Certains courriels ne se rendent pas jusqu'à ma boîte GMail, Outlook, Yahoo, etc.

Sur AlternC, vous avez fait une redirection de courriels, c'est-à-dire que tous les courriels que vous recevez dans votre boîte de courriels chez Koumbit (appelons-la la "boîte Koumbit") sont redirigés vers une autre boîte de courriel GMail, Outlook, Yahoo ou autre (appelons-la la "boîte destination"). Le problème est qu'une personne a essayé de vous contacter à partir de son adresse courriel (appelons-la la "boîte source") et que ce courriel ne s'est pas rendu jusqu'à votre "boîte destination". La personne a plutôt reçu dans sa "boîte source" un message d'erreur de GMail, Outlook ou Yahoo qui lui dit que son courriel a rebondi. Si vous allez sur Roundcube (mail.koumbit.net), vous pouvez voir le courriel provenant de la "boîte source", mais celui-ci ne s'est pas rendu jusqu'à votre "boîte destination" : il n'est pas tombé dans le Spam, il semble simplement avoir disparu.

Que se passe-t-il ?

Comment l'internet se protèges des spammers

Le problème provient des mécanismes de protection contre les Spams utilisés communément sur l'internet, soit les mécanismes SPF et DKIM.

Le mécanisme SPF ("Sender Policy Framework") permet à un site Web de confirmer les adresses IP par lesquelles des courriels peuvent sortir. Il s'agit d'une confirmation du serveur qui a envoyé le courriel que celui-ci provient bien d'une adresse IP qui a le droit d'envoyer des courriels. Un hacker qui aurait pris le contrôle d'un ordinateur et qui enverrait du Spam aurait peu de chance d'avoir un SPF valide, à moins d'avoir hacké un serveur qui a la permission d'envoyer des courriels.

Le mécanisme DKIM ("DomainKeys Identified Mail") permet à un site Web de signer un courriel, l'authentifiant comme courriel valide. Cette signature provient d'une information (une "clé") qui se trouve sur le serveur. Un hacker qui aurait pris le contrôle d'un serveur avec un SPF valide ne pourrait pas envoyer des courriels signés, à moins d'avoir accès à cette clé, qui est souvent bien protégée.

C'est pourquoi les hackers essaient de prendre le contrôle de boîtes de courriels qui existent déjà : ces boîtes possèdent normalement un SPF valide et peuvent envoyer des courriels signés avec DKIM.

Quel est le lien avec la redirection des courriels ?

Voici donc ce qui se produit quand on redirige un courriel :

Le SPF du courriel indique donc l'adresse 200.201.202, qui n'est plus exact lorsque le courriel est redirigé à partir de Koumbit. Le courriel ne sera pas bloqué par Koumbit, mais lorsqu'il arrive à la "boîte destination", c'est certain qu'il aura un SPF invalide. Le serveur qui a la "boîte destination" voit en effet arriver le courriel du 199.58.80.40 (le serveur de Koumbit), alors que le SPF inclut avec le courriel indique que le serveur valide est le 200.201.202.

Le DKIM, de son côté, devrait être correct, s'il n'y a pas eu de modification du courriel durant son transfert. Le DKIM échouera si le courriel a été modifié en cours de route : si des lignes ont été ajouté avant l'envoi par le serveur de la "boîte source", ou par le serveur de Koumbit durant le transfert.

Les serveurs des "boîtes de destination" utilisent des règles qui varient, mais vont généralement accepter un courriel :

• Qui passe le SPF et le DKIM (situation idéale),
• Qui passe le SPF et échoue le DKIM (ce qui ne devrait pas arriver avec une redirection),
• Qui échoue le SPF et passe le DKIM (ce qui devrait être notre cas le plus souvent).

Si un courriel échoue le SPF et le DKIM, il est souvent rejeté par le serveur de la "boîte de destination".

Que doit-on en déduire ? Un courriel redirigé arrivera à la "boîte destination" seulement si son DKIM est correct. Cela implique donc deux facteurs :

• Il faut que le DKIM soit correctement configuré sur le serveur de la "boîte source",
• Il ne faut pas que le courriel soit modifié entre le moment de sa signature et son arrivée sur le serveur de la "boîte destination".

Koumbit s'assure qu'il n'y a pas de modifications faites durant le transfert. Par contre, Koumbit n'a aucun contrôle sur les serveurs qui envoient le courriel ! Si ce serveur est mal configuré et ne signe pas correctement les courriels avec DKIM, ou bien si ce serveur modifie le courriel après qu'il a été signé, alors le courriel va échouer le DKIM.

Solutions

Les protocoles d'envois de courriels n'ont pas été conçus pour s'assurer que ceux-ci restent parfaitement synchronisés à travers plusieurs boîtes de courriel. C'est ce qui se produit ici : les courriels sont dans deux boîtes en même temps : la "boîte Koumbit" et la "boîte destination". Il existe un mécanisme qui s'assure que les courriels sont synchronisés entre votre ordinateur et le serveur (le protocole IMAP), mais il n'y a pas de mécanisme qui s'assure que plusieurs boîtes sur plusieurs serveurs aient les mêmes courriels. Il sera donc toujours un peu dangereux de vouloir conserver ses courriels dans plusieurs boîtes en même temps.

Nous proposons donc trois solutions pour éviter ces problèmes :

1. Éviter entièrement la redirection et utiliser des outils comme Thunderbird, Outlook ou le courriel en ligne à travers l'interface web de Roundcube.
2. Éliminer les boîtes chez Koumbit et rediriger tous les courriels directement vers la destination désirée à travers une entrée MX. Cela indique à l'internet que, par exemple, tous les courriels de "votresite.org" ne doivent pas être acheminés chez Koumbit, mais plutôt être acheminés chez un autre service, comme GMail. Notez que tous les courriels du site doivent être redirigés au même endroit : pour un site donné, il ne peut pas y avoir une adresse GMail, une adresse Outlook, etc.
3. Garder la redirection telle qu'elle, mais garder un oeil sur l'interface web de Roundcube pour voir si des courriels sont arrivés chez Koumbit mais ne se sont pas rendus jusqu'à la "boîte destination".

Une autre façon de voir le courriel est la suivante : Étant donné le coût écologique d'un courriel, est-ce vraiment pertinent de vouloir le conserver dans deux boîtes en même temps ?