Re: [sympa-fr] champ From:

[David Verdin <adresse@cachée>]

Le 04/03/15 16:05, Patrick Proniewski a écrit :

On 4 mars 2015, at 11:23, David Verdin <adresse@cachée> wrote:

Et pour préciser la notions d'alignement, voir la page 8 de la RFC (https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/?include_text=1), c'est assez simple :

"
   Identifier Alignment:  When the domain in the RFC5322.From address
   matches a domain validated by SPF or DKIM (or both), it has
   Identifier Alignment.
"

Ouip, je suis en train de re-lire la doc DMARC. En gros c'est potentiellement contournable avec SRS si on est prudent : on peut en effet décider de réécrire le RFC5322.From en plus du From de l'enveloppe. Si on peut appliquer cette réécriture avec discernement ET signer DKIM après la réécriture, on devrait être bordé (RFC5322.From de ton domaine, et DKIM de ton domaine). J'ai pas testé...

Se créer une boîte mail chez yahoo.com et gmail est un bon moyen de tester.
Perso, j'ai la collèque : gmail.com, yahoo.com et laposte.net.
Tous les boulets...

Heureusement, DMARC est assez peu utilisé en France pour le moment. C'est surtout yahoo.com qui pose problème avec son "p=reject".
Mais il y a gros à parier que cette RFC va faire des émules.

Disons les choses clairement, ils sont cons chez Yahoo. Leur décision d'à la fois signer très largement les entêtes, et de mettre DMARC en reject en exigeant que DKIM passe est une absurdité. Je ne suis pas sûr que ce soit une bonne décision de se plier à leur marotte. À part casser toutes les mailings lists du monde sauf les leurs, je ne vois pas ce que cela apporte. 
Cette attitude psychorigide est contre productive, et maintenant c'est tous les postmasters de la planète qui doivent travailler pour que les utilisateurs de Yahoo puissent envoyer des mails, le monde à l'envers.

Paradoxal, hein ?
Parce que, si le message de yahoo n'arrive pas, on considère que c'est de la faute du serveur du destinataire ou de serveur de listes.
Intuitivement, ça se comprend : du point de vue de l'expéditeur du message, il l' a bien envoyé. Donc si ça n'arrive pas, c'est que quelque chose a cloché après. Et "après", on a tendance à le voir directement du côté du destinataire...

Pour revenir sur le sujet de l'adoption, je pense que DMARC est intéressant, mais il pose de gros défis. Largement au delà de DKIM ou SPF. Je suis juste en train de préparer l'adoption de SPF à Lyon 2, rien que ça c'est un gros chantier : il faut éduquer les +2000 personnels, leur expliquer pourquoi demain ils ne pourront plus envoyer des mails professionnels via le SMTP de leur FAI ou de leur opérateur téléphonique, qu'il faudra impérativement passer par le smtp authentifié de l'établissement, etc.

Les webmails et autres activesync sur les smartphones sont de bons moyens pour cela.
Mais en effet, éduquer 2000 personnes... Bon courage !

J'ai publié une policy DMARC chez moi, pour tester, et j'ai eu l'occasion de la mettre en p=reject pendant une bonne semaine en décembre :

Alors ? Beaucoup de listes de diffusion ont râlé ?

 des spammers avaient décidé d'envoyer des milliers de messages avec mon adresse perso comme From.

Y a plus de respect...

Je n'ai pas encore mis en place de filtrage sur DMARC, je filtre sur SPF, et l'antispam tire quelques conclusions de DKIM.

Voui, c'est déjà pas mal.
DMARC, ça semble un bon moyen de se protéger contre les usurpations d'identités. Le problème, c'est que c'est le mode paranoïaque. On ne fait confiance qu'à soi-même, et tout entête qui pourrait avoir été positionné par un autre n'est pas digne de foi. J'attends les résultats de tes tests avec SRS, mais j'ai quelques doutes sur la possibilité de contourner DMARC aussi proprement. Mais si tu y arrives, on est preneurs !

Bonne fin de journée,

David

Patrick PRONIEWSKI

--
A bug in Sympa? Quick! To the bug tracker!

David Verdin Études et projets applicatifs
Tél : +33 2 23 23 69 71 Fax : +33 2 23 23 71 21   www.renater.fr	RENATER 263 Avenue du Gal Leclerc 35042 Rennes Cedex

Attachment: smime.p7s
Description: Signature cryptographique S/MIME