Challenge-Response (défi-réponse)

Mécanisme anti-spam qui demande à l'expéditeur d'un mail inconnu de prouver qu'il est humain avant que son mail ne soit livré.

Fonctionnement en 4 étapes

1. Un nouveau mail arrive d'un expéditeur inconnu (pas dans vos contacts, pas dans le log sortants).
2. Le système anti-spam met le mail en quarantaine et envoie un défi à l'expéditeur (mail court demandant validation).
3. Si l'expéditeur est humain, il valide en quelques secondes (clic ou réponse).
4. Le mail original est libéré de quarantaine et arrive dans votre boîte. L'expéditeur est désormais whitelisté à vie.

Historique

Le challenge-response anti-spam est apparu au début des années 2000 avec TMDA (2002) et Spamarrest (2002). Il a connu un déclin de popularité dans la décennie 2010 à cause d'implémentations naïves qui généraient du backscatter.

Les implémentations modernes (2020+) combinent le défi-réponse avec SPF, DKIM, DMARC et l'auto-whitelist sortants, ce qui élimine les défauts historiques.

Avantages

• Zéro faux positif structurel : un humain qui valide passe, point. Pas de probabilité de classification erronée.
• Stoppe le spam automatisé : les bots ne valident pas les défis (pas conçus pour ça).
• Bloque le spear-phishing : un humain qui imite un contact doit valider, ce qui ralentit ou stoppe l'attaque.

Inconvénients (et leurs solutions)

• Backscatter sur usurpation → résolu par DMARC strict en amont du défi (FrozenSpam : couche 4 « backscatter guard »).
• Friction expéditeur → réduite à 1 fois par expéditeur dans la vie, et 0 fois pour ceux à qui vous avez écrit (auto-WL sortants).
• Newsletters / noreply → filtre automatique des `noreply@`, `bounce@`, `mailer-daemon@`, et whitelist domaine en un clic.

Voir aussi

• Backscatter
• SPF
• DKIM
• DMARC
• Article : Le challenge-response est-il dépassé ?