Authentification SMTP

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

SMTP-AUTH est une extension du protocole SMTP. C'est un protocole de transfert des courriels sur Internet qui comporte une étape d'authentification au cours de laquelle le client se connecte explicitement au serveur (ou relais) pour l'envoi de courriers (d'e-mails). Les serveurs qui supportent le protocole SMTP-AUTH (qui peuvent dialoguer en usant d'une authentification préalable) peuvent être paramétrés pour n'accepter que des clients capables de s'authentifier (clients possédant cette extension) et ainsi certifier d'une autorisation d'accès pour ces derniers.

SMTP-AUTH fournit un mécanisme de contrôle d'accès. Il peut être utilisé pour n'autoriser que certains utilisateurs (clients) à relayer des courriers (et donc refuser les autres clients tels que les spammers). Il ne garantit pas l'authenticité de l'enveloppe SMTP ni l'information d'en-tête appelée From: de la recommandation RFC 2822. Par exemple, le Spoofing où un utilisateur peut se faire passer pour quelqu'un d'autre est possible avec SMTP-AUTH (seule l'action d'envoi de courriers est ici contrôlée).

L'extension SMTP-AUTH permet à un serveur (ou relais) de courriers d'indiquer à un autre serveur que l'expéditeur a été authentifié lors du relayage de courriers. En général, cela nécessite au serveur cible de croire le premier serveur (autrement dit que ce serveur soit déclaré comme serveur de confiance), raison pour laquelle ce protocole est peu utilisé sur Internet. Le destinataire d'un courrier ne peut pas savoir si l'expéditeur a été authentifié, c'est pourquoi SMTP-AUTH n'est qu'une solution partielle au problème du spam.

Bien que SMTP-AUTH soit globalement une solution plus sécurisée que le SMTP, il peut cependant comporter des faiblesses. Si les utilisateurs authentifiés sont autorisés à émettre des courriers depuis certaines adresses IP, rien n'indique qu'un utilisateur frauduleux ne pourra pas violer un compte utilisateur pour utiliser le serveur de courriers (par exemple en récupérant un mot de passe). Une éventuelle solution possible pour pallier ce problème peut être d'imposer des mots de passe compliqués pour chaque utilisateur.


Le fonctionnement du mécanisme SMTP-AUTH est décrit dans la RFC 2554.

Voir aussi[modifier | modifier le code]

Liens internes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

  • (en) RFC 2554 - SMTP Service Extension for Authentication
  • (en) RFC 2822 - Internet Message Format