Le spam représente désormais la majeure partie du trafic de courrier électronique, certains prédisant même des chiffres alarmistes de 99 % de spam dans les courriers électroniques pour l’ensemble de l’année 2007. Or, l’un des principaux problèmes de lutte contre le spam et le phishing est que le SMTP, le protocole de communication servant à acheminer le courrier électronique, à la manière d’un courrier postal classique, n’intègre aucun contrôle au niveau de l’expéditeur d’un message, chacun pouvant se prétendre être n’importe qui. Aussi, plusieurs technologies visant à permettre l’identification de l’expéditeur d’un message ont été mises au point. L’idée est de vérifier si un message reçu émane d’un expéditeur légitime ou s’il s’agit d’un usurpateur d’identité.

Actuellement, il existe trois technologies différentes visant à identifier un expéditeur :

Sender Policy Framework (ou SPF)

Le Sender Policy Framework est une technologie émanant de volontaires et gratuite visant à vérifier la légitimité des expéditeurs des emails reçus par un serveur destinataire.

Concrètement, le responsable d’un nom de domaine ajoute un enregistrement TXT dans la configuration de leur nom de domaine (configuration du DNS) comportant l’ensemble des informations identifiant les serveurs légitimes autorisés à expédier les emails émanant de ce nom de domaine. La syntaxe du protocole est relativement simple et un outil en ligne permet de générer aisément l’enregistrement SPF correspondant à son propre nom de domaine. Le protocole permet de suggérer aux destinataires des messages de rejeter systématiquement les messages émanant prétenduement d’un domaine alors qu’ils sont envoyés par des serveurs illégitimes, ou bien d’accepter ces messages tout en avertissant le destinataire final d’une potentielle illégitimité du message, l’expéditeur prétendu du message n’étant pas forcément l’expéditeur réel. 

SPF est supporté notamment par Google (dont GMail et Google Apps pour Votre Domaine) et AOL.

Sender ID

Sender ID est une adaptation de SPF par Microsoft. Cette technologie est gratuite et sensiblement similaire à SPF, autant dans ses objectifs (identification des serveurs légitimes d’expédition de mails liés à un nom de domaine donné) que dans ses moyens (enregistrement TXT à la syntaxe équivalente). La différence vient de l’interprétation des données ainsi récoltées auprès des DNS.

Sender ID est notamment supporté par Microsoft avec ses services MSN Hotmail et Windows Live Hotmail.

DomainKeys

DomainKeys est une technologie mise au point par Yahoo! visant à vérifier à la fois la légitimité de l’expéditeur d’un message mail, ainsi que l’intégrité du message reçu.

Au niveau du serveur expéditeur, la technologie DomainKeys consiste à publier une clé publique dans les enregistrements DNS du domaine ainsi identifié, et chaque message envoyé est accompagné d’une signature électronique créée à partir d’une clé privée stockée sur le serveur d’expédition légitime. Le serveur destinataire, quant à lui, récupère auprès du DNS de l’expéditeur présumé la clé publique avec laquelle il vérifie que la signature de l’email reçu est valide. En cas d’absence de signature dans le corps du message, ou bien en cas d’invalidité de cette signature, le serveur destinataire peut rejeter l’email, ou bien le délivrer au destinataire final en le prévenant d’une usurpation possible d’identité.

La technologie DomainKeys est supportée par le service Yahoo! Mail.

Conclusion

Les trois technologies SPF, Sender ID et DomainKeys permettent d’améliorer l’identification des expéditeurs email légitimes pour les noms de domaines utilisant ces technologies. Supportées par les principaux services mail de la planète, soit plus de 500 millions de comptes mail ainsi identifiés à la base, ils sont très populaires.

Pour autant, ces technologies permettent d’identifier les expéditeurs légitimes émanant de noms de domaines ainsi protégés et réduisent les risques liés à l’usurpation d’identité. Il ne faut pas pour autant perdre de vue que ces technologies ne protègent qu’indirectement du spam. En effet, ce n’est pas parce qu’on a un nom de domaine protégé par l’une ou l’autre de ces technologies que l’on n’est pas un spammeur, ou que le domaine ainsi protégé n’émet pas de spam. En revanche, compte tenu de l’identification des expéditeurs, les outils anti-spam peuvent s’en servir pour mieux filtrer le spam. En effet, les emails illégitimes sont davantages susceptibles d’être du spam ou du phishing. Et si des emails légitimes en grand nombre sont par ailleurs identifiés comme du spam, alors on peut rapidement mettre un nom de domaine en quarantaine, facilitant ainsi le filtrage anti-spam.

Bref, si ces technologies ne sont pas suffisantes dans la lutte anti-spam et anti-phishing, les implémenter sur son nom de domaine, en plus de veiller à n’envoyer que des emails clairement sollicités, permet d’améliorer la délivrabilité de ceux-ci. L’implémentation de ces diverses technologies est par ailleurs souvent exigées par les grands opérateurs mail avant l’inclusion d’un expéditeur dans une liste blanche d’expéditeurs légitimes et connus pour leur respect d’une certaine déontologie en matière de courrier électronique.