L'email whitelist : une liste liste blanche contre les spams

Chaque email sérieux qui ne parvient pas au destinataire souhaité est une occasion ratée d’atteindre un objectif de communication. Face à l’afflux de spams, des mesures de protection comme le blocklisting ont été tellement renforcées qu’il devient de plus en plus difficile de communiquer par email avec le groupe cible souhaité, surtout quand il s’agit d’envoyer un grand volume d’emails à des fins commerciales. Une solution très restrictive est l’utilisation d’une whitelist ou « liste blanche ». Elle permet d’autoriser l’arrivée dans la boîte de réception aux seuls contenus explicitement désirés. Une autre méthode de protection contre les courriers indésirables est exposée dans notre guide concernant le greylisting.

Une whitelist, donc une allowlist, est le contraire d’une blocklist. Au lieu de bloquer des expéditeurs, adresses IP ou domaines au cas par cas, l’allowlist contient uniquement des entrées expressément souhaitées. Celles-ci peuvent correspondre à des sites Web, des programmes, des extensions de fichier, des adresses de messagerie, ou également des personnes. Pour résumer, tout est interdit sauf ce qui figure dans la liste.

Des allowlists sont mises place entre autres dans le pare-feu. L’administrateur inscrit activement les destinataires autorisés dans l’allowlist et seuls leurs contenus peuvent passer au travers du pare-feu. Tous les autres « restent dehors ». La protection des ordinateurs individuels se comporte de manière similaire quand seules les applications autorisées par l’allowlist peuvent pénétrer dans le dispositif. Nombre de ces listes empêchent par exemple l’exécution des fichiers portant les extensions .docx, .xlsx et .exe, qui demeurent ainsi exclus. Le pilotage des systèmes de courrier électronique fonctionne de manière analogue en appliquant les règles relatives à la protection de l’enfance, où des adresses IP ou des domaines précisément définis sont autorisés. Dans notre guide concernant l’Internet Protocol, nous détaillons les données qui sont transférées sur le parcours de l’expéditeur au destinataire.

Deux enregistrements de données jouent un rôle crucial lors de la remise des emails sur le plan technique : il s’agit d’une part de l’enregistrement MX d’un domaine précis. MX signifie Mail Exchange et apporte au client des informations sur le domaine sous lequel un serveur de messagerie est accessible. D’autre part, les informations contenues dans l’en-tête de l’email permettent de retracer le parcours d’un email et de vérifier si l’expéditeur spécifié en est également l’expéditeur réel. Les expéditeurs de courrier indésirable manipulent volontiers les lignes « From » et « Return-Path » pour générer de fausses identités.

Les allowlists permettent de piloter les autorisations pour les interactions des utilisateurs de manière centralisée. Ceci apporte clarté et sécurité concernant les programmes, services Web ou expéditeurs autorisés. Le contenu classifié comme dangereux et non autorisé par la loi est de prime abord « filtré » et déplacé vers les emplacements de stockage désignés ou mis en quarantaine. La condition préalable est la connaissance et la définition précises des interactions devant bénéficier d’une autorisation. L’avantage d’une telle approche est que les nouveaux expéditeurs, programmes ou fichiers inconnus ne peuvent pas s’introduire dans le système ainsi protégé.

Les destinataires des messages figurant sur une whitelist d’email recevront toujours les informations envoyées. Les messages des expéditeurs autorisés ne se retrouvent pas dans le dossier spam, mais toujours dans la boîte de réception. Il est possible de demander au destinataire de l’e-mail d’ajouter l’expéditeur à ses contacts grâce à une petite remarque intégrée au contenu de l’email.

Il convient de distinguer plusieurs niveaux pour la création d’une allowlist : le fournisseur d’accès Internet, les fournisseurs gratuits ou commerciaux ainsi que les utilisateurs individuels.

De nombreux fournisseurs permettent de créer ses propres blocklist et allowlist. Il est important de se rappeler ici que les entrées de la liste de rejet peuvent écraser celles de la liste blanche (selon la terminologie encore fréquemment en usage). Un compte client chez le fournisseur est requis pour remplir la liste.

Un fournisseur connu non affilié à un fournisseur d’accès est DNSWL.ORG, une fédération de volontaires anti-spam qui exploite une liste d’autorisation gratuite accessible au public jusqu’à une limite de requête donnée. Quand on est répertorié sur sa liste, on obtient un aperçu détaillé des données répertoriées, comme la plage d’adresses IP et les noms d’hôte. Parmi les prestataires connus, on retrouve Spamhouse, Return Path ou Certified Senders Alliance (CSA). Pour se faire référencer auprès de tels fournisseurs, il faut s’inscrire auprès d’eux et remplir des critères précis. Ils englobent par exemple :

• la gestion responsable et réactive des abus provenant de son propre réseau
• l’inscription en bonne et due forme et correcte au répertoire Whois
• l’absence antérieure de plaintes pour spam

Les fournisseurs vérifient les nouvelles demandes d’inscription en s’appuyant sur des sources publiques et privées. Il importe ici aussi de savoir si un domaine ou une adresse IP a déjà occasionné des problèmes de spam. Les réseaux avec utilisateurs publics se voient attribuer un niveau plus faible que ceux bénéficiant d’un étroit contrôle administratif, qui obtiennent un niveau plus élevé. D’autres critères ont pour vocation de retirer à nouveau une entrée de l’allowlist. Les critères varient d’un fournisseur à l’autre.

On peut également créer une allowlist en quelques clics sur son ordinateur. La marche à suivre est expliquée un peu plus loin.

Bien que le principe technique de création de contenus pour une allowlist est toujours identique ou très similaire, les procédures varient d’un fournisseur à l’autre. Elles sont pratiquement identiques sur les appareils mobiles. Il peut également arriver que certains champs ne soient pas visibles dans le client de messagerie. Ceci peut être aisément modifié dans les paramètres ou dans le menu. Sur écran tactile, on peut afficher l’adresse de messagerie réelle de l’expéditeur en appuyant sur « De » (sans devoir ouvrir l’email en question). En voici un bref aperçu avec des étapes simples :

• Se connecter avec son compte Google et ouvrir la boîte de réception
• Placer le pointeur de la souris sur l’expéditeur de l’email, une vue détaillée s’ouvre
• Sélectionner « Ajouter aux contacts » (avatar avec le signe plus dans un cercle gris)

• Ouvrir l’email de l’expéditeur qui doit figurer sur l’allowlist
• Cliquer droit sur l’adresse de messagerie dans la zone « De »
• Cliquer sur « Ajouter aux contacts », puis sur « OK »

• Cliquer droit sur l’expéditeur d’email souhaité dans la fenêtre d’aperçu du message
• Dans le menu de dialogue, sélectionner « Options de sécurité ». Ici, vous pourrez définir le degré de protection des courriers indésirables et gérer les listes d’autorisation et de blocage dans Outlook.

Il est possible de créer d’autres carnets d’adresses en plus du carnet d’adresses standard dans Thunderbird, par exemple en créant un carnet d’adresses portant le nom « Allowlist ».

• Sélectionner un message pour l’allowlist et l’ouvrir
• Cliquer droit sur l’adresse de messagerie de l’expéditeur
• Cliquer sur « Ajouter au carnet d’adresses » puis sur OK

• Ouvrir le message
• Cliquer sur « Ajouter un nouveau contact » (le bouton se situe près de l’entrée « De »)
• Ajouter l’expéditeur à la liste

• Sélectionner le message de l’expéditeur souhaité
• Cliquer sur « Marquer comme légitime » à côté de la zone « De »
• Ajouter l’adresse de messagerie aux contacts

• Sélectionner et ouvrir l’email dans l’aperçu
• Pointer sur l’expéditeur (entrée supérieure dans l’en-tête d’email), ouvrir le menu déroulant
• Cliquer sur l’entrée « Ajouter aux contacts »
• Puis : des règles dédiées peuvent être configurées pour des adresses de messagerie individuelles sous « Préférences > Règles » dans le mail.

Vous pouvez créer des blocklists ou des allowlists pour le compte global dans la gestion de message électronique du compte client IONOS : il suffit de cocher la case « Appliquer à toutes les adresses email du contrat actif ».

• Se connecter au compte client
• Sélectionner un email dans le menu, puis continuer vers « Adresses email »
• Sélectionner l’adresse de messagerie > Anti-spam > saisir l’expéditeur autorisé sous « Expéditeurs sûrs »