Comme évoqué précédemment, il existe différentes normes pour authentifier les messages sortant. Depuis septembre 2011, SFR a décidé de vérifier l’authenticité des emails entrants grâce à la norme SPF et étudierai l’implémentation prochaine de DKIM.

La norme SPF permet aux propriétaires de domaine d’indiquer, grâce à un enregistrement DNS, quelles sont les serveurs autorisés à utiliser ce domaine pour expédier des emails.

Voyons, grâce à deux exemples concrets, comment SFR traite et filtre les emails entrants grâce à SPF :

• Dans un premier temps, essayons d’envoyer un email à SFR à partir de l’IP 82.165.131.171 avec le domaine dlnw01.com pour lequel on aurait paramétré l’enregistrement SPF strict suivant v=spf1  ip4:82.165.131.172  -all
  
  Le résultat est un refus de livraison a cause du SPF hardfailed : 

  HELO dlnw01.com
  250 msfrf2207.sfr.fr
  MAIL FROM:<dlnw@dlnw01.com>
  554 5.7.1 <dlnw@dlnw01.com>:  Sender address rejected: Please%see%http://spf.pobox.com/why.html?sender=dlnw%40dlnw01.com&ip=82.165.131.171&receiver=msfrf2207 : Reason: mechanism

• Maintenant, voyons une tentative d’envoi d’un email à SFR à partir de l’IP 82.165.131.171 avec le domaine dlnw01.com pour lequel on aurait paramétré l’enregistrement SPF souple suivant v=spf1  ip4:82.165.131.172  ~all
  
  Le résultats est la livraison du mail en boite spam avec dans l’entête le header suivant : 

  X-tag-spam: SPF SoftFail

Pour protéger son identité, il est important pour un annonceur d’authentifier ces domaines, mais l’exemple si dessus montre qu’il est nécessaire de le faire correctement pour éviter un rejet de connexion ou une livraison en boite spam.

De plus, l’authentification a pour but d’assurer l’authenticité de l’expéditeur et même authentifier correctement, les emails ne sont pas assurés d’arriver en boite de réception principale.

L’authentification des emails a pour but  d’assurer aux destinataires que l’expéditeur est bien celui qu’il dit être.

Dans la pratique, cela a donné 4 normes :

• SPF et SenderID, dont le principe est de placer un enregistrement TXT dans le DNS du domaine pour spécifier les IPs autorisées à émettre des emails depuis ce domaine. La norme SPF étant la norme commune basée sur le MAIL FROM du dialogue SMTP et dans le domaine des ReverseDNS des IPs expéditrices. Le SenderID est la déclinaison de Microsoft, qui elle est basée sur le domaine de l’adresse « PRA » dont Microsoft a breveté l’algorithme, ce qui limite donc son utilisation.
• DomainKeys et DKIM, dont le principe est basé sur un système de cryptage clé publique / clé privée appliqué sur certains champs de l’entête du mail.  DomainKeys a été inventé par Yahoo et DKIM par la communauté internet, comme dans le cas précédent, c’est DKIM tend à s’imposer.

Mais il manquait une chose à ces dispositifs, une chose qui permettrait aux expéditeurs qui authentifient correctement leurs emails d’informer les destinataires afin que ceux-ci filtrent plus strictement les messages non-authentifiés qui, bien souvent, seraient du phishing. Un groupement d’acteurs importants tel que Google, Facebook, Microsoft, Yahoo et AOL se sont regroupés pour développer un nouveau dispositif qui permettrait de remédier à cela en créant la norme DMARC et en tentant de la standardiser auprès de l’IETF.

DMARC signifie littéralement  »Domain-based Message Authentication, Reporting & Conformance » et permet aux annonceurs de protéger leur marque et leur domaine en spécifiant précisément aux FAI les traitements à réaliser aux messages non-authentifiés.

DMARC permet aux annonceurs de protéger leurs domaines en indiquant clairement aux FAI  la politique à adopter envers les emails dont les signatures SPF et/ou DKIM seraient en erreur. Ce qui, dans le cas, d’une implémentation parfaite, permet définitivement d’empêcher le phishing sur le domaine de l’annonceur. A mon sens, c’est une avancée considérable en terme de protection des domaines et de lutte contre le phishing. Une autre possibilités intéressante de DMARC pour un annonceur est la possibilité de recevoir des rapports de la part des FAI pour connaitre la proportion de messages authentifié et non-authentifié sur son domaine. Ce qui permet d’avoir une idée de phishing sur son domaine.

En tant qu’expéditeur, pour implémenter DMARC, il faut s’assurer d’abord d’avoir implémenter correctement SPF et DKIM puis publier un enregistrement DMARC dans le DNS en tant qu’enregistrement TXT pour la zone _dmarc.mondomain.com

Exemple pour le domaine delivernow.eu :

Domain                                  Type                       Record

_dmarc.delivernow.eu   TXT                         « v=DMARC1; p=none; sp=none; pct=100; rua=mailto:admin@delivernow.eu; ruf=mailto:failure@delivernow.eu; »

p= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur le domaine. valeurs possible : none, quarantaine ou reject

sp= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur les sous-domaine. valeurs possible : none, quarantaine ou reject

pct= pourcentage des mails à filtrer

rua= adresse qui recevra les rapports agrégés de la part du FAI

ruf= adresse qui recevra les rapports d’erreurs d’authentification au fil de l’eau (AFRF)

Il existe des attributs supplémentaire pour l’enregistrement DMARC, disponible dans les spécifications détaillé.

Aujourd’hui, seulement Gmail utilise DMARC pour protéger les messages entrant mais il faut s’attendre à d’autres implémentation dans l’année dont certainement Yahoo, AOL et Microsoft.

Visiter le site de DMARC :
http://dmarc.org/

Voir les specifications completes de DMARC :
http://www.dmarc.org/draft-dmarc-base-00-01.html

Voir un slide de présentation simplifié sur DMARC :
http://dmarc.org/presentations/DMARC_general_overview_20120130.pdf

• Chiffre d’affaire globale du secteur du routage en hausse de +25% à 85 Millions d’euros
• Volume d’email routés en hausse de 10%
• Des emails de plus en plus lus sur environnement mobile et tablette
• La délivrabilité est toujours un enjeu important pour les annonceurs

Ces chiffres incluent aussi bien les campagnes emails publicitaires (emails commerciaux) que des emails destinés à des clients (emails de fidélisation).

Lors d’une campagne de publicité par email, on a différents acteurs :

• L’annonceur : dans ce marché, c’est lui qui crée la demande car c’est le commanditaire de la campagne. La publicité est envoyée pour promouvoir son offre ou ces produits. En général, c’est lui qui propose le contenu du message, qui impose les conditions de rémunération de sa campagne.
• Le propriétaire de la liste d’email destinataire de la campagne. Son rôle est d’envoyer la campagne sur sa base de données d’emails ayant consenti à recevoir de la publicité. Il expédie la campagne par ces propres moyens technique ou en passant par un routeur email.

Et bien souvent :

• L’intermédiaire qui a mis en relation l’annonceur et le propriétaire de la base de données, dont le rôle est de mesurer la performance de la campagne.

Une plateforme d’affiliation est l’intermédiaire qui met en relation les sociétés qui souhaitent faire connaitre leurs offres ou leurs produits et les sociétés susceptibles de relayer l’information à leur audience, dans le cas qui nous intéresse, par email.

Pour bien comprendre les enjeux et motivation de chacun, j’ai toujours pensé qu’il était important de connaitre les flux financiers entre les différentes parties.

Les affiliés sont rémunérés selon deux modes : pour chaque clic ou pour chaque lead généré, sachant qu’un lead correspond à une inscription sur le site de l’annonceur. Lors d’une rémunération au clic, l’affilié peut espérer une rémunération entre 5 et 30 centimes par clic. Lors d’une rémunération au lead, cela peut aller de 20 centimes à 3 euro en fonction du nombre d’informations collectés lors de la collecte du fameux  » lead « .
Il est important de noter le  » lead  » doit aussi être optin pour être valide, c’est-à-dire qu’il accepte lui aussi de recevoir des emails publicitaires de la part des partenaires de l’annonceur par la suite.
Le mode de rémunération au lead est aussi appelé modèle  » à la performance « .

La plateforme d’affiliation se rémunère en prenant une commission sur le prix payé par l’annonceur au propriétaire, cette commission est en général de 30%, et elle est facturé à l’annonceur.

L’annonceur étant le commanditaire de la campagne, c’est lui qui paye l’addition.

Voyons 2 exemples concrets :
Pour le premier, prenons une campagne rémunérée au clic envoyé sur une base de 500 000 adresses emails optin ayant généré 1% de taux de clic soit 5 000  clic avec une rémunération moyenne de 10 centimes par clic : l’annonceur payera 650 € reparti en 150 € pour la plateforme d’affiliation et 500 € pour le propriétaire de la base email.

Pour le second, prenons une campagne rémunérée au lead envoyé sur une base de 500 000 adresses emails optin ayant généré 0,5 % de taux de transformation soit 2 500 leads avec une rémunération moyenne de 40 centimes par lead : l’annonceur payera 1 300 € reparti en 300 € pour la plateforme d’affiliation et 1 000 € pour le propriétaire de la base email.

Depuis quelques années, le marché de la publicité par email a vu le nombre de propriétaires de bases de données croitre de façon très importante. On peut expliquer ceci par plusieurs raisons :

• La rentabilité d’une opération de publicité par email.  Grâce aux exemples ci-dessus, on voit bien qu’en multipliant les bases, en augmentant volumes,  en augmentant la sollicitation des emails et en négociant la rémunération des opérations, on peut arriver à un chiffre d’affaire important, sans effort financier important.
• La simplicité de constitution de base de données email optin. Par le passé, j’ai souvent parlé de ces techniques sur mon blog, que ce soit l’échange physique d’adresses emails, de constitution de bases de données mutualisées ou d’inscription en 1 clic, l’imagination ne manque pas quand il s’agit de faire du volume. Il n’est pas rare de voir de nouveaux acteurs entrer sur le marché et afficher des bases de plusieurs millions d’email optin.

Tout ceci a abouti à une baisse globale des performances de campagnes, ce qui a incité les affiliés à expédier plus de mail pour atteindre les niveaux de performance attendues par les annonceurs.

J’ironise souvent en disant que dans le fond, le vrai spam, celui qui fait la promotion de produits contrefaits et illicite marche aussi sur ce principe : si un volume important d’email envoyé génère un minimum de revenus, il suffit d’en envoyer plus pour générer plus de revenus !

Le mois dernier, le collectif des plateformes d’affiliations, a publié une charte email visant à réguler les pratiques des possesseurs de bases email pour essayer de redonner une bonne image à cette activité.

Voici quelques points notables de la charte :

• Traçabilité de l’origine des emails obligatoire (date, IP, moyen d’acquisition et formulaire).
• Consentement explicite obligatoire avec des modèles de mentions en exemple, rien de bien nouveau par rapport à la LCEN.
• Un meilleur encadrement de la collecte d’information sur les personnes mineures.
• Adresse de réponse obligatoire et valide.
• Une interdiction de l’échange physique d’adresse email et exclusion des portions de bases de ce type.
• Un encadrement plus précis de bases mutualisées avec obligation d’envoi d’un mail pour refuser l’adhésion.

Sur ce dernier point, le principe de transmission du consentement de la bases initial à la base mutualisé, m’a toujours paru être une aberration et fortement similaire à l’échange de base.

La charte indique que le CPA se donnera les moyens de vérifier les engagements de ces signataires et que des sanctions seront appliquées aux contrevenants, comme notamment l’interdiction d’utiliser les plateformes d’affiliations membres du CPA.
Il est intéressant de constater que cette initiative vienne des plateformes d’affiliation, car je constate que tous les emails non-sollicités que je reçois sur mes spamtraps contiennent des domaines tradedoubler, zanox, reactivpub etc… plateformes qui sont toutes à l’initiative de la charte email.
Alors que j’étais responsable delivrabilité chez un des principaux routeur français, j’ai souvenir d’avoir fait face à des problèmes de delivrabilité dues à la réputation des liens qui servent aux plateformes d’affiliations à compter les clics et insérés dans les emails des annonceurs. Les liens étaient souvent blacklisté et impactaient la delivrabilité des campagnes qui les utilisaient.

Je conclurais en saluant cette initiative, tout en restant sceptique sur son efficacité.  La régulation réelle vient aujourd’hui des victimes de ces pratiques, à savoir les internautes et les FAI qui ont donnés à leurs utilisateurs la possibilité de réagir sur les emails qui ne les intéresse pas, en les signalant comme des spams et en intégrant ces informations dans la politique de filtrage des emails entrants.

Aujourd’hui, un spam n’est plus un message envoyé sans consentement mais un email qui n’intéresse pas son destinataire.

L’association motive sa position par 2 principales raisons. La première est qu’un optin, ou un consentement, ne peut pas être cédé d’un canal à un autre : une société qui reçoit d’une personne un consentement pour être contactée par voie postale ne peut pas présumer que cette même personne accepte de recevoir des messages par voie électronique. La seconde est le manque de fiabilité des techniques d’enrichissement de base, qui peut provoquer des ratés et donc, des ciblages à tort. Dans son communiqué, le MAAWG émet des doutes sur les sociétés qui proposent ce service.

Enfin, le MAAWG met en garde les marketeurs en indiquant que l’email appending about à des volumes important de plaintes, de blocages pour spam et comporte des risques de violation des législations antispam.

Je pense qu’il serait intéressant d’avoir un avis de la CNIL sur cette pratique en France et j’en profite pour rappeler que la 23ème édition du MAAWG aura lieu du 24 au 27 octobre à Paris.

Le communiqué du MAAWG sur l’email appending : Messaging Anti-Abuse Working Group Position on Email Appending

MAJ du 10/10/2011 :
L’expérience concrète du risque lié 0 cette pratique raconté par Charles Boone de Wefficient :
http://www.snipemail.com/le-mot-du-jour/marre-des-apprentis-sorciers-et-des-escrocs-de-emailing.html

« We selected Cloudmark considering their expertise and experience in the message security industry, and the high performance and flexibility level of the solutions they provide. We look forward to working with Cloudmark to continue providing the best messaging protection for our customers. »

Like most ISPs and webmail services, the main concerns for Orange are to protect its messaging infrastructure and satisfy its customers.

For email senders, the router rules to be applied to Orange MX have changed and it is necessary to adapt the connectivity on Orange platform in order to avoid temporary or permanent rejections.

Here are some useful guidelines that should be applied when sending emails to Orange:

- The maximum number of simultaneous connections is limited to 3 per MX

Orange manage both @orange.fr and @wanadoo.fr addresses with the same MX servers but sometimes SMTP servers only accept one setting per delivery domain. Therefore, the 3 authorised simultaneous connections have to be shared between these 2 domains; for example: 2 for Orange.fr domain and 1 for wanandoo.fr.

A bad setting can be verified when the following message appears in the sending log file :
421 xxxxxxxxx ME, Too many connections, slow down. Check your settings.

- Do not request more than a 1000 connections per hour

On a day to day basis, everyone knows that you shouldn’t bother someone who is busy and doesn’t have time to answer your question; it is better to come back when this person is free. The same applies to connections: an SMTP dialog has to be polite and respectful. If a connection happens to be denied by an ISP, it is useless to insist on connecting because you might experience more rejections and for longer periods of time.

- Send over a 100 emails per open connection

When you want to send several emails to the same domain, opening and closing a connection to send a single email is quite a bad practice. It is resource consuming and neither the ISPs nor the senders have resources to spare. Once the connection request is accepted by the Orange server, you should use the same session to transmit up to a 100 emails.

If a problem occurs, Orange has a responsive, competent and efficient abuse desk that solves all the questions related to email deliverability on its infrastructure. You just need to write to abuse@orange.fr describing exactly what the problem is and giving the following information as precisely as possible:

• The date of occurrence of the problem
• The concerned machine IP
• The machine Host name
• The email sending domain
• The SMTP code sent by Orange

Generally, messaging infrastructure departments are extremely busy. Therefore, it is very important to have performed the first diagnostic level by analysing the sending logs before seeking their help. Your request should be as clear and precise as possible and you should be able to answer all the technical questions they might have to ask you.

You have to strictly avoid the “I am blocked, what can I do?” type of email.

The ISPs operators are not supposed to solve sender’s problems and, most of the time, you will find yourself the answer to your questions in the SMTP log file.

All these major changes were necessary in order to protect Orange messaging infrastructure, even though, the fact of switching from a very traditional screening system to a more efficient one, partly based on reputation, unhinges part of the senders of the French messaging ecosystem. Whereas, for a number of years, you could send email easily to French ISPs without being afraid to experience rejection (like for the big webmail services), you will now have to perform a more detailed job improving transparency during the email collection and showing more respect for the internet users and their desire to receive only emails they want in their mail box.

Orange Abuse Desk :
http://assistance.orange.fr/la-cellule-abuse-1260.php

For further information on Cloudmark solutions for ISPs:
http://www.cloudmark.com/en/industries/isps/index

Sylvain Causse de France Telecom / Orange cité sur le site Cloudmark indique :

« We selected Cloudmark considering their expertise and experience in the message security industry, and the high performance and flexibility level of the solutions they provide. We look forward to working with Cloudmark to continue providing the best messaging protection for our customers. »

Comme la plupart des FAI et webmail, la préoccupation principale d’Orange est de protéger son infrastructure de messagerie et de satisfaire ces utilisateurs.

Pour les expéditeurs d’email, les règles de routages à destination des MX Orange ont évoluées et il est nécessaire d’adapter la connectivité sur la plateforme d’Orange pour éviter les rejets temporaires ou permanents.

Voici quelques règles de bonne conduite pour écrire à Orange :

- Le nombre de connections simultanées maximum est de 3 par MX

Orange gère avec les même serveurs MX les adresses email @orange.fr et @wanadoo.fr et les serveurs SMTP n’autorisent parfois qu’un réglage par domaine destinataire. Il faut donc répartir ces 3 connections simultanées autorisées entre ces 2 domaines, par exemple 2 pour le domaine orange.fr et 1 pour le domaine wanadoo.fr.

Une mauvaise configuration est détectable en vérifiant la présence du message suivant dans les logs d’envois :
421 xxxxxxxxx ME Trop de connexions, veuillez vérifier votre configuration. Too many connections, slow down.

- Ne pas faire plus de 1000 demandes de connections par heure

Dans la vie de tous les jours, chacun sait qu’il ne sert à rien d’harceler quelqu’un s’il est occupé et qu’il n’a pas le temps de nous répondre, autant revenir au moment où il est disponible. De cette même façon, un dialogue SMTP doit rester courtois et respectueux. En cas de refus de connexion par un FAI, il ne sert à rien de continuer les tentatives de connexions au risque d’être d’autant plus rejeté et pour une durée d’autant plus longue.

- Envoyer jusqu’à 100 emails par connexion ouverte

Ouvrir et fermer une connexion pour envoyer un seul email est une mauvaise pratique quand on désire envoyer plusieurs emails sur le même domaine. Cela consomme de la ressource inutilement et ni les FAI, ni les expéditeurs n’ont de ressources machine à gaspiller. Une fois la demande de connexion acceptée par le serveur d’Orange, il faut l’utiliser pour transmettre jusqu’à 100 emails dans la même session.

En cas de problème, Orange dispose d’une cellule abuse réactive, compétente et performante pour apporter des réponses aux questions liée à la delivrabilité des emails sur son infrastructure. Il suffit d’écrire à abuse@orange.fr en décrivant précisément le problème et en fournissant le plus précisément possible :
- la date du problème
- l’IP de la machine impactée
- Le nom d’hôte de la machine
- Le domaine expéditeur du message
- le code SMTP renvoyé par Orange

De façon générale, les départements en charge des infrastructure emails sont extrêmement sollicités, il est donc important d’avoir réalisé un premier niveau de diagnostic avant de les solliciter en analysant les logs d’envois. La requête doit être aussi claire et précise que possible et il faut savoir répondre aux questions techniques qui pourraient être posées en retour.

Il faut absolument proscrire les mails se résumant à « Je suis bloqué, que dois-je faire ? ».
Les opérateurs chez les FAI ne sont pas là pour résoudre les problèmes à la place des expéditeurs et les réponses aux questions sont généralement dans les logs SMTP.

Ces changements majeurs étaient nécessaires pour la protection de l’infrastructure mail d’Orange. La bascule d’un système de filtrage plus traditionnel vers un système performant basé en partie sur la réputation chahute une partie des expéditeurs de l’écosystème email français. Là où, pendant de nombreuses années, il était aisé d’expédier des emails vers les FAI français sans souci de rejet (comme pour les grand webmails), il va être nécessaire de réaliser un travail plus approfondi en améliorant la transparence lors de la collecte et en étant plus respectueux du désir des internautes de recevoir seulement les emails qu’ils ont sollicités dans leur boite mail.

La cellule Abuse d’Orange :
http://assistance.orange.fr/la-cellule-abuse-1260.php

Plus d’informations sur les solutions Cloudmark pour les ISPs :
http://www.cloudmark.com/en/industries/isps/index

« Le chiffre d’une dizaine d’actions évoqué par le commissaire Peyrat lors de la conférence de presse ne concernait que les mises en demeure adoptées par la formation contentieuse depuis janvier 2010.

En 2009, la CNIL a mené plusieurs centaines d’actions à l’encontre de sociétés ayant de mauvaises pratiques : traitement des plaintes individuelles, contrôles ciblés, mises en demeure et sanctions.

Les signalements transmis par Signal Spam aident la CNIL à identifier ces sociétés et permettent de renforcer les actions mises en œuvre contre le spam.

S’agissant des sanctions financières, la loi impose à la CNIL une limite de 150.000 euros (300.000 euros en cas de récidive). »

Ceci permettra à ces opérateurs d’autoriser les messages émanant des serveurs connus comme bons, de bloquer les messages venant des expéditeurs connus comme mauvais et de continuer à filtrer les expéditeurs inconnus.

D’un point de vue technique, la whiteliste est dissocié en 2 catégories : une whiteliste d’IPs nommée SWL et une whiteliste pour les domaines nommée DWL basée sur une certification des domaines qui signent en DKIM.

La whiteliste est actuellement en version beta et il n’est pas possible de demander une inscription direct. Ne peuvent prétendre à un whitelistage pour le moment uniquement les personnes qui seraient invité par des acteurs déjà whitelisté.

Spamhaus indique cependant très clairement les catégories de société qui pourront prétendre à un whitelistage : les entreprises en direct, les banques, les cabinets d’avocats et financiers, les autorités, les gouvernements et les sevveurs d’emails transactionnel des compagnie aérienne, banque en ligne et site de commerce en ligne.

Ne serons pas éligible les expéditeurs d’emails en masse tel que les routeurs ou les sociétés de marketing en ligne, quelque soit leurs pratiques et leur politique antispam.

A mon sens, la popularité de Spamhaus dans le monde de l’antispam et leur rigueur légendaire donne à cette whiteliste une crédibilité importante.

Cliquez-ici pour vous rendre sur le site de la whiteliste Spamhaus

Avec environ 90% du traffic email mondial composé de spam, l’association d’initiative public et privé propose aux internautes de lui signaler les spams reçu afin de pouvoir utiliser les signalements dans le cadre d’opérations mener par les autorités contre les émetteurs de ces spams.

La CNIL a confirmé avoir mené un peu moins d’une dizaine d’actions en 2009 grâce aux signalements et encourage les internautes à continuer de signaler les messages qu’ils considèrent comme du spam à Signal Spam.

A cette occasion, l’association a présenté la nouvelle version de sa plateforme de signalements de spam incluant de nouvelles extensions pour signaler les spams à partir des principaux clients de messagerie du marché : Outlook 2007 et les nouvelles version de Thunderbird.

« Il y a grand besoin de mobiliser l’internaute et lui offrir des moyens d’action. L’heure n’est plus au spam amateur et il y a une vraie guerre à mener »

La ministre a soutenu le projet en confirmant que le spam était un fléau nuisible à l’économie numérique, qu’il engendrait une baisse de la productivité des entreprises et qu’il était couteux en ressources énergétiques avec une consommation de 33 térawatt heures, soit la consommation en électricité de 2,4 Millions de foyers américains.

L’association est composé d’institutions : la CNIL, l’ANSSI, l’OCLCTIC, La direction Générale de la Gendarmerie Nationale, le BEFTI, des associations : l’AFA, l’AFOM, le BSA, la FEVAD, le SNCD, l’UDA et des entreprises : Microsoft, eBay/Paypal, CERT Lexsi, G Data Software, Return Path, Alinto et aussi des FAI tel que Orange et SFR qui ont confirmé que l’intégration du signalement Signal Spam dans les interfaces webmails de leurs clients de messagerie était à l’étude.

Cliquez ici pour vous rendre sur le site Signal Spam