Être un géant du mail, c’est faire la loi…

Temps de lecture 9 min

image_pdfimage_print

Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.

Quand les facteurs deviennent shérifs…

« Bonjour, c’est moi qui fais la loi ! »
Par Mennonite Church USA ArchivesAlta Hershey, Incoming Mail, 1957, No restrictions, Link

Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.

Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !

Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.

Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).

Le pouvoir de nuisance des silos de mail

Crédits : Illus­tra­tion de Vincent Van Gogh, Joseph Roulin assis

par Luc Didry, aka Framasky.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids dans les échanges mondiaux [nous, on en a trouvé : 1,6 milliard de comptes à eux trois en 2016 – NdF].

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

WARNING : la liste à puce qui suit contient des exemples techniques un poil velus. Nos notes vous aideront à y survivre, mais vous avez le droit de la passer pour lire la suite des réflexions de Luc. Ah, et puis il a son franc-parler, le loustic. ^^ – NdF.

Petits exemples vécus :

  • Micro­soft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
  • Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC [une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF [une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enre­gis­tre­ment DMARC [une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expé­di­teur une adresse Yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
  • Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104] [« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est telle­ment connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée.
Pour s’en remettre, voici une image qui fait plaisir…

On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possé­dant une adresse Yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.

Si ces acteurs étaient de taille modeste, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.

Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

 

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.

Suivre Framasoft:

Réseau d'éducation populaire au Libre. Nous souhaitons faire le trait d'union entre le monde du Libre (logiciel, culturel, matériel, etc.) et le grand public par le biais d'une galaxie de projets à découvrir sur framasoft.org

17 Responses

  1. Flo

    Ce que je comprends en lisant tout cela, c’est que finalement une série de mesures ont étaient rendues obligatoires par les géants du net pour communiquer via leurs serveurs:

    * DKIM,
    * DNSSEC,
    * SPF,
    * DMARC
    * et d’autres certainement.

    J’ai fait une petite recherche et a priori toutes ces technologies ont des spécifications qui sont accessibles et elles sont plutôt faciles à mettre en place pour peu qu’on sache gérer son serveur et ses DNS.

    Donc OK je comprends la frustration sur le fait de se voir imposer des fonctionnalités qui ne sont pas obligatoire, mais par contre pourquoi s’en passer si elles sont si simples et évite à un serveur lambda de se faire cataloguer comme spammeurs ?

    Plutôt qu’un billet comme celui-ci, un tourné sur la liste des fonctionnalités à mettre en place sur un serveur et les raisons de le faire aurait été à mon avis plus intéressant.

    Qui plus est quand la conclusion invite à aller vers « un Inter­net d’avant » ! Non, certainement pas. Allons plutôt vers un internet du futur géré par des microservices qui communiquent de manière sécurisée en utilisant au maximum ces technologies et protocoles qui rendent peut-être la vie plus compliquée pour les DevOps et Dev, mais tellement plus simple pour les utilisateurs.

    • Sweet

      Pour avoir monté mon domaine perso’, je peux t’assurer que la réalité est bien plus sombre que ce que l’article laisse entendre.
      En réalité, l’utilisation de DKIM, SPF, etc… n’est respecté que par GAFAM.
      Pour les autres fournisseurs, si tu ne viens pas de GAFAM alors tu es blacklisté d’office.

      Mon domaine fonctionne très bien avec GAFAM. J’ai fait également quelques tests avec des validateurs sur le web où j’obtiens de meilleurs notes qu’avec une adresse Gmail.
      Histoire de tester davantage, j’ai envoyé un email à mon adresse pro’ (géré par le cloud de Symantec). Je me suis fait rembarrer direct avec pour seul justificatif « détection heuristique de spam ». Leurs anti-spams n’a même pas pris la peine de vérifier le HELO, la clé DKIM, etc…
      L’antispam m’a au moins envoyé un email pour me prévenir que mon email a été bloqué avec possibilité de le débloquer, mais bon… Il ne contient que l’adresse émettrice. Je ne vois pas comment un utilisateur pourrait faire un autre choix que d’ignorer un email bloqué s’il ne peut même pas lire le nom de l’expéditeur et l’objet de l’email et donc détecter un faux positif. Une fois débloqué, la vérification DKIM pète parce que l’antispam a modifié mon email… Par la suite, les emails suivants sont également bloqués.
      J’ai fait un deuxième test avec une adresse Gmail avec un objet louche contenant « newsletter », un contenu à base de viagra, de prostitués Thaïlandaises avec demande de coordonnées bancaire (le bon gros spam bien velu) et c’est passé comme une lettre à la poste.
      Pire encore, dans ma boite pro’, je reçois parfois des emails de sociétés qui sont complètement à poil (pas même une entrée SPF).

      Les communautés de logiciels libres ne font pas forcément mieux. Par exemple, la liste de diffusion debian-user-french ignorent les emails provenant d’IP de FAI.

      En conclusion : Au mieux, l’utilisation des différentes solutions de réductions de SPAM est royalement ignoré, le spam est détecté en fonction de la réputation de l’émetteur qui n’a même pas la possibilité de montrer patte blanche. Seule solution : Utiliser un relais smtp de GAFAM. Retour à la case départ.

    • Framasky

      > une série de mesures ont étaient rendues obligatoires par les géants du net pour communiquer via leurs serveurs

      Non, tu n’as pas tout à fait compris. Deux mesures n’ayant **strictement rien** à voir sont devenues toutes les deux nécessaires quand on en active une (DNSSEC et SPF)

      Quand à Yahoo, ils ont activé une politique DKIM tellement stricte qu’elle casse le fonctionnement habituel des listes de diffusion. Si on faisait ça pour le web, un acteur qui serait extrêmement strict sur les *ciphers* utilisés pour l’https bannirait de fait un grand nombre d’utilisateurs qui ne disposent pas d’un navigateur suffisamment à jour (et avec les navigateurs des ordiphones qui ne bénéficient généralement pas longtemps de mises à jour, ça ferait des ravages).

      > pourquoi s’en passer si elles sont si simples

      Parce que ce n’est pas si simple que ça.

      > Plutôt qu’un billet comme celui-ci, un tourné sur la liste des fonctionnalités à mettre en place sur un serveur et les raisons de le faire aurait été à mon avis plus intéressant.

      Le framablog n’est pas un blog technique. Et l’article initial (le mien) était un coup de gueule parce que j’ai saturé de toutes les c****ries que mettent en place les silos de mail.

      > géré par des microservices qui communiquent de manière sécurisée en utilisant au maximum ces technologies et protocoles qui rendent peut-être la vie plus compliquée pour les DevOps et Dev, mais tellement plus simple pour les utilisateurs.

      J’ai pas l’impression que tu sois admin sys. Déjà, je ne vois pas ce que viennent faire les micro-services là-dedans, et ensuite je ne vois pas en quoi la complexité de ce qui tourne sur un serveur (qu’on tend toujours à réduire, la complexité) impacte celle des utilisateurs.

      > Qui plus est quand la conclusion invite à aller vers « un Inter­net d’avant » !

      Tu n’as pas compris la conclusion : c’est retourner à un Internet décentralisé comme avant, quand aucun acteur n’avait plus de pouvoir qu’un autre.

  2. Serge Pintout

    Ouhaa ! Je ne suis pas tout seul…
    En tant que petit hébergeur, je rencontre de + en + de soucis de blacklistage intempestif de la part des GROS.
    Orange particulièrement, dont la cellule abuse@orange.fr ne sait même pas comment dé-blacklister. Heureusement, j’ai fini par savoir que c’est CloudMark qui est chargé par eux de la surveillance des serveurs de Spams. MXToolBox ne référence pas Cloudmark… C’est pratique !?
    Maintenant c’est TrendMicro qui me blackiste une IP et qui refuse de me blanchir.
    On ne sait pas pourquoi on est blacklsité et il n’y a aucun mécanisme de déblocage… À mon avis ça va finir par bloquer dans tous les coins et ce sera la mort du petit commerce de proximité.
    Encore un combat à mener contre le GAFAM et consort…
    Serge

  3. Breizh

    Dire que ces trucs sont simple à mettre en place montre que tu ne l’as jamais fais. Monter un serveur mail auto-hébergé est extrêmement complexe. Déjà, le fait de devoir, quand on est chez Orange, passer par leurs relais pour l’envoi, pose problème.

    Du coup, je m’embête pas : j’utilise yunohost, avec la config par défaut, hormis que j’ai viré le vérification HELO et ajouté le relais Orange. J’ai un score faible voire négatif sur certains testeurs, mais je m’en fiche : mon serveur est bien configuré, les mails partent et arrivent, et seuls les utilisateurs enregistrés peuvent utiliser le serveur SMTP.

    Si on reçoit pas mon mail, c’est pas de ma faute, mais celle de toutes ces règles absurdes. Je n’ai aucun anti-spam sur mes clients mails, et j’ai désactivé l’anti-spam de mon serveur. Au final, je n’ai reçu que 3 mails indésirables, venant de la même adresse et visiblement envoyés à la main (et face auquel les anti-spam auraient probablement été peu efficaces). Et j’ai pas de problèmes de faux positif.

    • Frédéric Urbain

      Si, nous. Nous nous efforçons de respecter les principes de l’écriture épicène. On ne va quand même pas rester sur de vieux principes selon lesquels « le masculin l’emporte », hein ? Il n’y a pas que l’informatique qu’il faut faire évoluer. La route est encore plus longue côté mixité, si ça tombe.

      • Michel Patrice

        Il n’y a pas que l’informatique qu’il OU ELLE faut faire évoluer, espèce de phallocrate!

  4. Philippe Ladame

    Bonjour,

    Hélas, je confirme ce qu’explique Luc et que nous (Ouvaton) subissons.
    Le comportement de Yahoo pour les listes est une plaie.
    Et, en ce moment, les serveurs Microsoft (Hotmail notamment) se permettent de mettre en attente nos mails de manière aussi opaque qu’inconstante.
    C’est galère à résoudre … pot de terre vs pot de fer … espérons qu’un jour ça devienne David vs Goliath 😉

    Cordialement
    Philippe (Ouvaton)

    • Framasky

      De temps en temps, on a aussi les serveurs de Facebook qui disent « Non, j’ai pas envie de prendre vos mails maintenant. ». Sans qu’on nous donne aucune raison. C’est d’un pratique pour trouver ce qui pourrait éventuellement ne pas aller (je dis éventuellement parce que je ne vois pas ce qui peut clocher, Facebook étant le seul à faire ça).

  5. jmax

    Pour hotmail, voici le message reçu lors de mon dernier changement de serveur mail:

    550 SC-001 (BAY004-MC1F52) Unfortunately, messages from 62.xxx.yyy.117 weren’t sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))

    Il faut alors remplir un formulaire, pas simple à trouver, pour demander l’autorisation d’émettre des emails vers les serveurs de Microsoft, autorisation accordée sans être prévenu: opacité totale.

  6. Bj

    J’ai une adresse courriel chez OVH (serveur mutualisé). Que pensez-vous de cette solution, à mi-chemin entre adresse chez un GAFAM et un serveur de messagerie conçu par ses propres soins ?
    Je n’ai jamais rencontré de souci d’envoi vers des adresses gmail par exemple, et j’ai pris 5 minutes à configurer mon adresse.

  7. kolo

    Sans oublier également la mafia des anti-spams, Avec démarchage (oeuf curse).

    Utiliser nos service anti-spam ? c’est gratuit.
    Vous êtes sur nos listes? c’est un faux positif? On vous retire de nos listes ? Ok c’est payant.

    « fuyez pauvre fou »

  8. Mathieu

    En fait le problème se produit aussi avec Free (blacklist de l’IP si le taux d’erreur est trop important) et avec tous les serveurs un peu soupe au lait (y compris parfois OVH).

    D’expérience, il suffit parfois d’un reverse incorrect, d’une réponse « adresse inexistante » sur les postmaster@ pour que le serveur en face fasse la grimace. J’ai vu aussi certains serveurs qui reçoivent en IPv6 mais rejettent tous les mails qui passeraient en IPv6 ! oO

    Pour abonder dans le sens de l’article, voici ce que j’avais écris l’an dernier à propos de la galère du petit fournisseur à ne pas se faire jeter dehors : https://uname.pingveno.net/blog/index.php/post/2016/02/09/Diminuer-le-taux-de-rejet-des-mails-sortants-pour-un-fournisseur-de-bo%C3%AEtes-mail (si l’auto-promo est interdite vous pouvez supprimer le lien)

    Merci pour cet article en tout cas.

  9. Clovis

    Bonjour,

    Tout d’abord merci pour toutes ces informations. Je lis toutes ces conversations avec beaucoup d’intérêt. Il y a beaucoup de choses que je ne maîtrise pas du fait que je n’ai aucune compétence technique en informatique. Cependant, je suis la communauté Framasoft avec beaucoup d’intérêt et essaie à mon niveau de l’utiliser et le promouvoir. Je m’excuse d’avance si je suis hors-sujet, mais pour répondre à ces « problèmes », je ne vois pas d’adresse mail en « libre » et sécurisé, je n’ai rien trouvé sur le site Framasoft et des autres que je connais.

    A l’heure actuelle, pour se dégoogliser, se dégafamer, je cherche au moins une adresse courriel en dehors des géant et sécurisé. Il faut aussi que cela soit relativement simple et pratique, le tout pour un néophyte.

    J’ai vu deux pistes : OVH et Proton, qu’en pensez-vous ? A qui peut-on faire confiance? Selon l’adage, « Si tu ne paie pas, demande toi qui est le client » ; faut-il payer pour un bon service ? Qui est sécurisé ?

    En vous remerciant d’avance,

    Clovis