Vous l’avez lu dans l’édito de F4GDI dans le Radio-REF d’octobre : le CA du REF a décidé de mettre fin à deux fonctionnalités « historiques » liées au courrier électronique, et cela nécessite quelques explications, car ce n’est évidemment pas de gaîté de cœur que ces choix ont été faits.
Dans un premier temps, il faut donner quelques éléments de contexte concernant le courrier électronique, que l’on a aussi l’habitude d’appeler « mail », « e-mail », voire « courriel », mot-valise que nos cousins Québécois utilisent, et que pour ma part je trouve très adapté. Vous le lirez donc certainement ci-dessous à plusieurs reprises.
Le courrier électronique est aussi vieux qu’Internet, il s’agit d’ailleurs probablement de l’une des premières applications qui aient été développées. Comme plusieurs autres applications de cette époque, elle n’a pas été faite pour être réellement sécurisée, et les protocoles sous-jacents (principalement le protocole SMTP) ne le sont pas réellement non plus. Il est par conséquent tout à fait possible, dans beaucoup de cas, d’usurper l’identité d’un expéditeur. Les problèmes sont donc apparus assez rapidement, quelques années après le lancement « commercial » du réseau Internet au début des années 90.
La situation, depuis, n’a cessé d’empirer : les premiers « spams » du début ont vite été remplacés, dans l’échelle de la nocivité, par les pièces jointes malveillantes (de type virus), puis par le « phishing » (ou « hameçonnage »), désormais omniprésent. Il a donc fallu inventer des mécanismes de sécurité pour essayer de « limiter la casse ».
Nous allons examiner ces mécanismes, mais dans un premier temps, il est important de lister les usages que le REF fait du courrier électronique. Nous pourrons ensuite voir les impacts de l’évolution de la sécurité, sur le fonctionnement de nos services.
Le REF utilise le courrier électronique principalement de trois manières différentes :
1 ) Pour envoyer des informations à ses membres.
Les informations envoyées dans ce cadre peuvent être relatives à la situation du membre vis-à-vis de son adhésion, vis-à-vis des services dont il bénéficie, ou tout autre usage similaire. Il peut également s’agir d’informations non personnalisés et destinées à tous. Il s’agit donc ici d’assurer une communication des responsables du REF vers tout ou partie des membres.
2 ) Pour permettre les échanges entre radioamateurs.
Ces échanges, pour la plupart techniques (ex : les hyperfréquences), concernent toute la communauté des radioamateurs, qu’ils soient membres du REF ou non. Ils utilisent un service spécifique qui s’appuie sur le courrier électronique, que l’on appelle les « listes de diffusion » : un courrier électronique envoyé à une adresse spécifique est redistribué à toutes les personnes « abonnées » à la liste.
3 ) Pour permettre l’utilisation par ses membres d’une adresse en « @r-e-f.org ».
Ce service a été mis en place il y a relativement longtemps, et permet en théorie aux membres du REF qui s’en servent, d’utiliser une adresse de la forme : « indicatif@r-e-f.org » : les courriels envoyés à cette adresse sont immédiatement relayés sur une adresse de leur choix.
Maintenant, regardons quels sont les mécanismes de sécurité mis en œuvre, et comment ils affectent le service du courrier électronique, au point de le rendre parfois inutilisable…
1 ) SPF (« Sender Policy Framework »).
SPF est un mécanisme de sécurité apparu aux alentours de 2003. Peu utilisé au début, il s’est progressivement imposé au fil des ans, et il est désormais déployé sur une immense majorité des serveurs. Ce mécanisme est utilisé pour empêcher la falsification des expéditeurs de courriels. De manière sommaire, SPF permet à un gestionnaire domaine d’où partent des courriels de spécifier les serveurs qui sont autorisés à envoyer ces courriels en son nom (ce qui, auparavant, était totalement libre : n’importe quel serveur dans le monde pouvait envoyer des mails en @r-e-f.org, par exemple !).
Avec SPF, lorsque vous recevez un courriel, le serveur de messagerie du destinataire vérifie si l’adresse IP de l’expéditeur correspond à la liste des serveurs autorisés pour ce domaine. Si ce n’est pas le cas, le courriel peut être considéré comme non authentifié ou potentiellement frauduleux. Cela aide à réduire le spam et les attaques de phishing en garantissant que les courriels proviennent de sources légitimes. Cela n’élimine pas tous les soucis, mais c’est un mécanisme important de sécurité.
La publication des noms des serveurs autorisés se fait via un autre service appelé le DNS (« Domain Name Service »).
Quels sont les impacts négatifs de SPF ?
Vous l’avez compris, désormais, un mail provenant d’un domaine donné (par exemple « @r-e-f.org ») ne peut plus provenir de n’importe quel serveur. La première conséquence de cela, c’est qu’en tant que membre, il vous est désormais impossible ou presque, d’utiliser l’adresse en @r-e-f.org qui vous a été attribuée.
À titre d’exemple, je vais prendre mon cas personnel. Je suis client de l’opérateur « Orange ». Mon alias REF est le suivant : « f8fiv@r-e-f.org », et cette adresse relaie ensuite les messages vers mon adresse chez Orange. Si je demande à quelqu’un qui est chez « Free » de m’envoyer un courriel à l’adresse « f8fiv@r-e-f.org », que va-t-il se passer ? Regardons de plus près :
- le courrier électronique va être envoyé de chez Free, au serveur du REF qui gère le domaine « r-e-f.org » ;
- ce dernier va stocker le courriel, va rechercher dans sa table de correspondance à quelle adresse il faut le relayer ;
- et va le renvoyer à l’adresse en question, qui est donc chez Orange ;
- le serveur de chez Orange va voir arriver un courriel en provenance de chez Free… mais qui lui sera retransmis par un serveur du REF !
- comme Free a publié une liste exhaustive de serveurs autorisés à émettre des courriers en son nom, et que les serveurs du REF n’en font évidemment pas partie, le courriel va être considéré comme suspect et, au mieux, il sera mis dans la « boîte à spam », au pire il sera éliminé purement et simplement.
De la même manière, utiliser mon adresse « f8fiv@r-e-f.org » en tant qu’expéditeur ne peut plus marcher : je suis client chez Orange. Mes courriers électroniques passent donc par leurs serveurs. Imaginons que je veuille envoyer un courriel à quelqu’un chez « Free », mais comme je souhaite que la réponse me soit faite à mon adresse « f8fiv@r-e-f.org », je vais expédier le courriel en utilisant cette adresse. Les serveurs de mail de chez Free vont donc voir arriver un mail provenant, en apparence, du REF (adresse en « @r-e-f.org »), et vont donc vérifier si ce mail a bien été émis par l’un des serveurs du REF. Et là, surprise : le mail provient de chez Orange… La déduction immédiatement faite est que le mail est un spam, et doit être « poubellisé » ou marqué comme spam.
Comme, de plus, certains alias commencent à être « spammés » de manière extrêmement agressive, les serveurs du REF se retrouvent malgré eux, en dépit de toutes les précautions que nous prenons, en position de relais du spam vers les « gros » acteurs du courrier électronique sur Internet (nos opérateurs nationaux tels que SFR, Orange, Free, etc. mais aussi les acteurs internationaux comme Google, Yahoo, Hotmail et consorts). Notre réputation est donc, depuis pas mal de temps, en chute libre, au point que nous avons désormais besoin d’un prestataire externe, que nous payons (près de 750€ par an) pour « blanchir » nos envois, en passant par leurs serveurs qui ont meilleure réputation que les nôtres !
Pour cette raison, nous n’avons pas d’autre choix que de mettre fin à ce service d’alias qui nous pose beaucoup de problèmes. Il s’agissait, à une époque, d’une bonne idée, mais elle a désormais vécu, et il faut admettre qu’en l’état, ce service n’est plus utilisable.
J’ai évoqué plus haut le fait que nous devions désormais faire appel à un prestataire de « blanchiment » de réputation : nous l’utilisons pour tous nos courriers électroniques sortants, qu’il s’agisse de courriers électroniques envoyés via les alias, ou via les listes de diffusion. Croyez-le ou non, nous émettons chaque mois, en règle générale, près de 80.000 courriels par mois. Ce mois-ci nous avons même atteint les 100.000, et cela constitue une limite, par rapport à l’abonnement que nous avons auprès de la société « Brevo » (ex « Sendinblue »).
Comment ce chiffre peut-il être atteint ? Faisons un petit calcul : il y a près de 9.000 abonnés à la liste de diffusion liée au bulletin F8REF. C’est cette liste qui est utilisée pour vous envoyer, tous les mercredis, le courriel vous avertissant de la mise à disposition du bulletin. 9.000 courriels chaque semaine, cela fait 36.000 courriels, rien que pour cet usage. Si l’on ajoute à cela les listes de diffusion ayant un trafic important, telle que la liste « hyperfr », qui comporte 500 abonnés et véhicule parfois plus de 10 mails par jour, vous voyez qu’on peut très vite arriver à un total dépassant la limite fatidique de 100.000 envois.
Eu égard au fait que le bulletin F8REF est, depuis des années, grâce à Jean-Pierre F6BIG, publié tous les mercredis avec une régularité de métronome, nous avons estimé que sa valeur ajoutée n’était pas énorme, et qu’en revanche, le supprimer nous permettait de nous éloigner de la fameuse limite des 100.000 envois. Cela ne change absolument rien à la disponibilité du bulletin lui-même, bien entendu !
Voilà pour une première explication des décisions du CA, mais je suis encore loin d’avoir tout dit, puisque seul SPF a été évoqué. Je continuerai donc, dans les semaines qui viennent, à compléter les explications en passant en revue les autres mécanismes (nommément « DKIM » et « DMARC »), afin de brosser un tableau le plus complet possible de la situation.
Bruno – F8FIV