Lutte anti-spam Solution retenue et mode d`emploi (mis à jour le 8

Administration
|
Les Services
|
Documentations
|
Infos Pratiques
Lutte anti-spam
Solution retenue et mode d'emploi
(mis à jour le 8 octobre 2004)
Sommaire
Les faits
La solution retenue
Mode de fonctionnement
Remarques
Remerciements
Les spams ne cessent de s'accumuler dans nos boites aux lettres.
Pour re-situer le problème de la lutte anti-spam pour les domaines « jussieu.fr » et « upmc.fr »,
vous pouvez (re)lire les papiers :
Lutte anti-spam, solution retenue et mode d'emploi (mars 2004)
A propos de spams... suite. (septembre 2003)
A propos de spams. (juin 2002)
Le CCR a mis en place une solution de détection de spams sur la passerelle courriels
Les faits
La passerelle fait transiter de 200 000 à 450 000 courriels/jour.
Une solution antivirale est en place depuis bientôt deux années.
Une solution de détection de spams est en place depuis le début de l'année 2004. Cette détection fait
appel à diverses techniques: reconnaissances de chaînes de caractères, corrélation d'expressions,
pondération sur l'occurrence de mots...
Le 8 octobre 2004 la lutte antispam a été renforcée par l'introduction à titre expérimental
d'un délai pour l'acheminement des courriels (cf. paragraphe « première phase : délai
d'acheminement du courriel »).
Ces analyses contextuelles sont coûteuses en temps processeur et en mémoire car elles doivent être
effectuées sur l'intégralité des courriels.
La solution retenue
Pour ces raisons, la mise en oeuvre d'une ferme de PC pilotée par un répartiteur de charge s'est
avérée nécessaire. Cette solution permet de considérer la nouvelle configuration de SHIVA comme
une seule entité, donc avec une seule adresse IP (134.157.0.129), indépendamment du nombre de
machines de traitements utilisées.
Coté logiciels, SHIVA utilise toujours SENDMAIL (http://www.sendmail.org) pour le dialogue SMTP,
couplé au détecteur de Spam suivants :
MILTER-GREYLIST ( http://hcpnet.free.fr/milter-greylist/ ) depuis le 08/10/04;
J-CHKMAIL ( http://jchkmail.ensmp.fr ) depuis le 01/01/04 ;
Mode de fonctionnement
EN AUCUN CAS SHIVA NE DETRUIRA LE COURRIEL. Celui -ci sera marqué (pose d'un
« tag »), avant envoi au serveur de boîtes aux lettres.
Première phase : délai d'acheminement du courriel.
Milter-greylist se base sur le fait qu'un spam doit être transmis rapidement pour être
rentable : en effet, un spammeur ne peut pas se permettre d'attendre longtemps la
délivrance de chaque courrier quand il inonde des milliers d'adresses. En partant de ce
constat, milter-greylist introduit un temps de latence pour chaque courrier entrant
originaire d'un « nouveau correspondant » dont il diffère la réception pendant une
trentaine de minutes. La plupart des outils d'envoi de spam abandonnent alors la
transmission dans ce cas là.
Dans le cas d'un courrier « normal », le relais concerné ré-émettra le courrier qui sera
accepté par milter-greylist et ce dernier insérera dans une « liste blanche » le triplet <
numéro IP du relais, expéditeur, destinataire >, ce qui permettra la délivrance
immédiate des courriers suivants entre les deux correspondants pendant une période
définie. Seul le premier courrier échangé entre deux correspondants peut donc
donner lieu éventuellement à une délivrance différée.
Deuxième phase : marquage fin du courriel.
SHIVA analyse les courriels dont la taille maximum est aujourd'hui fixée à 100 ko
maximum (les spams ont actuellement une taille inférieure). J-chkmail appose une
signature sous la forme de la ligne suivante dans l'en-tête de chaque courriel analysé :
X-Miltered: at shiva.jussieu.fr with ID <NumID> by Joe's j-chkmail ( http://j-chkmail.ensmp.fr)!
De plus, si le courriel est considéré comme spam, une autre ligne est ajoutée dans l'entête :
X-j-chkmail-Score: MSGID : <NumID> on shiva.jussieu.fr : j-chkmail score : XX : 0/50 2
Le « score », donné par une chaîne de « X » correspond à un niveau de sévérité. Plus
il y a de « X », plus il y a de chance que cela soit réellement un spam. Les chiffres qui
suivent dans la ligne ne sont pas à prendre en compte pour le moment.
L'utilisateur final doit configurer son lecteur de courriel afin de créer un filtre lui
permettant de classer automatiquement les courriels reçus en fonction du « score ».
Le choix du « score » à partir duquel on filtre les courriels est un compromis entre le
nombre de spams résiduels arrivant dans la boîte aux lettres de réception (spams à
« score » trop léger pour être filtrés) et les faux positifs filtrés par erreur (courriels
marqués spam alors qu'ils n'en sont pas). Nous suggérons de filtrer les « scores »
supérieurs ou égaux à 2X ( « XX »).
Des aides sont proposées pour la configuration des lecteurs de courriel suivants :
EUDORA
OUTLOOK XP 2002
OUTLOOK XP 2003
NETSCAPE
MAIL de Mac OsX
FiltreAntiSpamEudora.pdf
FiltreAntiSpamOutlookXP2002.pdf
FiltreAntiSpamOutlookXP2003.pdf
FiltreAntiSpamNetscape.pdf
FiltreAntiSpamMailMacOsX.pdf
ATTENTION : il n'existe pas de solution pour le filtrage basé sur une nouvelle ligne d'entête avec OUTLOOK EXPRESS. Nous suggérons de migrer vers OUTLOOK.
Une autre solution consiste à utiliser un programme de type « procmail » sur le serveur de boîtes
aux lettres. Cela permet un filtrage des courriels avant dépôt dans la boîte aux lettres de réception.
Cette solution est la meilleure puisque le tri est fait par le serveur et non sur le poste du client. Par
contre, elle présente l'inconvénient de remplir une boîte aux lettres annexe dédiée aux spams qui
peut être difficile à gérer (pour les clients « POP », par exemple). Voir la faisabilité avec
l'administrateur de votre serveur de boîtes aux lettres.
Remarques
L'installation du marquage des spams par la passerelle SHIVA n'est pas LA solution miracle qui
écartera tous les courriels non sollicités de votre boîte aux lettres. On peut faire confiance aux
« spammeurs » pour inventer des solutions de contournement.
Nous suggérons la consultation régulière de votre boîte « SPAM » afin de vérifier qu'il n'y a pas de
faux positifs (nécessité d'un réglage plus fin du filtre en fonction du « score ») et de la nettoyer afin
de libérer les espaces disques correspondants.
Pour tout renseignement complémentaire et/ou remarque, vous pouvez nous contacter au :
01 44 27 54 87 ou envoyer un courriel à l'adresse suivante.
Remerciements
Le CCR tient à remercier les personnes suivantes pour leurs conseils et leur aide durant la mise en
place, les tests, et la documentation de la solution anti-spam :
Jose Marcio Martins Da Cruz, auteur de j-chkmail ;
Emmanuel Dreyfus, auteur de milter-greylist ;
Rémy Card, directeur technique du CRI de l'université de Versailles.
Pour l'équipe réseau, Sébastien VAUTHEROT
Dernières modifications : jeudi, 16 décembre, 2004 20:27