Depuis peu, je suis avec intérêt les mésaventures avec les serveurs d’e-mail d’OVH, le premier hébergeur français avec 600.000 sites gérés. Ces aventures sont intéressantes, car depuis fin 2005, OVH propose à ses clients diverses solutions de gestion d’emails, jusqu’à 25 Go d’espace email par domaine.
Le 17 octobre dernier, suite à un important retard dans la livraison des e-mails, fidèle à son habitude, Octave Klaba, l’un des fondateurs de la société, fournissait des explications à ses clients sur une liste de diffusion interne :
En effet, nous avons par exemple reçu sur 2 domaines plus de 1’500’000 d’emails pendant quelques heures (les domaines ont été utilisés en From: de spam) ce qui a dégradé le service pendant 1 journée pour tous les clients.
En somme, il semblerait qu’un spammeur a prétendu envoyer des e-mails depuis un domaine hébergé chez OVH et les serveurs destinataires ont répondu à l’expéditeur supposé qu’il a tenté de joindre 1,5 millions destinataires erronnés. Il faut savoir que les protocoles SMTP et POP3 utilisés à l’acheminement des e-mails ne garantissent pas l’identité de l’expéditeur. Aussi, vous et moi pouvons signer des e-mail qui, en apparence, semblent provenir de n’importe qui d’autre, tel votre patron, ou bien même le Président des Etats-Unis.
Si vous écrivez un e-mail dont l’expéditeur n’existe pas, le serveur qui reçoit l’e-mail tente de vous prévenir en vous expédiant un message à l’adresse de l’expéditeur supposé du message à l’origine de l’erreur. Or, les spammeurs tentent toujours de toucher plus de monde. D’une part, ils collectent des adresses e-mail disponibles sur le web. D’autre part, ils « inventent » toutes les adresses e-mail possibles à base de dictionnaires, notamment des bases de données de tous les prénoms et noms de famille possibles, ou bien l’ensemble des noms communs ou pseudos les plus divers. En utilisant un expéditeur falsifié, les spammeurs évitent de se faire aisément identifier, ou encore de recevoir les messages d’erreur de la part des serveurs destinataires, réduisant par là leurs frais en termes de bande passante au détriment des e-mails ainsi usurpés.
Dans l’incident d’OVH susmentionné, deux noms de domaine ont subi de plein fouet une usurpation d’identité de la part de spammeurs. Par ricochet, l’ensemble des clients d’OVH ont subi des ralentissement de traitement dans les e-mails.
Certes, il existe des technologies anti-spam permettant de mieux identifier les expéditeurs, et ainsi réduire l’impact du spam ou du phishing. Parmi celles-ci, il existe des protections côté serveurs :
- SPF (Sender Policy Framework) est une solution permettant à l’administrateur d’un domaine web d’indiquer un champ SPF dans les informations DNS identifiant les machines autorisées à expédier des e-mails affirmant provenir du domaine. Le serveur qui reçoit un e-mail peut vérifier auprès du DNS utilisé comme expéditeur supposé que la machine qui expédie réellement l’e-mail est bien autorisée à expédier un e-mail pour ce domaine. Si ce n’est pas le cas, l’e-mail est peut-être considéré comme une contrefaçon.
- Sender ID Framework est une adaptation de Microsoft de SPF utilisée à l’origine par son service d’e-mails Hotmail.
- DomainKeys est une solution antispam de Yahoo! utilisée notamment par Yahoo! Mail et GMail, visant à garantir la légitimité de l’expéditeur, d’une part, et l’intégrité du message reçu, d’autre part.
Il existe d’autres solutions visant à authentifier les e-mails. Cependant, ces méthodes ont une faille importante : l’immense majorité des serveurs et utilisateurs d’e-mails les ignorent. Ce ne sont donc pas des solutions suffisantes en matière d’authentification des expéditeurs et elles ne visent pas pour autant à identifier les expéditeurs comme étant des spammeurs.
Les technologies anti-spam existantes classent généralement les messages suivant trois catégories :
- un spam avéré, rejeté (à savoir supprimé) à la réception du serveur par le serveur, sans prévenir le destinataire ;
- un spam probable, mis en quarentaine, soit par l’ajout d’une étiquette à l’objet du message, soit par rangement dans un dossier destiné au courrier indésirable ;
- un message légitime qui peut être aisément lu par le destinataire.
Ce classement ou filtrage nécessite un temps de traitement allant de quelques milisecondes à plusieurs centaines de milisecondes par e-mail. Suite à la mésaventure d’OVH, les capacités de traitement des courriers électroniques de la société ont été augmentées :
Nous sommes ainsi passé de 100 emails par secondes à plus de 200 emails par seconde. Nous venons d’ajouter les nouvelles machines et nous avons testé l’installation à 230 emails par seconde sans problème. Nous pensons pouvoir recevoir jusqu’à 400 emails par seconde. Nous allons augmenter régulièrement la capacité de traitement en suivant l’augmentation de charge.
Le 21 septembre, soit moins d’un mois avant l’incident susmentionné, Octave Klaba écrivait sur une liste de diffusion à destination des clients d’OVH :
Depuis la rentrée le spam bat tous les records. L’activité a monté de 4 fois en 12 mois et d’environ 2 fois depuis 4 mois. Les spammeurs utilisent plusieurs miliers de postes Windows hackés dans le monde et les campagnes de spam, dont le nombre est d’environ 500’000 emails par campange, sont très courtes et donc violentes, ceci pour eviter que les administrateurs systemes aient le temps d’adapter les filtres. A notre niveau, le systeme s’adapte automatiquement (grâce au traitement des emails en erreur, en effet, les spammeurs envoient les emails vers les destianteurs qui n’existent pas, en traitant ces emails avec de la recoupe, le systeme arrive s’adapter en moins de 10 minutes). Nous allons quand même ajouter des nouveaux serveurs en reception pour avoir une bonne marge par rapport aux pics d’activité de spam.
Néanmoins, si l’incident devait se reproduire, à raison de 400 e-mails par seconde, il faudrait près de 63 minutes de traitement des 1,5 millions d’e-mail parasites. Sachant que l’incident ne concernait que deux domaines, je me demande bien comment une structure de petite taille opérant une poignée de serveurs à peine peut-elle envisager de proposer un service d’e-mails à ses clients dont elle aurait la charge, si une société de la taille d’OVH rencontre visiblement des difficultés à s’en sortir dans une situation qui échappe visiblement à tout contrôle. On ne peut pas dire que les moyens mis en oeuvre par OVH soient légers, comme l’indique Octave dans un autre message d’information datant du 28 mai :
Concernant les chiffres, nous recevons et traitons entre 4’000’000 et 5’000’000 emails par jour et vous faites environ 500 connexions pop3/imap par seconde pour récupérer vos emails. Un plus plus de 180 serveurs traitent vos emails en parallèle.
Les volumes indiqués ci-dessus représentent une moyenne quotidienne de 46 à 58 e-mails par seconde. C’était il y a six mois déjà. Les pics de traitement nécessitent quatre à cinq fois cette capacité de traitement. En effet, les utilisateurs étant habitués à des livraisons instantannées, il faut que l’infrastructure puisse subir les pires assauts aux heures de pointe.
Bref, le marché des e-mails semble donc très difficile, d’autant plus que les moyens à mettre en oeuvre sont très difficilement prévisibles. Si je devais un jour proposer la gestion des e-mails à d’éventuels clients, il est clair que je n’hésiterai pas un instant à faire sous-traiter ce service par une société aux reins beaucoup plus solides. D’ailleurs, pour mes e-mails, je m’appuie essentiellement sur les services Hotmail et GMail. Les quelques adresses associées aux noms de domaine dont j’ai la charge ne sont que de banales redirections. Que voulez-vous ? Elle semble bien trop dure pour moi, la vie de facteur !
Crédits photo : Gaston Thauvin
C’est marrant, je suis OVH aussi (et je reçois les newsletters que tu cites) et j’ai effectivement de gos problèmes de mails. Ca commence à se tasser, mais ça a été très difficile pendant u moment.
Maintenant, ce sont les stats qui ont 5 ou 6 heures de retard…
l’e-mail est-il une solution d’avenir ? Le spam ne va-t-il pas le pourrir à un point qu’on ne pourra plus l’utiliser ?
Est-ce que l'email est une solution d'avenir ? Je ne sais pas. Ce qui est sûr, c'est que c'est une solution fort pratique dans de nombreux cas (elle remplace aventageusement les memos internes d'une entreprise, ou encore les fax). Néanmoins, beaucoup l'utilisent n'importe comment (sans objet défini, avec un champ "A:" rempli de tout leur carnet d'adresses, etc.) pour tout et n'importe quoi (comme envoyer des fichiers de dizaines de Mo, etc.)
Les retards de livraison des e-mails montrent bien que l'e-mail n'est pas une solution temps-réel. On accepte bien que le courrier postal mette plusieurs jours à être acheminé, mais on a du mal à comprendre que le courrier électronique puisse mettre quelques heures. Pour une communication temps-réel, les messageries instantanées semblent plus appropriées.
Pour ma part, je me suis créé des adresses e-mail chez divers prestataires gratuits et payants (en l'occurrence GMail et Hotmail), sur lesquels je redirige mes e-mails aux allures un peu plus "pros" (la redirection d'OVH liée à l'achat d'un nom de domaine souffre elle aussi des délais de livraison sujets à variation). Par ailleurs, je n'hésite pas à communiquer mes adresses e-mail aux allures "pas pro" à mes contacts, qu'ils soient personnels ou professionnels.
J'ai en effet remarqué qu'une entreprise de la taille de Microsoft avec son service Windows Live Mail / Hotmail doté d'un demi-milliard d'utilisateurs et 4 milliards d'email de spam rejetés chaque jour avait les reins plus solides qu'OVH ou autre hébergeur de taille nationale, voire régionale, qui traite 5 millions d'emails les jours d'affluence et qui a visiblement du mal à s'en sortir avec une attaque qui sort de la norme.
Jadis, mon adresse professionnelle, publiquement accessible sur le web, recevait jusqu'à 500 emails de spam par jour, dont 80 à 90 % de spam. J'ai fini par abandonner l'idée de maintenir moi-même des filtres efficaces. Depuis que j'utilise GMail et Hotmail, et malgré une adresse email publiée sur un site web à (relativement) forte audience (130.000 visiteurs uniques mensuels), les spams non interceptés sont rares, et les faux positifs très exceptionnels (et gardés dans la corbeille de courrier indésirable, je n'ai pas encore vu un seul message définitivement perdu).
Ping : Windows Live Custom Domains
Ping : De la difficulté à envoyer les emails en masse • Une araignée au plafond
Ping : Google Actualités est un spammeur pour Google Apps !
Ping : Suivre le devenir d'une adresse email
j’y ai pris un domaine, c’est déja beaucoup, vu leur façon de traiter parfois leurs clients business. La mail…. faut pas rire. Google et basta. Il faut des pro, des gens qui vous écoutent, qui vous anticipent, qui ont des idées et surtout pas des bureaucrates modèle sécu du siècle dernier.
Bonjour,
J’ai une adresse mail avec un nom de domaine pro.
Ce nom de domaine est hébergé chez OVH.
J’ai paramétré mon compte gmail pour recevoir les mails.
Ils arrivent tout de suite sur le rounde cube de OVH mais gmail les récupère tous les 3/4 heures seulement. Savez-vous à quoi cela serait lié?
Je vous écris car je vois que vous connaissez bien OVH et eux me disent qu’ils ont rien à faire là dedans et qu’il faut voir avec Google autant dire avec Dieu..
Merci pour votre aide ..
@VA IMMO : Dans le cadre d’utilisation de votre compte mail OVH avec Gmail, vous utilisez ce dernier comme client mail, ou webmail. C’est donc bien au client mail d’aller chercher l’email auprès du serveur POP3 d’OVH. L’inverse n’est pas prévu dans le protocole de consultation mail. C’est donc à Google de faire en sorte que Gmail aille chercher ses messages chez OVH. OVH n’y peut rien.
Il y a cependant une solution pour contourner le problème : configurer votre compte mail OVH pour créer une redirection, transférant automatiquement les messages reçus vers votre adresse email Gmail. La redirection enverra donc tout message reçu vers l’adresse Gmail, qui l’affichera en principe immédiatement au sein de son interface.
J’ignore cependant si l’on peut créer une redirection qui envoie une copie d’un message reçu sur un compte existant, ou s’il faut nécessairement que l’adresse email de redirection serve exclusivement à la redirection. À voir avec OVH et ses guides, ou tout simplement tester.
Il y a cependant des inconvénients ! Tout d’abord, OVH ne redirige pas les courriers considérés, à tort ou à raison, comme spams. Attention donc aux faux positifs (il y en a toujours, quelle que soit la technologie employée) : vous perdrez des messages légitimes en route, sans même savoir que vous les avez reçus. Ensuite, Gmail peut lui-même être encore plus suspicieux à l’égard de ces messages redirigés, et les considérer à tort comme spam ou phishing, les classant parmi les courriers indésirables, voire les rejetant d’emblée, sans vous les laisser voir.