possible vérification ;
- un message a bien un serveur d'injection, mais peut ensuite être
transmis par divers serveurs qui peuvent le stocker ou le transmettre
sans rien vérifier du tout, voire en l'altérant (ce qui craindrait un max,
mais c'est un autre problème) ;
- la plupart des noms de domaines utilisés par le grand public pour les
communications électroniques disposent d'un service de courrier mais
ne proposent pas de service de nouvelles associé.
L'idée d'une vérification du nom de domaine de l'adresse d'expédition
consisterait à permettre à l'administrateur d'un nom de domaine de
préciser qu'un message utilisant ce nom dans l'adresse d'expéditeur doit
être considéré comme légitime ou doit être rejeté, sous certaines
conditions :
- à la SPF : en simplifiant, un message devrait être rejeté si l'adresse
IP du serveur d'injection ne correspond pas à une liste
pré-approuvée ;
- à la DKIM : un message doit être considéré comme authentique s'il est
correctement signé par la clef du nom de domaine en question ;
- à la DMARC : un message qui ne passe ni SPF ni DKIM peut, si la
politique du nom de domaine le demande, être directement refusé.
Ce genre de vérification basée sur le nom de domaine conviendrait
surtout pour ceux qui proposent à la fois un service de courrier et un
service de nouvelles, ce qui serait en soi, déjà un progrès. Pour la
plupart des adresses électroniques, cela n'ajouterait ni ne retirerait
rien à la situation actuelle… à moins d'imaginer un système qui permette
à l'utilisateur d'une adresse électronique de préciser au monde entier
que ses messages sont censés être injectés par tel serveur ou être
signés de telle façon.
Que pensez-vous de cette idée ?
--
. o .
. . o Tanguy
o o o
Haut de la page
Les messages affichés proviennent d'usenet.
NewsPortal