Système d’authentification
février 19th, 2008 Posted in Technique
Le protocole SMTP, Simple Mail Transfert Protocol, est le langage dans lequel communique entre eux les serveurs de messagerie pour s’échanger des messages électroniques.
Ce protocole a été crée dans les années 1970 et commence a être largement utilisé dans les années 1980.
Ce protocole étant vieux et simple, il comporte des failles permettant d’usurper l’identité de l’expéditeur.
Dans la dure lutte contre diverses fraudes par email, il a été important de mettre en place un moyen d’identifier les véritables expéditeurs de messages.
Le but de l’authentification est de permettre aux expéditeurs de prouver qu’ils sont bien ceux qu’ils prétendent et d’éviter de voir leur identité usurpée.
Seulement, comme souvent en informatique, quand il a fallu définir une norme, les géants de ce monde ont immédiatement tiré la couverture à eux en définissant leur propre vision de l’authentification. On se retrouve aujourd’hui avec 4 normes majeures à respecter :
- Sender Policy FrameWork (SPF) :
Utilisé par Google et AOL. Dans ce cas, une ligne de code est ajoutée dans l’entête du message (header smtp) qui indique au serveur qui reçoit le message qu’il peut interroger le serveur DNS de l’expéditeur de façon à savoir si l’IP émettrice est bien autorisée à expédier des messages à partir de ce domaine.
- SenderID Microsoft :
Utilisé par Hotmail et certainement par le nouveau système de Microsoft, WindowsLive Mail.
Le principe de fonctionnement est similaire au SPF, c’est une interrogation du serveur DNS de l’expéditeur qui authentifie le message.
Microsoft ayant déposé le brevet de l’utilisation intellectuelle de ce système, le problème de la généralisation de l’utilisation de cette norme est très politique.
- DomainKeys Yahoo! :
Utilisé par Yahoo! et Google.
Pour la petite histoire, cette norme d’authentification définie par Mark Delany de Yahoo! a été implémentée par Google quelques mois avant Yahoo!.
Le principe de fonctionnement est un peu différent du SPF ou du SenderID, il faut ajouter à l’entête du message, un champ « DomainKey-Signature » qui contient une signature électronique cryptée. Le serveur de mail qui reçoit le message peut alors interroger de serveur DNS de l’expéditeur pour obtenir une clé qui lui permettra de d’authentifier, ou non, le message et son expéditeur.
L’implémentation de cette norme est couteuse en ressource machines.
Attention, un DomainKey mal paramétré peut avoir des effets bien pire que envoi sans DomainKey en terme de déliverabilité !
- DKIM :
Utilisé par AOL, Google et Yahoo!
Très similaire dans son fonctionnement au DomainKey, DKIM est la dernière norme d’authentification en date (mail 2007). Elle est définie par l’Internet Engineering Task Force dans la RFC4871, il s’agit de la fusion du DomainKey de Yahoo! et du IIM de Cisco.
Signer les messages électroniques par ces différentes méthodes est une bonne chose qui garantit à vos messages de ne pas être assimilés à du fishing. Mais cela ne garantit pas aux FAI et ISP que le contenu du message soit de confiance et n’assure pas non plus une bonne réputation.
3 Responses to “Système d’authentification”
By Fred on fév 28, 2008
Bon, ben y a plus qu’a mettre tout ça en place …
By Olivier BERT on avr 1, 2008
Je ne comprends pas bien ce que vous voulez dire par « n’assure pas non plus une bonne réputation ». Pouvez-vous éclaircir ce point ?
By Jérôme on avr 3, 2008
Bonjour,
La reputation d’un expediteur correspond, grosso modo, à l’historique des envois realisé à partir d’une IP en terme de plaintes et d’adresses invalides. Une adresse IP qui a « mauvaise reputation » a un fort passif en terme de qualité d’emails emis aupres de l’operateur qui recoit les emails. Les principaux operateurs qui integrent la reputation dans le filtrage des emails sont gmail, yahoo, hotmail, aol. Les systèmes d’authentification n’influencent aujourd’hui pas la reputation.
Bien à vous,
Jérôme