La politique anti-usurpation d'e-mails de Yahoo brise les listes de diffusion

Dans une tentative de bloquer les attaques d'usurpation d'e-mails sur les adresses yahoo.com, Yahoo a commencé à imposer une politique de validation des e-mails plus stricte qui rompt malheureusement le flux de travail habituel sur les listes de diffusion légitimes..

Le problème est une nouvelle politique DMARC (Domain-based Message Authentication, Reporting and Conformance) "rejetée" annoncée par Yahoo aux serveurs de messagerie tiers, a déclaré John Levine, consultant en infrastructure de messagerie de longue date et président de la Coalition Against Unsolicited Commercial. Courriel (CAUCE), dans un message envoyé à la liste de diffusion Internet Engineering Task Force (IETF) lundi.

DMARC est une spécification technique pour la mise en œuvre des mécanismes de validation et d'authentification SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Ces technologies ont été conçues pour empêcher l'usurpation d'adresse e-mail couramment utilisée dans les attaques de spam et de phishing..

L'objectif de DMARC est de parvenir à une mise en œuvre uniforme de SPF et DKIM parmi les meilleurs fournisseurs de services de messagerie et d'autres entreprises qui souhaitent bénéficier de la validation des e-mails.

La spécification introduit le concept d'identificateurs alignés, qui exige que les domaines de validation SPF ou DKIM soient identiques ou sous-domaines du domaine pour l'adresse e-mail dans le champ "de". Les propriétaires de domaine peuvent utiliser un paramètre de stratégie DMARC appelé "p =" pour indiquer aux serveurs de messagerie destinataires ce qui doit se produire si la vérification DMARC échoue. Les valeurs possibles pour ce paramètre peuvent être «aucune» ou «rejeter».

Au cours du week-end, Yahoo a publié un enregistrement DMARC avec "p = rejet" indiquant essentiellement à tous les serveurs de messagerie récepteurs de rejeter les e-mails provenant d'adresses yahoo.com qui ne proviennent pas de ses serveurs, a déclaré Levine..

Bien que ce soit une bonne chose du point de vue anti-usurpation d'identité, cela pose des problèmes pour les listes de diffusion légitimes, selon l'expert en messagerie électronique..

"Les listes utilisent invariablement leur propre adresse de rebond dans leur propre domaine, de sorte que le SPF ne correspond pas", a déclaré Levine. "Les listes modifient généralement les messages via les balises de sujet, les pieds de page du corps, la suppression des pièces jointes et d'autres fonctionnalités utiles qui brisent la signature DKIM. Ainsi, même sur le courrier électronique de liste le plus légitime comme, par exemple, l'IETF, la plupart du courrier échoue aux assertions DMARC, non à cause des listes qui font «mal». "

Avec la nouvelle stratégie, lorsqu'un utilisateur Yahoo envoie un e-mail à une liste de diffusion, le serveur de la liste distribue ce message à tous les abonnés, modifiant les en-têtes et interrompant la validation DMARC. Répertorier les abonnés avec des comptes de messagerie sur des serveurs qui effectuent des vérifications DMARC, tels que Gmail, Hotmail (Outlook.com), Comcast ou Yahoo lui-même, rejettera le message d'origine et répondra à la liste avec des messages d'erreur DMARC automatisés.

Par exemple, Gmail répondra par un message indiquant: "smtp; 550 5.7.1 Les e-mails non authentifiés de yahoo.com ne sont pas acceptés en raison de la politique DMARC du domaine. Veuillez contacter l'administrateur du domaine yahoo.com s'il s'agissait d'un courrier légitime."

Ainsi, les utilisateurs de Gmail, Hotmail et d'autres fournisseurs compatibles DMARC échoueront non seulement à recevoir des messages envoyés à la liste de diffusion par les utilisateurs de Yahoo, mais inonderont la liste de messages de rebond, risquant d'être renvoyés de la liste eux-mêmes, a déclaré Levine..

L'expert en messagerie électronique a recommandé aux opérateurs de listes de diffusion de suspendre les droits de publication des utilisateurs de yahoo.com et de leur demander de se réinscrire à leurs listes avec des comptes de différents fournisseurs de messagerie..

"Nous expérimentons actuellement une technologie anti-abus qui nous aide à protéger nos utilisateurs contre les attaques de phishing et d'usurpation d'identité", a déclaré un représentant de Yahoo par e-mail. "À la suite de cette expérience, un petit pourcentage de nos utilisateurs qui utilisent des fournisseurs de services externes à Yahoo peuvent rencontrer des problèmes. Les utilisateurs concernés peuvent visiter notre page d'aide pour en savoir plus. Nous nous excusons pour tout inconvénient que cela pourrait avoir causé."

Yahoo a publié une page d'aide avec des informations sur la façon dont sa nouvelle politique DMARC affecte les fournisseurs de services de messagerie tiers.

Un test des enregistrements DMARC de Yahoo réalisé mardi avec un outil sur dmarcian.com a révélé que le paramètre "p = rejet" était toujours en place pour le domaine yahoo.com. En comparaison, gmail.com avait un enregistrement de politique de "p = none", ce qui signifie qu'il ne dit pas aux autres serveurs de messagerie comment gérer les messages provenant d'adresses gmail.com qui échouent aux vérifications DMARC.

Laura Tessmer Atkins, co-fondatrice du cabinet de conseil anti-spam par courrier électronique Word to the Wise basé à Palo Alto, en Californie, a également confirmé et documenté le problème dans un article de blog lundi. Elle pense que Yahoo a commencé à annoncer une politique de "rejet" en raison d'une récente attaque contre les utilisateurs de Yahoo impliquant des attaquants compromettant les comptes de messagerie yahoo.com et envoyant des e-mails non autorisés à leurs contacts..

"Les attaquants ont modifié leurs attaques et envoient maintenant du courrier des utilisateurs de Yahoo à leurs contacts via d'autres serveurs", a déclaré Atkins. "En publiant ap = rejeter l'enregistrement, Yahoo dit aux autres systèmes de ne pas accepter le courrier des utilisateurs de Yahoo s'il ne passe pas par des serveurs contrôlés par Yahoo. Cela inclut le courrier des attaquants, mais aussi le courrier des utilisateurs réguliers de Yahoo qui utilisent un autre SMTP serveur, y compris le courrier en vrac envoyé par le biais des ESP [fournisseurs de services de messagerie] et le courrier individuel envoyé aux listes de diffusion. "

DMARC.org, le groupe industriel qui supervise le développement et l'adoption de la norme DMARC, n'a pas immédiatement répondu à une demande de commentaire sur la situation de Yahoo. Cependant, la section des questions fréquemment posées du site Web du groupe reconnaît les problèmes d'interopérabilité que les listes de diffusion peuvent avoir avec DMARC et propose quelques recommandations..

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.