Re: Gmail spam [Re: [EGD-discu] Assemblée extraordinaire]

[Archange <archange@xxxxxxxxxx>]

Le 05/03/2019 à 09:49, Garreau, Alexandre a écrit :

Le 05/03/2019 à 08h27, Olivier Guéry a écrit :

Alors sur ce coup là, je crois que ce n'est pas gmail qui pêche par défaut de sécurité, à vérifier mais il me semble que la liste de diff « casse » un numéro de contrôle dans les courriels et que c'est pour ça que gmail a du mal à ne pas considérer ça comme un pourriel.

Sauf qu’en théorie il est bien plus efficace et moins hasardeux de se baser sur le contenu, éventuellement la source, éventuellement certaines métadonnées, règles ou normes sur la source, pour classifier du spam.

Oui et non, les deux aident. DKIM et SPF, puisque c’est d’eux dont il s’agit, permettent aussi d’authentifier la source d’un mail. Mais il ne permettent pas de lutter contre un spammeur qui utilise son propre domaine. Par contre, celui-ci peut se faire blacklister sur la base du contenu des mails. Et dans ce cas, t’as bien envie que ton domaine soit protégé par DKIM et SPF.

Trier ça en fonction du respect des normes mail ne fait qu’imposer un standard de plus en plus restrictif (et parfois arbitraire) sur la qualité de base du mail, parfois élitiste, et au final tient plus de la démonstration de force du poids de Google dans le monde du mail que de la vraie lutte contre le spam.

Franchement non, pour le coup ici c’est une bonne chose. Là où c’est plus gênant, c’est quand Google blackliste des plages d’IPs parce qu’il y a quelques spammeurs dedans. Exemple, en écrivant depuis un serveur hébergé chez OVH, tu atterris en SPAM systématiquement chez eux.

C’est avec des trucs comme ça qu’il devient de plus en plus difficile de s’autohéberger. Quand tout ça devrait être une question de sécurité plus que de spam (et quitte à parler de spoofing, ameçonage, etc. autant traiter ça différemment justement, plutôt que de simplement filtrer).

C’est pas si compliqué que ça. En auto-hébergé, un enregistrement SPF/DKIM c’est pas méchant. Côté soft, un dkimproxy ça tourne tout seul. Même DMARC c’est pas la mer à boire, bien qu’un petit outil libre d’agrégation des rapports et de manipulation graphique de ceux-ci ferait du bien.

Vous verrez quand il sera obligé de contresigner tous ses mails avec une clé privée dont google aura signé la clé publique… encore qu’avec certaines implémentations privatrices de dkim on y est presque.

Je ne pense vraiment pas que ça arrivera un jour. Le nombre de domaines légitimes qui existent et que GMail ne peut pas ignorer (rien que la pléthore de domaines institutionnels par exemple) est beaucoup trop grand. En revanche, comme dit plus haut, leur blacklisting arbitraire de plages d’IP est un vrai problème.