L'Association des fournisseurs d'accès et de services Internet (AFA) vient de publier des recommandations destinées aux acteurs de l'industrie Internet : fournisseurs de messagerie électronique, FAI, éditeurs de logiciels de messagerie...
L'AFA émet six points distincts :
le poste d'un utilisateur final ne devrait pouvoir émettre ses messages électroniques que via le serveur de son fournisseur de messagerie électronique.
Faut-il entendre par là que seul les fournisseurs faisant partie de l'AFA pourront émettre via les protocoles normalisés du courrier électronique ? Une société ne pourrait plus disposer pour ses besoins propre de son serveur de courrier autonome ? Cette limitation d'émettre directement des courriers suppose-t-elle une limitation du routage des communications par filtrage du port 25 ?
Les serveurs de messagerie sont encouragés à autoriser la soumission authentifiée des messages des utilisateurs de leur service sur le port 587.
Utiliser un port différent pour les utilisateurs authentifiés pourquoi pas, mais quelles sont les méthodes d'authentification ?
Les fournisseurs de messagerie peuvent être amenés à détecter les comportements anormaux (transmission de virus, mail bombing, envoi massif de spam…) et dans ce cas bloquer les comptes des utilisateurs.
Cette mesure officialise la surveillance et le filtrage de la correspondance privé. Bien qu'il y ait violation du secret de la correspondance, je pense que cette mesure rend les fournisseurs responsables de la transmission des virus. Donc de fait ils devraient pouvoir être responsable devant un tribunal des dommages et suites consécutive aux attaques de ces virus ainsi qu'aux atteintes aux personnes en cas de harcèlement.
Les serveurs de messagerie doivent avoir un reverse DNS (un système de noms de domaine inversé, qui sert à retracer un nom de domaine à partir dune adresse IP) pour chaque IP émettrice. Ce reverse DNS comprendrait le nom du domaine auquel peut être adressé un message abuse pour cette expédition.
Il faut noter que de nombreux fournisseurs d'hébergement de machines n'offrent pas la possibilité d'enregistrer les adresses allouées dans un reverse-DNS.
L'ensemble des domaines de messagerie doit mettre à disposition une adresse électronique sous la forme "abuse@domaine". Cette adresse doit être valide et faire l'objet d'un traitement quotidien.
Si l'existence de l'adresse "abuse@domaine" est spécifiée dans les RFC, et qu'il semble normal de traiter les problèmes reportés via cette adresse, rien dans cette recommandation nous éclaire sur la nature des traitements.
Les prestataires de webmails doivent sécuriser leurs services afin de ne pas permettre la création automatique de nouveaux comptes.
Cette recommandation me laisse perplexe : Je croyais naïvement que pour respecter notamment la loi sur l'économie numérique, ainsi que différentes mesures sécuritaires, un fournisseur devrait même en cas de fourniture à titre gratuit vérifier l'authenticité et l'identité de ces clients. Une simple suite de caractères bizarres à recopier (captcha) suffirait à démontrer son identité ?
Conclusion provisoire, la très sérieuse Association des fournisseurs d'accès et de services Internet vient de feindre l'intérêt qu'elle porte au problème du spam. Et sous couvert de la protection des utilisateurs et des installations, les membres de cette associations souhaitent devenir les acteurs incontournables du courrier électronique en France, et ainsi profiter pleinement du marché colossale créé par l'apparition des spams et virus. La démarche serait plus sérieuse si d'une part ces recommandations étaient fondées sur des normes et accords internationaux, que d'autre part les règles élémentaires dictées par ces normes, standards et aussi dispositifs législatifs étaient appliquées depuis longtemps, et enfin que certains des membres de cette respectable association n'étaient pas fournisseurs de base de données.