Release Notes - Firmware 1.6.3 Mise à jour de sécurité Pourquoi ce firmware ? Cette mise à jour a pour objectif de renforcer la sécurité du produit MailCube et apporte également des nouvelles fonctionnalités pour sécuriser les flux emails gérés par MailCube tout comme l’interface d’administration. La présente release notes liste toutes les Evolutions, Améliorations et Correctifs apportés par la version 1.6.3 de MailCube. 1/ Evolutions - Interface de configuration TLS des flux SMTP entrants et sortants - Possibilité de chiffrer l’envoi des messages avec une politique par domaine de destination - Interface de gestion des certificats SSL pour l’interface Web - Ajout du mode “Haute disponibilité” sur les versions “Standard“ - Compatibilité avec la nouvelle liste de TLD 2014. 2/ Améliorations - Augmentation de la fréquence de mise à jour du filtre à toutes les 5 minutes 3/ Correctifs - Patch de sécurité lié à la faille bash ShellShock - Patch de sécurité lié à la faille SSLv3 “Poodle” - Correction d’un bug mineur lors de l’affichage des statistiques trimestrielles - Correction d’un bug mineur liées à la désinscription des publicités et réseaux sociaux - Correction d’un bug mineur lié à la politique de rapports utilisateurs Rappel : qu’est ce que la désinscription sécurisée ? C’est simple et efficace. L’utilisateur peut se désinscrire d’une ou plusieurs newsletters / publicité en 1 clic, de manière sécurisée et en temps réel. Grâce à l’intégration de la désinscription sécurisée, MailCube présente ainsi une expérience utilisateur unique au monde dans la gestion des publicités. La désinscription sécurisée est directement accessible sur le rapport utilisateur sans même avoir besoin d’ouvrir l’email. La désinscription sécurisée est également accessible à partir du compte utilisateur permettant l’utilisateur de se désinscrire d’autant de newsletters qu’il le souhaite en seulement 1 clic. Un service éprouvé Cette technologie, pourtant innovante, est déjà en production chez des Fournisseurs d’Accès à Internet utilisant la technologie Vade Retro depuis 2 ans. Voici la désinscription sécurisée en quelques chiffres grâce à ce retour d’expérience : • • • • • Un taux de succès supérieur à 84%, Temps moyen de désinscription < à 1,4s, 0% d’erreurs de détection dans les liens de désinscription, + de 160 000 000 de désinscription déjà effectuées, 80% de taux de succès dans la résolution des captcha / Test de turing. FAQ autour de la désinscription : 1 - Est-ce qu’il y a un risque de confirmer mon adresse auprès d’un spameur au lieu de me désinscrire ? La désinscription n’est possible que pour les mails commerciaux. Les spams sont arrêtés et mis dans une quarantaine à part où la désinscription est impossible. Pour protéger l’utilisateur, il est donc impossible de se désinscrire de ces campagnes par le service de désinscription sécurisée de Vade Retro. Vade Retro est un acteur de la sécurité. Ainsi, Vade Retro mesure un certains nombre d’indicateurs pour détecter les acteurs qui ne respectent pas les pratiques d’acquisition d’adresses emails. La présence de Vade Retro sur le marché au travers de la protection de plus de 150 Millions de boîtes aux lettres offre un flux d’informations en temps réel et permet ainsi prendre des mesures efficaces rapidement pour protéger les utilisateurs. 2 - Que se passe-t-il si l’annonceur continue de m’envoyer des publicités après désinscription ? Ce type de comportement est détecté par Vade Retro. L’ensemble des demandes de désinscription sont stockées permettant ainsi de détecter un acteur qui continue de transmettre des emails à un ou plusieurs utilisateurs ayant demandé la désinscription. Dans ce cas, l’annonceur est classé en spam dans tous les produits de Vade Retro. Ensuite, une relation est établie entre celui-ci et la cellule Abuse de Vade Retro pour améliorer ses pratiques. L’annonceur de bonne fin dispose alors de procédures simples lui permettant de sortir de la catégorie “spam”. 3 - Comment me protégez-vous des malwares qui peuvent être derrière certains liens de désinscription? Les liens de désinsription sont joués sur les serveur de désinscription Vade Retro sans aucune relation avec le poste de l’utilisateur final. Ainsi celui-ci est complètement protégé contre les menaces d’injection qui peuvent être derrière ces liens. 4 - Pourquoi ne pas simplement blacklister l’émetteur au lieu de désinscrire (ajout en liste noire)? La désinscription est une pratique définie dans les RFC de l’email. Celle-ci permet aux utilisateurs d’indiquer à un annonceur le fait qu’il souhaite être retiré de sa liste d’envoi. Une blacklist de l’émetteur ne permet pas à l’annonceur de savoir que l’utilisateur a souhaité ne plus recevoir ses campagnes. Ainsi une blacklist n’aurait pas les effets bénéfiques suivants permis par la désinscription sécurisée : - réduction de la bande passante en nettoyant le flux de publicité entrant - respect de la vie privée de l’utilisateur en lui permettant de contrôler dans quelles bases sont adresse email sera stockée - amélioration de l’éco-système global de l’email. Les annonceurs ont une vision plus claire de la volonté de leurs correspondants, les utilisateurs sont mieux écoutés, le marché tend vers de meilleures pratiques - la blacklist peut générer de l’insatisfaction de l’utilisateur. Par exemple, un utilisateur blackliste un annonceur, puis 6 mois plus tard, souhaite se réinscrire à nouveau à cette newsletter. La blacklist bloquera la newsletter. L’utilisateur, ne la recevra pas. 5 - Que faites-vous pour les 16% qui ne sont pas assurés par la désinscription sécurisée ? Un email automatique, au nom de Vade Retro Technology, est envoyé à l’annonceur avec un guide l’amenant à simplifier son scénario. Une relation est ensuite établie entre l’annonceur et les équipes techniques de Vade Retro pour arriver à un scénario plus simple. Vade Retro étant connu sur le marché et ayant une position forte sur le marché des fournisseurs d’accès à internet, entre autres, l’annonceur se montre très à l’écoute des recommandations de Vade Retro en matière de désinscription afin d’optimiser la réputation de ses envois.