Blog

Vade Retro : un fabricant antispam français innovant

Vade Retro est un fabriquant d’antispam qui occupe une part de marché importante en France en protégeant les boites emails d’une majorité d’opérateurs locaux dont notamment Orange, SFR, Free, laposte.net etc …

Selon les experts de Vade Retro, 95% du trafic emails est constitué de spams, et parmi les 5% restants, 41% sont des emails de nature commerciale.

Pour Vade Retro, il était important de répondre au besoin de séparation de la communication légitime personnelle des messages à caractères commerciaux, pour le plus grand bonheur des internautes français, submergés par les emails marketing.

Contrairement aux technologies américaines, la technologie Vade Retro n’est pas principalement basée sur le comportement de l’internaute pour filtrer les emails entrants (filtrage sur la réputation) mais plutôt sur une analyse très fine de l’empreinte des emails.

Pour ceci, Vade Retro propose à ses clients une technologie permettant de catégoriser les emails commerciaux en 3 catégories :

  • PCE : Professionnal Commercial Email :

Cette catégorie correspond aux emails envoyés par des expéditeurs identifiés et supposés respecter les bonnes pratiques de l’emailing, qu’ils soient routeurs (Emailvision, Mailperformance, Cabestan …) ou annonceurs expédiant eux-même leurs emails par leurs propres moyens. La reconnaissance de ces expéditeurs n’est pas basée sur l’IP émettrice ni sur le domaine émetteurs mais plutôt sur une signature structurelle du message composé de plusieurs éléments. Les emails catégorisés en PCE sont automatiquement dégradés en DCE si le volume de plaintes pour la campagne est trop important.

  • MCE : Micsellaneous Commercial Email :

Ici, il s’agit d’emails qui n’ont pas été identifiés comme PCE mais qui sont cependant des emails publicitaires.
Ces messages sont reconnus par le filtre heuristique de Vade Retro.

  • DCE : Dirty Commercial Email :

Cette catégorie regroupe les emails envoyés et qui ne tiennent généralement pas compte des bonnes pratiques de l’emailing, dont voici quelques critères : non présence de lien de désinscription, non respect des demandes de désinscription, non respect de l’optin, une volonté de furtivité (whois du domaine expéditeur anonyme), texte blanc sur fond blanc, un objet simulant une fausse conversation (Re: Re: Re: Fwd:) etc…

Il est parfois possible de connaitre la catégorisation d’un email en regardant l’entête de celui-ci après être passé par la technologie Vade Retro.

Ex pour SFR : X-sfr-mailing: MCE

Je précise que Vade Retro propose une technologie de catégorisation des emails, c’est au FAI ou au Webmail utilisateur de la technologie de définir le traitement à appliquer aux messages catégorisés par Vade Retro comme il l’entend, en fonction de sa politique de filtrage interne.

Cependant, la recommandation de Vade Retro aux utilisateurs de sa solution est de placer en boite spam les messages identifiés comme DCE, de séparer les emails détectés comme PCE et MCE dans un dossier dédié et de laisser en boite de réception les messages identifiés comme communication légitime.

En tant que professionnel de l’email depuis 12 ans, j’ai pu voir le marché de l’email marketing se dégrader fortement à cause d’acteurs de plus de plus nombreux ayant des pratiques de plus en plus mauvaises. Si l’on couple à cela l’absence totale de régulation du marché, on obtient un marché ou seuls les acteurs économiques influent sur celui-ci grâce à leurs innovations, que l’on soit du coté des expéditeurs ou de celui de ceux qui reçoivent les emails.

C’est dans ce sens que je tiens à saluer Vade Retro pour sa technologie innovante qui contribue à rendre les boites email des internautes plus propres en séparant les communications personnelles légitime de la publicité.

SFR implémente DKIM pour authentifier les messages entrants

Depuis vendredi 30 novembre dernier, SFR authentifie les messages entrants grâce à la technologie DKIM. Pour le moment, les messages non-authentifié ou mal authentifié ne subissent pas de traitement particulier.

En regardant les en-têtes des messages envoyés à SFR, on constate l’apparition de l’en-tête Authentication-Results comprenant le résultat du test d’authentification ainsi que l’analyse de la politique ADSP publié par le propriétaire du domaine.

Je rappelle que l’authentification DKIM est basé sur une technologie de chiffrement des en-tête grâce à un système de clé privée / clé publique, la clé privé étant utilisée par le MTA de l’expediteur pour signer le message lors de l’envoi et la clé publique diffusée dans un enregistrement DNS et utilisée pour authentifier le message lors de sa réception.

Exemple d’enregistrement clé publique DKIM pour le domaine facebookmail.com :

dlnw$ dig s1024-2011-q2._domainkey.facebookmail.com TXT +short
"k=rsa; t=s; h=sha256; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDLWnmo7aFBKfL4+mogTe/cXx6D4M
UF7VUM9O+nmXAcUP6jJh1RDgZuSJ/KKxo+KMpDiF5xnawr4p3N4eFruSZWFB1vtHgDiy3iPk
e/u0lmXB2PDQphFRJU4Raghm9e2duPfuSExbvSu9COWIoaz1vH/T+8zc0vuonClGuPfxoqhQID
AQAB"

ADSP est aussi un enregistrement DNS, placé sous l’enregistrement DKIM du domaine, et destiné à communiquer publiquement la politique de signature du domaine en question.

L’enregistrement ADSP peut prendre 3 valeurs :

  • all : tout les emails envoyés pour ce domaine sont signés.
  • discardable : tout les emails envoyés pour ce domaine sont signés, et si un message arrive non signés ou avec une signature non valide, le propriétaire du domaine encourage le destinataire à rejeter celui-ci.
  • unkown : tout ou partie des messages envoyés par ce domaine sont signés.

Etant donné l’actualité agité autour de DKIM, il est important de préciser que SFR authentifie tous les messages signés, quelque soit l’algorithme utilisé pour le cryptage et la longueur de la clé.

Pour le moment, l’authentification DKIM chez SFR est en mode écoute, cela signifie qu’aucune politique de filtrage n’est appliqué aux messages non-authentifié. Au début de l’année prochaine, SFR tiendra compte de la signature ADSP et appliquera ça propre politique aux messages non signés.

Mais concrètement, qu’est ce que cela apporte à l’écosystème email ?

Pour les marques, une signature DKIM valide et une politique ADSP stricte aura pour effet de protéger les domaines de la marque du phishing.

Pour les expéditeurs d’emails, cela signifie que DKIM prend une place un peu plus importante et qu’il est aujourd’hui indispensable de proposer à  ses clients d’authentifier ses emails grâce à cette norme.

Pour SFR, c’est une façon de rendre les boites aux lettres de leurs abonnés plus sûre, en utilisant les possibilités technologiques modernes tout en s’affichant comme un ISP responsable et coopératif dans l’écosystème email.

Nouvelle version du webmail SFR : implémentation du list-unsubscribe.

En fin d’année dernière, SFR a amélioré son webmail en proposant la catégorisation automatique des emails commerciaux grâce à l’ajout d’une colonne catégorisant les messages comme info / pub.  Aujourd’hui, SFR a mis en ligne une nouvelle version de son webmail qui intègre une fonctionnalité de désabonnement automatique grâce à l’entête list-unsubscribe.

Pour les expéditeurs, il existe plusieurs possiblités d’utiliser cette entête, soit par une URL, soit par une adresse email, soit les 2. Le principe étant que le client qui utiliserait cette entête fasse un appel en aveugle sur l’URL ou envoi un email à l’adresse indiqué et que cette action provoque un désabonnement de l’internaute concerné. Il est important de rappeler qu’il s’agit d’un appel en aveugle, donc tout les formulaires de désabonnement qui demandent de l’information supplémentaire lors du désabonnement seraient à bannir car ne fonctionneraient pas lors de l’appel automatique.

Lors qu’on utilise cette fonctionnalité, on note que cette dernière est notée comme sponsorisée par Vade Retro, l’antispam qui protège les boites aux lettres SFR. Mais Vade Retro va plus loin qu’une simple implémentation de l’entête list-unsubscribe. En effet, on note que dans l’entête complète des emails (maintenant disponible sur le webmail SFR), un nouveau champs nommé X-List-Unsubscribe qui référence les moyens de désabonnement du liste-unsubscribe ainsi que le lien de désabonnement détecté dans le corps du message.

On peut imaginer que Vade Retro utilise ces informations un jour pour dégrader la notoriété des expéditeurs qui ne traiteraient pas correctement les demande de désabonnement en constatant plusieurs demandes pour la même boite aux lettres et pour le même annonceurs.

Dans le cas de l’envoi d’un email sur le mailto: notons que l’expéditeur utilisé par Vade Retro est vaderetro-safeunsubscribe.com

Pour ma part, je salue cette initiative de la part de SFR et Vade Retro et invite les expéditeurs Français à implémenter cette fonctionnalité pour ceux qui ne le feraient pas déjà, et vérifier son fonctionnement de celle-ci pour ceux qui la propose déjà.

Authentification des emails entrants chez SFR

Avec la montée en puissance des campagnes de phishing, l’authentification des messages entrants pour un FAI est un enjeu important pour protéger ces utilisateurs.

Comme évoqué précédemment, il existe différentes normes pour authentifier les messages sortant. Depuis septembre 2011, SFR a décidé de vérifier l’authenticité des emails entrants grâce à la norme SPF et étudierai l’implémentation prochaine de DKIM.

La norme SPF permet aux propriétaires de domaine d’indiquer, grâce à un enregistrement DNS, quelles sont les serveurs autorisés à utiliser ce domaine pour expédier des emails.

Voyons, grâce à deux exemples concrets, comment SFR traite et filtre les emails entrants grâce à SPF :

  • Dans un premier temps, essayons d’envoyer un email à SFR à partir de l’IP 82.165.131.171 avec le domaine dlnw01.com pour lequel on aurait paramétré l’enregistrement SPF strict suivant v=spf1  ip4:82.165.131.172  -all

    Le résultat est un refus de livraison a cause du SPF hardfailed : 

    HELO dlnw01.com
    250 msfrf2207.sfr.fr
    MAIL FROM:<dlnw@dlnw01.com>
    554 5.7.1 <dlnw@dlnw01.com>:  Sender address rejected: Please%see%http://spf.pobox.com/why.html?sender=dlnw%40dlnw01.com&ip=82.165.131.171&receiver=msfrf2207 : Reason: mechanism
  • Maintenant, voyons une tentative d’envoi d’un email à SFR à partir de l’IP 82.165.131.171 avec le domaine dlnw01.com pour lequel on aurait paramétré l’enregistrement SPF souple suivant v=spf1  ip4:82.165.131.172  ~all

    Le résultats est la livraison du mail en boite spam avec dans l’entête le header suivant : 

    X-tag-spam: SPF SoftFail

Pour protéger son identité, il est important pour un annonceur d’authentifier ces domaines, mais l’exemple si dessus montre qu’il est nécessaire de le faire correctement pour éviter un rejet de connexion ou une livraison en boite spam.

De plus, l’authentification a pour but d’assurer l’authenticité de l’expéditeur et même authentifier correctement, les emails ne sont pas assurés d’arriver en boite de réception principale.

DMARC: un nouveau standard pour la protection des domaines

Le protocole SMTP est vieux et simple d’utilisation.
Il a été inventé avant 1980 pour permettre d’envoyer des courriers électroniques sur des réseaux privés.
Grâce au protocole SMTP natif, il est possible d’envoyer un email en utilisant l’adresse email expéditrice que l’on veut, cette possibilité a engendré des problèmes de fiabilité des communications électroniques avec notamment, l’apparition des campagnes de phishing. Pour remédier à cela, les opérateurs ont mis au point un concept permettant aux expéditeurs d’emails d’authentifier leurs messages.

L’authentification des emails a pour but  d’assurer aux destinataires que l’expéditeur est bien celui qu’il dit être.

Dans la pratique, cela a donné 4 normes :

  • SPF et SenderID, dont le principe est de placer un enregistrement TXT dans le DNS du domaine pour spécifier les IPs autorisées à émettre des emails depuis ce domaine. La norme SPF étant la norme commune basée sur le MAIL FROM du dialogue SMTP et dans le domaine des ReverseDNS des IPs expéditrices. Le SenderID est la déclinaison de Microsoft, qui elle est basée sur le domaine de l’adresse « PRA » dont Microsoft a breveté l’algorithme, ce qui limite donc son utilisation.
  • DomainKeys et DKIM, dont le principe est basé sur un système de cryptage clé publique / clé privée appliqué sur certains champs de l’entête du mail.  DomainKeys a été inventé par Yahoo et DKIM par la communauté internet, comme dans le cas précédent, c’est DKIM tend à s’imposer.

Mais il manquait une chose à ces dispositifs, une chose qui permettrait aux expéditeurs qui authentifient correctement leurs emails d’informer les destinataires afin que ceux-ci filtrent plus strictement les messages non-authentifiés qui, bien souvent, seraient du phishing. Un groupement d’acteurs importants tel que Google, Facebook, Microsoft, Yahoo et AOL se sont regroupés pour développer un nouveau dispositif qui permettrait de remédier à cela en créant la norme DMARC et en tentant de la standardiser auprès de l’IETF.

DMARC signifie littéralement « Domain-based Message Authentication, Reporting & Conformance » et permet aux annonceurs de protéger leur marque et leur domaine en spécifiant précisément aux FAI les traitements à réaliser aux messages non-authentifiés.


DMARC permet aux annonceurs de protéger leurs domaines en indiquant clairement aux FAI  la politique à adopter envers les emails dont les signatures SPF et/ou DKIM seraient en erreur. Ce qui, dans le cas, d’une implémentation parfaite, permet définitivement d’empêcher le phishing sur le domaine de l’annonceur. A mon sens, c’est une avancée considérable en terme de protection des domaines et de lutte contre le phishing. Une autre possibilités intéressante de DMARC pour un annonceur est la possibilité de recevoir des rapports de la part des FAI pour connaitre la proportion de messages authentifié et non-authentifié sur son domaine. Ce qui permet d’avoir une idée de phishing sur son domaine.

En tant qu’expéditeur, pour implémenter DMARC, il faut s’assurer d’abord d’avoir implémenter correctement SPF et DKIM puis publier un enregistrement DMARC dans le DNS en tant qu’enregistrement TXT pour la zone _dmarc.mondomain.com

Exemple pour le domaine delivernow.eu :

Domain                                  Type                       Record

_dmarc.delivernow.eu   TXT                         « v=DMARC1; p=none; sp=none; pct=100; rua=mailto:admin@delivernow.eu; ruf=mailto:failure@delivernow.eu; »

p= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur le domaine. valeurs possible : none, quarantaine ou reject

sp= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur les sous-domaine. valeurs possible : none, quarantaine ou reject

pct= pourcentage des mails à filtrer

rua= adresse qui recevra les rapports agrégés de la part du FAI

ruf= adresse qui recevra les rapports d’erreurs d’authentification au fil de l’eau (AFRF)

Il existe des attributs supplémentaire pour l’enregistrement DMARC, disponible dans les spécifications détaillé.

 

Aujourd’hui, seulement Gmail utilise DMARC pour protéger les messages entrant mais il faut s’attendre à d’autres implémentation dans l’année dont certainement Yahoo, AOL et Microsoft.

Visiter le site de DMARC :
http://dmarc.org/

Voir les specifications completes de DMARC :
http://www.dmarc.org/draft-dmarc-base-00-01.html

Voir un slide de présentation simplifié sur DMARC :
http://dmarc.org/presentations/DMARC_general_overview_20120130.pdf

 

Chiffres 2011 de l’emailing en France

La semaine dernier, à l’occasion du Salon E-Marketing 2012, le SNCD a publié les chiffres clés de l’emailing pour l’année 2011. Ces chiffres sont issues des routeurs membres du SNCD.
Tous les expéditeurs d’email n’étant pas membre du SNCD, ces chiffres sont à considérer comme une fourchette basse mais ils sont pertinent pour observer des tendances en les comparant aux années précédentes.

  • Chiffre d’affaire globale du secteur du routage en hausse de +25% à 85 Millions d’euros
  • Volume d’email routés en hausse de 10%
  • Des emails de plus en plus lus sur environnement mobile et tablette
  • La délivrabilité est toujours un enjeu important pour les annonceurs

Ces chiffres incluent aussi bien les campagnes emails publicitaires (emails commerciaux) que des emails destinés à des clients (emails de fidélisation).

Tentative de régulation de l’emailing de prospection

Email à la performance, échanges de bases email, bases emails mutualisés, email commerciaux, emailings partenaires etc… voici autant de pratiques et d’activités qui peuvent se résumer très simplement : l’envoi de publicité par email.

Lors d’une campagne de publicité par email, on a différents acteurs :

  • L’annonceur : dans ce marché, c’est lui qui crée la demande car c’est le commanditaire de la campagne. La publicité est envoyée pour promouvoir son offre ou ces produits. En général, c’est lui qui propose le contenu du message, qui impose les conditions de rémunération de sa campagne.
  • Le propriétaire de la liste d’email destinataire de la campagne. Son rôle est d’envoyer la campagne sur sa base de données d’emails ayant consenti à recevoir de la publicité. Il expédie la campagne par ces propres moyens technique ou en passant par un routeur email.

Et bien souvent :

  • L’intermédiaire qui a mis en relation l’annonceur et le propriétaire de la base de données, dont le rôle est de mesurer la performance de la campagne.

Une plateforme d’affiliation est l’intermédiaire qui met en relation les sociétés qui souhaitent faire connaitre leurs offres ou leurs produits et les sociétés susceptibles de relayer l’information à leur audience, dans le cas qui nous intéresse, par email.

Pour bien comprendre les enjeux et motivation de chacun, j’ai toujours pensé qu’il était important de connaitre les flux financiers entre les différentes parties.

Les affiliés sont rémunérés selon deux modes : pour chaque clic ou pour chaque lead généré, sachant qu’un lead correspond à une inscription sur le site de l’annonceur. Lors d’une rémunération au clic, l’affilié peut espérer une rémunération entre 5 et 30 centimes par clic. Lors d’une rémunération au lead, cela peut aller de 20 centimes à 3 euro en fonction du nombre d’informations collectés lors de la collecte du fameux  » lead « .
Il est important de noter le  » lead  » doit aussi être optin pour être valide, c’est-à-dire qu’il accepte lui aussi de recevoir des emails publicitaires de la part des partenaires de l’annonceur par la suite.
Le mode de rémunération au lead est aussi appelé modèle  » à la performance « .

La plateforme d’affiliation se rémunère en prenant une commission sur le prix payé par l’annonceur au propriétaire, cette commission est en général de 30%, et elle est facturé à l’annonceur.

L’annonceur étant le commanditaire de la campagne, c’est lui qui paye l’addition.

Voyons 2 exemples concrets :
Pour le premier, prenons une campagne rémunérée au clic envoyé sur une base de 500 000 adresses emails optin ayant généré 1% de taux de clic soit 5 000  clic avec une rémunération moyenne de 10 centimes par clic : l’annonceur payera 650 € reparti en 150 € pour la plateforme d’affiliation et 500 € pour le propriétaire de la base email.

Pour le second, prenons une campagne rémunérée au lead envoyé sur une base de 500 000 adresses emails optin ayant généré 0,5 % de taux de transformation soit 2 500 leads avec une rémunération moyenne de 40 centimes par lead : l’annonceur payera 1 300 € reparti en 300 € pour la plateforme d’affiliation et 1 000 € pour le propriétaire de la base email.

Depuis quelques années, le marché de la publicité par email a vu le nombre de propriétaires de bases de données croitre de façon très importante. On peut expliquer ceci par plusieurs raisons :

  • La rentabilité d’une opération de publicité par email.  Grâce aux exemples ci-dessus, on voit bien qu’en multipliant les bases, en augmentant volumes,  en augmentant la sollicitation des emails et en négociant la rémunération des opérations, on peut arriver à un chiffre d’affaire important, sans effort financier important.
  • La simplicité de constitution de base de données email optin. Par le passé, j’ai souvent parlé de ces techniques sur mon blog, que ce soit l’échange physique d’adresses emails, de constitution de bases de données mutualisées ou d’inscription en 1 clic, l’imagination ne manque pas quand il s’agit de faire du volume. Il n’est pas rare de voir de nouveaux acteurs entrer sur le marché et afficher des bases de plusieurs millions d’email optin.

Tout ceci a abouti à une baisse globale des performances de campagnes, ce qui a incité les affiliés à expédier plus de mail pour atteindre les niveaux de performance attendues par les annonceurs.

J’ironise souvent en disant que dans le fond, le vrai spam, celui qui fait la promotion de produits contrefaits et illicite marche aussi sur ce principe : si un volume important d’email envoyé génère un minimum de revenus, il suffit d’en envoyer plus pour générer plus de revenus !

Le mois dernier, le collectif des plateformes d’affiliations, a publié une charte email visant à réguler les pratiques des possesseurs de bases email pour essayer de redonner une bonne image à cette activité.

Voici quelques points notables de la charte :

  • Traçabilité de l’origine des emails obligatoire (date, IP, moyen d’acquisition et formulaire).
  • Consentement explicite obligatoire avec des modèles de mentions en exemple, rien de bien nouveau par rapport à la LCEN.
  • Un meilleur encadrement de la collecte d’information sur les personnes mineures.
  • Adresse de réponse obligatoire et valide.
  • Une interdiction de l’échange physique d’adresse email et exclusion des portions de bases de ce type.
  • Un encadrement plus précis de bases mutualisées avec obligation d’envoi d’un mail pour refuser l’adhésion.

Sur ce dernier point, le principe de transmission du consentement de la bases initial à la base mutualisé, m’a toujours paru être une aberration et fortement similaire à l’échange de base.

La charte indique que le CPA se donnera les moyens de vérifier les engagements de ces signataires et que des sanctions seront appliquées aux contrevenants, comme notamment l’interdiction d’utiliser les plateformes d’affiliations membres du CPA.
Il est intéressant de constater que cette initiative vienne des plateformes d’affiliation, car je constate que tous les emails non-sollicités que je reçois sur mes spamtraps contiennent des domaines tradedoubler, zanox, reactivpub etc… plateformes qui sont toutes à l’initiative de la charte email.
Alors que j’étais responsable delivrabilité chez un des principaux routeur français, j’ai souvenir d’avoir fait face à des problèmes de delivrabilité dues à la réputation des liens qui servent aux plateformes d’affiliations à compter les clics et insérés dans les emails des annonceurs. Les liens étaient souvent blacklisté et impactaient la delivrabilité des campagnes qui les utilisaient.

Je conclurais en saluant cette initiative, tout en restant sceptique sur son efficacité.  La régulation réelle vient aujourd’hui des victimes de ces pratiques, à savoir les internautes et les FAI qui ont donnés à leurs utilisateurs la possibilité de réagir sur les emails qui ne les intéresse pas, en les signalant comme des spams et en intégrant ces informations dans la politique de filtrage des emails entrants.

Aujourd’hui, un spam n’est plus un message envoyé sans consentement mais un email qui n’intéresse pas son destinataire.

Positionnement du MAAWG sur l’email appending

L’email appending est une pratique qui consiste à rapprocher deux bases de données dans le but d’enrichir la première base avec les adresses email « optin » de la seconde. Le 20 septembre 2011, le MAAWG s’est prononcé publiquement sur cette pratique en la qualifiant de pratique abusive, contraire aux valeurs de l’association. Rappelons que le MAAWG est une association de professionnels de l’email qui réunit les plus grands opérateurs de messageries, sociétés de sécurité et expéditeurs  d’emails.

L’association motive sa position par 2 principales raisons. La première est qu’un optin, ou un consentement, ne peut pas être cédé d’un canal à un autre : une société qui reçoit d’une personne un consentement pour être contactée par voie postale ne peut pas présumer que cette même personne accepte de recevoir des messages par voie électronique. La seconde est le manque de fiabilité des techniques d’enrichissement de base, qui peut provoquer des ratés et donc, des ciblages à tort. Dans son communiqué, le MAAWG émet des doutes sur les sociétés qui proposent ce service.

Enfin, le MAAWG met en garde les marketeurs en indiquant que l’email appending about à des volumes important de plaintes, de blocages pour spam et comporte des risques de violation des législations antispam.

Je pense qu’il serait intéressant d’avoir un avis de la CNIL sur cette pratique en France et j’en profite pour rappeler que la 23ème édition du MAAWG aura lieu du 24 au 27 octobre à Paris.

Le communiqué du MAAWG sur l’email appending : Messaging Anti-Abuse Working Group Position on Email Appending

MAJ du 10/10/2011 :
L’expérience concrète du risque lié 0 cette pratique raconté par Charles Boone de Wefficient :
http://www.snipemail.com/le-mot-du-jour/marre-des-apprentis-sorciers-et-des-escrocs-de-emailing.html

Orange protège son infrastructure email et s’équipe de la solution antispam Cloudmark

Depuis le 15 novembre, Orange a implémenté la solution Cloudmark pour protéger son infrastructure mail.

Sylvain Causse de France Telecom / Orange cité sur le site Cloudmark indique :
« We selected Cloudmark considering their expertise and experience in the message security industry, and the high performance and flexibility level of the solutions they provide. We look forward to working with Cloudmark to continue providing the best messaging protection for our customers. »

Comme la plupart des FAI et webmail, la préoccupation principale d’Orange est de protéger son infrastructure de messagerie et de satisfaire ces utilisateurs.

Pour les expéditeurs d’email, les règles de routages à destination des MX Orange ont évoluées et il est nécessaire d’adapter la connectivité sur la plateforme d’Orange pour éviter les rejets temporaires ou permanents.

Voici quelques règles de bonne conduite pour écrire à Orange :

Le nombre de connections simultanées maximum est de 3 par MX

Orange gère avec les même serveurs MX les adresses email @orange.fr et @wanadoo.fr et les serveurs SMTP n’autorisent parfois qu’un réglage par domaine destinataire. Il faut donc répartir ces 3 connections simultanées autorisées entre ces 2 domaines, par exemple 2 pour le domaine orange.fr et 1 pour le domaine wanadoo.fr.

Une mauvaise configuration est détectable en vérifiant la présence du message suivant dans les logs d’envois :
421 xxxxxxxxx ME Trop de connexions, veuillez vérifier votre configuration. Too many connections, slow down.

Ne pas faire plus de 1000 demandes de connections par heure

Dans la vie de tous les jours, chacun sait qu’il ne sert à rien d’harceler quelqu’un s’il est occupé et qu’il n’a pas le temps de nous répondre, autant revenir au moment où il est disponible. De cette même façon, un dialogue SMTP doit rester courtois et respectueux. En cas de refus de connexion par un FAI, il ne sert à rien de continuer les tentatives de connexions au risque d’être d’autant plus rejeté et pour une durée d’autant plus longue.

Envoyer jusqu’à 100 emails par connexion ouverte

Ouvrir et fermer une connexion pour envoyer un seul email est une mauvaise pratique quand on désire envoyer plusieurs emails sur le même domaine. Cela consomme de la ressource inutilement et ni les FAI, ni les expéditeurs n’ont de ressources machine à gaspiller. Une fois la demande de connexion acceptée par le serveur d’Orange, il faut l’utiliser pour transmettre jusqu’à 100 emails dans la même session.

En cas de problème, Orange dispose d’une cellule abuse réactive, compétente et performante pour apporter des réponses aux questions liée à la delivrabilité des emails sur son infrastructure. Il suffit d’écrire à abuse@orange.fr en décrivant précisément le problème et en fournissant le plus précisément possible :
– la date du problème
– l’IP de la machine impactée
– Le nom d’hôte de la machine
– Le domaine expéditeur du message
– le code SMTP renvoyé par Orange

De façon générale, les départements en charge des infrastructure emails sont extrêmement sollicités, il est donc important d’avoir réalisé un premier niveau de diagnostic avant de les solliciter en analysant les logs d’envois. La requête doit être aussi claire et précise que possible et il faut savoir répondre aux questions techniques qui pourraient être posées en retour.

Il faut absolument proscrire les mails se résumant à « Je suis bloqué, que dois-je faire ? ».
Les opérateurs chez les FAI ne sont pas là pour résoudre les problèmes à la place des expéditeurs et les réponses aux questions sont généralement dans les logs SMTP.

Ces changements majeurs étaient nécessaires pour la protection de l’infrastructure mail d’Orange. La bascule d’un système de filtrage plus traditionnel vers un système performant basé en partie sur la réputation chahute une partie des expéditeurs de l’écosystème email français. Là où, pendant de nombreuses années, il était aisé d’expédier des emails vers les FAI français sans souci de rejet (comme pour les grand webmails), il va être nécessaire de réaliser un travail plus approfondi en améliorant la transparence lors de la collecte et en étant plus respectueux du désir des internautes de recevoir seulement les emails qu’ils ont sollicités dans leur boite mail.

La cellule Abuse d’Orange :
http://assistance.orange.fr/la-cellule-abuse-1260.php

Plus d’informations sur les solutions Cloudmark pour les ISPs :
http://www.cloudmark.com/en/industries/isps/index

Précision de la CNIL par rapport à mon précèdent billet sur Signal Spam

Suite à mon précèdent billet sur Signal Spam, la CNIL a tenu à apporter quelques précisions sur les actions menées ces dernières années :

« Le chiffre d’une dizaine d’actions évoqué par le commissaire Peyrat lors de la conférence de presse ne concernait que les mises en demeure adoptées par la formation contentieuse depuis janvier 2010.

En 2009, la CNIL a mené plusieurs centaines d’actions à l’encontre de sociétés ayant de mauvaises pratiques : traitement des plaintes individuelles, contrôles ciblés, mises en demeure et sanctions.

Les signalements transmis par Signal Spam aident la CNIL à identifier ces sociétés et permettent de renforcer les actions mises en œuvre contre le spam.

S’agissant des sanctions financières, la loi impose à la CNIL une limite de 150.000 euros (300.000 euros en cas de récidive). »
Je remercie la CNIL pour ces précisions et invite donc les internautes victime du spam à continuer à les signaler à Signal Spam.
Pour en savoir plus sur le fonctionnement de la CNIL, cliquez ici.