La problématique est toujours la même (cf mon article sur les problèmes liés au MITM), comment s'assurer que l'on dialogue bien avec la personne avec qui l'on souhaite dialoguer.
Le protocole SMTP (qui permet d'envoyer des emails) n'est pas toujours respecter à la lettre par certains relais ou serveurs SMTP qui permettent d'utiliser n'importe quel email en réécrivant le header. N'importe qui peut donc envoyer un email de n'importe ou en utilisant n'importe quel email (le votre par exemple).
Si certains clients mail (type webmail comme Gmail, ou client comme Thunderbird) permettent d'alerter l'utilisateur quand il y a une forte suspition d'usurpation d'identité, la majorité ne contrôle pas si le serveur smtp utilisait pour envoyer l'email correspond bien à celui (ou ceux) inscrits dans l'entrée DNS MX (bientôt SRV) ou encore si le serveur smtp requiert une authentification qui lie son utilisation à une ou plusieurs adresses email.
Comment faire pour s'assurer que le message vient donc bien de la bonne personne ?
2 technologies simples d'accès s'offre à vous : OpenPGP et les certificats X509, elles peuvent être utilisées en parallèle (sauf le mime, où il faut faire un choix).
En tant qu'administrateurs de Kajax, il est important que vous utilisiez un client mail qui gère ces 2 technologies (ou au moins l'une d'entres elles - la majorité supporte les certificats X509).
Tous les emails que j'envoie avec mon adresse profesionnelle sont signés avec mon certificat client CAcert.org et ma clé pgp RSA de 4096bits (la signature étant un hash type sha-512) disponible sur la plupart des dépôts de clés. Il est important de vérifier que les signatures sont valides, sinon cela veut dire que ce n'est pas moi qui ait envoyé le mail.
Si vous souhaitez plus d'informations à ce sujet, je vous conseille les sites suivants :
©2004-2010 - Kolibot.fr - Généré par Kajax 2.5rc4(Ajax désactivé)