Spam - Informations utiles

Spam
- Informations utiles
Les spams, pourriels ou courriers indésirables ont vite fait de nuire à notre petite vie de messager électronique.
Pubs et arnaques en tout genre s'engouffrent dans ce moyen de diffusion planétaire et quasi-gratuit (!).
Et même si FAI et webmails tentent d'en filtrer une partie, avec plus ou moins de succès, il passe encore
bien trop d'indésirables.
Pour en savoir plus, voici des informations utiles et intéressantes pour comprendre le spam et s'en prémunir :
Methode de collecte des e-mail
Achat ou échange d'adresses
Il devient facile de se procurer des fichiers d'adresses nominatives auprès d'acteurs douteux pratiquant l'art
de la collecte déloyale.
Robots ou "crawlers"
Ce sont de petits logiciels programmés pour rechercher et stocker automatiquement toutes les adresses email que l'on peut trouver sur le web.
Usenet, mailings list, Chat room
Ces places de discussion aux mécaniques parfois archaïques sont de véritables mines d'or pour les spammeurs
qui aspirent tout ce qui peut contenir un arobase.
Sites Internet
Certains exploitants ou webmasters peu scrupuleux transmettent les informations personnelles d'internautes
à des tiers, en détournant le but de la collecte.
Chaînes ou "Hoax" (rumeurs)
Messages faisant appel au bon coeur et à la naïveté des internautes pour répandre de fausses informations.
Beaucoup de gens n'hésitent pas à relayer ce type de message parfois même sur tous leurs contacts. Les
chaînes sont de véritables pots de miel pour les spammeurs.
Virus
Certains virus, plus particulièrement les vers, aspirent et utilisent les listes de destinataires des internautes
mal protégés pour se propager. Beaucoup de spammeurs profitent de ces propagations pour collecter.
Reconstitution d'adresse e-mail (e-mail address harvesting)
Piratage mené par certains spammeurs pour dérober le répertoire complet des adresses E-mail d'une
entreprise. Le principe est de reconstituer aléatoirement (pré[email protected] par exemple) des
adresses et de les tester. La gratuité de l'envoi de mail rend cette technique très pratiquée.
Techniques de filtrage utilisées par les anti-spam
Même si les spams constituent un problème, il est aujourd'hui possible d'en limiter sensiblement les effets. Il
suffit d'utiliser diverses technologies anti-spam de manière judicieuse. A l'heure actuelle, les solutions
proposées s'appuient sur une combinaison de techniques permettant d'identifier les spams.
Les principales technologies utilisées sont :
Analyse heuristique
L'analyse heuristique constitue un ensemble de règles représentées sous forme d'expressions régulières. Elle
permet de rechercher les mails dont les entêtes et/ou les corps correspondent à des caractéristiques très
particulières connues pour avoir une forte probabilité d'être un spam.
Listes noires
Les RBL (Realtime Blackhole List) ou DNSBL (Back List DNS) sont des listes de serveurs ou de réseaux connus
pour aider, accueillir, produire ou retransmettre des spams ou fournir un service pouvant être utilisé comme
support pour l'expédition de spam : OpenSMTP Relay, Open Proxy List (OPL).
Bases collaboratives de spams
Ces bases de signatures de spams sont utilisées de la même manière que les bases de signatures de virus.
Elles sont alimentées par les utilisateurs de solutions antispam.
Enregistrement DNS
Vérifie la corrélation entre l'adresse IP du serveur source et son nom via une requête DNS inverse (inaddr.arpa). Généralement, les véritables serveurs de messagerie possèdent une adresse IP fixe et bijective
avec son nom de domaine associé. Bien qu'une grande quantité de serveurs ne possèdent pas
d'enregistrements PTR dans les zones d'adresses pour lesquelles leurs fournisseurs sont autoritaires, il reste
intéressant de connaître l'information pour tempérer le résultat.
Filtres bayésiens
Méthode probabiliste de filtrage des courriers électroniques fonctionnant par apprentissage et se basant sur
la distribution statistique de mots clé dans les mails. Ce type d'algorithme s'auto adapte en s'appuyant sur
l'analyse des emails connus comme étant ou n'étant pas des spams.
Liste blanche
Liste de sites, hôtes, domaines ou adresses sûres. Par défaut très peu d'hôtes sont considérés comme sûrs
car leurs adresses pourraient être usurpées par les spammeurs. Cependant un système d'auto apprentissage
de liste blanche est utilisé par les logiciels anti-spam afin d'accélérer le temps de traitement des émetteurs
déjà testés et considérés comme sûrs.
Historique des transactions
Les transactions précédemment effectuées entre l'expéditeur et le destinataire d'un message influent sur le
résultat de l'analyse. Des individus ayant l'habitude de s'envoyer des emails légitimes, n'ont pas de raison de
s'envoyer des spams.
Adresses URL
L'analyse des URL présentes dans le corps du message a pour but d'identifier et de filtrer le mail en fonction
de l'action souhaitée : le click de l'utilisateur sur un lien promotionnel. Cette analyse est basée sur la
détection de sites suspects et des url suspectes (numériques, mal formatées).
SPF et DKIM
Les techniques anti-spam dénommées SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail)
ont pour but d'authentifier les serveurs de messagerie autorisés à expédier des emails pour un domaine
donné. DKIM signe également les emails émis par les serveurs de messagerie. DKIM est normalisé par l'IETF
sous la RFC 4871.
OS fingerprint
Reconnaissance du système d'exploitation utilisé par le serveur émetteur, par analogie d'empreinte des
trames émises par le système distant. Combinée à l'analyse comportementale du serveur distant cette
technique nous permet de retrouver spams émis par des botnet. (Ensemble de pc zombies exploités de
manière malveillante).
Validation du domaine émetteur
Bien que l'adresse email ne soit pas vérifiée, car certaines lettres d'informations proviennent de comptes qui
n'existent pas, nous procédons à l'analyse du domaine émetteur du mail afin de valider que l'entité
émettrice soit bien en mesure de recevoir des emails.
Analyse des images et des PDF
Suite à l'augmentation du nombre de spams-image, nous avons intégré un système d'analyse des images pour
accroître l'efficacité du service. L'anti-spam examine les images et les fichiers PDF contenus dans un email
sur différentes bases : nombre, type, taille, format et dimensions, puis compare ces critères avec les
caractéristiques des images utilisées par les spammeurs.
Teergrubing
Technique permettant, par un maintien de session, de réduire significativement la vitesse de réponse du
serveur SMTP, sur certaines connexions considérées comme suspectes. Le teergrubing permet de contraindre
le serveur de SPAM.
Greylisting
Le greylisting est une technique antispam très récente qui consiste à rejeter temporairement un message,
par émission d'un code de refus temporaire au serveur émetteur. Le serveur émetteur réexpédie le mail
après quelques minutes, la plupart des serveurs de spams ne prennent pas cette peine!
Test de Turing
Cette technique, également nommée challenge/réponse, consiste à renvoyer un email de demande
d'authentification (via la reproduction d'un code affiché) à l'expéditeur du message afin de s'assurer de son
existence physique réelle. Utilisée seule cette technologie comporte de nombreux inconvénients (report du
travail de filtrage sur l'expéditeur du message, envoi systématique de messages souvent non sollicités,
génération de faux-positifs). Intégrée à d'autres technologies et utilisée à bon escient en fin d'analyse, elle
permet au contraire de libérer les faux-positifs non résolus.