Path: ...!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!news.ortolo.eu!.POSTED.localhost!not-for-mail
From: Tanguy Ortolo <tanguy@ortolo.eu>
Newsgroups: fr.comp.usenet.serveurs
Subject: Pistes de =?UTF-8?Q?v=C3=A9rification?= des adresses
 =?UTF-8?Q?d=27exp=C3=A9diteur?=
Supersedes: <uhm87e$q8v8$3@herbert.ortolo.eu>
Date: Sun, 29 Oct 2023 18:29:22 -0000 (UTC)
Sender: tanguy@localhost
Message-ID: <uhm8a2$q8v8$4@herbert.ortolo.eu>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Date: Sun, 29 Oct 2023 18:29:22 -0000 (UTC)
Injection-Info: herbert.ortolo.eu; posting-account="tanguy"; posting-host="localhost:::1";
	logging-data="861160"; mail-complaints-to="usenet@ortolo.eu"
User-Agent: tin/2.6.2-20221225 ("Pittyvaich") (Linux/6.1.0-13-amd64 (x86_64))
Cancel-Key: sha1:y/MrcVnJPN4Ka3bbAbXjtssB3W4=
Cancel-Lock: sha1:mrL1w0n+wJ9YimuHivGz3G2S0Bk=
Tags: message, nouvelles, courrier,
 =?UTF-8?Q?=C3=A9lectronique=2C_v=C3=A9rification=2C?= domaine,
 SPF, DKIM,
 DMARC
Bytes: 4541
Lines: 61

Bonjour,

Comme vous le savez sans doute, le courrier électronique a connu
quelques évolutions pour ajouter une couche de vérification partielle de
l'identité des expéditeurs, en fait une vérification du nom de domaine
de leur adresse électronique :
- Sender Policy Framework, ou SPF, pour permettre par une vérification
  d'adresse IP de détecter l'usurpation de nom de domaine dans l'adresse
  de l'expéditeur d'enveloppe, et lutter ainsi contre le /backscatter/ ;
- DomainKeys Identified Mail, ou DKIM, pour permettre à un serveur
  de certifier par une signature cryptographique l'authenticité et le
  contenu d'un message : conventionnellement, cela sert à certifier le
  nom de domaine utilisé dans le champ d'expéditeur ;
- Domain-base Message Authentication, Reporting and Conformance, qui
  s'appuie entre autres sur SPF et DKIM pour ajouter entre autres une
  vérification, à la demande du gestionnaire d'un nom de domaine, de
  la légitimité de l'utilisation de ce nom dans le champ d'expéditeur :
  c'est un peu long à expliquer, le mieux est encore de lire la RFC.

iAutant que je sache, il n'existe rien de tel pour les nouvelles, mais
je m'interroge sur la possibilité de proposer quelque chose sur ce
sujet. Les nouvelles du réseau Usenet diffèrent du courrier électronique
par plusieurs points essentiels pour ce genre de question :
- il n'existe pas de notion d'enveloppe et donc pas d'expéditeur
  d'enveloppe, un message a donc seulement un expéditeur indiqué dans
  l'en-tête : à vrai dire, cela simplifie une possible vérification ;
- un message a bien un serveur d'injection, mais peut ensuite être
  transmis par divers serveurs qui peuvent le stocker ou le transmettre
  sans rien vérifier du tout, voire en l'altérant (ce qui craindrait un max,
  mais c'est un autre problème) ;
- la plupart des noms de domaines utilisés par le grand public pour les
  communications électroniques disposent d'un service de courrier mais
  ne proposent pas de service de nouvelles associé.

L'idée d'une vérification du nom de domaine de l'adresse d'expédition
consisterait à permettre à l'administrateur d'un nom de domaine de
préciser qu'un message utilisant ce nom dans l'adresse d'expéditeur doit
être considéré comme légitime ou doit être rejeté, sous certaines
conditions :
- à la SPF : en simplifiant, un message devrait être rejeté si l'adresse
  IP du serveur d'injection ne correspond pas à une liste
  pré-approuvée ;
- à la DKIM : un message doit être considéré comme authentique s'il est
  correctement signé par la clef du nom de domaine en question ;
- à la DMARC : un message qui ne passe ni SPF ni DKIM peut, si la
  politique du nom de domaine le demande, être directement refusé.

Ce genre de vérification basée sur le nom de domaine conviendrait
surtout pour ceux qui proposent à la fois un service de courrier et un
service de nouvelles, ce qui serait en soi, déjà un progrès. Pour la
plupart des adresses électroniques, cela n'ajouterait ni ne retirerait
rien à la situation actuelle… à moins d'imaginer un système qui permette
à l'utilisateur d'une adresse électronique de préciser au monde entier
que ses messages sont censés être injectés par tel serveur ou être
signés de telle façon.

Que pensez-vous de cette idée ?

-- 
.. o .
.. . o       Tanguy
o o o