Bonsoir,
Je vois qu'il y a pas mal de monde calé en droit ce soir. Je saute sur l'occasion (et j'en profite au passage pour remercier "la liste" pour le niveau de échanges, c'est toujours très instructif).
J'opère un serveur SMTP qui alimente quelques dizaines de milliers de boites. Pour essayer de soulager au maximum les usagers de la plaie que vous savez, je filtre de facto les emails entrants en provenance de logiciels de mass mailing (par X-Mailer ou d'autres éléments de l'en-tête).
Je conçois que c'est peut être un peu radical, mais sachant que ces logiciels sont utilisés dans 99% des cas pour envoyer des emails commerciaux non sollicités, j'ai pris la décision de fonctionner comme cela dès le début. C'est d'ailleurs clairement expliqué dans le 450 renvoyé par Postfix.
J'ai eu aujourd'hui un expéditeur (externe), ému de ne pouvoir envoyer une newsletter à ses clients, à qui j'ai expliqué la situation. Discussion cordiale, terminée par un status-quo : je ne vais pas vérifier visuellement ses envois (là par contre, je n'en ai pas le droit) pour vérifier sa bonne foi et changer les règles de filtrage en conséquence.
Mais du coup, je m'interroge sur les implications légales possibles. Est-ce légal de filtrer ainsi ? L'expéditeur externe peut-il légitimement arguer du fait que ce filtrage nuit à son business ? Et les éditeurs de logiciels de mass-mailing ?
En dehors de la méthode utilisée ici (qui discrimine explicitement des "mass mailers"), la question se pose aussi concernant les anti-SPAM traditionnels ou l'exclusion par domaines et RBLs.
C'est quand même étrange d'en venir à se poser ce genre de question ("suis-je en droit de balayer les cochonneries à ma porte d'entrée"), mais bon... le droit n'étant pas mon point fort, je préfère avoir vos avis.
Merci et bonne soirée
M
Le 24 février 2011 22:10, Michel Blanc mblanc.networks@gmail.com a écrit :
Bonsoir,
Je vois qu'il y a pas mal de monde calé en droit ce soir. Je saute sur l'occasion (et j'en profite au passage pour remercier "la liste" pour le niveau de échanges, c'est toujours très instructif).
J'opère un serveur SMTP qui alimente quelques dizaines de milliers de boites. Pour essayer de soulager au maximum les usagers de la plaie que vous savez, je filtre de facto les emails entrants en provenance de
logiciels de mass mailing (par X-Mailer ou d'autres éléments de l'en-tête).
Est-ce que le "contrat" du service de messagerie indique ces limitations ? Il faut peut être commencer par là.
S'il n'y a rien, tu dois pas être en très bonne posture.
Nicolas
Merci pour vos réponses multiples et pertinentes. Quelques fragments en plus :
* On 24/02/2011 23:16, Nicolas Steinmetz wrote:
Est-ce que le "contrat" du service de messagerie indique ces limitations ? Il faut peut être commencer par là.
Oui Nicolas, coté usagers pas de souci. D'ailleurs, je suis prêt à lever la restriction pour un destinataire s'il le souhaite (nous sommes plutôt à l'écoute de leurs besoins d'une manière générale). Je m'interrogeais plutôt pour "les autres", ceux de l'extérieur, à qui certes je ne dois rien contractuellement, mais qui peuvent m'accuser de discrimination à leur encontre dans le traitement des courriels.
Je précise que nous fournissons un service gracieux. Même si cela ne veut pas dire que l'on a tous les droits, on peut comprendre que nous soyons dans l'économie et la préservation de nos ressources informatiques.
* On 25/02/2011 00:23, Pierre-Henry Muller wrote:
Même tagué combien de fois on nous a demandé de pas taguer tel vendeur de médicament ou tel site d'accessoires érotique voir sm parce que le monsieur était client ...
Héhé. Bon, chez nous je ne pense pas que le cas se présente chez nous. Ils se contenteront de pester en silence :) Mais ça pose le problème d'un antispam classique sur une grande base d'utilisateurs d'horizons divers. Chez nous, on a pas réussi à résoudre cette quadrature du cercle : comment assurer un taux de faux positifs suffisamment bas sur 100k+ users... Mission Impossible, sauf si on forme les utilisateurs à faire du training d'antispam (Mission Impossible II).
* On 25/02/2011 00:50, Benjamin Billon wrote:
Sérieusement ? Le principe est d'envoyer à l'expéditeur un mail non désiré dans le but (louable certes) de luter contre les mail non désiré. Y'a comme un problème dans l'énoncé.
Benjamin, je crois que Pierre-Henry préconisait de regarder les CGV du service, et pas forcément de le mettre en place. Effectivement, je n'aime pas ce type de solution non plus.
Quant à bannir en fonction du X-mailer je ne vois pas bien l'efficacité dans la mesure où X-mailer, comme son nom l'indique est un header optionnel. Il suffirait donc de ne pas le mettre pour passer le filtrage ?
Disons que c'est une des méthodes utilisées, et qui marche pas trop mal dans la mesure ou certains logiciels de mass mailing (ou ceux qui les mettent en œuvre) sont assez stupides pour faire de l'auto-promo dans le X-Mailer :D Mais on matche pas mal sur les éventuels List-Unsubscribe, les From: qui se distinguent régulièrement, des Message-ID, ..etc...
En résumé, je retiens ceci :
* on peut légalement filtrer à condition que : - l'utilisateur final soit au courant et ait accepté des CGV (CGU/Charte dans notre cas vu la gratuité) - l'utilisateur final ait la possibilité de demander le déblocage d'un expéditeur
En revanche, pour "les autres" (les expéditeurs de l'extérieur vers nous), dur de se prononcer. Je pense que je vais interroger un juriste là dessus.
A+
M
Le Fri, Feb 25, 2011 at 09:03:12AM +0100, Michel Blanc [mblanc.networks@gmail.com] a écrit:
Merci pour vos réponses multiples et pertinentes. Quelques fragments en plus :
- On 24/02/2011 23:16, Nicolas Steinmetz wrote:
Est-ce que le "contrat" du service de messagerie indique ces limitations ? Il faut peut être commencer par là.
Oui Nicolas, coté usagers pas de souci. D'ailleurs, je suis prêt à lever la restriction pour un destinataire s'il le souhaite (nous sommes plutôt à l'écoute de leurs besoins d'une manière générale). Je m'interrogeais plutôt pour "les autres", ceux de l'extérieur, à qui certes je ne dois rien contractuellement, mais qui peuvent m'accuser de discrimination à leur encontre dans le traitement des courriels.
Pour moi, dans un cas comme celui-là, tu n'es qu'un ntermédiaire technique agissant au nom de tes utilisateurs. Que l'utilisateur en question mette une règle dans ton Thunderbird pour ranger les « X-Mailer: sarbacane » directement à la poubelle, ou qu'il te le fasse mettre sur le MX, pour ton « extérieur », ça ne change pas grand chose. En fait, si, dans le cas où tu lui renvoies un 550 « je veux pas de tes cochonneries », il peut en tenir compte et cesser d'importuner des gens qui ne souhaitent pas recevoir sa prose.
Bonjour à tous,
à moins que vous n'ayez précisé dans votre charte informatique, vous n'êtes légalement pas en droit le filtrer/intercepter/consulter le courrier (y compris les en-têtes), même pour les employés de votre entreprise, ni en principe pour les membres de votre famille.
Vous êtes encore plus "punissables" si vous êtes un intermédiaire dans la transmission du courrier (électronique ou non).
Benjamin AVET My profiles: [image: LinkedIn]http://fr.linkedin.com/pub/benjamin-avet/24/241/483
Le 25 février 2011 09:33, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Fri, Feb 25, 2011 at 09:03:12AM +0100, Michel Blanc [ mblanc.networks@gmail.com] a écrit:
Merci pour vos réponses multiples et pertinentes. Quelques fragments en plus :
- On 24/02/2011 23:16, Nicolas Steinmetz wrote:
Est-ce que le "contrat" du service de messagerie indique ces
limitations
? Il faut peut être commencer par là.
Oui Nicolas, coté usagers pas de souci. D'ailleurs, je suis prêt à lever la restriction pour un destinataire s'il le souhaite (nous sommes plutôt à l'écoute de leurs besoins d'une manière générale). Je m'interrogeais plutôt pour "les autres", ceux de l'extérieur, à qui certes je ne dois rien contractuellement, mais qui peuvent m'accuser de discrimination à leur encontre dans le traitement des courriels.
Pour moi, dans un cas comme celui-là, tu n'es qu'un ntermédiaire technique agissant au nom de tes utilisateurs. Que l'utilisateur en question mette une règle dans ton Thunderbird pour ranger les « X-Mailer: sarbacane » directement à la poubelle, ou qu'il te le fasse mettre sur le MX, pour ton « extérieur », ça ne change pas grand chose. En fait, si, dans le cas où tu lui renvoies un 550 « je veux pas de tes cochonneries », il peut en tenir compte et cesser d'importuner des gens qui ne souhaitent pas recevoir sa prose.
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le Fri, Feb 25, 2011 at 09:47:16AM +0100, Benjamin AVET [benjamin.avet@gmail.com] a écrit:
Bonjour à tous,
à moins que vous n'ayez précisé dans votre charte informatique, vous n'êtes
Si j'ai bien compris, Michel a des « clients », et pas des « utilisateurs de son entreprise qui ont signé la charte informatique »
Et toujours si j'ai bien compris, les clients en question sont informés des moyens mis en place et peuvent demander à en être « exclus ».
Il est donc un intermédiaire. Si les dispositions ont été prises avant la souscription des clients au service, et si les clients ont la possibilité de désactiver la protection, il n'a pas à changer son dispositif de protection.
Maintenant, dans la situation où les clients en font la demande ... le client est roi. Surtout qu'autoriser un expéditeur ne relève pas d'un grand défi. C'est cependant la porte ouverte à toutes les fenêtres ...
Benjamin AVET My profiles: [image: LinkedIn]http://fr.linkedin.com/pub/benjamin-avet/24/241/483
Le 25 février 2011 10:24, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Fri, Feb 25, 2011 at 09:47:16AM +0100, Benjamin AVET [ benjamin.avet@gmail.com] a écrit:
Bonjour à tous,
à moins que vous n'ayez précisé dans votre charte informatique, vous
n'êtes
Si j'ai bien compris, Michel a des « clients », et pas des « utilisateurs de son entreprise qui ont signé la charte informatique »
Et toujours si j'ai bien compris, les clients en question sont informés des moyens mis en place et peuvent demander à en être « exclus ».
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Fri, 25 Feb 2011 09:47 +0100, "Benjamin AVET" benjamin.avet@gmail.com wrote:
légalement pas en droit le filtrer/intercepter/consulter le courrier (y compris les en-têtes)
Suis-je le seul a penser le contraire : les entetes ne font pas partie du mail, ce sont surtout des informations techniques necessaires pour l'acheminement ?
Le 25/02/11 14:06, Radu-Adrian Feurdean a écrit :
On Fri, 25 Feb 2011 09:47 +0100, "Benjamin AVET" benjamin.avet@gmail.com wrote:
légalement pas en droit le filtrer/intercepter/consulter le courrier (y compris les en-têtes)
Suis-je le seul a penser le contraire : les entetes ne font pas partie du mail, ce sont surtout des informations techniques necessaires pour l'acheminement ?
Le mail en tant que fichier est un conteneur, si des pays comme l'Allemagne interdisent l'ajout ou la modification de headers c'est qu'ils considèrent l'enveloppe dans son intégralité. Je suis bien d'accord avec le fait que c'est pratique pour nous de pouvoir y accéder à ces headers mais connaissant les habitudes des lois françaises qui laissent des termes flous je ne serais pas étonné qu'ils parlent de "communication", de "message" sans préciser donc dans le doute légalement ca veut dire tout ...
On Fri, 25 Feb 2011 14:06:02 +0100, Radu-Adrian Feurdean wrote:
Suis-je le seul a penser le contraire : les entetes ne font pas partie du mail, ce sont surtout des informations techniques necessaires pour l'acheminement ?
Légalement, aucune idée, mais techniquement, sur une lettre papier, les en-têtes correspondent à ce qui est visible par le facteur donc je dirais qu'on peut les lire...
Que diriez-vous si le facteur en question filtrer votre courrier en fonction de l'expéditeur. La société DUPONT vous envoie un courrier, le facteur n'aime pas cette société (pour X raisons) et décide de ne pas vous le distribuer. Alors ?
Benjamin AVET My profiles: [image: LinkedIn]http://fr.linkedin.com/pub/benjamin-avet/24/241/483
Le 25 février 2011 14:53, Pierre Chapuis catwell@archlinux.us a écrit :
On Fri, 25 Feb 2011 14:06:02 +0100, Radu-Adrian Feurdean wrote:
Suis-je le seul a penser le contraire : les entetes ne font pas partie
du mail, ce sont surtout des informations techniques necessaires pour l'acheminement ?
Légalement, aucune idée, mais techniquement, sur une lettre papier, les en-têtes correspondent à ce qui est visible par le facteur donc je dirais qu'on peut les lire...
-- Pierre 'catwell' Chapuis
Liste de diffusion du FRsAG http://www.frsag.org/
Le 25/02/2011 15:21, Benjamin AVET a écrit :
Que diriez-vous si le facteur en question filtrer votre courrier en fonction de l'expéditeur. La société DUPONT vous envoie un courrier, le facteur n'aime pas cette société (pour X raisons) et décide de ne pas vous le distribuer. Alors ?
La métaphore avec le courrier a ses limites : dans le cas du courrier physique l'expéditeur a payé le transporteur pour acheminer son courrier (ce qui limite les abus, puisque plus l'expéditeur veut envoyer, plus ça lui coûte), ce qui est différent du cas du courrier électronique où l'expéditeur utilise des ressources qui ne sont pas les siennes (=qui coûtent aux autres) pour envoyer son courrier.
Clément Guivy
On Fri, 25 Feb 2011 15:44 +0100, "Clément Guivy" clement@guivy.fr wrote:
La métaphore avec le courrier a ses limites : dans le cas du courrier physique l'expéditeur a payé le transporteur pour acheminer son courrier (ce qui limite les abus, puisque plus l'expéditeur veut envoyer, plus ça lui coûte), ce qui est différent du cas du courrier électronique où l'expéditeur utilise des ressources qui ne sont pas les siennes (=qui coûtent aux autres) pour envoyer son courrier.
Dans le domaine de l'e-marketing (oui, spam compris) les gens sont prets a payer des sommes qui peuvent parraitre delirantes pour que les e-mails soyent livres en Inbox des destinataires. => Les arguments d'extermination du spam par "taxation" - EXIT.
Et ca, la majorite des "hebergeurs" de boites e-mail le savent tres bien....
Le 25 févr. 2011 à 15:44, Clément Guivy a écrit :
Le 25/02/2011 15:21, Benjamin AVET a écrit :
Que diriez-vous si le facteur en question filtrer votre courrier en fonction de l'expéditeur. La société DUPONT vous envoie un courrier, le facteur n'aime pas cette société (pour X raisons) et décide de ne pas vous le distribuer. Alors ?
La métaphore avec le courrier a ses limites : dans le cas du courrier physique l'expéditeur a payé le transporteur pour acheminer son courrier (ce qui limite les abus, puisque plus l'expéditeur veut envoyer, plus ça lui coûte), ce qui est différent du cas du courrier électronique où l'expéditeur utilise des ressources qui ne sont pas les siennes (=qui coûtent aux autres) pour envoyer son courrier.
Et pourtant ils se permettent de faire des NPAI chez moi pendant les vacances quand ca manque de personnel...
Bonjour à tous,
Je viens de lire avec grand intérêt tout cet échange.
La question initiale de Michel Blanc était : ""suis-je en droit de balayer les cochonneries à ma porte d'entrée ?". Je vous rassure Michel, tout le monde se la pose.
Voici comment de mon coté je me la pose : Nous ne sommes pas au far-west même si c'est encore bien trop souvent le cas sur le net. Il existe des RFC, des recommandations et bonnes pratiques et enfin des lois.
Pour les RFC (Request For Comment à ne pas confondre avec le Request for Change d'ITIL), toutes celles qui concernent le transport et le traitement des flux SMTP sont suffisantes et permettent de bien comprendre à quoi servent les fameux entêtes qui font bien parti du message dans son ensemble. Une RFC très intéressante, même si elle n'est pas toute jeune, est la RFC 2635. Référence : http://www.ietf.org/rfc/rfc2635.txt
Après il y a les lois, au niveau européen il y a celle-ci datant du 12 juillet 2002 sur la protection de la vie privée et qui indique que le "spam" doit être basé sur le principe d'Opt-in pour être autorisé. C'est à dire que le destinataire doit avoir accepté de recevoir des "spams" en provenance de l'émeteur. Les fameuses cases à cocher ou décocher quand vous faites des courses sur le net :-)
Référence : http://fr.wikipedia.org/wiki/Directive_du_12_juillet_2002_sur_la_protection_...
Au niveau national, nous avons aussi une loi qui traite du spam, c'est la fameuse loi de 2004 pour la confiance dans l'économie numérique. Même si certains aspects, comme la reconnaissance des mails comme étant des correspondances privées, n'ont pas été clairement définis et reposent sur la jurisprudence, le "spam" dont on parle ici, lui est bien défini. La loi indique donc que lorsque le "spam" est diffusé vers une personne physique, on applique le principe de la loi européenne de 2002 (l'opt-in) et si c'est une personne morale (institution publique, entreprise, association, etc.), le principe de l'opt-out est toléré. Ce principe de l'Opt-Out autorise le "spammeur" a envoyé son "spam" mais le "spammeur" doit permettre au destinataire de se désinscrire d'une manière simple et définitive.
Référence : http://fr.wikipedia.org/wiki/Loi_du_21_juin_2004_pour_la_confiance_dans_l%E2...
Vous remarquerez que j'ai mis "spam" et "spammeur" entre guillemets car franchement je trouve qu'il est difficile de faire la différence entre un mail envoyé à 500 000 membres d'une association pour les tenir informés de la prochaine date de réunion et un pur spam (vi@gr et autres cochonneries type hameçonnage) envoyé à 500 000 pigeons. Je dirai qu'au niveau admin systèmes, le premier sera plus facilement identifiable car son entête est sensé être conforme aux RFC, si il est émis par un serveur administré par des pros bien entendu. Le second émetteur aura tout fait pour que ça se voit le moins possible, le pur spam étant généralement envoyé de nos jours par des botnet de plusieurs milliers voire dizaine de milliers de postes vérolés avec des entêtes SMTP très légers. Cette légèreté dans le respect des RFC étant d'ailleurs un moyen de détection utilisé par des produits comme SpamAssassin.
Ma conclusion est donc : Si je veux filtrer les spams et en accord avec les lois actuelles, je dois vraiment faire attention à la qualité de mes filtres afin de travailler sur des éléments fiables, je vise le 100% de succès pour éviter les plaintes, des deux cotés d'ailleurs. Il est même préférable de ne rien supprimer et de simplement taguer voire classer en fonction des technos employées. Google avec son GMAIL en est un bon exemple. Ils ne détruisent rien mais se contentent de classer dans le spam du destinataire avec un taux de fiabilité proche des 100%. Facile avec leur infra et les analyses bayésiennes qu'ils peuvent faire !
Si je suis sur un système de destination (qui héberge un ou plusieurs domaines de messagerie), soit j'ai mis en place des conditions contractuelles d'utilisation qui m'autorisent à rejeter des messages en fonction des critères que je considère comme non conformes à ma stratégie de lutte anti-spam (voir les AOL, Yahoo et autres Microsoft qui le font). Soit je n'ai pas mis ces conditions dans mon contrat et donc je ne peux que rejeter ce qui me semble comme étant vraiment anormal (virus) tout en m'assurant qu'il n'y a pas un taux de faux positif trop important. Dans les deux cas, il me faudra mettre en place un système de traitement des plaintes digne de ce nom (se reporter aux RFC dont je parle en début de ce message).
Voilà pour ma petite participation à cet intéressant débat en ce samedi après-midi, pluvieux sur Paris...
Olivier
On Sat, 26 Feb 2011 16:57:35 +0100, "Olivier MARECHAL" omarechal@gmail.com said:
Voici comment de mon coté je me la pose : Nous ne sommes pas au far-west même si c'est encore bien trop souvent le cas sur le net. Il existe des RFC, des recommandations et bonnes pratiques et enfin des lois.
... et la realite ...
Après il y a les lois, au niveau européen il y a celle-ci datant du 12 juillet 2002 sur la protection de la vie privée et qui indique que le
Au niveau national, nous avons aussi une loi qui traite du spam, c'est la fameuse loi de 2004 pour la confiance dans l'économie numérique. Même si certains aspects, comme la reconnaissance des mails comme étant des correspondances privées, n'ont pas été clairement définis et reposent sur la jurisprudence, le "spam" dont on parle ici, lui est bien défini.
Vous remarquerez que j'ai mis "spam" et "spammeur" entre guillemets car franchement je trouve qu'il est difficile de faire la différence entre un mail envoyé à 500 000 membres d'une association pour les tenir informés de la prochaine date de réunion et un pur spam (vi@gr et autres cochonneries type hameçonnage) envoyé à 500 000 pigeons. Je
Une fois retournes a la triste realite, on se rend compte que le "spam" ca veut uniquement dire e-mail non-desire (l'opt-in ou autres choses n'ont *STRICTEMENT* aucune importance), qeu celui qui recoit a *SYSTEMATIQUEMENT* raison, et que celui qui envoye n'a *JAMAIS*. On peut voir que chez les "grands" le taux de plainte c'est le chose qui compte le plus dans le filtrage des e-mails.
Cote lois et leur application, il y a toujours le probleme "je veux pas recevoir des communications (e-mail compris) en provenance de _____". Contre un tel argument il y a generalement que les clients qui peuvent combattre, et encore. Generalement la lutte anti-spam (ou doit-on dire anti-email) se base sur ce principe.
On peut ne pas aimer la situation, mais c'est la realite; donc pas la peine d'avoir peur sur le fait que ca risque de ne pas etre legal. De toute facon, la loi s'applique en fonction de la quantite de pognon alloue aux cabinets d'avocats et autres structures equivalentes; les textes sont la juste pour s'assurer que le mortel ne peut pas faire face tout seul.
Le Fri, Feb 25, 2011 at 03:21:34PM +0100, Benjamin AVET [benjamin.avet@gmail.com] a écrit:
Que diriez-vous si le facteur en question filtrer votre courrier en fonction de l'expéditeur. La société DUPONT vous envoie un courrier, le facteur n'aime pas cette société (pour X raisons) et décide de ne pas vous le distribuer. Alors ?
Si je pouvais dire au facteur qu'il s'embête pas à transporter et déposer dans ma boite aux lettre les spams d'Optical Center que je reçois tous les 3 mois depuis que j'ai emmenagé, je lui demanderai :)
On 02/25/2011 03:21 PM, Benjamin AVET wrote:
Que diriez-vous si le facteur en question filtrer votre courrier en fonction de l'expéditeur. La société DUPONT vous envoie un courrier, le facteur n'aime pas cette société (pour X raisons) et décide de ne pas vous le distribuer. Alors ?
Si la société Dupont envoie tout et n'importe quoi, que le facteur se fait mordre par votre roquet à chaque fois qu'il apporte un paquet de cette société quand le paquet n'a pas explosé/degouliné/fondu/décomposé/disparu/etc. avant d'arriver chez vous, la réaction du facteur me semblerait logique voir censée.
Mais l'analogie avec la poste est mauvaise. Dans le cas de la poste, il y a un ticket modérateur payé par l'expéditeur (les frais d'expédition) absent des envois par mail. Pour le mail, l'absence de ce ticket modérateur entraine un certain nombre d'abus au point que le courier légitime devient négligeable (oui, aujourd'hui, sans filtrage, une plateforme mail se dimensionnerait sur la volumétrie du spam).
Tant que votre architecture mail est gérable sur un nombre limité de PC, la contrainte volumétrie spam reste accessoire. Lorsque la volumétrie du mail légitime nécessite quelques dizaines/centaines de serveurs, la volumétrie du spam n'est plus une simple gêne mais représente une attaque permanente. 95% de spams ne signifie pas que vos utilisateurs ont cessé de recevoir des mails légitimes mais que les spammeurs vous envoient 19 fois plus de courriers que les utilisateurs normaux. Bref, votre centaine de serveur "utiles" se transforment en 2000 serveurs nécessaires. Et si jamais les spammeurs sont en pleine forme, ben vos 2000 serveurs vont se retrouver à la rue et les courriers légitimes (envoyés par des serveurs plus ou moins respectueux des ressources) vont avoir d'autant plus de mal à être reçu que les spams.
Bref, tout ça pour dire que je n'ai pas la moindre idée de l'expérience que vous avez sur l'administration de serveurs de messagerie mais il me parait facile de venir avec des concepts théoriques quand on a pas la moindre idée de ce que représente le problème dans la pratique.
François
Le Fri, Feb 25, 2011 at 03:57:01PM +0100, Francois Petillon [fantec@proxad.net] a écrit: [...]
Tant que votre architecture mail est gérable sur un nombre limité de PC, la contrainte volumétrie spam reste accessoire. Lorsque la volumétrie du mail légitime nécessite quelques dizaines/centaines de serveurs, la volumétrie du spam n'est plus une simple gêne mais représente une attaque permanente. 95% de spams ne signifie pas que vos utilisateurs ont cessé de recevoir des mails légitimes mais que les spammeurs vous envoient 19 fois plus de courriers que les utilisateurs normaux. Bref, votre centaine de serveur "utiles" se transforment en 2000 serveurs nécessaires. Et si jamais les spammeurs sont en pleine forme, ben vos 2000 serveurs vont se retrouver à la rue et les courriers légitimes (envoyés par des serveurs plus ou moins respectueux des ressources) vont avoir d'autant plus de mal à être reçu que les spams.
Pas d'accord. Pas sur la problématique posée. Oui, on voit tous que 90 à 95% de ce qu'on essaye de nous filer est de la pollution. Mais faut pas croire que tes problèmes de « je gère 2000 fois plus de comptes que toi » n'ont pas les mêmes proportions que pour tout le monde. Si tu as 2000 fois plus de boites à gérer sans avoir 2000 fois plus de ressources pour assurer le service, c'est que tu ne rends pas le même service. (oui, je sais, c'est pas complètement aussi simple que ça, mais la scalabilité sur le mail est quand même presque telle que *2 sur le nombre d'utilisateur = *2 sur le nombre de serveur)
Il existe des sociétés qui se chargent de distribuer le courrier dans nos boites aux lettres, tout comme il existe des sociétés qui s'occupent de nous envoyer les mails. Dans les deux cas, vous pouvez vous en passez en distribuant (électroniquement ou physiquement) le courrier dans nos bal. Il me semble que la comparaison tienne la route. Ceux sont les ressources qui différent. Et là où le facteur est normalement obligé de délivrer le courrier, les structures distributrices ont des obligations de résultat et/ou de qualité de service.
Benjamin AVET My profiles: [image: LinkedIn]http://fr.linkedin.com/pub/benjamin-avet/24/241/483
Le 25 février 2011 16:14, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Fri, Feb 25, 2011 at 03:57:01PM +0100, Francois Petillon [ fantec@proxad.net] a écrit: [...]
Tant que votre architecture mail est gérable sur un nombre limité de PC, la contrainte volumétrie spam reste accessoire. Lorsque la volumétrie du mail légitime nécessite quelques dizaines/centaines de serveurs, la volumétrie du spam n'est plus une simple gêne mais représente une attaque permanente. 95% de spams ne signifie pas que vos utilisateurs ont cessé de recevoir des mails légitimes mais que les spammeurs vous envoient 19 fois plus de courriers que les utilisateurs normaux. Bref, votre centaine de serveur "utiles" se transforment en 2000 serveurs nécessaires. Et si jamais les spammeurs sont en pleine forme, ben vos 2000 serveurs vont se retrouver à la rue et les courriers légitimes (envoyés par des serveurs plus ou moins respectueux des ressources) vont avoir d'autant plus de mal à être reçu que les spams.
Pas d'accord. Pas sur la problématique posée. Oui, on voit tous que 90 à 95% de ce qu'on essaye de nous filer est de la pollution. Mais faut pas croire que tes problèmes de « je gère 2000 fois plus de comptes que toi » n'ont pas les mêmes proportions que pour tout le monde. Si tu as 2000 fois plus de boites à gérer sans avoir 2000 fois plus de ressources pour assurer le service, c'est que tu ne rends pas le même service. (oui, je sais, c'est pas complètement aussi simple que ça, mais la scalabilité sur le mail est quand même presque telle que *2 sur le nombre d'utilisateur = *2 sur le nombre de serveur)
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le Fri, 25 Feb 2011 16:46:48 +0100, Benjamin AVET a écrit :
Il me semble que la comparaison tienne la route.
Il te semble mal. François t'a expliqué en partie pourquoi : le ticket modérateur. Je vais parfaire l'explication : les analogies entre le monde des biens/services numériques et le monde des biens/services réels sont intrinsèquement foireuses pour la simple et bonne raison que la reproduction d'une information identique dans le numérique est aussi naturelle que respirer. Vas faire la même chose dans le moléculaire. Et dans un monde de biens/services numériques basé sur IP pour les communications inter périphériques, c'est plus que naturel, c'est par design. C'est pour çà qu'il faut arrêter les analogies spécieuses, au moins ici entre gens qui savent de quoi ils parlent SVP. Les sociétés qui vendent à l'unité des blocs structurés d'information font de telles marges que c'est de l'escroquerie à grande échelle suivant le secteur. SMTP étant juste un service dans le monde IP (et la killer-application), l'utiliser pour dupliquer ad nauseam ce pourquoi il a été conçu (du fichier texte ASCII, UTF-8, etc.) entre des UUID source et destination fait partie des choses permises par design. Tous les admin sys de la planète vivent avec, et pas trop mal, on s'adapte pour rendre le service vivable :)
DKIM va t il éradiquer le SPAM ? Certainement pas. D'autres méthodes de signature numérique ? Non plus. Et c'est bien comme çà. J'ai pas envie de voir débarquer une CA racine(/des CAs racine) qui viendrai(en)t signer les mails qui passent par des certificats validés par eux seul seulement par les serveurs SMTP qui vont avec.
a +.
Le Thu, 24 Feb 2011 22:10:46 +0100, Michel Blanc a écrit :
Bonsoir,
Je vois qu'il y a pas mal de monde calé en droit ce soir. Je saute sur l'occasion (et j'en profite au passage pour remercier "la liste" pour le niveau de échanges, c'est toujours très instructif).
Tout dépend du pays ... En Allemagne par exemple, il est totalement illégal de juste tripoter même les entêtes d'un mail pour par exemple y ajouter des flags visibles dans le MUA.
En France, çà tombe sous le coup du code de postes et communications électroniques, qui n'est pas une lecture très agréable mais t'autorise de tripoter un peu les entêtes ou prendre des mesures de protection pour garantir la bonne marche du service. Tout est dans l'interprétation de ce texte.
a +.
J'utilise la même méthode de filtrage X-mailer pour mes besoins propres.
Quand je gérais des serveurs mails mutualisés ou pire qui font que du relai anti virus anti spam on a souvent été confronté au fait que les entreprises clientes étaient outré quand un mail n'arrivait pas et qu'on l'avait filtré. Dans le cas des virus ils sont bien content de ne pas les recevoir dans le cas des spams ils voulaient juste que ca soit tagué mais pas supprimé. Même tagué combien de fois on nous a demandé de pas taguer tel vendeur de médicament ou tel site d'accessoires érotique voir sm parce que le monsieur était client ...
Pour ma part je ne m'aventurerais donc pas sur cette voie pour des clients ou alors avec des CGV en béton validé par plusieurs cabinet d'avocats. Quand tu commences à avoir des clients grand compte si par malheur tu vires un mail super important je te laisse imaginer la batterie d'avocats qu'ils auront pour t'embêter ... Il faut imaginer que dans ces entreprises l'email est un canal vital, j'ai déjà vu des appels d'offre où l'on devait garantir le délai d'acheminement à moins de 2 sec ...
Après pour aller dans ton sens, je pense aux systèmes de deny all et allow les correspondants connus type mailinblack. Si un de ces services est en France ca peut être intéressant de regarder ses CGV pour comprendre sur quoi il s'appuie.
Pour finir je dirais que si tes clients sont au courant et ont signés en connaissance de cause et que ce n'est pas une clause abusive de tes contrats alors ca passe. Maintenant faut valider tout cela.
Je relance le débat en poussant le concept plus loin, l'analyse anti virale et anti spam est elle légale aussi, si on part du principe que les communications ne doivent pas être regardées / analysées. Quelle garantie qu'on ne fait pas de stats ou autre pour les admins derrières? On se rapproche de l'Allemagne là?
Après pour aller dans ton sens, je pense aux systèmes de deny all et allow les correspondants connus type mailinblack.
Sérieusement ? Le principe est d'envoyer à l'expéditeur un mail non désiré dans le but (louable certes) de luter contre les mail non désiré. Y'a comme un problème dans l'énoncé.
John Levine: Challenge-response systems are as harmful as spam May 2003 http://www.politechbot.com/p-04746.html
Justin Mason's blog: Dec 2006 An anti-challenge-response Xmas linkfest http://taint.org/2006/12/14/130136a.html
- Benjamin
On 02/25/2011 12:23 AM, Pierre-Henry Muller wrote:
Après pour aller dans ton sens, je pense aux systèmes de deny all et allow les correspondants connus type mailinblack.
Tout mécanisme antispam qui repose en partie sur l'utilisation des ressources d'un tiers est abusif (à moins d'être sûr que les ressources que vous sollicitez sont bien celles de l'expéditeur). Donc, à moins de renvoyer le système de challenge à la fin du transfert du mail (genre "550 mail delayed, check the following URL http://challengenoir.fr/$id/"), vous risquez de générer autant de gêne que celle que vous cherchez à éviter.
Je relance le débat en poussant le concept plus loin, l'analyse anti virale et anti spam est elle légale aussi, si on part du principe que les communications ne doivent pas être regardées / analysées. Quelle garantie qu'on ne fait pas de stats ou autre pour les admins derrières?
La loi française fait peser une obligation de protection sur les prestataires d'infrastructure de communications (cf code des postes). Sauf problème technique, les mails ne sont pas censés être consultés humainement mais l'analyse automatisé n'est, à ma connaissance, pas interdite (sinon, simplement le fait de relayer un mail est un traitement automatisé et pourrait être considéré comme interdit).
En ce qui concerne les statistiques, le problème se situe plutôt sur la finalité (tout comme les traitements automatisés de fait). Difficile de faire une base de réputation sans statistiques par exemple.
François
Il y a quelques années (au moins deux), Orange, nouveau venu au MAAWG, expliquait devant l'auditoire qu'en France il n'était pas légal de filtrer les emails, c'est pourquoi Orange ne pouvait pas fournir de bon service antispam. CQFD. Quelques heures auparavant, XS4All et une université (danoise il me semble) avait détaillé leurs systèmes de filtrage, avec honeypots et mesures appropriées à leurs besoins respectifs. Autant dire que la performance d'Orange a laissé planer une étrange atmosphère dans la salle.
Ca a depuis évolué chez Orange (qui était bien content d'avoir une excuse toute trouvée pour ne pas se soucier du problème) à la vue des réactions du public et des présentations des autres FAI. Si une petite université déploie des moyens considérables dans le filtrage antispam (in et out), peut-être que le plus gros FAI d'Europe doit aussi faire quelque chose, en effet. Donc bon, finalement, la loi ne semble pas devoir s'appliquer quand on veut faire le bien.
Aux Etats-Unis, _toutes_ les actions menées en justice par des spammeurs contre des éditeurs de filtres antispam ou des réseaux les bloquants se sont terminées par un non-lieu. Alors ok, on n'est pas aux Etats-Unis, mais je doute que le résultat soit différent en France ou dans tout autre pays.
Mais ça ne règle pas le problème des CGU dans lesquelles il faudrait en effet mentionner que le filtrage est fait du mieux possible et qui si certains messages sont filtrés et bien 1) le service abuse se chargera du dossier ou 2) allez voir ailleurs.
Quant à bannir en fonction du X-mailer je ne vois pas bien l'efficacité dans la mesure où X-mailer, comme son nom l'indique est un header optionnel. Il suffirait donc de ne pas le mettre pour passer le filtrage ? Après tout, si un soft de mass-mailing n'a pas d'option pour cacher ce champ, il mérite sans doute d'être bloqué en effet.
Sur le principe de bloquer tout type de mass-mailing par contre je pourrais difficilement être objectif, mais du moment que le service abuse du réseau est réactif quand un client lui fait part d'un problème, ça ne pose pas trop de problème. Je ne te demanderai pas de me whitelister, par contre si un seul de tes utilisateurs demande à recevoir les emails que j'envoie, tu devras faire quelque chose rapidement. Ce n'est d'ailleurs par pour rien que les bonnes pratiques de l'email de masse recommandent de dédier une adresse IP de sortie à un client (et à un type de flux).
Qui a dit "IPv6" ?
- Benjamin
On Thu, 24 Feb 2011 22:10:46 +0100, Michel Blanc wrote:
J'ai eu aujourd'hui un expéditeur (externe), ému de ne pouvoir envoyer une newsletter à ses clients, à qui j'ai expliqué la situation. Discussion cordiale, terminée par un status-quo : je ne vais pas vérifier visuellement ses envois (là par contre, je n'en ai pas le droit) pour vérifier sa bonne foi et changer les règles de filtrage en conséquence.
Mais du coup, je m'interroge sur les implications légales possibles. Est-ce légal de filtrer ainsi ? L'expéditeur externe peut-il légitimement arguer du fait que ce filtrage nuit à son business ? Et les éditeurs de logiciels de mass-mailing ?
Légal je ne sais pas trop mais si j'étais l'expéditeur, que c'était des mails sollicités et que ça nuisait à mon business :
1) je trouverais un moyen de contourner le filtrage (pas trop dur), 2) j'inclurais dans un mailing à mes clients le fait que leur provider mail bloque mes courriers et qu'ils devraient en changer s'ils veulent continuer à les recevoir (à la DailyMotion)
Bloquer du spam OK, mais quand un expéditeur râle et est dans son bon droit la moindre des choses me semble d'être de changer les règles de filtrage.
On 25/02/2011 10:05, Pierre Chapuis wrote:
On Thu, 24 Feb 2011 22:10:46 +0100, Michel Blanc wrote:
Légal je ne sais pas trop mais si j'étais l'expéditeur, que c'était des mails sollicités et que ça nuisait à mon business :
- je trouverais un moyen de contourner le filtrage (pas trop dur),
Oui, bien sûr, mais quand on utilise un mass-mailer, on as pas forcément la possibilité de le faire (dans le cas précis qui m'occupe, il ne peut pas).
- j'inclurais dans un mailing à mes clients le fait que leur provider mail bloque mes courriers et qu'ils devraient en changer s'ils veulent continuer à les recevoir (à la DailyMotion)
Oui bon. Ça va pas être simple de faire partir les utilisateurs dans notre cas mais c'est une idée :)
Bloquer du spam OK, mais quand un expéditeur râle et est dans son bon droit la moindre des choses me semble d'être de changer les règles de filtrage.
En l'occurrence, je n'ai aucun moyen objectif de savoir si l'expéditeur qui râle et est dans son bon droit. Je ne vais pas ouvrir les mails en question, je n'en ai pas le droit. Je ne vais pas appeler l'utilisateur final pour savoir si oui ou non, il désire recevoir les courriers de la société 'X', j'ai d'autres serveurs à fouetter.
Le plus simple est qu'il prévienne son client, et que le client nous fasse la demande. Dans ce cas, on débloque. Je veux bien changer les règles de filtrage à la demande des utilisateurs. Mais hors de question de le faire pour une société externe : autant arrêter tout de suite de filtrer...
M
On Thu, 24 Feb 2011 22:10 +0100, "Michel Blanc" mblanc.networks@gmail.com wrote:
Mais du coup, je m'interroge sur les implications légales possibles. Est-ce légal de filtrer ainsi ? L'expéditeur externe peut-il
Si tes clients sont informes (par exemple via leur contrat) et qu'ils ont d'accord avec ca, pas de probleme.
légitimement arguer du fait que ce filtrage nuit à son business ? Et les éditeurs de logiciels de mass-mailing ?
Il peut toujours le faire, mais il n'aura pas forcement gain de cause devant un juge (s'il se permet d'arriver la). Tu agis pour le compte de tes clients. Si tes clients n'ont pas de probleme a ne pas recevoir ces e-mails - parfait. Si par contre tes clients te demandent de recevoir ces e-mails, faudra mieux que tu t'executes....
Pour reprendre la partie plainte possible de l'émetteur.
Tu commences à gérer pas mal de bal, certes pas autant qu'un gros mais suffisamment pour gêner l'envoie de campagne payée chère par le client de l'envoyeur.
Je ne serais pas étonné que si le jour où un gros client de VPC se fait filtrer une grosse partie de son envoie (15, 30, .. %) de ses mails envoyés il va forcément faire une pression énorme à son prestataire, ne pas lui payer la facture ou qu'une partie. Le prestataire pourrait sans doute aller devant un tribunal pour un motif de perte d'exploitation suite à une action négative de la part de l'opérateur des boites aux lettres. Le verdict je n'en sais trop rien, je ne suis pas juriste.
Mais ca m'amène à penser qu'il vaudrait mieux que les expéditeurs ne sachent pas pourquoi le mail n'arrive pas ... Soit tu acceptes et tu lui met une note tellement salé dans l'antispam qui partira à la poubelle (risqué au niveau des utilisateurs mais ca peut être une politique). Soit tu dropes un 500 pour erreur interne et c'est tout. Soit tu fais un report de spam sur une RBL quelconque, voir pourquoi pas créer la tienne.
Ca me fait penser aussi au filtrage ip, chose que j'utilise à titre personnel et que certaines entreprises nous ont demandé de mettre en place. En gros ils choppent le top 50 des ip qui envoient le plus de spam chaque semaine et hop dans un groupe sur le firewall. Légalement est ce une obstruction à une activité économique d'une autre entreprise ou considéré comme une juste défense ?
Là ca me dépasse légalement.
-
Benjamin AVET -
Benjamin Billon -
Clément Guivy -
Dominique Rousseau -
Francois Petillon -
Jerome Benoit -
Michel Blanc -
Nicolas Steinmetz -
Olivier MARECHAL -
Pierre Chapuis -
Pierre-Henry Muller -
Radu-Adrian Feurdean