Cabestan présente le bilan du MAAWG : Vers une harmonisation des procédures d’authentification des emails

Un résumé de Cabestan et Cabestan-Canada, spécialiste de la relation client  et gestion de bases de données qui était présente au MAAWG, Messaging Anti Abuse Workgroup qui vient de s’achever à San Francisco. Le groupe de travail contre les abus de la messagerie évolue et a pris désormais le nom de M3AAWG — également désigné par M3 pour Messaging, Malware and Mobile (Messagerie, Logiciels malveillants et Mobile). Plusieurs conférences étaient organisées pour réfléchir et lutter contre les abus de messagerie, des logiciels malveillants et des mobiles.

Martin Ebongué, Responsable Délivrabilité chez le spécialiste de la relation client et gestion des envois de courriel Cabestan, fait le point sur les ateliers de réflexion organisés lors de ces journées.

Les professionnels du emailing réunis à l’occasion de cette dernière édition du MAAWG ont mis en avant la nécessité de sécuriser davantage les emails via le DMARC ou « Domain-based Message Authentication, Reporting & Conformance ». Plusieurs institutions comme Bank of America, Paypal ou Google ont proposé de travailler au développement d’un protocole plus sûr d’authentification des emails.

L’objectif de cette initiative est d’éviter les problèmes d’usurpation de domaine encore appelés spoofing. Pour cela, un groupe de travail a été constitué avec notamment Facebook, Google, AOL, Microsoft et Yahoo. Pour compléter cette réflexion et apporter des solutions aux entreprises du marché, un site nommé www.dmarc.org a été lancé le 30 janvier dernier.

Cette démarche collégiale se fixe pour but d’harmoniser la façon dont les FAI gèrent l’authentification des messageries Hotmail, Yahoo, Gmail, AOL et d’autres supports comme Facebook ou Paypal, en se basant sur les technologies existantes SPF et DKIM par exemple.

La plupart des technologies utilisées par DMARC existaient déjà sous des marques d’éditeurs de logiciels ou de solution de sécurité.  Aujourd’hui, l’objectif est de les rendre publiques. Deux raisons soutiennent cette évolution: celle d’encourager la contribution des développeurs d’une part, et celle d’éviter les situations de monopole et de contrôle total de l’éditeur en question. Ces derniers ont d’ailleurs été très coopératifs et ont participé au projet. 

Le nouvel outil DMARC permet d’authentifier les identifiants de l’email tout en laissant au destinataire le choix d’accepter ou de bloquer le message.

Il est conçu comme une source d’information pour l’utilisateur, qui peut ensuite prendre une décision. L’identifiant de base pris en compte par ce dispositif est le « from domain » (domaine d’expédition) car c’est lui qui apparaît le plus souvent dans les emails usurpés. La notion de domaine organisationnel a également été introduite. Elle peut s’appliquer par exemple aux routeurs de campagnes emails qui usent d’un domaine  mutualisé pour l’envoi des messages de leurs clients comme à ceux qui utilisent plusieurs sous-domaines.

Ces éléments étaient jusque-là mal gérés, voire oubliés par les protocoles précédant. 

DMARC va proposer un reporting qui permettra d’évaluer le niveau d’usurpation de domaine. Les données agrégées dans ces rapports seront fournies en majorité par les FAIs. Elles permettront d’estimer plus précisément le nombre d’emails frauduleux émis et réceptionnés.

Par contre, les informations délivrées ne concernent pas les questions de délivrabilité et ne permettent donc pas de connaître le nombre d’emails identifiés comme spams (pourriel) ou dirigés vers la boîte de réception. Par exemple, Hotmail utilise aujourd’hui deux procédures de vérification, DKIM (DomainKeys Identified Mail) à 65% et Sender ID à 35%, qui identifient tous deux le domaine expéditeur. Pour le moment, les SPF ou Sender Policy Framework ne sont pas vérifiés par le service de messagerie qui privilégie son propre protocole Sender ID. Mais Hotmail s’est engagé à mettre en place ce mode de contrôle majoritairement employé par les autres opérateurs dès que DMARC sera en place et généralisé. SPF permet d’extraire le domaine de l’émetteur du mail, puis de lui envoyer une requête pour connaître la liste des serveurs de messagerie autorisés à émettre des emails et la comparer avec l’IP émetteur du message.

Cette nouvelle approche va permettre une harmonisation des procédures d’authentification des emails. Pour le moment, les plateformes de routage d’emails étaient contraintes d’intégrer toutes les technologies de vérification. Aujourd’hui, elles seront centralisées. L’ajout du domaine organisationnel doit encore simplifier leur tâche et limiter les faux positifs.