Le pouvoir de nuisance des silos de mail

Quand on pense aux GAFAM, on pense surtout à leur vilaine habitude d'aspirer les données de leurs utilisateurs (et des autres aussi d'ailleurs) mais on ne pense pas souvent à leur poids démesuré dans le domaine du mail.

Google, c'est gmail, Microsoft, c'est hotmail, live, msn et je ne sais quels autres domaines, etc.

Tout ça représente un nombre plus que conséquent d'utilisateurs. Google revendiquait en 2015 900 millions de comptes Gmail. Bon ok, il y en a une part qui ne doit servir qu'à avoir un compte pour son téléphone android, mais quand même. C'est énorme.

Je n'ai pas de statistiques pour Microsoft et Yahoo, mais c'est pareil : ils pèsent un certain poids, et même un poids certain.

Ce qui nous ramène à une situation des plus déplaisantes où un petit nombre d'acteurs peut en em***er une multitude.

Petits exemples vécus :

  • Microsoft bloque tout nouveau serveur mail qu'il ne connait pas. C'est arrivé pour mon serveur perso, le serveur de mail de Framasoft que j'ai mis en place, sa nouvelle IP quand je l'ai migré, le serveur de listes de Framasoft et sa nouvelle IP quand je l'ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n'ai plus le message sous la main). Et pour trouver comment s'en débrouiller, bon courage : la page d'erreur de Microsoft n'indiquait rien. Je n'ai même pas trouvé tout seul (et pourtant j'ai cherché) : c'est un ami qui m'a trouvé la bonne adresse où se faire dé-blacklister (notez au passage qu'il est impossible de faire dé-blacklister une adresse ou un bloc d'adresses IPv6).
  • Gmail qui, du jour au lendemain, décide de mettre tous les mails de mon domaine personnel en spam. Ce qui ne serait pas trop gênant (hé, les faux positifs, ça existe) si ce n'était pour une raison aberrante (ou alors c'est une sacrée coïncidence) : ça s'est passé à partir du moment où j'ai activé DNSSEC sur mon domaine. Et ça s'est terminé dès que j'ai ajouté un enregistrement SPF à ce domaine. Or le DNSSEC et le SPF n'ont rien à voir ! Surtout pas dans cet ordre là ! Qu'on ne fasse confiance à un enregistrement SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi nécessiter du SPF si on a du DNSSEC ?
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renforcer la lutte contre le spam (bien) mais a de fait cassé le fonctionnement des listes de diffusion tel qu'il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffusion, le mail arrive dans les boîtes des abonnés avec votre adresse comme expéditeur, tout en étant envoyé par le serveur de listes. Et Yahoo a publié un enregistrement DMARC indiquant que tout mail ayant pour expéditeur une adresse yahoo doit impérativement provenir d'un serveur de Yahoo. C'est bien gentil, mais non seulement ça fout en l'air le fonctionnement des listes de diffusion, mais surtout ça fout le bazar partout : les serveurs de mail qui respectent les enregistrements DMARC appliquent cette règle, pas que les serveurs de Yahoo. (notez qu'AOL fait la même chose)

On peut le voir, le pouvoir de nuisance de ces trois silos est énorme. Et plus encore dans le cas de Yahoo qui n'impacte pas que les communications entre ses serveurs et votre serveur de listes de diffusion, mais entre tous les serveurs et votre serveur de listes, pour peu que l'expéditeur utilise une adresse yahoo. Et comme il y a encore pas mal de gens possédant une adresse yahoo, il y a des chances que vous vous rencontriez le problème un jour ou l'autre.

Si ces acteurs étaient de tailles modestes, l'ensemble de la communauté pourrait soit leur dire d'arrêter leurs bêtises, soit les laisser crever dans leurs forteresses injoignables. Mais ce n'est malheureusement pas le cas 🙁

Une seule solution pour faire cesser ce genre d'abus : la dégooglisation ! Une décentralisation du net, le retour à un Internet d'avant, fait de petites briques et pas d'immenses pans de béton.

EDIT : Orange fait aussi son chieur à coup d'erreurs Too many connections, slow down. OFR004_104 [104]. C'est tellement connu que Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solution que j'ai utilisée : https://blog.network-studio.fr/2011/06/30/too-many-connections-slow-down/.

Crédits : Illustration de Vincent Van Gogh, Joseph Roulin assis

PS : ne me lancez pas sur MailInBlack, ça me donne des envies de meurtre.

15 réflexions au sujet de “Le pouvoir de nuisance des silos de mail”

  1. Quoi quoi quoi tu ne sais pas quels autres domaines !!! – « Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. » je trouve marrant de voir que pour un commentaire mon Nom* apparaît tout seul – mon Adresse de messagerie* apparait toute seule mais mais mais mon Site web lui faut que je le rensigne à la main. Allez bande de putois, je vous aime comme je suis.

  2. SPF, DNSSEC  je pense que la conjonction est une coïncidence 🙂

    En fait Gmail exige que les mails qui lui sont envoyés de domaines extérieurs disposent à minima d’un enreg SPF voir d’une clé DKIM. Gmail applique les mécanismes DMARC
    https://support.google.com/a/answer/2466580
    qui testent que l’un et/ou l’autre de ses méthodes d’authentification soit utilisée.
    Tout ça c’est pour lutter contre le SPAM. Du coup c’est vrai que faire de la messagerie « proprement » devient un vrai métier 🙂

    • Soit disant pour lutter contre le spam. Mettre des batons dans les roues des autres, c’est pas mal aussi.

      Quand on regarde comment fonctionne Gmail (et outlook.com, etc) dans l’autre sens, c’est pas propre non plus ! Grosso-modo, ils mettent toute la Terre en SPF, lancent un mail depuis plusieurs serveurs, donc on peut pas faire du greylisting, ce qui est pourtant une bonne méthode de lutte antispam.

      • C’est vrai : autant il est clair qu’ils ont besoin de plusieurs serveurs de mail, autant ils pourraient essayer de faire les nouvelles tentatives d’envoi depuis le même serveur. Je me demande pourquoi ils ne le font pas.

    • > Du coup c’est vrai que faire de la messagerie « proprement » devient un vrai métier

      Ouép, heureusement qu’on a des vrais pros comme MailInBlack hein 😉

      Plus sérieusement, ça devient en fait de moins en moins un métier : aujourd’hui, de plus en plus, l’approche la plus professionnelle revient – hélas! – à déléguer à un des gros acteurs sus-cités. Et beaucoup d’acteurs de moindre taille – je ne connais pas assez ta propre activité pour avoir un avis dessus – sont du coup un peu largués.

      Une option, qui revient souvent quand on discute entre administrateurs de messagerie (pro et/ou auto-hébergés), c’est de la pertinence d’une sorte de label, ou de groupement, de serveurs de messagerie qui se font un minimum confiance.

    • Tu veux dire que la catégorisation spam des domaines sans SPF est apparue pile au moment où j’ai activé DNSSEC sur mon domaine ? C’est assez gros comme coïncidence. Il me semble, mais je peux me tromper, que mes domaines sans SPF mais sans DNSSEC n’avaient pas de problème.

      Je viens d’envoyer un mail depuis un domaine qui n’a pas de SPF, depuis une machine qui n’a rien à voir avec le domaine, et ça passe. (oui, j’ai encore un domaine sans SPF)

      Bon, le problème de ma démonstration est que maintenant Gmail marque « expéditeur via machine d’envoi » s’il n’y a pas de SPF. Mais je te jure qu’au moment de mon passage à DNSSEC, les mails sans SPF passaient nickel pour peu qu’il n’y ait pas de DNSSEC.

      Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliqué que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, c’est tous les administrateurs de mail qui s’enrhument.

      Ils peuvent dicter leur loi, de la même façon qu’IE6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui. C’est surtout ça qui me dérange.

  3. À propos de mailinblack, une anecdote :

    Il y a quelques mois, un client dont on héberge les mails nous appelle pour se plaindre de ne pas recevoir certains mails. Vérification faite, cela correspond au moment où j’ai mis en place la vérification SPF sur notre serveur (postfix-policyd-spf-python). Or, les MX du client étaient ceux de mailinblack. Donc tous les mails reçus par le clients semblaient provenir de chez eux. Pour peu que le domaine de l’expéditeur ait une règle SPF stricte (comme celle imposée par Microsoft par exemple), notre serveur rejetait donc les mails s’ils venaient de mailinblack.

    J’ai botté en touche avec le client en disant que je ne faisait qu’appliquer une règle de sécurité standard et que c’était à mailinblack de faire en sorte que leur système fonctionne.

    Quelques temps plus tard, je reçoit un appel de quelqu’un de mailinblack qui veut discuter du problème. il me parle de whitelist et de trucs du genre et a eu l’air de débarquer lorsque je lui ai expliqué que ce n’était pas possible, que le « problème » ne concernait pas nos serveurs ou les leurs mais venait des règles SPF des domaines des expéditeurs tiers, par nature impossibles à maîtriser. J’ai en outre fait part de mon étonnement qu’ils n’aient l’air de découvrir ce problème que maintenant, de la part d’un « petit » hébergeur de mail qui plus est. On m’a répondu qu’on allait se pencher sur le problème, et qu’on me recontacterait si besoin.

    Depuis, aucun retour de mailinblack ni même du client, donc je suppose que le problème a été résolu. Une idée de la façon dont mailinblack peut gérer son rôle de « MitM » dans la chaîne de confiance mise en place avec SPF, DKIM, DMARC, etc ?

    • > Une idée de la façon dont mailinblack peut gérer son rôle de « MitM » dans la chaîne de confiance mise en place avec SPF, DKIM, DMARC, etc ?
      As-tu déjà eu la curiosité de remonter la récurrence SPF de mailinblack.com?

  4. > Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliqué que ça pourrait limite devenir un champ d’expertise à part entière
    Sauf que ça n’intéresse plus personne de faire de l’hébergement mail compte tenu de la rentabilité économique du truc. Du coup, il y a de la place pour les CHATONS 🙂

    • Je suis d’accord, mais quand même… grmpf Est-ce qu’il mettrait de la doc qq part pour expliquer correctement le pb ? Bah non, les liens qu’ils mettent dans les messages d’erreur de leur smtp ne sont plus valides (et ne parlons pas de Microsoft qui cache son lien de dé-blacklist).

      Pourquoi je voudrais qu’ils fassent ça ? « À grand pouvoir, grandes responsabilités ». Je crois avoir montré leur pouvoir de nuisance, j’aimerai qu’ils prennent leurs responsabilités.

      Bon sinon, pour Sympa, pour éviter les problèmes avec yahoo et consorts, faut modifier le paramètre « Protection DMARC » de la page d’administration « DKIM » de la liste.

  5. Bonjour,

    (Questions peut-être débiles mais proportionnelles à mon étonnement sur la « gouvernance » ou plutôt l' »ingérance », malgré mon militantisme en dégooglisation et logiciels libres « côté client »)

    « Si ces acteurs étaient de tailles modestes, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas 🙁  »
    « Ils peuvent dicter leur loi, de la même façon qu’IE6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui. C’est surtout ça qui me dérange. »

    Est-ce qu’il pourrait y avoir des moyens au moins en isolant certains contacts « non obligatoires » (pas professionnels, débiteurs etc), avec une info claire du pourquoi on ne leur écrit plus ? (Leur donner l’info par tel ou sms, si on ne leur écrit plus 🙂 ) Personnellement on peut le faire bien sûr, mais ça ne servirait à rien, il faudrait un « mouvement » (pas comme enmarche, plutôt comme le 30/03/17 vers Mastodon).
    IE a presque coulé, même si au bénéfice de chrome. Ok les navigateurs n’ont pas la même portée que les mails, mais en adaptant à l’usage des mails et en « limitant » aux particuliers, il y a peut-être quelque chose de possible sur quelques uns (peut-être assez nombreux pour inquiéter les gros) ?
    Ou si des clients de ces gros leurs écrivaient, en nombre, pour leur dire de débloquer leurs contacts (eux aussi ça peut les gêner de ne pas recevoir les mails de leurs clients/fournisseurs/avocats…) ?

    Autre question : passer par des RFC (que je n’arrive pas à comprendre malheureusement) serait-il possible et pourrait-il servir à quelque chose en limitant des décisions « capricielles » unilatérales ? Ou est-ce que c’est aussi les 3-4 mêmes qui les rédigent ?

    En gros, est-ce que d’autres angles d’attaque seraient possibles ou est-ce que tout* a déjà été essayé et qu’on ne peut plus que compter les morts ? :p


    morgpion


    * Tout ? Non, un irréductible mouvement résiste encore et toujours à l’envahisseur : « dégooglisons internet », mais il est bien modeste, encore 😉

Les commentaires sont fermés.