Logo du forum
 

Forum TTH-News

| Inscription | | Recherche | | FAQ | | Accueil | | Liste des membres |
| Calendrier |
 
Vous n'êtes pas identifié! [Connexion] ou [Inscription] Forum » Tutoriaux » Spam / Antispam
Login Mot de passe

2 visiteurs sur ce topic (0 membre(s), 2 invité(s) )


Auteur
Sujet : Spam / Antispam
Battosaï
Master
Membre # 9717

 Avatar du membre


Messages :
980 (0.16 par jour)


Score :

Message du 19-06-2004 @ 12:04   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   


Ayant assisté à  un séminaire SPAM/ANTISPAM proposé par Symantec en mars 2004, j'ai pensé que je pourrais mettre en ligne ce que j'y ai appris sous forme de tutorial/FAQ afin d'en faire profiter les autres (vous).

Je n'ai pas écrit ce tuto en prétendant avoir LA méthode pour ne plus recevoir de SPAM, mais simplement à  titre informatif et explicatif afin de lutter contre ce fléau qui nous empoisonne tous.

PLAN :
1- Qu'est-ce que le SPAM ?
2- Fonctionnement du SPAM
3- Conséquences du SPAM
4- Comment lutter
5- Conclusion


1- Qu'est-ce que le SPAM ? :

a- Origine :

SPAM est une marque de corned-beef. Plus précisément SPAM est un acronyme pour Spiced Pork And Meat (pâté épicé à  base de porc et de viandes). C'est ce truc dégueu que tous les Américains mangeaient pendant la 2e guerre mondiale.
En fait, l'utilisation du terme Spam pour désigner des courriers électroniques abusifs est due aux Monty Python : dans un de leurs sketches, les comiques britanniques chantaient : "Spam spam spam spam, spam spam spam spam, spam spam spam spam ...". La chanson, interminable et interprétée crescendo, couvrait les propos des autres protagonistes du sketch.

b- Définition :

- le "spamming" ou "spam" est l'envoi massif, et parfois répété de courriers électroniques non sollicités à  des personnes avec lesquelles l'expéditeur n'a jamais eu de contact au préalable, et dont il a capté l'adresse électronique de façon irrégulière.
La notion importante dans le spam n'est pas celle de publicité mais celle de message non sollicité.

- Egalement appelé UBE (Unsolicited Bulk Email) ou UCE (Unsolicited Commercial Email)

- Les différents synonymes (essentiellement d'origine québécoise) du spamming ou spam sont courrier-rebut, pourriel ou polluriel.

c– Quelques chiffres :

Evolution de la part de spam reçu sur le lieu de travail :
nb d'emails scannés : 134 millions
nb de spams : 73,8 millions
part du trafic : 55,1 %
évolution du trafic sur un mois : + 36,6 %
évolution du trafic sur un an : + 40,6 %

Les origines du spam dans le monde en mars 2003 :
Etats-Unis : 58,4 %
Chine : 5;6 %
UK : 5,2 %
Brésil : 4,9 %
Canada : 4,1 %
Autres : 21,8 %

Estimation du coà»t du spam pour les entreprises dans le monde :
Année |..Coà»t/BAL...|..Perte au niveau mondial...|..spams reçus/jour..|.% de spam/jour
2003 ..|..49 dollars...|...........20,5 milliards............|.....6,9 milliards......|....24 %.....
2004 ..|..86 dollars...|...........41,6 milliards............|....10,9 milliards.... |....31 %.....
2005 ..|.134 dollars..|...........74,6 milliards............|......17 milliards......|....39 %.....
2006 ..|.189 dollars..|..........123,7 milliards...........|.....24,4 milliards....|....45 %.....
2007 ..|.257 dollars..|..........198,3 milliards...........|.....33,4 milliards....|....49 %.....

nb : le % de spam/jour corresond au % de la bande passante SMTP utilisée pour le spam.
Nb2 : BAL = boà®te aux lettres.


2- Fonctionnement du SPAM :

a- Pourquoi le SPAM ? :

- Courrier Postal :
. cher
. importance de la localisation géographique
. soumis à  des règles
. adresse ciblée

- Email :
. quasi gratuit
. rapide (qqs secondes pour l'envoyer)
. accès aux adresses mondiales
. pas de règles
. pas de ciblage d'adresse
. diffusion en masse
. seuil de profit de 0,001 %

Le seuil de rentabilité des emails est très faible.

b- Comment les adresses sont-elles collectées ? :

. newsgroups
. sites web
. pages jaunes
. pages blanches
. IRC et Chat
. envoi séquentiel :
- Asmith@domaine.fr
- Bsmith@domaine.fr
- Cbsmith@domaine.fr
- Etc ...
. achat et échange de listes (certains sites vendent des listes d'adresses email : par exemple, 215 millions d'adresses pour 75 $. Exemples : le site http://www.madwebextractor.com/, le logiciel Atomic Harvester ...)

c- Comment les spams sont-ils envoyés ?

- relais SMTP ouverts
- MTA temporaires
- ISP de complaisance (spamhouse)
- webmail / comptes RTC
- proxys web ouverts

* nb : MTA = Mail Transfert Agent
* nb 2 : MTA temporaire = tout serveur de messagerie avec une IP dynamique (donc n'importe quelle personne avec un abonnement ADSL -> IP automatiquement renouvelée chaque jour => presque impossible à  détecter)

Le SPAM est dà» à  la simplicité du protocol SMTP (Simple Mail Transfert Protocol) utilisé par la plupart des serveurs mails actuels mais aussi à  l'obtention facile des adresses email.

Le serveur mail en fontionnement normal a 2 fonctions distinctes :
la prise en charge des mesages émis (internes) pour les expédier à  leur destinataire (interne ou externe). C'est le travail du SMTP.
La prise en compte des courriers provenant de l'extérieur. C'est le travail du serveur POP (Post Office Protocol).
Ce serveur mail peut aussi être appelé un relais.

Relais ouvert :
Un relais ouvert est un serveur qui ne vérifie pas que le courrier en provenance de l'extérieur est bien à  destination de l'intérieur. Il accepte le courrier de n'importe quelle provenance sur Internet pour le renvoyer vers n'importe qui.

Abuser les relais est considéré comme une des infractions informatiques les plus répandues.
(un site permettant de tester les serveurs mail : http://www.ordb.org)

Empêcher que le relais ne soit ouvert :
Si votre FAI héberge le serveur de messagerie responsable de votre domaine et que vous implémentiez un serveur SMTP au sein de votre organisation, il est de la responsabilité du FAI de sécuriser son relais.

A priori, votre serveur interne ne devrait pas accepter de connexion externe d'autres hà´tes que des serveurs SMTP primaires et secondaires de votre FAI. Vous pouvez mettre en place un premier niveau de sécurité en limitant les accès sur votre serveur. Cette sécurisation peu s'implémenter via des filtres ACL (Access Control List) ou des pare-feu placés sur vos routeurs ou au niveau du relais.

à€ moins que vous ne gériez plusieurs domaines, votre serveur n'a pas de raison de relayer des messages. Tous les messages qui lui parviennent lui sont destinés. Si vous, avez besoin de relayer sur plusieurs domaines, par exemple une maison mère et ses filiales, contraignez le serveur à  relayer uniquement sur ces domaines.

Si vous hébergez le serveur responsable de votre domaine (l'enregistrement MX de votre domaine pointe en ce cas sur votre serveur), la procédure de sécurisation est plus complexe.

Dans tous les cas, si votre serveur le permet, il est possible de forcer les utilisateurs à  effectuer une authentification POP3 (POP-before-SMTP) avant de leur permettre d'envoyer un message. Cette solution est particulièrement intéressante pour les utilisateurs nomades, qui sont amenés à  envoyer des messages depuis un réseau différent du réseau interne. Une autre option pour les nomades est la mise en place d'accès VPN (Virtual Private Network).

Pour éviter qu'un serveur mail ne soit un relais ouvert, il faut le configurer de manière spécifique (les logiciels de messagerie sont encore actuellement, pratiquement tous, configurés par défaut en relais ouvert afin de faciliter leur mise en oeuvre.
Si le logiciel ne peut pas être configuré autrement qu'en relais ouvert, 2 solutions existent :
. placer un tampon entre l'extérieur et le serveur. Cela peut être une autre machine ou un logiciel qui intercepte les communications pour le serveur de mails et ne les laisse passer qu'après vérification.
. avoir des serveurs indépendants pour chaque direction : courrier entrant (DMZ) et courrier sortant (intranet)

d- Failles de sécurité exploitées :

relais ouverts & proxys :
. distribution de codes malicieux
. propagation de virus
. propagation de vers
. attaques de sites web

collecte d'informations :
. spyware
. installation de chevaux de Troie

grand public & entreprises :
. exploitation des failles connues (IE, Outlook, ...)
. connexions permanentes à  internet
. accès sans fil

nb : d'après Symantec, il faut environ 30 secondes pour craquer un code de sécurité WI-FI avec un ordinateur classique.

e- Les problématiques DNS :

relais ouverts : si le MTA ne vérifie pas les adresses IP sources / IP de destination, domaine source / domaine de destination, il risque de se transformer en véritable plate-forme de spam.

usurpation d'identité : il est facile d'envoyer un mail depuis le serveur spammeur.fr et d'en modifier le mail pour afficher le domaine entreprise.fr.

identification des spammeurs : il est très facile de changer souvent l'adresse publique de son MTA (difficulté d'identification)

ex. fermer un relai MTA : n'autoriser la réception des emails que si le destinataire fait partie de l'entreprise.


3 – Les conséquences du SPAM :

Le volume des messages expédiés entraà®ne des effets nuisant à  l'efficacité d'internet et aux coà»ts associés à  son fonctionnement.

Problèmes pour les providers :
. Augmentation de la bande passante dà»e à  l'augmentation du trafic (~ + 30 %)
. Consommation d'espace disque sur le serveur de messagerie
. Achat de mémoire de stockage supplémentaire (pour les emails supplémentaires)
. Personnel supplémentaire pour gérer les problèmes techniques liés au spam et répondre à  leur victimes

Problèmes pour les utilisateurs :
. Allongement du temps de chargement (réception des emails)
. Augmentation des coà»ts d'accès
. Consommation d'espace disque sur le poste utilisateur
. Temps perdu à  filtrer les messages , se plaindre et se désabonner
. Problématique des contenus illégaux (* nb)

* nb : si votre patron découvre que vous recevez des mails à  caractère pédophile par exemple, il vous faudra prouver que ce n'est pas du courrier désirable, ce qui n'est pas toujours chose facile.

Les FAI sanctionnent leurs usagers lorsqu'ils utilisent le SPAM. Cela peut aller jusqu'à  l'interruption de l'accès à  internet. S'ils ne le font pas, ce sont les FAI eux-même qui pourraient être blacklistés.


4 – Comment lutter contre le SPAM ? :

a- Les contre-mesures :

Protection contre les attaques :
. Firewall
. Logiciels Intrusion Détection / Prévention
. Antivirus
. Conformité de la politique de sécurité et audit de vulnérabilité

Protection contre les exploits :
. Vérification des configurations
. Politiques de sécurité
. Installation des patchs, mises à  jour logicielles (TRES IMPORTANT)

Lorsque vous traitez avec un spammer ou un site abusif, ne faites pas les choses suivantes :
Menacer de violence ou de vandalisme
Bombarder le site de courriers éléctroniques
Faire crouler le site sous un orage de Ping ou sous un raz-de-marée de SYN
Pirater le site
Tenter de toutes les façons d'abattre le site illégalement

b- Difficultés de la lutte anti-spam :

Les émetteurs changent quotidiennement
Les techniques utilisées sont multiples
Les sujets couverts sont très différents
Apparition de SPAM polymorphiques
Très importants enjeux commerciaux
Signature d'identification impossible
Technologies heuristiques efficaces mais pas suffisantes
Problèmes de faux positifs
Différence entre les mails commerciaux demandés / non demandés
Règles juridiques différentes selon les pays

c- Les Parades :

Recommandations :

Ne communiquez pas votre adresse personnelle à  un site ou sur un formulaire non sécurisé, ne la laissez pas apparaà®tre sur un site sauf après l'avoir cryptée.
Si vous n'êtes pas certains de la déontologie de l'expéditeur, ne répondez jamais à  un spammeur et ne cliquez pas sur les liens qui se trouvent dans le message, y compris pour vous "désinscrire" : les "spammeurs" utilisent cette méthode pour vérifier que votre adresse mail est valide.
Ne transmettez jamais les "chain mails" (mail que l'on vous demande de faire suivre pour une cause ou une autre) à  vos amis, même si le contenu vous touche. Les spammeurs s'en servent également pour recueillir des adresses valides.

Si vous les transférez malgré tout, veillez à  ce qu'aucune adresse électronique n'apparaà®sse dans le corps du message, expédiez-le en mettant vos destinataires en "copie cachée" et mettez en expéditeur votre adresse "dédiée".

- Signaler un SPAM :
Signaler un spam peut être utile, notamment si l'expéditeur du message est abonné à  un prestataire membre de l'AFA. Votre signalement permet à  ce prestataire de fermer le compte de messagerie du spammeur, après vérification de ses agissements. En effet, le spam est clairement considéré par la profession comme un abus de service.
Signaler n'importe quel spam que vous recevez est malheureusement peu efficace : les prestataires, qui supportent pourtant le coà»t de réception des spams, ont peu de moyens de lutte. En effet :
- Il est interdit à  un prestataire de vérifier le contenu des messages qui transitent par ses serveurs, par respect du caractère privé du message, protégé par le droit à  vie privée.
- Les prestataires n'utilisent pas automatiquement de filtres contre le spam car ils ont des effets pervers. Ils ne peuvent, éventuellement, que les proposer au choix de leurs abonnés. En effet :
1. les filtres peuvent bloquer des messages que vous désiriez recevoir mais que le filtre a considéré comme des spams, sur des critères techniques que vous ne contrà´lez pas.
2. le filtrage des expéditeurs ayant déjà  envoyé des spams conduit parfois à  la "censure" d'un serveur entier. Cela porte préjudice aux abonnés de ce serveur qui n'ont jamais envoyé de spams mais qui se voient pourtant interdire tout envoi à  certains de leurs correspondants.

- Les filtres :

- Filtre sur émetteur :
Dès 1996, la gêne provoquée par le Spam pousse certains responsables de messagerie aux Etats-Unis à  réagir. Leur premier instinct est de bloquer la réception des messages en provenance de certaines adresses sources, noms de domaine et adresses IP.
Il leur suffit pour cela de créer des listes noires, ou blacklists, et de configurer les serveurs de messagerie de façon à  ne pas accepter de messages en provenance des sources black listées.
Aujourd'hui, ces listes sont connues sous les noms de DNSBL (DNS Blackhole List), RBL (Real-time Blackhole List) ou tout simplement blacklists.
Le filtrage sur émetteur évite que le Spam arrive sur votre serveur. Il en découle des économies de bande passante, de stockage et de cycles CPU.
Le point négatif : si le Spam présumé n'arrive plus sur votre serveur, il est possible que des emails en provenance d'émetteurs légitimes ne vous parviennent pas non plus.
Le rejet pur et simple des messages suspects est la configuration la plus répandue. Il est cependant possible d'accepter ces messages en les étiquetant " Spam" ou encore en les plaçant en quarantaine. Ces dernières approches sont évidemment plus sà»res.
Le système des listes de blocage s'appuie en grande partie sur la délation. Il n'est donc pas impossible qu'une entité soit blacklistée à  des fins peu honorables. Un autre inconvénient des listes provient des relais mal configurés, qui deviennent des relais ouverts. Lorsque les Spammeurs utilisent de tels relais, les adresses des serveurs correspondants se retrouvent mises à  l'index. Tous les émetteurs légitimes d'une entreprise peuvent ainsi se retrouver privés de messagerie pendant plusieurs jours.

- Filtre sur en-tête :
Leur fonctionnement est similaire à  celui des filtres sur émetteurs. Les deux sont d'ailleurs souvent combinés.
Dans le cas des filtres sur en-tête, l'enveloppe du message est analysée. On y retrouve tous les tampons apposés sur le message lors de son parcours sur Internet, ainsi que toutes les en-têtes d'origine. A ce niveau, il est par exemple possible de rejeter les messages dont l'encodage indique l'utilisation de caractères spéciaux. L'en-tête " Content-Transfer-Encoding : 8bit" en est l'indicateur.
Seulement, l'utilité de cette technique est limitée, puisqu'il n'est pas évident de juger un message uniquement en fonction de ses en-têtes. De plus, l'utilisation des en-têtes n'est pas complètement standardisée. Cependant, le filtrage à  ce niveau est idéal pour l'utilisation de whitelists car il guarantit la livraison des messages légitimes de ses partenaires habituels et des newsletters.

- Filtre sur contenu (heuristique) :
Face aux inconvénients des filtres sur émetteurs, les développeurs se sont rapidement intéressés au contenu des messages. Tous ceux qui ont l'occasion de lire des Spam constatent rapidement un air de famille, qui permet de classifier ces messages en n'en lisant que l'objet.
A partir de telles observations, une nouvelle catégorie de filtres est apparue, fondée sur l'analyse du contenu des messages. Par contenu, on entend les en-têtes, souvent cachées lors de la lecture des emails, l'émetteur et les destinataires, l'objet et le corps du message. Sont également concernés les balises HTML, les scripts, etc.

Comme expliqué précédemment, certains contenus récurrents des messages permettent de caractériser un Spam. La présence d'un objet de message écrit tout en majuscules, par exemple, ou l'utilisation abusive de points d'exclamation témoignent d'une probabilité élevée que le message soit du SPAM. C'est ce qu'on appelle la " Spamicité" d'un message.

Partant de cette constatation, des filtres heuristiques (du grec heuriskein signifiant trouver) ont fait leur apparition. Ces filtres utilisent les règles qui président à  la saisie des en-têtes, corps de message, URL, etc. Chaque règle est comparée à  des valeurs, et un coefficient de Spamicité est affecté à  chaque test. Une fois l'ensemble du message vérifié, un score pondéré indique la probabilité que le message soit du SPAM. Dans le cas du filtre SpamAssassin, certains coefficients sont positifs et expriment une probabilité de présence de SPAM. D'autres sont négatifs et suggèrent un message légitime. Ce principe se rapproche du bonus-malus utilisé par les assureurs.
SpamAssassin, le plus connu des filtres heuristiques, intègre par défaut dans sa dernière version plus de 800 tests.

* Les filtres sous licence GPL, libres ou gratuits :

- SpamAssassin
SpamAssassin, sans doute le plus connu des filtres antiSpam, met en Å“uvre plusieurs techniques, notamment le filtrage heuristique et le filtrage réseau, via l'interfaçage avec des listes de blocage dynamiques. Il permet en outre de consulter la base d'empreintes razor de SpamNet.

SpamAssassin est un filtre très complet. Il utilise par défaut plus de 800 règles et propose tout un cocktail de fonctions antiSpam. En contrepartie, il n'est pas facile à  paramétrer ni à  administrer. Sa programmation en PERL lui confère une grande portabilité multi plateforme (UNIX, Linux, Windows, Mac). Sa maturité est un autre de ses atouts.

Le logiciel est disponible gratuitement. Sa performance peut être un facteur limitant dans des environnements à  grand volume.

- Cloudmark
Cette société spécialisée dans la lutte antiSpam offre deux produits, SpamNet, à  vocation grand public, et Authority, pour les entreprises.

SpamNet s'appuie sur un réseau communautaire international de combattants du Spam.
Aujourd'hui, il compte plus de 300000 adhérents, qui dénoncent tout Spam qui leur parvient. Le système calcule des empreintes, qui permettent de détecter le Spam le plus répandu sur Internet.

- SpamNet est un add-on à  Outlook et peut être téléchargé gratuitement à  l'adresse http://www.cloudmark.com. Son fonctionnement nécessite l'ouverture d'un port particulier sur les pare-feu.

- Vipul's Razor, une version libre de SpamNet développée en PERL (http://razor.source-forge.net), est notamment implémentée dans SpamAssassin.

- Authority est une solution payante pour entreprises, qui repose sur les informations recueillies par le réseau SpamNet. Elle s'installe au niveau du relais de messagerie.

*Les filtres bayesiens, ou sémantiques

Ces filtres apparaissent à  grande vitesse sur le marché. Certains se greffent aux clients de messagerie. Vous en trouverez une liste assez complète à  l'adresse http://www.pauigraham.com/filters.html.

- Spam Bully. Produit commercial qui s'intègre directement à  Outlook et à  Outlook Express (www.Spambul.com) et fournit notamment des statistiques.

- Spammunition. Ce logiciel s'intègre à  Outlook et est disponible gratuitement à  l'adresse www.upserve.com/Spammunition/default.asp.

- Popfile. Développé par John Graham-Cumming (www.jgc.org), ce logiciel écrit en PERL implémente un filtre bayesien et va au-delà  d'une simple classification Spam/email légitime en vous permettant de créer plusieurs dossiers (buckets) de classification. Après entraà®nement, le filtre peut classifier automatiquement vos messages par sujet (par exemple, Spam, personnel, travail, etc.). Plus vous ajoutez de dossiers, plus la période d'entraà®nement est longue. Le logiciel fonctionne comme un proxy installé sur le poste client et peut donc être utilisé avec la plupart des clients de messagerie. Un paquetage binaire pour Windows facile à  installer est disponible.

- CRMl14. Plus qu'un simple filtre, CRM (Controllable Regex Mutilator) est un puissant langage de script.. Son créateur, Bill Yerazunis (www.merl.com/peopleiyerazunisl) a optimisé le filtrage bayesien en recherchant des couples de mots et des triplets. Au lieu d'être sensible, par exemple, au mot " achetez", il combine plusieurs mots : "achetez en ligne". Les résultats sont surprenants, atteignant un taux de filtrage de 99,87%. Le fait qu'il repose sur un langage de script le rend un peu plus lent que d'autres filtres écrits en C. Le logiciel s'installe sur Linux et BSD. Il peut être téléchargé à  l'adresse http://crm114.sourceforge.net/.

- Bogofilter. Une des premières implémentations des filtres bayesiens, ce filtre rapide est écrit en C. Il peut être installé sur Mac OS X, AIX, FreeBSD, HP-UX, Linux et SunOS/Solaris. Il peut être téléchargé gratuitement à  l'adresse sourceforge.net/projects/bogofilter.

- Smartlook. Il s'agit d'un assistant pour Outlook développé par Jean-David Runini du e-lab de Bouygues. La version bêta est gratuite mais deviendra commerciale par la suite (www.e-lab.bouygues.fr/DIALOG/prototypes/smartlook/).

. Apple Mail. La dernière version de ce logiciel intégré dans Mac OS X contient un filtre bayesien facile à  paramétrer.

* Les filtres commerciaux :

- SpamKilier
La société Network Associates (NAI) a racheté en janvier 2003 la version commerciale de SpamAssassin auprès de la société Deersoft. Cette version fonctionne en environnement Microsoft (des portages gratuits de SpamAssassin sur Windows sont disponibles, PERL oblige).
Le produit Deersoft bénéficiait de règles spécifiques et d'un support commercial du produit. NAI semble abandonner cette offre pour se concentrer sur l'intégration du produit avec des offres telles que Microsoft Exchange. La société a proposé en ce sens une version pour Microsoft Exchange Small business au cours du deuxième trimestre de l'année 2003. Cette version se présente sous la forme d'un add-on du serveur de Microsoft. Des déclinaisons sont prévues pour Lotus Domino, Exchange et WebShield.
Une version grand public avec une interface intuitive pour postes individuels est également déclinée (www.mcafee.com/myapps/msk/default.asp).

- Email Filter de SurfControl
Ce produit se distingue par son outil de configuration, qui permet une catégorisation très complète des Spam (www.surfcontrol.com). L'éditeur vient du domaine du filtrage de contenu
H1TP. Le filtrage se fait, entre autres, par un système sur empreinte mis à  jour de manière régulière.

- Brightmail
Brightmail (www.brightmail.com) est une solution robuste utilisée par plusieurs FAI de premier plan, dont MSN et AT&T. Sa singularité réside dans le réseau d'adresses email de type honeypot (pot de miel) déployé dans le monde. Il s'agirait, d'après Brightmail, de plus de 250 millions de boà®tes aux lettres leurres. La plupart sont des bal (boà®tes aux lettres) maintenues par la société, mais certaines correspondent à  des domaines abandonnés sur lesquels aucun message légitime ne parvient. Cette collecte est consolidée et analysée, avant d'être transmise aux filtres pour parfaire leur apprentissage et optimiser leur efficacité. Le très faible taux de faux positifs est le reflet de l'efficacité de ce dispositif.

Les informations recueillies par les honeypots permettent de mettre à  jour de manière constante les règles du moteur antiSpam. Elles sont ensuite téléchargées vers les serveurs Brightmail. Les techniques utilisées sont les empreintes, les empreintes floues et les règles heuristiques. Des règles personnalisées peuvent en outre être ajoutées par un administrateur.
Pour les entreprises, Brightmail propose des solutions qui s'intègrent aux principaux serveurs de messagerie du marché :

- Microsoft Exchange 2000/2003. Windows 2000 SMTP Service
- Lotus Domino
- Sendmail

La solution présente l'avantage de ne pas s'installer en coupure et donc de ne pas constituer de SPOF (Single Point Of Failure). Le logiciel est composé d'un couple client/serveur, le client résidant sur la passerelle SMTP et le serveur sur une machine à  part. Ce dernier existe en versions Windows 2000/2003, Solaris 8/9 et Linux RedHat 7.3.

Si l'externalisation est privilégiée, il existe des prestataires de service spécialisés dans la lutte antiSpam, qui filtrent votre messagerie pour vous (le routage demande une simple modification de l'enregistrement MX de votre domaine). Les charges de sélection d'outils, de maintenance, d'exploitation et de mises à  jour incombent à  ces acteurs. Selon les options retenues, ce choix permet une réelle économie de bande passante et de ressources, car seuls les emails utiles parviennent jusqu'à  vous.

Les premiers acteurs, presque tous américains, sont Postini, FrontBridge et Message-Labs, qui lui est anglais. Le routage de l'intégralité de vos emails vers les Etats-Unis, o๠sont implantées ces sociétés, peut toutefois être ressenti comme une menace à  l'égard de la confidentialité. Il convient de surcroà®t d'évaluer avec soin un éventuel problème d'indisponibilité, certains d'entre eux étant en cours de déploiement de NOC (Network Operations Center) européens.

- Postini
Postini (www.postini.com) est un des acteurs les plus importants dans le créneau des prestataires de service. Cette société américaine utilise un cocktail efficace de solutions, dont le filtrage par blacklist temporaire et le filtrage heuristique.
Postini se distingue par son mécanisme de détection des attaques de répertoires (Directory Harvest Attack). Le système permet à  chaque utilisateur de paramétrer le taux de filtrage afin de trouver le meilleur compromis entre faux négatifs et faux positifs. Il permet la classification des Spam en catégories (à  caractère sexuel, offre commerciales, etc.) de façon à  accepter certains types de Spam le cas échéant.

Un service d'antivirus est intégré, et des statistiques assez exhaustives sont fournies. L'offre Postini est une des plus complètes en termes de gestion et de paramétrage.

- Dolphian
Dolphian (www.doiphian.net) est un nouvel acteur français qui présente une offre innovante et prometteuse, dont l'objectif est de rétablir la confiance des internautes. Présentée sous forme de service, sans aucun logiciel à  télécharger sur les postes clients, l'offre de Dolphian est constituée d'une gamme d'outils antiSpam.

Lors de la visite d'un site Web qui vous invite à  remplir un formulaire, l'interface de Dolphian, intégrée de manière transparente dans votre navigateur, vous permet de saisir les formulaires de manière automatique.

Il est possible de générer dynamiquement des adresses email associées au site visité.
Par exemple, lors de la saisie du formulaire du site www.images-interessantissimes.com, le système dépose une adresse du type code-aléatoire@dolphian.com. Tous les messages envoyés par ce site ou par ses partenaires deviennent dès lors immédiatement traçables.
Les différentes adresses ainsi gérées automatiquement sont renvoyées vers votre adresse principale.

Des fonctions de filtrage antiSpam sont intégrées à  toutes les adresses. Si une adresse est polluée par du Spam, elle peut être détruite via l'interface Web de Dolphian.

L'offre de Dolphian s'adresse principalement aux particuliers et aux professions libérales.

- FrontBridge
Antérieurement connu sous le nom de Big Fish, le service de FrontBridge (www.front- bridge. corn) est une offre externalisée.

Le filtrage s'effectue par une combinaison de techniques : blacklisting sur liste propriétaire, avec plus de 8 000 règles actives et quelque 250 modifications quotidiennes, filtres sur empreinte et filtres heuristiques.

Ce service se distingue par sa simplicité, aussi bien pour l'internaute que l'administrateur. L'offre est complétée par un service antivirus.

- Trend Micro
La solution e-manager IMSS (Interscan Messaging Security Suite) de Trend Micro disposait déjà  de fonctionnalités antiSpam, principalement fondées sur un système d'empreintes, dans lequel les empreintes étaient mises à  jour en fonction de Spam récupérés sur des adresses honeypot.

Depuis début 2003, cet éditeur renforce son offre avec SPS (Spam Prevention Service), un produit ou un service destiné principalement aux grands comptes. Pour ce faire, Trend s'associe avec Postini en embarquant le moteur heuristique de ce dernier dans sa solution.

Le logiciel fonctionne pour le moment sous Solaris, mais des versions Linux et W2k sont annoncées.
L'éditeur annonce des taux de filtrage de 90 à  95%, avec moins de l sur 80 000 faux positifs.

Le système s'insère comme un relais SMTP supplémentaire, avant ou après votre relais d'accès à  Internet. Les règles de filtrage et le moteur sont mis à  jour de manière automatique, la solution étant proposée sous forme de service. La tarification se fait par boà®te aux lettres. On peut regretter de ne pas trouver d'interface d'administration conviviale, comme dans le service Postini. La configuration et le paramétrage nécessitent l'édition de fichiers XML.

- Symantec
Surtout connu pour son offre antivirus, Symantec a annoncé avoir complété sa gamme de produits de passerelles SMTP avec des fonctionnalités antiSpam disponibles dès le premier trimestre 2003 (www.symantec.com).

L'offre combine des filtres sur émetteurs externes, un moteur heuristique et la possibilité d'implémenter des whitelists/blacklists.

- MessageLabs SkyScan
Cet prestataire de services (www.messagelabs.com) utilise un moteur heuristique fondé sur SpamAssassin pour la détection de Spam. MessageLabs est un des principaux contributeurs du développement de SpamAssassin. Le filtrage est complété par un scan anti-virus et par la possibilité de détecter des images pornographiques dans les emails. Ce prestataire est implanté au Royaume-Uni et dispose de centres de traitement dans plusieurs pays européens (Royaume-Uni, Pays-Bas et Allemagne).

- Les webmails
Si Yahoo! met en avant son filtrage antiSpam dans sa communication marketing, il reste assez discret sur le fonctionnement de son système de filtrage. Il pourrait s'agir d'un cocktail de méthodes, avec filtrage sur émetteur, sur empreinte et heuristique.

Courant mars 2003, une mise à  jour importante du système a apporté de nouvelles fonctionnalités. Il est désormais possible de bloquer l'affichage automatique des images dans les messages. Cette parade évite la connexion aux sites Web des Spammeurs et donc la validation de votre adresse via des web bugs.

Le filtrage est de bonne qualité. C'est donc un bon choix si vous désirez utiliser une adresse lors du renseignement de formulaires sur le Web.

Hotmail intègre en revanche un filtre antiSpam assez décevant. Il semble que Microsoft place surtout ses efforts sur MSN, un service payant, pour lequel il a récemment signé un partenariat avec le spécialiste Brightmail.


5- CONCLUSION :

Si la mise en place d'un filtre peut prémunir contre la réception de Spam, elle ne met pas à  l'abri de détournement d'infrastructure pour leur envoi. Il est donc nécessaire pour lutter contre le Spam de sécuriser en priorité les relais SMTP.

A noter que des nouveaux protocoles voués à  remplacer SMTP et permettant de lutter contre le Spam sont à  l'étude. Ainsi, l'AMTP, une proposition de protocole de transport de courrier authentifié sur Internet a été soumis à  l'IETF. Son but est d'aider à  lutter contre le Spam en authentifiant les relais des courriers éléctroniques. Il est présenté sur le site http://amtp.bw.org.

Quelques liens utiles :

http://www.caspam.org/cas_cryptemail.html (encoder vos adresses mail)
http://www.linternaute.com/internetpratique/spam/ (conseils pour vaincre le SPAM)
http://www.caspam.org/outils_anti_spam.html#filtrepc (outils de protection)
http://forum.tth-news.be/forum.php?topic=50559&
http://forum.tth-news.be/forum.php?topic=59121&
http://forum.tth-news.be/forum.php?topic=59226&


Remerciements : Symantec, David A.et Arnaud C. pour leurs infos.


[message édité le 23-07-2004 @ 9:38 Par Battosaï]
----------
Tuto/FAQ sur le Spam/Antispam
Config : Antec 1040BII | Alim Enermax 500W |ASUS P5Q | Intel E5200 | 2x2Go OCZ DDR2 Platinum PC2-6400 | 2xHDD 320Go S-ATA | Gainward GeForce GTX 260 Golden Sample 55nm | DVD Sony DRU-865S | Asus VW222U.
- Haut de page -


Aller dans le forum :  

Plan du forum | Contacter l'administrateur

Powered by SoulBB 3.0.1
© Soulmanto, 2003-2010

Valid XHTML 1.0 Transitional

Page générée en 0.066 secondes