SMTP : pourquoi on utilise encore ce protocole de 1982

Un protocole ne dans une autre epoque

En 1982, Internet etait un reseau de quelques centaines d'ordinateurs utilises presque exclusivement par des universitaires et des chercheurs militaires. Jon Postel publia la RFC 821, definissant SMTP comme un protocole textuel simple pour le transfert de messages electroniques entre serveurs. La conception privilegiait la fiabilite et la simplicite plutot que la securite — un choix tout a fait raisonnable compte tenu de la petite communaute de confiance qui l'utilisait alors.

SMTP fonctionne par une conversation directe entre deux serveurs. Le serveur emetteur se connecte au port 25 du serveur destinataire et envoie une serie de commandes en texte brut : HELO (s'identifier), MAIL FROM (adresse de l'expediteur), RCPT TO (adresse du destinataire) et DATA (le corps du message). Le serveur recepteur repond avec des codes de statut numeriques. C'est elegant dans sa simplicite, et c'est precisement cette simplicite qui lui a permis de survivre pendant plus de quatre decennies.

Pourquoi rien ne l'a remplace

Plusieurs tentatives ont ete faites pour remplacer SMTP au fil des ans. X.400, un standard de messagerie complexe base sur le modele OSI des annees 1980, etait cense etre l'avenir. Plus recemment, des propositions de systemes email bases sur la blockchain et diverses alternatives chiffrees ont fait surface. Aucune n'a reussi a s'imposer, et les raisons sont eclairantes :

• Interoperabilite universelle : SMTP est le seul protocole compris par chaque serveur email de la planete. Le remplacer necessiterait une action coordonnee de millions d'operateurs independants — une impossibilite pratique.
• Effets de reseau : La valeur de l'email vient du fait que tout le monde l'utilise. Un nouveau protocole qui ne fonctionne qu'avec un sous-ensemble de serveurs est intrinsequement moins utile.
• Amelioration incrementale : Plutot que de remplacer SMTP, l'industrie a superpose des ameliorations. STARTTLS a ajoute le chiffrement en transit. SPF, DKIM et DMARC ont ajoute l'authentification.
• Decentralisation : Contrairement aux plateformes de messagerie proprietaires, SMTP est un standard ouvert. Aucune entreprise ne le controle, ce qui signifie qu'aucune ne peut le supprimer.

Le probleme de la securite (et comment il a ete corrige)

SMTP a ete concu pour un monde ou chaque participant au reseau etait digne de confiance. Il n'avait ni chiffrement integre, ni verification de l'expediteur, ni prevention du spam. A la fin des annees 1990, ces lacunes etaient devenues des problemes serieux. La reponse est venue par vagues :

STARTTLS (RFC 3207, 2002) : Permet aux connexions SMTP de passer au chiffrement TLS apres la poignee de main initiale. Aujourd'hui, plus de 90 % du trafic email entre les grands fournisseurs est chiffre en transit.

SPF (RFC 7208, 2014) : Sender Policy Framework permet aux proprietaires de domaines de publier des enregistrements DNS specifiant quels serveurs sont autorises a envoyer des emails en leur nom.

DKIM (RFC 6376, 2011) : DomainKeys Identified Mail ajoute une signature cryptographique a chaque message, permettant au destinataire de verifier que le contenu n'a pas ete altere en transit.

DMARC (RFC 7489, 2015) : Lie SPF et DKIM avec un cadre de politique indiquant aux serveurs recepteurs quoi faire en cas d'echec d'authentification.

SMTP a l'ere de l'email jetable

Des services comme TempoMail s'appuient sur la meme infrastructure SMTP qui alimente tous les autres systemes email. Lorsqu'un message est envoye a une adresse TempoMail, le serveur emetteur se connecte a l'instance Postfix de TempoMail via SMTP, livre le message, et celui-ci est stocke dans une boite de reception temporaire chiffree. Le protocole ne se soucie pas de savoir si l'adresse du destinataire est permanente ou temporaire — il livre le message de la meme maniere qu'il le fait depuis 1982.

Cette universalite est ce qui rend l'email jetable efficace. Parce que SMTP est le standard universel, une adresse temporaire fonctionne avec chaque service, site web et expediteur sur Internet.

Et apres ?

SMTP survivra probablement a la plupart d'entre nous. Le protocole s'est revele remarquablement adaptable, absorbant de nouvelles couches de securite sans compromettre la compatibilite. Les futures ameliorations incluront peut-etre MTA-STS, DANE et de meilleures mesures anti-hameconnage, mais le coeur du protocole — l'echange simple de HELO, MAIL FROM, RCPT TO, DATA — restera le meme. Dans un monde de technologies en constante evolution, SMTP est un exemple rare d'un design si fondamentalement solide qu'il continue simplement de fonctionner.