Lutte contre le spam : Découvrez comment votre hébergeur vous protège

On estime que jusqu’à 95% des emails échangés sur le net sont du spam. Parmi ceux-là, 85% de ces emails seraient envoyés par des « botnets », c’est à dire des ordinateurs ou serveurs infectés.

Est-il encore possible de faire la différence entre un mail légitime et un spam ? Comment font les hébergeurs pour protéger leurs fervents utilisateurs de mails ?

Réponses.

Le système de mails est intrinsèquement insécurisé

Les emails ont vu le jour dans les années 60, pour arriver dans les années 70 à une forme finalement assez proche de ce que l’on connait encore aujourd’hui. Le standard email alors mis en place, laisse à l’expéditeur la liberté de choisir l’adresse qu’il affiche en tant qu’expéditeur du mail. Cela signifie que sans aucune vérification, n’importe qui peut alors envoyer un email en tant que n’importe qui à n’importe qui.

Cette manière d’indiquer comme expéditeur d’un mail une adresse qui ne nous appartient pas s’appelle le «mail spoofing» qui est donc une sorte de contrefaçon du mail.

Le problème ? Ce fonctionnement est toujours actuel ! Rien n’empêche en effet le mail spoofing dans la norme de mail de base. Ainsi, le système de mails est intrinsèquement insécurisé.

Alors tout est-il perdu pour les emails ? Pour l’heure, le monde n’est pas encore prêt à se séparer des emails. De nombreux moyens existent heureusement désormais pour reconnaître un bon nombre de spams et les rejeter avant même qu’ils n’arrivent dans la boîte des destinataires. Nous allons vous détailler ces moyens.

Des normes d’authentification des emails pour les hébergeurs

A ce jour, un minimum de 6 « normes » -imposées par la force des choses car il n’y a pas de consensus- existent pour vérifier l’authenticité d’un mail. Si elles ne sont pas respectées, il y a de fortes chances que le mail soit rejeté, avec un message de rejet envoyé à l’expéditeur, appelé « Mail de bounce », expliquant la raison technique du rejet.
Si les détails techniques vous intéressent, vous trouverez une explication détaillée sur notre wiki.

Les 4 normes élémentaires à respecter pour qu’un mail soit accepté

HaiSoft fait en sorte de vérifier que les courriers entrant respectent ces règles.
Bien-sûr, tous nos clients ayant un domaine chez nous sont configurés de sorte à respecter ces règles par défaut.

  • Le MX : Il s’agit là d’une règle de bon sens : l’on accepte pas un email d’un domaine qui n’existe pas ou auquel on ne peut pas répondre. Il donc est vérifié que le domaine de l’expéditeur (la partie après le @) existe bien et que celu-ci possède bien un « MX » c’est à dire peut recevoir des mails, sur le serveur SMTP défini en MX du domaine.
  • Le HELO / Reverse IP : Il s’agit ici de vérifier que le serveur d’envoi est un minimum sérieux et qu’il ne s’agit pas d’un vulgaire botnet, qui comme indiqué en préambule, constitue la vaste majorité du spam envoyé. La vérification est simple mais l’explication est un peu technique. Les emails sont échangés via des serveurs SMTP. Le « HELO » est le message de présentation envoyé par un serveur SMTP lorsqu’il envoit un email. Le HELO doit être un nom de domaine (ou sous-domaine) valide. Ce domaine doit pointer vers l’adresse IP du serveur SMTP. Le rDNS (reverse DNS) de cette IP doit être le même nom de domaine que le HELO. Aussi, le rDNS ne doit pas être celui par défaut (par exemple celui d’un opérateur, avec l’IP à l’envers figurant dedans) mais doit correspondre à un nom en rapport avec le service ou le prestataire de services. Par exemple, chez HaiSoft, si vos mails sont gérés sur srv01: l’IP du serveur est 154.41.66.1 dont le reverse est srv01.haisoft.net, le HELO du serveur de mails est srv01.haisoft.net; tout est cohérent, la boucle est bouclée.
  • Les blacklist : Des listes publiques d’expéditeurs de spams existent. On les appelles dans le jargon des « RBL » (realtime blackhole list). Si l’IP expéditrice est listée sur l’une de ces RBL, le serveur SMTP destinataire rejettera probablement le mail. Il faut alors stopper l’envoi de spams et effectuer les demandes de délisting auprès des organismes vous ayant listé. Pour certains, il suffit de patienter. Vous pouvez tester le blacklisting d’une IP via MXToolbox.
  • La règle SPF : SPF est sûrement la règle la plus élémentaire et centrale aujourd’hui. Le « Sender Policy Framework » permet de définir les serveurs habilités à relayer les emails d’un domaine. Cette règle est présente sous forme de règle TXT dans la zone DNS du domaine. Cela permet d’éviter le « mail spoofing », c’est à dire qu’une tierce personne envoie des emails à votre nom. Par exemple, un email @gmail.com ne sera accepté que s’il provient d’un serveur appartenant à Gmail et indiqué dans la règle SPF du domaine « gmail.com ». Une règle SPF peut être stricte ou non stricte (rejet total des emails ne respectant pas la règle, ou au choix du destinataire) en fonction de si elle se termine par « -all » ou « ~all ». Il faut noter que c’est le destinataire qui vérifie si le mail reçu répond bien à la règle SPF du domaine expéditeur ou pas. HaiSoft a embrassé la norme en fournissant depuis plusieurs années déjà une règle SPF non stricte par défaut, et dernièrement, cette règle est devenue stricte par défaut pour les nouveaux clients.

Des vérifications plus poussées

  • La signature DKIM : DKIM permet de chiffrer une partie de vos emails sortants par un code qui n’est déchiffrable qu’avec la clé publique présente dans votre zone DNS. Cela permet d’augmenter l’authentification des emails envoyés par votre domaine car seul un mail envoyé depuis votre serveur pourra respecter ce chiffrement. La clé DKIM publique s’inscrit sous forme d’entrée TXT dans votre zone DNS. Vous pouvez activer DKIM en quelques clics via Plesk.
  • La règle DMARC : DMARC permet de choisir une action en cas de non-respect de DKIM ou de SPF : rejeter les emails, accepter X pourcentage des emails, envoyer un mail de rapport hebdomadaire à une adresse définie, etc. Cela permet de s’assurer à 100% que les faux mails seront rejetés par vos destinataires vérifiant DMARC. Les nouveaux clients ont une règle DMARC par défaut. Les anciens clients peuvent l’ajouter via leur zone DNS ou demander à leur support favori de le faire pour eux !

Les filtre anti spam

Au delà des standards à respecter sur les envois, des filtres anti-spam vérifient le contenu des mails. Cela permet de tenter de se prémunir contre le pire spam envoyé : Celui qui est parfaitement authentifié et semble techniquement légitime, mais qui est en fait indésirable.

Les anti spam filtrent donc les mails par rapport à leur contenu, à la recherche de mots clé, d’erreurs de formatage ou même par rapport au client de mails utilisé qui est présent dans les en-têtes des mails.

Le filtre anti-spam le plus utilisé est SpamAssassin, qui donne une note au mail : plus cette note est haute, plus il y a de chances que ce mail soit du spam. Chez HaiSoft, ce seuil est réglable indépendamment pour chaque adresse via le panneau de contrôle Plesk et l’action à appliquer (ne rien faire, marquer comme spam, déplacer dans le dossier spam) est paramétrable.

Et ça fonctionne ?

Ces systèmes permettent d’éliminer la vaste majorité des spams.

Parfois, cela fonctionne même un peu trop bien ! Il arrive en effet régulièrement que des utilisateurs aient mal configuré leur domaine ou leur client de messagerie. Vous pouvez alors rencontrer des faux positifs, c’est à dire que des mails sont rejetés alors qu’ils sont légitimes. L’expéditeur, recevant un mail de rejet, comprend généralement que sa configuration est incorrecte et qu’il faut agir pour la corriger, en contactant son hébergeur. Dans certains cas, il est possible de whitelister le serveur d’envoi ou l’expéditeur afin de quand même accepter ces emails incorrects. HaiSoft vous portera assistance dans ce cas-ci mais également s’il s’agit de vos emails qui sont rejetés.

A l’inverse, parfois ces protections ne suffient pas. Dans certains cas, lorsqu’une adresse email est connue de trop nombreux spammeurs, vous continuez de recevoir trop de spam et il faut des solutions plus drastiques. Mais il s’agit là d’un autre sujet et nous verrons cela plus en détails dans un article dédié. Pensez à vous abonner à notre newsletter pour être notifié(e) des futurs articles.

Nous espérons que cela vous permettra de mieux comprendre ce qui fait la délivrabilité des emails, tant en réception qu’en émission. Si vous êtes client HaiSoft et recevez trop de spam ou bien que vos mails tombent en spams, notre support se fera un plaisir de vous aider à parfaire votre configuration.

Laissez un commentaire