Spam - Informations utiles
Transcription
Spam - Informations utiles
Spam - Informations utiles Les spams, pourriels ou courriers indésirables ont vite fait de nuire à notre petite vie de messager électronique. Pubs et arnaques en tout genre s'engouffrent dans ce moyen de diffusion planétaire et quasi-gratuit (!). Et même si FAI et webmails tentent d'en filtrer une partie, avec plus ou moins de succès, il passe encore bien trop d'indésirables. Pour en savoir plus, voici des informations utiles et intéressantes pour comprendre le spam et s'en prémunir : Methode de collecte des e-mail Achat ou échange d'adresses Il devient facile de se procurer des fichiers d'adresses nominatives auprès d'acteurs douteux pratiquant l'art de la collecte déloyale. Robots ou "crawlers" Ce sont de petits logiciels programmés pour rechercher et stocker automatiquement toutes les adresses email que l'on peut trouver sur le web. Usenet, mailings list, Chat room Ces places de discussion aux mécaniques parfois archaïques sont de véritables mines d'or pour les spammeurs qui aspirent tout ce qui peut contenir un arobase. Sites Internet Certains exploitants ou webmasters peu scrupuleux transmettent les informations personnelles d'internautes à des tiers, en détournant le but de la collecte. Chaînes ou "Hoax" (rumeurs) Messages faisant appel au bon coeur et à la naïveté des internautes pour répandre de fausses informations. Beaucoup de gens n'hésitent pas à relayer ce type de message parfois même sur tous leurs contacts. Les chaînes sont de véritables pots de miel pour les spammeurs. Virus Certains virus, plus particulièrement les vers, aspirent et utilisent les listes de destinataires des internautes mal protégés pour se propager. Beaucoup de spammeurs profitent de ces propagations pour collecter. Reconstitution d'adresse e-mail (e-mail address harvesting) Piratage mené par certains spammeurs pour dérober le répertoire complet des adresses E-mail d'une entreprise. Le principe est de reconstituer aléatoirement (pré[email protected] par exemple) des adresses et de les tester. La gratuité de l'envoi de mail rend cette technique très pratiquée. Techniques de filtrage utilisées par les anti-spam Même si les spams constituent un problème, il est aujourd'hui possible d'en limiter sensiblement les effets. Il suffit d'utiliser diverses technologies anti-spam de manière judicieuse. A l'heure actuelle, les solutions proposées s'appuient sur une combinaison de techniques permettant d'identifier les spams. Les principales technologies utilisées sont : Analyse heuristique L'analyse heuristique constitue un ensemble de règles représentées sous forme d'expressions régulières. Elle permet de rechercher les mails dont les entêtes et/ou les corps correspondent à des caractéristiques très particulières connues pour avoir une forte probabilité d'être un spam. Listes noires Les RBL (Realtime Blackhole List) ou DNSBL (Back List DNS) sont des listes de serveurs ou de réseaux connus pour aider, accueillir, produire ou retransmettre des spams ou fournir un service pouvant être utilisé comme support pour l'expédition de spam : OpenSMTP Relay, Open Proxy List (OPL). Bases collaboratives de spams Ces bases de signatures de spams sont utilisées de la même manière que les bases de signatures de virus. Elles sont alimentées par les utilisateurs de solutions antispam. Enregistrement DNS Vérifie la corrélation entre l'adresse IP du serveur source et son nom via une requête DNS inverse (inaddr.arpa). Généralement, les véritables serveurs de messagerie possèdent une adresse IP fixe et bijective avec son nom de domaine associé. Bien qu'une grande quantité de serveurs ne possèdent pas d'enregistrements PTR dans les zones d'adresses pour lesquelles leurs fournisseurs sont autoritaires, il reste intéressant de connaître l'information pour tempérer le résultat. Filtres bayésiens Méthode probabiliste de filtrage des courriers électroniques fonctionnant par apprentissage et se basant sur la distribution statistique de mots clé dans les mails. Ce type d'algorithme s'auto adapte en s'appuyant sur l'analyse des emails connus comme étant ou n'étant pas des spams. Liste blanche Liste de sites, hôtes, domaines ou adresses sûres. Par défaut très peu d'hôtes sont considérés comme sûrs car leurs adresses pourraient être usurpées par les spammeurs. Cependant un système d'auto apprentissage de liste blanche est utilisé par les logiciels anti-spam afin d'accélérer le temps de traitement des émetteurs déjà testés et considérés comme sûrs. Historique des transactions Les transactions précédemment effectuées entre l'expéditeur et le destinataire d'un message influent sur le résultat de l'analyse. Des individus ayant l'habitude de s'envoyer des emails légitimes, n'ont pas de raison de s'envoyer des spams. Adresses URL L'analyse des URL présentes dans le corps du message a pour but d'identifier et de filtrer le mail en fonction de l'action souhaitée : le click de l'utilisateur sur un lien promotionnel. Cette analyse est basée sur la détection de sites suspects et des url suspectes (numériques, mal formatées). SPF et DKIM Les techniques anti-spam dénommées SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) ont pour but d'authentifier les serveurs de messagerie autorisés à expédier des emails pour un domaine donné. DKIM signe également les emails émis par les serveurs de messagerie. DKIM est normalisé par l'IETF sous la RFC 4871. OS fingerprint Reconnaissance du système d'exploitation utilisé par le serveur émetteur, par analogie d'empreinte des trames émises par le système distant. Combinée à l'analyse comportementale du serveur distant cette technique nous permet de retrouver spams émis par des botnet. (Ensemble de pc zombies exploités de manière malveillante). Validation du domaine émetteur Bien que l'adresse email ne soit pas vérifiée, car certaines lettres d'informations proviennent de comptes qui n'existent pas, nous procédons à l'analyse du domaine émetteur du mail afin de valider que l'entité émettrice soit bien en mesure de recevoir des emails. Analyse des images et des PDF Suite à l'augmentation du nombre de spams-image, nous avons intégré un système d'analyse des images pour accroître l'efficacité du service. L'anti-spam examine les images et les fichiers PDF contenus dans un email sur différentes bases : nombre, type, taille, format et dimensions, puis compare ces critères avec les caractéristiques des images utilisées par les spammeurs. Teergrubing Technique permettant, par un maintien de session, de réduire significativement la vitesse de réponse du serveur SMTP, sur certaines connexions considérées comme suspectes. Le teergrubing permet de contraindre le serveur de SPAM. Greylisting Le greylisting est une technique antispam très récente qui consiste à rejeter temporairement un message, par émission d'un code de refus temporaire au serveur émetteur. Le serveur émetteur réexpédie le mail après quelques minutes, la plupart des serveurs de spams ne prennent pas cette peine! Test de Turing Cette technique, également nommée challenge/réponse, consiste à renvoyer un email de demande d'authentification (via la reproduction d'un code affiché) à l'expéditeur du message afin de s'assurer de son existence physique réelle. Utilisée seule cette technologie comporte de nombreux inconvénients (report du travail de filtrage sur l'expéditeur du message, envoi systématique de messages souvent non sollicités, génération de faux-positifs). Intégrée à d'autres technologies et utilisée à bon escient en fin d'analyse, elle permet au contraire de libérer les faux-positifs non résolus.