La problématique est toujours la même (cf mon article sur les problèmes liés au MITM), comment s'assurer que l'on dialogue bien avec la personne avec qui l'on souhaite dialoguer.
Le protocole SMTP (qui permet d'envoyer des emails) n'est pas toujours respecter à la lettre par certains relais ou serveurs SMTP qui permettent d'utiliser n'importe quel email en réécrivant le header. N'importe qui peut donc envoyer un email de n'importe ou en utilisant n'importe quel email (le votre par exemple).
Si certains clients mail (type webmail comme Gmail, ou client comme Thunderbird) permettent d'alerter l'utilisateur quand il y a une forte suspition d'usurpation d'identité, la majorité ne contrôle pas si le serveur smtp utilisé pour envoyer l'email correspond bien à celui (ou ceux) inscrits dans l'entrée DNS MX (bientôt SRV) ou encore si le serveur smtp requiert une authentification qui lie son utilisation à une ou plusieurs adresses email.
Comment faire pour s'assurer que le message vient donc bien de la bonne personne ?
Lire la suite
