Comment lutter contre le spam ?

Dans le prolongement de notre article sur le fonctionnement du webmail, nous nous intéresserons cette fois-ci aux spams, à leur raison d’être, à la manière de les combattre et aux mesures à prendre pour éviter qu’ils n’atteignent nos boîtes aux lettres, et ce que nous faisons pour éviter qu’ils n’atteignent les boîtes aux lettres de nos clients.

Qu’est-ce que le SPAM ?

Le spam est un courrier électronique non sollicité contenant un contenu commercial, envoyé pour gagner de nouveaux clients ou faire la publicité d’un nouveau service. Les messages publicitaires envoyés par des sources dans lesquelles vous avez fourni vos données, comme les bulletins d’information, ne sont pas des spams. Ces types de messages ne sont pas et ne doivent pas être bloqués car ils ne sont reçus que par les clients qui se sont inscrits sur la liste de diffusion d’une organisation ou d’un magasin. Ce type de message doit généralement contenir dans le pied de page un lien vers le formulaire qui nous permettra de nous désinscrire de cette liste, dans le cas de l’anglais ce sera par exemple „Unsubscribe”, cependant, faites attention en cliquant sur ce lien car il se peut qu’il s’agisse d’un message spam qui Il nous conduira vers un site qui contient des virus ou qui tente de nous soutirer nos données de connexion, par exemple.
Un exemple pourrait être un message d’allegro contenant des informations sur les nouvelles ventes aux enchères. Une personne qui voit cela pensera que c’est comme ça que ça doit être et voudra se désabonner de la liste. Elle cliquera sur le lien en bas de page et sera dirigée vers une page qui ressemble beaucoup à la page originale mais qui ne sera pas cryptée ou dont l’url comportera une faute de frappe, par exemple : a11egro.pl (un au lieu de „l”). Faites attention à ces accidents en passant votre souris sur les liens avant de cliquer dessus.

Lutte contre le spam

Listes RBL

C’est-à-dire bloquer les adresses IP qui tentent d’envoyer un message si elles figurent sur la liste RBL. Il fonctionne selon le principe suivant : lorsqu’un ordinateur se connecte à notre serveur, celui-ci vérifie automatiquement et rapidement, par le biais du système DNS, si cette IP figure sur une liste noire. Si l’ordinateur distant veut se connecter à notre ordinateur (autorisation), il sera accepté et pourra envoyer du courrier. En revanche, s’il figure sur la liste noire et qu’il veut faire suivre un message à un compte de messagerie sur notre serveur, il sera rejeté.
Les listes RBL incluent très souvent des fournisseurs d’accès à Internet pour les particuliers, ce qui protège les serveurs de la réception de spams provenant d’ordinateurs qui, via des virus, tentent d’envoyer des spams à d’autres utilisateurs d’Internet, souvent à l’insu du propriétaire de l’ordinateur. Le blocage permanent de ces adresses IP aurait pour conséquence de priver la quasi-totalité des utilisateurs polonais de la possibilité d’envoyer du courrier. C’est pourquoi le serveur donne toujours à l’utilisateur la possibilité de se connecter et d’envoyer des messages à partir du serveur en tant qu’utilisateur.

SPF

SPF est une entrée DNS dans l’enregistrement TXT qui transmet des informations sur les ordinateurs autorisés à envoyer du courrier pour un domaine donné, par exemple notre domaine roan24.pl contient l’entrée v=spf1 +a +mx +ip4:178.33.3.224 -all (facile à vérifier avec la commande dig roan24.pl txt sous Linux). Qu’est-ce que cela signifie ? que pour un domaine donné, seul un serveur avec l’ipv4 178.33.3.224 et les serveurs avec les entrées a et mx peuvent envoyer du courrier. Notre serveur accepte le courrier sur l’adresse ipv6 mais n’envoie que sur l’ipv4, car il arrive que l’ipv6 ne soit pas joignable bien qu’il soit dans la zone DNS.
Vous pouvez créer une telle entrée pour n’importe quel domaine et c’est un bon moyen de lutter contre l’usurpation d’identité d’autres serveurs sur le web et de se faire passer pour quelqu’un d’autre, ce qui peut faire augmenter (ou diminuer) votre confiance.

DKIM

Une solution légèrement plus avancée que le spf, qui implique que le serveur d’envoi signe le courriel, puis que n’importe qui puisse télécharger la clé publique et vérifier que la signature est correcte. Le téléchargement de la clé DKIM est terminé… via DNS :-), la clé pour roan24.pl peut être téléchargée via la commande Linux : dig default._domainkey.roan24.pl txt. Notez que notre clé a un sélecteur Par défaut, d’autres services peuvent avoir des sélecteurs différents, ce sélecteur est donné avec la signature, ce qui fait que si nous avons quelques serveurs, nous pouvons donner à chacun un sélecteur différent et ainsi ne pas affecter la qualité du service et savoir immédiatement de quel serveur provient le message. Plus largement sur DKIM et les problèmes qui lui sont associés.

GrayList

En d’autres termes, la liste grise – utilisée par de nombreux fournisseurs de courrier électronique – fonctionne en bloquant le courrier provenant d’un destinataire inconnu avec un message d’erreur numéro 4xx par exemple : „451 4.7.1 Greylisting en action, veuillez revenir plus tard”. Bien sûr, le blocage avec le numéro d’erreur 4xx n’est que temporaire, il signifie que notre message n’a pas pu être livré maintenant et qu’il faut réessayer dans quelque temps. Par conséquent, un serveur bien configuré se reconnectera dans 10 minutes, par exemple, et le serveur du destinataire acceptera également le message parce qu’il se souvient que quelqu’un a déjà prévu d’envoyer un tel message. Ce qui ne veut pas dire qu’une vérification ultérieure du spam ne le rejettera pas.
Pourquoi ? Cela est dû au fait que souvent les spammeurs, une fois qu’ils disposent d’un ordinateur à partir duquel ils envoient du spam, misent sur la quantité, c’est-à-dire qu’ils essaient souvent d’envoyer un message à un destinataire une seule fois, si cela échoue, il ne va guère plus loin avant que l’ordinateur ne soit bloqué par le RBL. Par conséquent, le délai de 10 minutes, par exemple, avant qu’une adresse ne sorte de la liste grise peut être suffisant pour que certaines listes RBL soient mises à jour avec l’adresse IP du spammeur et bloquées sans surcharger le serveur.
L’inconvénient de cette solution est que pour qu’un message parvienne à son destinataire, il doit s’écouler au moins le temps de la liste grise, qui est généralement de 5 à 10 minutes, mais il ne faut pas oublier que le serveur de l’expéditeur peut être configuré pour effectuer la première tentative au bout de 30 minutes, par exemple, ce qui augmente considérablement le temps de livraison du message. Nous n’utilisons pas personnellement cette solution, les grands services l’utiliseront souvent en conjonction avec une liste de contacts d’utilisateurs conservée localement.

Contenu – Annexes

Souvent, les serveurs bloquent les pièces jointes trop volumineuses ou inadaptées, par exemple celles qui contiennent un virus. Un autre facteur déterminant est le masquage des extensions. Sur les systèmes Windows, l’extension n’est pas affichée par défaut, ce qui fait que le fichier zdjęcie.jpg.exe s’affiche sous le nom de photo.jpg, où lorsqu’on clique dessus, la photo n’est pas activée, mais le virus démarre. Le serveur bloque donc les doubles extensions, notamment pdf, xml, exe, bat et com. Notez que toutes les doubles extensions ne sont pas mauvaises, comme tar.gz où nous avons affaire à une archive de fichiers (.tar), emballée en plus avec gunzip (.gz).
En outre, le système peut bloquer tous les fichiers de certains types, par exemple les fichiers exécutables exe, com, bat, etc. Par conséquent, avant d’envoyer un tel fichier, il faut le zipper. Un tel fichier sera toujours décompressé par le serveur et analysé pour détecter les virus, mais on suppose que si un utilisateur doit faire plus de 2 clics pour installer un virus, il devrait être sûr. Même les meilleures mesures de sécurité ne fonctionneront pas si l’utilisateur ne réagit pas à temps.

Contenu – contenu

C’est-à-dire si le contenu contient beaucoup de liens, qui contiennent souvent une url cachée (une adresse est visible, une autre est cachée). Il contient de nombreux caractères spéciaux, ou un code java script suspect, censé lancer un logiciel malveillant après l’ouverture du message. Ces messages seront alors rejetés sans même aller dans le dossier des spams, mais l’expéditeur, même s’il s’agit d’un spammer, sera informé de ce fait, dans le cas où il s’agit d’un message normal et que l’expéditeur n’est pas au courant du virus, et en arrière-plan du message, le code du virus sera joint au message.

Résumé

Notre serveur reçoit en moyenne un message par seconde, dont 80 % sont des spams, qui sont immédiatement éliminés sans atteindre les comptes de messagerie de nos clients. Les 20 % restants vont dans le dossier des spams car ils ne sont pas dangereux mais peuvent contenir des messages souhaités par le client. Les messages dangereux sont rejetés sans que le destinataire en soit informé ; la seule information concernant le rejet est envoyée à l’expéditeur.