Deutsch English Français Italiano |
<uhm8a2$q8v8$4@herbert.ortolo.eu> View for Bookmarking (what is this?) Look up another Usenet article |
Path: ...!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!news.ortolo.eu!.POSTED.localhost!not-for-mail From: Tanguy Ortolo <tanguy@ortolo.eu> Newsgroups: fr.comp.usenet.serveurs Subject: Pistes de =?UTF-8?Q?v=C3=A9rification?= des adresses =?UTF-8?Q?d=27exp=C3=A9diteur?= Supersedes: <uhm87e$q8v8$3@herbert.ortolo.eu> Date: Sun, 29 Oct 2023 18:29:22 -0000 (UTC) Sender: tanguy@localhost Message-ID: <uhm8a2$q8v8$4@herbert.ortolo.eu> MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Injection-Date: Sun, 29 Oct 2023 18:29:22 -0000 (UTC) Injection-Info: herbert.ortolo.eu; posting-account="tanguy"; posting-host="localhost:::1"; logging-data="861160"; mail-complaints-to="usenet@ortolo.eu" User-Agent: tin/2.6.2-20221225 ("Pittyvaich") (Linux/6.1.0-13-amd64 (x86_64)) Cancel-Key: sha1:y/MrcVnJPN4Ka3bbAbXjtssB3W4= Cancel-Lock: sha1:mrL1w0n+wJ9YimuHivGz3G2S0Bk= Tags: message, nouvelles, courrier, =?UTF-8?Q?=C3=A9lectronique=2C_v=C3=A9rification=2C?= domaine, SPF, DKIM, DMARC Bytes: 4541 Lines: 61 Bonjour, Comme vous le savez sans doute, le courrier électronique a connu quelques évolutions pour ajouter une couche de vérification partielle de l'identité des expéditeurs, en fait une vérification du nom de domaine de leur adresse électronique : - Sender Policy Framework, ou SPF, pour permettre par une vérification d'adresse IP de détecter l'usurpation de nom de domaine dans l'adresse de l'expéditeur d'enveloppe, et lutter ainsi contre le /backscatter/ ; - DomainKeys Identified Mail, ou DKIM, pour permettre à un serveur de certifier par une signature cryptographique l'authenticité et le contenu d'un message : conventionnellement, cela sert à certifier le nom de domaine utilisé dans le champ d'expéditeur ; - Domain-base Message Authentication, Reporting and Conformance, qui s'appuie entre autres sur SPF et DKIM pour ajouter entre autres une vérification, à la demande du gestionnaire d'un nom de domaine, de la légitimité de l'utilisation de ce nom dans le champ d'expéditeur : c'est un peu long à expliquer, le mieux est encore de lire la RFC. iAutant que je sache, il n'existe rien de tel pour les nouvelles, mais je m'interroge sur la possibilité de proposer quelque chose sur ce sujet. Les nouvelles du réseau Usenet diffèrent du courrier électronique par plusieurs points essentiels pour ce genre de question : - il n'existe pas de notion d'enveloppe et donc pas d'expéditeur d'enveloppe, un message a donc seulement un expéditeur indiqué dans l'en-tête : à vrai dire, cela simplifie une possible vérification ; - un message a bien un serveur d'injection, mais peut ensuite être transmis par divers serveurs qui peuvent le stocker ou le transmettre sans rien vérifier du tout, voire en l'altérant (ce qui craindrait un max, mais c'est un autre problème) ; - la plupart des noms de domaines utilisés par le grand public pour les communications électroniques disposent d'un service de courrier mais ne proposent pas de service de nouvelles associé. L'idée d'une vérification du nom de domaine de l'adresse d'expédition consisterait à permettre à l'administrateur d'un nom de domaine de préciser qu'un message utilisant ce nom dans l'adresse d'expéditeur doit être considéré comme légitime ou doit être rejeté, sous certaines conditions : - à la SPF : en simplifiant, un message devrait être rejeté si l'adresse IP du serveur d'injection ne correspond pas à une liste pré-approuvée ; - à la DKIM : un message doit être considéré comme authentique s'il est correctement signé par la clef du nom de domaine en question ; - à la DMARC : un message qui ne passe ni SPF ni DKIM peut, si la politique du nom de domaine le demande, être directement refusé. Ce genre de vérification basée sur le nom de domaine conviendrait surtout pour ceux qui proposent à la fois un service de courrier et un service de nouvelles, ce qui serait en soi, déjà un progrès. Pour la plupart des adresses électroniques, cela n'ajouterait ni ne retirerait rien à la situation actuelle… à moins d'imaginer un système qui permette à l'utilisateur d'une adresse électronique de préciser au monde entier que ses messages sont censés être injectés par tel serveur ou être signés de telle façon. Que pensez-vous de cette idée ? -- .. o . .. . o Tanguy o o o