Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

spam : adresse rôle spam@domain

spam, spam@domaine.tld - adresse rôle (adresse courriel standard « de facto ») réservée à un usage spécifique. Elle dirige les courriels vers un interlocuteur compétant.

spam : adresse rôle spam@domain (adresse « rôle »)

Vous êtes victime d'une attaque en provenance d'un site ou vous pensez qu'un site a une activité ou un contenu inapproprié ou est à l'origine de spam que vous recevez... : écrivez à abuse@nom du site.tld (ou, parfois, à abus@nom du site.tld ou spam@nom du site.tld).

L'adresse email « abuse » existe sur presque n'importe quel domaine important. Elle a un statut particulier. Elle est, par convention tacite, réservée et sert à exprimer au responsable d'un domaine un usage inapproprié ou abusif de son domaine.

Elle est de la forme « abuse » @ « nom du domaine » . « Top Level Domain »

Par exemple :
abuse@google.com
abuse@microsoft.com

Il est toutefois rare de trouver une adresse « abuse » sur un petit site personnel qui aurait son propre nom de domaine. Le nommé Martin Durant, qui aurait un domaine appelé martin.durant.fr pour y faire figurer son CV, n'a probablement pas d'adresse email abuse@martin.durant.fr. On peut tenter de rechercher son hébergeur, avec des outils de type DNS Lookup (Whois) ou avec Trouver les serveurs email (MX) d'un domaine, et tenter d'écrire à l'adresse « abuse » de son hébergeur qui prendra peut-être une mesure à l'encontre du webmaster.

L'adresse « abuse » permet à quiconque pensant avoir été victime d'un acte malveillant ou abusif de la part d'un domaine d'écrire à ce domaine à l'adresse « abuse », même s'il ne connaît pas d'adresse email pour entrer en contact avec le domaine en question.

Les cas les plus fréquents dénoncés en utilisant « abuse » sont l'usage du domaine pour propager des spams ou des virus ou toute autre forme de malveillances et abus comme les Scam 419.

Dans quels cas il ne faut pas utiliser l'adresse abuse@, mais porter plainte (et où porter plainte)

Les cas de contenus touchant à la pédophilie, au terrorisme, à la fabrication d'armes et explosifs, à l'appel ou la propagation de la haine raciale ou religieuse, à l'endoctrinement sectaire, etc. ne doivent pas être signalés à une adresse « abuse », ce qui pourrait mettre la puce à l'oreille d'un webmaster cybercriminel qui s'empresserait de camoufler ses documents : il faut s'adresser immédiatement à un officier de police judiciaire de son commissariat de police ou à des adresses de contact pour signaler - dénoncer - porter plainte. Typiquement, c'est la Pharos qui collecte ces natures d'informations.

Si le domaine (le site) en question est lui-même victime d'une usurpation et que les malveillances ou abus se propagent au travers de son domaine, à son corps défendant, le webmaster fera ce qu'il peut pour y mettre un terme (correction de failles de sécurité, effacement complet de son site et reconstruction depuis zéro, etc. ...). Si le webmaster n'est pas diligent, il est possible de s'adresser à son hébergeur qui pourra suspendre son site pour le forcer à réagir.

Si la faille provient des outils implantés par l'hébergeur pour faire fonctionner ses serveurs (Apache, PHP, MySQL, etc. ...), le webmaster se retournera contre l'hébergeur (qui a, lui aussi, une adresse abuse@domaine.xxx).

Si l'attaque provient directement d'un domaine malveillant par volonté d'être malveillant (en particulier les Scam 419), lui écrire sera un coup d'épée dans l'eau (voire validera votre adresse email qui sera confirmée pour encore plus de spams). Dans ce cas, suggérer plutôt l'inscription de ce site malveillant, immédiatement, dans les diverses listes noires de blocage.

Les « adresses rôle », des normes « de facto »

Divers documents Internet (RFC) ont spécifié des noms de boîte aux lettres à utiliser pour atteindre les opérateurs d’un service ; par exemple, la [RFC 822 §6.3, C.6] exprime la nécessité de la présence d'un nom de boîte aux lettres <POSTMASTER@domain> sur tous les hôtes ayant un serveur SMTP (Simple Mail Transfer Protocol).

D'autres protocoles bien connus ont un standard « de facto » pour leur nom de boîte aux lettres, tels que <USENET@domain> pour NNTP (voir [RFC 977]) et <WEBMASTER@domain> pour HTTP (voir [HTTP]). Il y a, dans les RFC, la spécification d’un nom de boîte aux lettres « devenu standard de facto », choisi par la logique et son « usage naturel répandu », pour chacun des protocoles de communication existants.

Les normes « de facto » (normes, « de fait », d’une manière non juridique, reconnues de facto) existent également pour des noms de boîtes aux lettres bien connus qui n’ont rien à voir avec un protocole particulier, par exemple <ABUSE@domain> ou <TROUBLE@domain>.


Les « adresses rôle »

Certaines adresses courriel sont réservées, par habitude ou convention, à un usage spécifique. Quelques-unes d'entre elles sont même fixées et standardisées dans des RFC. Leurs noms désignent la fonction du destinataire, sur un domaine, sans connaître ce destinataire. Leurs justifications principales sont :

  • Simplifier la vie des administrateurs de serveurs lorsque ces serveurs sont nombreux et différents
  • Pouvoir s'adresser au responsable d'une fonction particulière sur un domaine (un site Web), sans le connaître et sans connaître son adresse courriel. Il s'agit de pouvoir accéder au responsable le plus pertinent d'une fonction, les yeux fermés, sur tous les domaines du monde.

Évidemment, la réalité de l'existence de ces responsables d'une fonction dans un domaine ne concerne que les immenses domaines avec des centaines ou milliers d'employés. L'étudiant qui achète un nom de domaine juste pour publier son CV (Curriculum Vitae) sur son site Web mono-page, est loin de tout cela et il est toutes les fonctions à lui tout seul.

Dans tous les cas, trois fonctions existent obligatoirement et trois adresses courriel sont obligatoires, même chez l'étudiant et son site Web monopage. En achetant un nom de domaine, chez un registrar, le registrant doit créer les 3 adresses courriel « registrant@ », « admin@ » et « tech@ », qui lui sont demandées. Par exemple :

Adresses courriel rôle (réservées) demandées au registrant d'un nom de domaine
Adresses courriel rôle (réservées) demandées par un registrar au registrant lors de l'achat d'un nom de domaine, et que l'on retrouve dans tous les (bons) Whois du monde.


Ensuite, il existe une petite liste de noms de boîtes courriel dites « adresses rôle » qui sont préférentiellement réservées à des destinataires particuliers, désignés par leurs fonctions, dans une organisation. Ce sont les mêmes noms de fonction utilisés dans toutes les langues et ils sont fixés (standardisés) par les RFC.

Ces « adresses rôle » se basent sur le protocole utilisé et permettent de joindre le responsable pertinent d'une fonction. Elles sont recommandées dans des RFC qui ont valeur de standard, dont les RFC 822, RFC 959, RFC 2068, RFC 1033, RFC 1035, RFC 976, RFC 977, RFC 2142 qui évoquent des « Mailbox names for common services, roles and functions » (« Noms de boîtes aux lettres pour des services, rôles et fonctions communs »).

Les adresses courriel suivantes sont donc réservées à des destinataires particuliers, pertinents dans une fonction (dans un domaine) :

Enfin, les autres fonctions ne peuvent être évoquées dans une RFC. Elles relèvent de chaque organisation (ventes, achats, marketing, service après-vente, petites annonces, jobs, etc.). Une liste d'adresses courriel de fonctions (rôles) souvent rencontrées peut être établie (il y en a certainement d'autres).

Pour l'internaute « normal » visitant un site Web, seules les adresses postmaster@, abuse@ et webmaster@ sont « intéressantes » si vous avez quelque chose à faire remarquer.

Ces 3 « adresses courriel fonction « ou « adresses courriel rôle » devraient toujours exister pour tous les domaines (tous les sites Web), même s'il s'agit d'un domaine personnel, microscopique, d'une seule page (sauf si le site donne clairement une ou des adresse(s) de contact, généralement en bas de ses pages ou dans ses clauses et conditions, ou indique un autre moyen de communication comme un forum de discussion).

Adresse courriel de contact indiquée dans le site Web
Adresse courriel de contact indiquée dans le site Web


L'anonymat légalisé est une imbécilité (une véritable criminalité). Dernier en date, le RGPD entré en vigueur le 25 mai 2018). Il y a une complète confusion entre la vie privée et l'anonymat. La protection de la vie privée ne passe absolument pas par l'anonymat. Autant la vie privée doit être totalement privée (ce que je fais sur le Web, à titre personnel, ne vous regarde pas), autant ce qui est « publié » ne doit jamais l'être par une personne physique ou morale qui se cache, ce qui enlèverait tout crédit aux propos, voire les rendrait suspicieux. Se souvenir, par exemple :

Il a existé, de 2001 à 2012, un domaine (« rfc-ignorant.org ») qui maintenait une liste noire (blacklist), par crowdsourcing, des sites ne donnant pas d'adresses courriel « registrant@ », « admin@ » ou « tech@ ». Il existe encore (2019), avec certains outils d'analyse de sites Web, le test et signalement de l'inexistence de ces adresses courriel, inexistence considérée comme un mauvais point dans la réputation du site Web.