Articles - Le Greylisting

Article - Le Greylisting (La liste grise)

Lorsque votre passerelle reçoit un message, elle dispose entre autre de 3 informations essentielles :

L'adresse IP du client emetteur
L'adresse email de l'expéditeur
L'adresse email du destinataire

Ces 3 informations constituent ce que l'on appelle un triplet.
Grâce à ces triplets vous allez pouvoir alimenter une base de données, sous la forme d'un fichier plat, une base au format Berkeley ou une base SQL.

Pour comprendre l'interêt de la liste grise et ses limites, il faut comprendre le mode opératoire de beaucoup de spammeurs :

Constitution d'un fichier de plusieurs millions d'adresses email pour un envoi de masse ou utilisation d'un fichier existant
Utilisation d'un programme d'envoi existant ou développement d'un programme spécifique
Recherches des enregistrement MX pour tous les domaines correspondants aux adresses emails référencées
Début de l'envoi du spam
Pour chaque mail envoyé, mettre à jour l'enregistrement dans la base pour savoir si le message à bien été accepté
Si le message est refusé, passer au suivant

C'est la dernière ligne, ci-dessus qui donne de l'interêt au système de liste grise car le message va systématiquement être refusé au moins une fois pour chaque triplet.

Ce rejet, est un rejet temporaire avec un code 4xx normalisé dans le protocole SMTP.

Un rejet temporaire indique au serveur SMTP emetteur de recommencer l'envoi plus tard, au minimum dans 5 minutes.

Le programme conçut par le spammeur doit gérer en priorité les messages acceptés et ne prend pas le temps de gérer des ré-émission pour ceux qui aurait été rejetés avec un code de rejet temporaire.

Lors du prochain envoit de ce message, le triplet est trouvé dans la base et le message est accepté.

Les systèmes de liste grise, conserve un triplet pendant une durée limité en moyenne à 35 jours puis le supprime. Quand ce triplet se présentera à nouveau, il subira le traitement initial (rejet temporaire, insertion base, etc..).

La liste grise est aujourd'hui l'un des moyens les plus efficaces, moins contraignant que le test de turin et plus radical que les RBL mais il a ses limites et ses propres contraintes. A vous de choisir entre deux maux !

Contraintes :

Lorsque le serveur emetteur d'un expéditeur légitime reçoit le code de rejet temporaire, il doit mettre le message en file d'attente pour une livraison ultérieur. Le délai dans lequel est ré-émis le message est propre à la configuration de chaque serveur et peut aller de 30 secondes à plusieurs heures.

Conclusion : pour chaque triplet non référencé, la première livraison peut subir un retard important !

Limites et contournements :

Les spammeurs savent très bien que votre MX secondaire est en général fournie par votre ISP et ne dispose pas des mêmes mécanismes de protection que le MX principal.

C'est pourquoi, par défaut, ils recherchent et utilisent les MX secondaires pour l'envoi de spam !

La conséquences pour le système de liste grise comme pour les RBL ou d'autre contrôle basés sur l'adresse IP de l'emetteur, est que l'adresse IP sera toujours celle de votre ISP !

Conclusion : Vous devez filtrer votre MX secondaire avec les mêmes mécanismes que le MX principal ou le supprimer !

Radical Spam - Solutions de filtrage Open Source