Gmail veut améliorer la lutte contre le spam en 2024
Gmail, le service d'e-mail de Google, compte améliorer la lutte contre le spam en 2024 et va imposer quelques limites aux gros expéditeurs pour tenter de réduire encore un peu le nombre de messages indésirables. Pour Google, un « gros expéditeur » est une société qui envoie plus de 5 000 e-mails à des adresses Gmail en une journée.
Le premier point est simple : les expéditeurs devront s'authentifier pour envoyer les e-mails. Cette page sur le site de Google explique que l'expéditeur devra donc soit avoir un enregistrement SPF soit un enregistrement DKIM. Le premier (SPF pour Sender Policy Framework) permet de vérifier que le serveur qui a envoyé un e-mail d'un nom de domaine précis (par exemple @icloud.com) a bien le droit d'envoyer cet e-mail, pour éviter l'usurpation d'identité. Le second, DKIM (pour DomainKeys Identified Mail) permet une vérification peu plus profonde grâce à une signature cryptographique. Elle permet de vérifier que l'e-mail a bien été envoyé depuis les serveurs annoncés, mais aussi que le message n'a pas été modifié. Vous trouverez plus de détails chez nos confrères de Next Inpact, mais les deux technologies doivent être déployées en parallèle dans l'idéal.
La seconde nouveauté va être que Google va tenter de vérifier que les expéditeurs n'envoient pas trop de spams. La société n'explique pas trop comment elle compte le vérifier, mais nous pouvons supposer que si des messages passent le filtre des spams et sont ensuite placés manuellement dans cette catégorie par l'utilisateur, c'est qu'ils n'étaient pas attendus. Et si le taux de spams de ce type est trop élevé, il y a visiblement un problème.
Enfin, Google va proposer un nouveau protocole pour gérer facilement le désabonnement. La société explique qu'il devrait être possible de se désabonner en un seul clic et va proposer un standard ouvert pour gérer ce point, sans plus de détails. Rappelons que Mail tente par exemple de détecter les liens de désabonnement et met cette possibilité en avant depuis quelques années (avec iOS 10 et macOS Sierra) mais qu'elle dépend de la structure du message et du bon vouloir de l'expéditeur.
Dans tous les cas, les modifications imposées par Google devraient améliorer la situation pour tous les utilisateurs : les changements sur les possibilités de désabonnement et l'authentification des expéditeurs serviront aussi pour les autres services.
C’est bizarre mais Google est spécialiste des situations de monopoles qui sous certains aspects sont favorables aux utilisateurs.
Là c’est un exemple mais il y a tout simplement l’algo du moteur de recherche qui est si bon grâce aux milliards de requêtes quotidiennes.
@Pierre Dandumont, quelques imprécisions :
Mail ne tente pas de découvrir les liens de désinscription, mais utilise, comme GMail (...), Yahoo et d'autres, le header List-Unsubscribe de l'e-mail envoyé.
L'article de Google fait bien référence à des standards ouverts, mais dans ma lecture ils indiquent qu'ils vont les utiliser, pas en produire un nouveau.
@Hobbyvores
J’en comprends la même chose. Gmail va implémenter, voire exiger, des standards existants.
La société explique qu'il devrait être possible de se désabonner en un seul clic et va proposer un standard ouvert pour gérer ce point, sans plus de détails
Génial !
J'attends de voir et on en reparle ensuite...
« Gmail veut améliorer la lutte contre le spam en 2024 »
Hé bien vu d’où ils partent, honnêtement je ne vois pas comment ils pourraient faire autre chose que de s’améliorer !
Leur algorithme est tellement idiot qu’il met en spam des adresses mails présentent dans les contacts du receveur. Ça paraît pourtant être le b a ba de la gestion de spams 🤷🏼♂️
@Yves SG
« Leur algorithme est tellement idiot qu’il met en spam des adresses mails présentent dans les contacts du receveur. Ça paraît pourtant être le b a ba de la gestion de spams »
Justement non. Mettre en liste blanche des adresses emails ou domaines au prétexte qu’elles sont dans notre carnet d’adresses, ouvrirait un boulevard à l’usurpation de domaine.
Tout email reçu doit passer les vérifications d’authenticité et légitimité.
Typiquement quand des emails légitimes sont mis en spam, soit c’est un tri abusif de la part de l’hébergeur qui reçoit (ça arrive), soit c’est un défaut de configuration du domaine émetteur (SPF mal configuré, absence de DKIM qui suscite une suspicion, envoi via une infrastructure ayant une mauvaise réputation car utilisée pour spammer le monde, etc.).
Il y a deux aspects majeures de l’antispam :
- écarter toutes les merdes d’envoi en masse indésiré (vendeurs de viagra, de voiture, de rencontre, de défiscalisation, etc.) ;
- détecter et stopper l’hameçonnage, notamment quand il a recours à l’usurpation de domaine, mais aussi quand il recours à des domaines trompeurs (impots-gouv.fr au lieu de impots.gouv.fr).
SPF, DKIM et DMARC répondent au second besoin. BIMI également, mais plutôt pour du mail transactionnel. Sur le spam de masse, ils n’ont qu’un effet limité car les spammeurs professionnels sont en capacité de les déployer sur leurs infrastructures. Le fait d’exiger que les gros domaines émetteurs déploient SPF et DKIM n’aura pour effet que d’écarter les spams les plus sales. C’est déjà ça de gagné, mais ça ne sera pas miraculeux.
La seconde mesure annoncé par Google, c’est-à-dire la prise en charge des standards qui facilitent le désabonnement, concerne essentiellement le spam de masse. Là aussi ça ne sera pas magique et dépend principalement de l’honnêteté des émetteurs, qui doivent tenir compte des demandes de désabonnement. Tout au plus, les hébergeurs peuvent exiger que l’entête List-Unsubscribe doit bien renseigné, sans quoi ils rejettent l’e-mail. Ça ne concerne que les newsletters.
SPF, DKIM et DMARC sont des mécanismes d’authentification, pas d’antispam. Néanmoins, ils sont de plus en plus exigés par les gros hébergeurs (notamment Gmail), comme preuve de sérieux, et donc entrent en compte dans les critères des antispam, au delà de leur fonction première.
@nmo
Merci pour les précisions 👌
@nmo
Merci pour cette réponse détaillée !
Cependant je ne comprends pas pourquoi « Mettre en liste blanche des adresses emails ou domaines au prétexte qu’elles sont dans notre carnet d’adresses, ouvrirait un boulevard à l’usurpation de domaine. »
Si on considère tout un nom de domaine bien sûr, mais une adresse mail complète il n’y a aucune raison. Et je ne vois pas ce problème avec d’autres providers que gmail…
@Yves SG
Dans le détail, ça dépend d’où intervient la liste blanche. Si elle ne concerne que l’algo antispam, c’est moins gênant. Mais si elle shunt la vérification d’authentificité (conformité DMARC), alors elle rend caduque la protection du domaine émetteur mis en liste blanche. Si on ne met qu’une adresse en liste blanche plutôt qu’un domaine, certes seule cette adresse pourrai être usurpée, mais c’est déjà de trop.
@nmo
BIMI, ou pour l’instant (octobre 2023) le pouvoir de Digicert et Entrust 😏😏😏
Alors certes on me dira que l’implémenter sans vnc ça passe en théorie le contrôle BIMI sur le vérificateur BIMI mais ni Google, ni Apple, ni Microsoft ne t’afficherait le logo.
@llugat
En effet le principe de BIMI est de valider l’identité de l’entité émettrice, donc certificat délivré par une autorité de certification, sur validation d’identité, etc. Le principe est intéressant. On peut cependant débattre du prix des certificats, qui sont gonflés par les enjeux de protection des marques.
@Yves SG
TROLL ATTACK.
@manuinbangkok
?
Et ils pourraient pas mettre une vrai signature mobile en 2023 du coup ? 😂
Le pb ce ne sont pas les mails dont on peut se desinscrire par le lien (et que ça fonctionne) mais tous les autres
Microsoft devrait prendre exemple sur Google
Quelques spams arrivent de temps en temps sur mon gmail mais honnêtement sans commune mesure ni comparaison possible avec hotmail. C’est une catastrophe. En tout cas, tout va bcp mieux depuis que j’ai migré vers proton et Infomaniak
Je n’ai quasiment pas de spams avec gmail qui est mon adresse principale. Alors que laposte.net ou wanadoo… c’est infernal.
De mon expérience ne laissez jamais un mail « utile » pour une inscription sur lemonde ! Dans les jours qui suivent c’est spams en cascade et revente à gogo. Des années après ça continu.
@pasc75
Peut-être aucun rapport avec le fournisseur, mais plutôt avec l’utilisation que tu as faite de ces adresses. J’ai deux adresses chez Free, une est spammée, l’autre jamais. Il suffit qu’un site qui a ton adresse soit piraté pour que ton adresse se retrouve dans la nature.
De toute façon, il est nécessaire pour un mass mailer d’avoir implémenté SPF/DKIM/DMARC.
J’ai un client (agences immo - appels de charges générés à la même date) qui, même avec cela a des difficultés d’envoi de mails vers des fournisseurs grands public…
« Le premier (SPF pour Sender Policy Framework) […] pour éviter l'usurpation d'identité. »
Plus exactement, l’usurpation de domaine. SPF ni DKIM ne permettent de vérifier l’identité (physique ou morale) de l’émetteur. Pour cela, il faut une signature nominative, avec S/MIME par exemple.
Y'a spam et spam, mais perso ne jamais accepter de newsletter c'est un bon début, en plus d'éviter de donner son mail partout (quitte à laisser des alias ou avoir plusieurs boites selon les usages, ou le relais privé chez la Pomme).
Je vois des gens qui en ont des douzaines, à chaque achat ou passage sur un site, même une fois, résultat des milliers de mails non lus qui saturent la boite, ça me rend fou à voir ^^
Gmail, le service d'e-mail de Google, compte améliorer la lutte contre le spam en 2024 et va imposer quelques limites aux gros expéditeurs pour tenter de réduire encore un peu le nombre de messages indésirables.
Traduction : Gmail va s'assurer que seules les publicités de Google arrivent dans les boîtes emails.
SPF et DKIM sont déjà en application sur Gmail donc rien de nouveau les concernant.
Pas de spam chez moi, suffit d’avoir les bon outils, et commencer par ne pas installer les produits Microsoft et Google sur son iPhone, iPad et Mac.
Perso, je n'ai aucun spam (ouais allez, un ou deux par année) sur mon gmail principal et ce depuis plus de 15 ans que je l'utilise.
Alors si en plus ils améliorent...
Pour éviter les spams, il est de mon avis évident qu'avoir plusieurs adresses mails est indispensable.
Perso, j'ai une adresse principale que je n'utilise jamais ni pour les achats ni pour les inscriptions sur des sites comme macg... Et mon adresse secondaire, je n'y vais que pour confirmer un mail qu'un site m'aurait envoyé, elle peut-être bourrée de spam, je ne regarde jamais ^^
Ah bon? Parce qu’ils ont commencé ? 😂