Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  22.06.2013      r+  10.09.2022      r-  04.06.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

postmaster : adresse rôle postmaster@domain

Si vous êtes victime de spam, ou de courriers électroniques inappropriés, il peut être tentant d’écrire à l’administrateur du serveur de messagerie d’où est parti le courrier, car, en principe, il peut remonter à l’expéditeur indélicat. C’est simple : si l’adresse apparente de l’expéditeur est toto@exemple.tld, l’adresse de l’administrateur de son serveur de messagerie est postmaster@exemple.tld. Mais ce n’est qu’un principe. Dans la pratique, il est quasiment certain que rien de ce qui est envoyé sur cette adresse n’est lu. Cette adresse est plus une poubelle qu’autre chose.

En IT (Informatique et Technologie), Postmaster est un terme utilisé pour identifier l'administrateur d'un serveur de messagerie. Quasiment tous les domaines qui disposent de serveurs de messagerie (serveurs MX) ont une adresse e-mail postmaster@domaine.tld. Si cette adresse e-mail est, par défaut, l’adresse de l’administrateur des serveurs de messagerie d’un domaine, elle est aussi l’adresse par défaut vers laquelle sont dirigées toutes les erreurs dans le traitement des e-mails.

Les e-mails de traitement d’erreurs, générés automatiquement par les MTA (Mail Transfer Agent) des serveurs de messagerie, apparaissent généralement envoyés par postmaster@domaine.tld, soit l'administrateur des serveurs.

Chaque domaine qui prend en charge le protocole SMTP (Simple Mail Transfer Protocol) pour le transfert de courriers électroniques est requis par la RFC 5321 et, depuis 1982, par la RFC 822, d'avoir une adresse d'administrateur.

Il a même existé un site, rfc-ignorant.org, utilisé pour signaler et maintenir une liste de serveurs de messagerie qui n’étaient pas en conformité avec les RFC 5321 et RFC 822. rfc-ignorant.org était une RBL (Realtime Blackhole List – Liste de blocage en temps réel). Ce site a été arrêté le 30 octobre 2012. Son fondateur, Derek Balling, expliqua que cette liste de blocage n’était plus aussi importante qu’à sa création, en l’an 2000, car elle était devenue massivement utilisée par les RBL antispam, ce qui n’était pas sa finalité.

Comme la plupart des domaines ont une adresse d'administrateur de serveurs de messagerie, ils sont souvent ciblés par les opérations de spamming.

Même si elle n’est pas directement spammée, une adresse d'administrateur de serveurs de messagerie peut être bombardée par des renvois à l’expéditeur supposé de courriers classés en spam et dont l’expéditeur a forgé une adresse d’émission correspondant à une adresse Postmaster.

Note :
L'écriture de "postmaster" est une exception, fixée par la RFC 822. Alors que toutes les adresses e-mail s'écrivent exclusivement en minuscules, "postmaster" doit pouvoir s'écrire n'importe comment, dans un mélange de majuscules et minuscules, et être toujours reconnu.

RFC - RFC 822
The reserved local-part address unit, "Postmaster", is an exception. When the value "Postmaster" is being interpreted, it must be accepted in any mixture of case, including "POSTMASTER", and "postmaster".

Dans quels cas il ne faut pas utiliser l'adresse postmaster@, mais porter plainte (et où porter plainte)

Les cas de contenus touchant à la pédophilie, au terrorisme, à la fabrication d'armes et explosifs, à l'appel ou la propagation de la haine raciale ou religieuse, à l'endoctrinement sectaire, etc. ... ne doivent pas être signalés à une adresse postmaster : il faut s'adresser immédiatement à un officier de police judiciaire de son commissariat de police ou à des adresses de contact pour signaler - dénoncer - porter plainte. Typiquement, c'est la Pharos qui collecte ces natures d'informations.

Si le serveur de messagerie en question est lui-même victime d'une usurpation, l'administrateur fera ce qu'il peut pour y mettre un terme (correction de failles de sécurité, etc.).




Divers documents Internet (RFC [Request for Comments - Demandes de commentaires]) ont spécifié des noms de boîte aux lettres à utiliser pour atteindre les opérateurs spécifiques d'un service courriel. Par exemple, la RFC 822 [§6.3, C.6] exprime la nécessité de la présence d'un nom de boîte aux lettres <postmaster@domain> sur tous les hôtes ayant un serveur SMTP (Simple Mail Transfer Protocol).

D'autres protocoles bien connus ont un standard « de facto » pour leur nom de boîte aux lettres, tels que <usenet@domain> pour NNTP (voir RFC 977) et <webmaster@domain> pour HTTP (voir [HTTP]). Il y a, dans les RFC, la spécification d'un nom de boîte aux lettres « devenu standard de facto », choisi par la logique et son « usage naturel répandu », pour chacun des protocoles de communication existants.

Les normes « de facto » (normes, « de fait », d'une manière non juridique, reconnues de facto) existent également pour des noms de boîtes aux lettres bien connus qui n'ont rien à voir avec un protocole particulier, par exemple <abuse@domain> ou <trouble@domain>.




Certaines adresses courriel sont réservées, par habitude ou convention, à un usage spécifique. Quelques-unes d'entre elles sont même fixées et standardisées dans des RFC. Leurs noms désignent la fonction du destinataire, sur un domaine, sans connaître ce destinataire. Leurs justifications principales sont :

  • Simplifier la vie des administrateurs de serveurs lorsque ces serveurs sont nombreux et différents

  • Pouvoir s'adresser au responsable d'une fonction particulière sur un domaine (un site Web), sans le connaître et sans connaître son adresse courriel. Il s'agit de pouvoir accéder au responsable le plus pertinent d'une fonction, les yeux fermés, sur tous les domaines du monde.

Évidemment, la réalité de l'existence de ces responsables d'une fonction dans un domaine ne concerne que les immenses domaines avec des centaines ou milliers d'employés. L'étudiant qui achète un nom de domaine juste pour publier son CV (Curriculum Vitae) sur son site Web mono-page, est loin de tout cela et il est toutes les fonctions à lui tout seul.

Dans tous les cas, trois fonctions existent obligatoirement et trois adresses courriel sont obligatoires, même chez l'étudiant et son site Web monopage. En achetant un nom de domaine, chez un registrar, le registrant doit créer les 3 adresses courriel « registrant@ », « admin@ » et « tech@ », qui lui sont demandées. Par exemple :

Adresses courriel rôle (réservées) demandées au registrant d'un nom de domaine
Adresses courriel rôle (réservées) demandées par
un registrar au registrant lors de l'achat d'un nom
de domaine, et que l'on retrouve dans tous
les (bons) Whois du monde.


Ensuite, il existe une petite liste de noms de boîtes courriel dites « adresses rôle » qui sont préférentiellement réservées à des destinataires particuliers, désignés par leurs fonctions, dans une organisation. Ce sont les mêmes noms de fonction utilisés dans toutes les langues et ils sont fixés (standardisés) par les RFC.

Ces « adresses rôle » se basent sur le protocole utilisé et permettent de joindre le responsable pertinent d'une fonction. Elles sont recommandées dans des RFC qui ont valeur de standard, dont les RFC 822, RFC 959, RFC 2068, RFC 1033, RFC 1035, RFC 976, RFC 977, RFC 2142 qui évoquent des « Mailbox names for common services, roles and functions » (« Noms de boîtes aux lettres pour des services, rôles et fonctions communs »).

Les adresses courriel suivantes sont donc réservées à des destinataires particuliers, pertinents dans une fonction (dans un domaine) :

Enfin, les autres fonctions ne peuvent être évoquées dans une RFC. Elles relèvent de chaque organisation (ventes, achats, marketing, service après-vente, petites annonces, jobs, etc.). Nous avons établi une liste d'adresses courriel de fonctions (liste d'adresses rôles) souvent rencontrées (il y en a certainement d'autres).

Pour l'internaute « normal » visitant un site Web, seules les adresses postmaster@, abuse@ et webmaster@ sont « intéressantes » si vous avez quelque chose à faire remarquer.

Ces 3 « adresses courriel fonction » ou « adresses courriel rôle » devraient toujours exister pour tous les domaines (tous les sites Web), même s'il s'agit d'un domaine personnel, microscopique, d'une seule page (sauf si le site donne clairement une ou des adresse(s) de contact, généralement en bas de ses pages ou dans ses clauses et conditions, ou indique un autre moyen de communication comme un forum de discussion ou un réseau social).

Adresse courriel de contact indiquée dans le site Web
Adresse courriel de contact
indiquée dans le site Web

L'anonymat légalisé est une imbécilité (une véritable criminalité). Dernier en date, le RGPD entré en vigueur le 25 mai 2018). Il y a une complète confusion entre la vie privée et l'anonymat. La protection de la vie privée ne passe absolument pas par l'anonymat. Autant la vie privée doit être totalement privée (ce que je fais sur le Web, à titre personnel, ne vous regarde pas), autant ce qui est « publié » ne doit jamais l'être par une personne physique ou morale qui se cache, ce qui enlèverait tout crédit aux propos, voire les rendrait suspicieux. Se souvenir, par exemple de :

Il a existé, de 2001 à 2012, un domaine (« rfc-ignorant.org ») qui maintenait une liste noire (blacklist), par crowdsourcing, des sites ne donnant pas d'adresses courriel « registrant@ », « admin@ » et « tech@ ». Il existe encore (2019), avec certains outils d'analyse de sites Web, le test et signalement de l'inexistence de ces adresses courriel, inexistence considérée comme un mauvais point dans la réputation du site Web.






Dossier (collection) : Clients de messagerie

Thunderbird (Fondation Mozilla) - Windows, Mac OS X, tous les GNU/Linux
Outlook (Microsoft) - Windows
Outlook Express (Microsoft) - Windows, Mac OS
Incredimail (Perion Network Ltd.) - Windows
Opera mail (Opera Software) - Windows, Mac OS X
Evolution (The GNOME Project) - Unix, Windows
Mail (Apple) - Mac OS X
IBM Notes (anciennement Lotus Notes) - Windows, Unix, Linux, Mac OS
The Bat! (RITLabs) - Windows
Foxmail (Tencent) - Windows, Mac OS X
Libremail (Bernard Chardonneau) - GNU, Linux
SeaMonkey (Le Conseil SeaMonkey) - Windows, Mac OS X, tous les GNU/Linux
Entourage
Novell GroupWise
IceDove (client de Mozilla – version libre GNU GPL de Thunderbird pour Linux)