Paris, France

Lutter contre les spams


Introduction :

Le Spam est votre ennemi, pour le combatre apprenez à la connaitre, c'est l'objectif de ce document.

Ne cherchez pas la solution miracle, elle n'existe pas !.

Qu'est qu'un Spam ? :

La traduction la plus simple, serait : message non-solicité.

En clair un message que vous ne voulez pas recevoir et qui vous est envoyé par une personne ou une société avec lesquels vous n'avez aucun lien, personnel ou professionnel.

Pourquoi suis-je victime des Spam ? :

Ci-dessous, une liste des raisons principales pour lesquelles vous recevez des Spam :

  • Vous avez donné votre adresse email, lors d'un achat sur internet ou en remplissant un formulaire quelconque.
  • Votre adresse email est affichée en clair (non cryptée) sur une page de votre site internet.
  • Pour le référencement de votre site internet, vous avez donné votre email personnel aux moteurs de recherches.
  • Vous avez répondu à un Spam en demandant à être retiré de la liste.
  • Vous utilisez un compte WebMail gratuit chez Yahoo, Hotmail ou d'autres fournisseurs moins sérieux.
  • Vous êtes inscrit à MSN, ICQ ou d'autres systèmes de messageries instantané.
  • Vous utilisez Kaaza ou d'autres logiciels P2P aussi intrusifs.

Comment les spammeurs opèrent ? :

Les méthodes diffèrent, mais l'objectif de départ est toujours de constituer une base de données contenant le plus d'adresses email possibles.

Pour ce faire, le moyen le plus simple, est de parcourir de façon automatisée, les millions de pages html sur internet, à la recherche d'adresses email.

Une autre possibilité pour le spammeur est d'acheter des bases de données déja prêtes à l'emploi.

Que peux t'on attendre des lois anti-spam ? :

Malheureusement, pas grand chose, il assez simple de rester anonyme lors de l'envoi d'un Spam.

Un professionnel installera son activité dans une république bananière, à l'abri des poursuites.

Un des projets de loi Français ou Européen (je ne rappelle plus), consiste à obliger les spammeurs à demander l'autorisation des destinataires avant d'envoyer des messages à caractères publicitaires.

Les spammeurs font se faire une joie de générer de fausses autorisation, grâce à des logiciels qu'il est facile de mettre au point.

Imaginons le scénario d'une demande d'autorisation :

  • Le spammeur envoi vous envoi un message dans lequel il vous demande de répondre que vous l'autorisez ou non à vous envoyer des messages à caractères publicitaire dont il précisera sûrement la nature.
  • Vous répondez que vous ne voulez pas en recevoir.
  • Le spammeur transforme le NON en OUI dans la réponse de votre message. En plus il est content car il vient de cibler une future victime
  • Vous déposez plainte. Auprès de qui et comment, cela reste à définir !
  • La justive intervient et demande au spammeur de fournir votre autorisation.
  • Le spammeur montre votre autorisation dans laquelle il est écrit OUI au spam.

Simple non !

Les solutions possibles pour qu'une telle mesure fonctionne :

  • Que vous possédiez un certificat numérique vous permettant de signer votre message.
  • Que votre message de réponse (celui où vous dites NON) soit envoyé systématiquement en copie à un organisme qui centralisera et stockera votre réponse afin de l'utiliser en justice.

Analyse de quelques Spam :

A ce jour, je dispose d'une base de 62 878 spam, interceptés depuis Mars 2003 par mon système de filtrage.

Ci-dessous quelques exemples récents :

Résumé du 1er spam :

Expéditeur ..... rydajha@web.de
Sujet .......... Re: XTZHZGUA, it's a nice
Date ........... Mon, 02 Feb 2004 17:33:58 -0700

clipboard rhodesia megalomania butch chiang arisen quadrant
degradation antisemite ballot despise rangoon protest chloride casbah
betide litigious coordinate embroil dewdrop alpine for

  <p>O</firework>ur U</antiquary>S Li</administrate>censed Doc</palomar>tors wi</dyeing>ll<BR>

Prescr</thyroglobulin>ibes Y</uranyl>our Me</red>dication F</everglades>or F</beltsville>ree
..... (trop de lignes pour le montrer en entier)

Analyse du premier spam :

  • Le sujet commence par "Re:" comme si il s'agissait d'une réponse à un de vos messages.
  • Le sujet comporte une suite de caractère en majuscules qui ne veulent rien dire.
  • Le contenu du message commence par des mots anodins pour tromper les systèmes de filtrage qui ne lisent que le début du message.

Résumé du 2ème spam :

Expéditeur ..... jicxomq48k@optonline.net
Sujet .......... factor adjunct l No More Pay1ng
Date ........... Tue, 03 Feb 2004 05:39:33 GMT

backstitch corollary jinx
safe appropriate fullerton marlborough psychoanalytic =
influx striptease ellipsoidal boyle calendrical
catalpa goldeneye vega sunset anton =
inflammation kane orr
copolymer general farewell sink forbid
................
Free TV is Here!
This is 100% legal as it is used as reception enhancer device!
................
<a href="http://www.a6zing29.com/remove.php?id=3D93886">o-u-T</a>
..... (trop de lignes pour le montrer en entier)

Analyse du second spam :

  • Le contenu du message commence par des mots anodins pour tromper les systèmes de filtrage qui ne lisent que le début du message.
  • Dans le message, l'annonceur affirme que c'est 100% legal.
  • En fin de message, un lien vous est proposé pour vous désinscrire de la liste.

Résumé du 3ème spam :

Expéditeur ..... kurtisarringtonfy@koys.de
Sujet .......... 9 times better then Viagra                         :    mczeyidytqu
Date ........... Wed, 04 Feb 2004 05:11:51 +0000

V<kvjgkycimntqkdc>i<khgzbuqcqpe>a<kwvotdwdkajs>g<kugzqvdbvzgfxdz>r<
kkpcjladjumjn>a<khduugmbuqu>'<kgvhjsfknmovy>s new<kdggrowbgnd>est r<kofeozjddcm>iv<ktfafixbrulh>al,
C<kcotlbidvbob>i<kmnavjfsasuaqcu>a<kgaigodjszvmad>l<kqjelvemicauld>

i<kixthradjef>s is he<krpsphmesionqfz>re, a tr<kagpwzzdqhs>ea<khsxnkucnrucu>t<kgwyncjjdac>ment

<A href="http://goodcndgsentcc@roninnz.com/h78p/byebye.html">...</a>
..... (trop de lignes pour le montrer en entier)

Analyse du troisième spam :

  • Le sujet est tellement suspect que vous ne devriez même pas ouvrir ce message pour le lire.
  • Le message est écrit dans une langue extra-terrestre. Pour la traduction revenez dans 3000 ans.
  • Le sujet contient le mot "viagra" ce qui est suffisant à un logiciel de filtrage pour l'arrêter.

Points communs aux 3 spam précédents :

  • Les sujets sont tous écrit en langue anglaise.
  • L'adresse email des expéditeurs est biscornues.
  • Le même objectif pour chaque Spam : Vous faires cliquer sur un lien !.

Dans quelles limites les fournisseurs d'accès internet, peuvent t'ils vous aider ? :

La mise en place de filtres anti-spam, chez votre fournisseur d'accès est pratiquement impossible pour la bonne raison que ces filtres doivent êtres personnalisés selon l'activité de votre entreprise et sa politique sécurité.

Par contre, le terrain sur lequel les fournisseurs d'accès devrait mieux faire leur travail, est celui des DNS : Les serveurs de noms de domaine.

Je m'explique, une grande majorité de spam, ont comme adresse d'expéditeur, un email le plus souvent faux et rattaché à aucun domaine internet officiel.

Parmis les contrôles que l'on peut faire au niveau des DNS, le contrôle de l'existance du domaine expéditeur est sûrement le plus simple et le plus fiable.

D'autres contrôle existes mais ils sont plus délicats comme les RBL (listes noires), les contrôles d'enregistrements de type A et MX. Tous ces contrôles sont assurés en général par le serveur de courrier (SMTP).

Je préfère éviter de rentrer dans ces domaines trop techniques qui s'écartent du sujet traité dans ce document mais vous trouverez à la fin de ce document, un lien vers une documentation permettant de mettre en oeuvre une plateforme anti-spam à l'aide de produits OpenSource de très bonne réputation comme SpamAssassin, Postfix, Amavisd-new, Razor, DCC, Clamav, Sophie, fetchmail, Bind et Rblnsd.

Quelles solutions pour lutter efficacement ? :

D'abord, vérifiez si vous êtes dans l'un des cas cités dans le paragraphe "Pourquoi suis-je victime des Spam ?" de ce document.

Si vous ouvrez un compte gratuit chez yahoo, vous verrez qu'ils appliquent un filtrage systématique et placent les messages considérés comme Spam dans un dossier réservé à cet effet.

Le défaut de ce système que vous pouvez reproduire avec la plupart des serveurs de messagerie (IMAP) ou WebMail, est d'obliger l'utilisateur à faire le tri pour savoir si les messages stockés dans ce fameux dossier sont vraiment des Spam.

Conséquence : L'utilisateur passe autant de temps à trier ces messages que si il les recevaient dans son dossier "Courriers en arrivé - (Inbox)".

Sur quels critères détecter des Spam au niveau d'un serveur de courrier (SMTP) :

  • L'adresse IP du serveur de courrier de l'expéditeur existe t'elle dans les DNS ? (Contrôle de type A et MX)
  • L'adresse IP du serveur de courrier de l'expéditeur est t'elle dans une liste noire ? (Contrôle de RBL)
  • Le serveur de courrier de l'expéditeur respecte t'il les conventions SMTP ? (Contrôle HELO)
  • L'adresse email de l'expéditeur est t'elle correctement formé ? (Contrôle FQDN MAIL FROM)
  • L'adresse email de l'expéditeur correspond t'elle à un domaine internet existant ? (Contrôle MAIL FROM)
  • L'adresse email du destinataire est t'elle correctement formé ? (Contrôle FQDN RCPT TO)
  • L'adresse email du destinataire existe t'elle ? (Contrôle d'annuaire)

Remarque : Des contrôles supplémentaires existent au niveau d'un serveur SMTP mais certains sont délicats à mettre en place et sujets à controverse et d'autres devrait êtres délégués à un système de filtrage qui intervient après le serveur de courrier (comme l'analyse syntaxique, le contrôles des pièces jointes, la langue, etc..).

Conclusions :

La lutte contre le spam ne peut obtenir de résultats significatifs qu'avec la participation de tous.

Comme pour la politique sécurité (dans laquelle devrait être inclus la lutte anti-spam), l'efficacité viendra d'un travail préventif, curratif et représsif

Ne négligez pas la formation ou l'information de vos utilisateurs de messagerie. Rappellez leurs, les quelques règles de bases :

  • Ne pas cliquer sur le lien de désinscription d'un message si il ne s'agit pas d'une liste à laquelle il sont sûr d'être abonné.
  • Ne pas donner leur email sur n'importe quel site internet.
  • Ne pas répondre à des messages douteux ni les faires suivres à des collègues.
  • Ouvrir un compte gratuit sur un WebMail et utiliser cette email pour les besoins externes à l'entreprise.