Le pouvoir de nuisance des silos de mail

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc.

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon ok, il y en a une part qui ne doit servir qu’à avoir un compte pour son télé­phone android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids, et même un poids certain.

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

Petits exemples vécus :

  • Micro­soft bloque tout nouveau serveur mail qu’il ne connait pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main). Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6).
  • Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ?
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes. Et Yahoo a publié un enre­gis­tre­ment DMARC indiquant que tout mail ayant pour expé­di­teur une adresse yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça fout le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. (notez qu’AOL fait la même chose)

On peut le voir, le pouvoir de nuisance de ces trois silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse yahoo. Et comme il y a encore pas mal de gens possé­dant une adresse yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Si ces acteurs étaient de tailles modestes, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas :-(

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

EDIT : Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104]. C’est telle­ment connu que Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée : https://blog.network-studio.fr/2011/06/30/too-many-connec­tions-slow-down/.

Crédits : Illus­tra­tion de Vincent Van Gogh, Joseph Roulin assis

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.

Me soutenir sur Tipeee Me soutenir sur Liberapay

14 réflexions au sujet de « Le pouvoir de nuisance des silos de mail »

  1. Quoi quoi quoi tu ne sais pas quels autres domaines !!! – « Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. » je trouve marrant de voir que pour un commentaire mon Nom* apparaît tout seul – mon Adresse de messagerie* apparait toute seule mais mais mais mon Site web lui faut que je le rensigne à la main. Allez bande de putois, je vous aime comme je suis.

  2. SPF, DNSSEC  je pense que la conjonction est une coïncidence

    En fait Gmail exige que les mails qui lui sont envoyés de domaines extérieurs disposent à minima d’un enreg SPF voir d’une clé DKIM. Gmail applique les mécanismes DMARC
    https://support.google.com/a/answer/2466580
    qui testent que l’un et/ou l’autre de ses méthodes d’authentification soit utilisée.
    Tout ça c’est pour lutter contre le SPAM. Du coup c’est vrai que faire de la messagerie « proprement » devient un vrai métier

    1. Soit disant pour lutter contre le spam. Mettre des batons dans les roues des autres, c’est pas mal aussi.

      Quand on regarde comment fonctionne Gmail (et outlook.com, etc) dans l’autre sens, c’est pas propre non plus ! Grosso-modo, ils mettent toute la Terre en SPF, lancent un mail depuis plusieurs serveurs, donc on peut pas faire du greylisting, ce qui est pourtant une bonne méthode de lutte antispam.

      1. C’est vrai : autant il est clair qu’ils ont besoin de plusieurs serveurs de mail, autant ils pourraient essayer de faire les nouvelles tentatives d’envoi depuis le même serveur. Je me demande pourquoi ils ne le font pas.

    2. > Du coup c’est vrai que faire de la messagerie « proprement » devient un vrai métier

      Ouép, heureusement qu’on a des vrais pros comme MailInBlack hein

      Plus sérieusement, ça devient en fait de moins en moins un métier : aujourd’hui, de plus en plus, l’approche la plus professionnelle revient – hélas! – à déléguer à un des gros acteurs sus-cités. Et beaucoup d’acteurs de moindre taille – je ne connais pas assez ta propre activité pour avoir un avis dessus – sont du coup un peu largués.

      Une option, qui revient souvent quand on discute entre administrateurs de messagerie (pro et/ou auto-hébergés), c’est de la pertinence d’une sorte de label, ou de groupement, de serveurs de messagerie qui se font un minimum confiance.

    3. Tu veux dire que la catégorisation spam des domaines sans SPF est apparue pile au moment où j’ai activé DNSSEC sur mon domaine ? C’est assez gros comme coïncidence. Il me semble, mais je peux me tromper, que mes domaines sans SPF mais sans DNSSEC n’avaient pas de problème.

      Je viens d’envoyer un mail depuis un domaine qui n’a pas de SPF, depuis une machine qui n’a rien à voir avec le domaine, et ça passe. (oui, j’ai encore un domaine sans SPF)

      Bon, le problème de ma démonstration est que maintenant Gmail marque « expéditeur via machine d’envoi » s’il n’y a pas de SPF. Mais je te jure qu’au moment de mon passage à DNSSEC, les mails sans SPF passaient nickel pour peu qu’il n’y ait pas de DNSSEC.

      Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliqué que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, c’est tous les administrateurs de mail qui s’enrhument.

      Ils peuvent dicter leur loi, de la même façon qu’IE6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui. C’est surtout ça qui me dérange.

  3. À propos de mailinblack, une anecdote :

    Il y a quelques mois, un client dont on héberge les mails nous appelle pour se plaindre de ne pas recevoir certains mails. Vérification faite, cela correspond au moment où j’ai mis en place la vérification SPF sur notre serveur (postfix-policyd-spf-python). Or, les MX du client étaient ceux de mailinblack. Donc tous les mails reçus par le clients semblaient provenir de chez eux. Pour peu que le domaine de l’expéditeur ait une règle SPF stricte (comme celle imposée par Microsoft par exemple), notre serveur rejetait donc les mails s’ils venaient de mailinblack.

    J’ai botté en touche avec le client en disant que je ne faisait qu’appliquer une règle de sécurité standard et que c’était à mailinblack de faire en sorte que leur système fonctionne.

    Quelques temps plus tard, je reçoit un appel de quelqu’un de mailinblack qui veut discuter du problème. il me parle de whitelist et de trucs du genre et a eu l’air de débarquer lorsque je lui ai expliqué que ce n’était pas possible, que le « problème » ne concernait pas nos serveurs ou les leurs mais venait des règles SPF des domaines des expéditeurs tiers, par nature impossibles à maîtriser. J’ai en outre fait part de mon étonnement qu’ils n’aient l’air de découvrir ce problème que maintenant, de la part d’un « petit » hébergeur de mail qui plus est. On m’a répondu qu’on allait se pencher sur le problème, et qu’on me recontacterait si besoin.

    Depuis, aucun retour de mailinblack ni même du client, donc je suppose que le problème a été résolu. Une idée de la façon dont mailinblack peut gérer son rôle de « MitM » dans la chaîne de confiance mise en place avec SPF, DKIM, DMARC, etc ?

    1. > Une idée de la façon dont mailinblack peut gérer son rôle de « MitM » dans la chaîne de confiance mise en place avec SPF, DKIM, DMARC, etc ?
      As-tu déjà eu la curiosité de remonter la récurrence SPF de mailinblack.com?

  4. > Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliqué que ça pourrait limite devenir un champ d’expertise à part entière
    Sauf que ça n’intéresse plus personne de faire de l’hébergement mail compte tenu de la rentabilité économique du truc. Du coup, il y a de la place pour les CHATONS

    1. Je suis d’accord, mais quand même… grmpf Est-ce qu’il mettrait de la doc qq part pour expliquer correctement le pb ? Bah non, les liens qu’ils mettent dans les messages d’erreur de leur smtp ne sont plus valides (et ne parlons pas de Microsoft qui cache son lien de dé-blacklist).

      Pourquoi je voudrais qu’ils fassent ça ? « À grand pouvoir, grandes responsabilités ». Je crois avoir montré leur pouvoir de nuisance, j’aimerai qu’ils prennent leurs responsabilités.

      Bon sinon, pour Sympa, pour éviter les problèmes avec yahoo et consorts, faut modifier le paramètre « Protection DMARC » de la page d’administration « DKIM » de la liste.

  5. Bonjour,

    (Questions peut-être débiles mais proportionnelles à mon étonnement sur la « gouvernance » ou plutôt l' »ingérance », malgré mon militantisme en dégooglisation et logiciels libres « côté client »)

    « Si ces acteurs étaient de tailles modestes, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas  »
    « Ils peuvent dicter leur loi, de la même façon qu’IE6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui. C’est surtout ça qui me dérange. »

    Est-ce qu’il pourrait y avoir des moyens au moins en isolant certains contacts « non obligatoires » (pas professionnels, débiteurs etc), avec une info claire du pourquoi on ne leur écrit plus ? (Leur donner l’info par tel ou sms, si on ne leur écrit plus ) Personnellement on peut le faire bien sûr, mais ça ne servirait à rien, il faudrait un « mouvement » (pas comme enmarche, plutôt comme le 30/03/17 vers Mastodon).
    IE a presque coulé, même si au bénéfice de chrome. Ok les navigateurs n’ont pas la même portée que les mails, mais en adaptant à l’usage des mails et en « limitant » aux particuliers, il y a peut-être quelque chose de possible sur quelques uns (peut-être assez nombreux pour inquiéter les gros) ?
    Ou si des clients de ces gros leurs écrivaient, en nombre, pour leur dire de débloquer leurs contacts (eux aussi ça peut les gêner de ne pas recevoir les mails de leurs clients/fournisseurs/avocats…) ?

    Autre question : passer par des RFC (que je n’arrive pas à comprendre malheureusement) serait-il possible et pourrait-il servir à quelque chose en limitant des décisions « capricielles » unilatérales ? Ou est-ce que c’est aussi les 3-4 mêmes qui les rédigent ?

    En gros, est-ce que d’autres angles d’attaque seraient possibles ou est-ce que tout* a déjà été essayé et qu’on ne peut plus que compter les morts ? :p


    morgpion


    * Tout ? Non, un irréductible mouvement résiste encore et toujours à l’envahisseur : « dégooglisons internet », mais il est bien modeste, encore

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *