La délivrabilité de A à Z

La CNIL définit le spam comme suit :

« Le "spamming" ou "spam" est l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique de façon irrégulière. »

Il s'agit d'une description basique utilisée pour instaurer une législation antispam.

• Envoi massif : le vrai spam est envoyé en très grande quantité. Les spammeurs font de l'argent grâce au petit pourcentage de réponses. Pour que le spam soit rentable, le mail initial doit être envoyé en masse.
• Répété : le spam est envoyé généralement de manière répétée étant donné que les liens de désinscription sont souvent inexistants ou invalides.
• Non sollicités : la différence entre un e-mail spam ou un e-mail légitime réside dans le fait que l'utilisateur a émis son consentement à le recevoir ou non. De manière générale, un e-mail non sollicité lorsque l'adresse e-mail du destinataire n'a pas été collectée de manière opt-in.

La CNIL note aussi que ces messages n'ont souvent pas d'adresse valide d'expédition ou de « reply to ».

Les conséquences du spam

• Les internautes : saturation des boites de réception, confusion avec les e-mails légitimes, méfiance…
• Les annonceurs : les spams décrédibilisent l'e-marketing, risque de blacklistage => non-délivrabilité de leurs messages.

Les réactions des acteurs

• Les FAI / Webmails se défendent : création de filtres et mise en place de blacklistage.
• Les utilisateurs s'équipent : utilisation de logiciels antispam.
• Les annonceurs s'organisent : FEVAD, SNCD, Signal Spam Halte au Spam… Anti-Spam Technical Alliance Microsoft, AOL et Yahoo!).

Whitelistage

• Le whitelistage est pratiqué par les FAI.
• Cette pratique est « officiellement » adoptée par trois acteurs : AOL, MSN et Yahoo!.
• Il consiste à autoriser des entreprises (des « noms de domaine » ou des « adresses IP ») à délivrer massivement des e-mails sur leur serveur.
• L'autorisation, généralement, se base sur la mise en conformité, par le routeur, de son architecture et de son système aux spécifications techniques du FAI transmises à travers un cahier des charges.
• Notez que cette pratique n'empêche pas les FAI de blacklister les acteurs qui auraient pu déroger aux règles de distribution d'e-mails (respect de la loi LCEN par exemple) dans un cadre promotionnel.

Blacklistage

• Le blacklistage est pratiqué par les FAI et au travers de certains serveurs mails « privés » (prestataires technologiques, annonceurs indépendants…) via des organismes tiers, indépendants, « sans but lucratif » type SpamCop ou Spamhauss.
• À moins d'entretenir des liens privilégiés avec l'ensemble des acteurs de la chaîne de décision (FAI, SpamCop…), il est extrêmement difficile de lever un blacklistage.
• Les principales causes d'un blacklistage sont les suivantes :
  • les plaintes des internautes (nombre important de plaintes, la non-désinscription des internautes ayant fait une demande préalable) ;
  • nombre élevé de hard bounces user ;
  • envoi aux adresses pièges créées par les FAI (spam trap) pour démasquer les spammeurs : ces adresses ne sont pas censées recevoir le moindre e-mail en provenance de n'importe quelle personne physique ou morale.

Notez que le blacklistage n'est pas une notion complémentaire au whitelistage « ce n'est pas parce que je suis whitelisté que je ne serai pas blacklisté ».

Mise en place de « Bulk mail »

• La plupart des Webmails mettent en place une rubrique « Courrier indésirable ». Le prestataire de la solution e-mailing se doit d'effectuer des tests régulièrement sur la plupart des webmails afin de vérifier en amont s'il y a un aiguillage des e-mails vers le répertoire Bulk mail.
• Grâce aux outils de délivrabilité e-mailing, vous détectez le sort de votre e-mailing (boite de réception ou courrier indésirable) avant même son envoi.

Utilisation de logiciels antispam

• Conçus pour les entreprises ou les particuliers, ces logiciels permettent de filtrer les courriers indésirables.
• Ces logiciels s'appuient sur certaines règles, dont par exemple le filtrage en fonction des caractères spéciaux dans les entêtes, pour détecter les spams, et ce à travers les scores spams qu'ils attribuent à l'e-mail.

Edatis suit l'évolution de ces politiques pour assurer une parfaite adéquation avec leurs principales règles de gestion.

En cas de plainte contre les spams, Edatis répond de manière systématique et personnalisée et procède à la désinscription immédiate de l'internaute.

SenderID et SPF sont deux normes d'authentification faibles de l'expéditeur des e-mails conçues dans le but de lutter contre les spams et d'éviter l'usurpation d'identité.

• Qu'est-ce qu'un SenderID et comment fonctionne-t-il ?

Sender ID est une norme d'authentification faible du nom de domaine de l'expéditeur d'un courrier électronique. Elle fonctionne par la publication, dans le DNS, d'un enregistrement (de type SPF ou, autrefois, de type TXT) indiquant quelles adresses IP sont autorisées à envoyer du courrier pour le domaine considéré. La syntaxe utilisée dans cet enregistrement est celle de SPF.
Sender ID peut aussi utiliser l'expéditeur indiqué par la commande MAIL FROM dans la session SMTP.

• Qu'est-ce qu'un Sender Policy Framework (SPF) et comment fonctionne-t-il ?

SPF est une norme d'authentification faible du nom de domaine de l'expéditeur d'un courrier électronique. Elle fonctionne par la publication, dans le DNS d'un enregistrement (de type SPF ou, autrefois, de type TXT) indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré. L'identité testée par SPF est celle indiquée par la commande MAIL FROM dans la session SMTP. C'est donc une information qui appartient à l'enveloppe du courrier, pas à ses en-têtes. (Dans certaines conditions, SPF peut aussi utiliser le nom de la machine expéditrice, tel que spécifié dans la commande HELO.)

• Comment procède Edatis ?
  • Edatis implémente SPF-Record dans sa zone DNS qui donne l'adresse IP de tous ses serveurs d'envoi. Par conséquent, tous les e-mails envoyés par les adresses expéditrices « xxxxx@edt02.net » seront identifiés valides selon la norme SPF.
  • Cependant, si le client désire envoyer des e-mails avec une adresse de son domaine comme expéditeur, il sera obligé d'avoir un SPF-Record dans sa zone DNS dans lequel il faudra inclure les serveurs d'Edatis.

Le non-respect des normes est un facteur aggravant du score spam de l'e-mailing.

Yahoo! a, de son côté, développé une solution technologique pour empêcher les spammeurs d'envoyer des messages en utilisant des adresses émettrices arbitraires. Il s'agit d'un système d'authentification d'e-mails désigné pour vérifier à la fois le domaine DNS de l'expéditeur de l'e-mail et l'intégrité du message.

• DomainKeys repose sur une signature cryptographique automatique des messages. La clé publique est publiée dans le DNS et la clé privée est déposée sur les serveurs de messages sortants contrôlés par DomainKeys.
• L'idée de cette solution est de permettre la signature par le relais émetteur des messages et la vérification de cette signature par les destinataires.

DKIM (DomainKeys Identified Mail) est une norme d'authentification faible du nom de domaine de l'expéditeur d'un courrier électronique. Elle constitue une protection efficace contre le pourriel et l'hameçonnage. En effet, DKIM fonctionne par signature cryptographique du corps du message et d'une partie de ses en-têtes. Une signature DKIM vérifie donc l'authenticité du domaine expéditeur et garantit l'intégrité du message.

• Comment procède Edatis ?
  • Edatis attribue une signature cryptographique par DKIM automatiquement à tous les e-mailings envoyés par sa plate-forme Dialog. Par conséquent, le domaine expéditeur d'Edatis est authentifié et l'intégrité des messages envoyés est garantie.