Outils anti-spam de MDaemon Cinquante à soixante pour cent du trafic sur Internet correspond à du spam, autrement dit à du courrier commercial non sollicité. Un véritable fléau : gaspillage de la bande passante, perte des courriers légitimes, etc. Cependant, comme suffisamment de destinataires répondent à ces offres non sollicitées, le spam reste une activité rentable. Pour la plupart des entreprises, il coûte des milliards en termes de consommation de bande passante, de perte de puissance processeur et d’espace disque. S’il n’est pas contrôlé, il fait perdre beaucoup de temps aux utilisateurs qui doivent trier leurs messages pour retrouver leur courrier légitime. MDaemon propose divers outils pour lutter le spam. Si une méthode n’est pas suffisante à elle seule, l’utilisation conjointe de ces outils se traduit par une réduction importante du nombre de spams.

Réduction du spam sans suppression du courrier légitime Paramètres par défaut intelligents L’esprit humain reste le meilleur filtre anti-spam. En général, il détecte un courrier indésirable dès la lecture du nom de l’expéditeur ou du sujet. Si aucune technologie n’égale ce niveau de précision, il est prouvé que les outils anti-spam de MDaemon s’en rapprochent. Rien qu’avec leurs paramètres par défaut, ils parviennent à détecter 80 à 95 % du spam sans marquer de courriers légitimes par erreur. L’objectif des paramètres par défaut est le suivant : permettre à un utilisateur débutant d’activer l’anti-spam en toute confiance, sans perdre son courrier légitime.

Plusieurs options sont ensuite prévues pour la détection, le marquage, la mise en quarantaine et l’élimination des courriers indésirables. Comment les spammeurs gagnent leur vie Le spam existe parce qu’en moyenne une personne sur un million répond à ce type de messages. Même si le taux de réponse est peu élevé, les spammeurs peuvent renouveler leurs envois chaque jour, et gagner leur vie grâce aux personnes qui achètent. Cette activité est rentable parce qu’ils ne payent presque rien en termes d’envoi. La dépense revient aux entreprises qui payent leur abonnement à Internet et aux individus qui reçoivent les courriers électroniques.

Mode opératoire des spammeurs Comme tout le monde, les spammeurs envoient leurs messages via des serveurs SMTP. Cependant, ils agissent de manière furtive pour rester opérationnels : ils changent régulièrement de serveur de messagerie, utilisent plusieurs fournisseurs d’accès à Internet, serveurs locaux sur leurs PC ou serveurs en relais ouvert sur Internet, des services de messagerie gratuits ainsi que des PC piratés. Comme ils sont sans cesse en mouvement, il est très difficile de les localiser. Scores des messages et gestion du spam Le système anti-spam de MDaemon attribue un score aux messages entrants. Chaque outil peut ensuite ajouter ou déduire une valeur de ce score. Lorsque le score d’un message atteint un certain seuil, le filtre anti-spam le marque comme courrier indésirable. Les messages désignés comme spams sont renvoyés à l’expéditeur, supprimés, envoyés dans un dossier public “spams” ou traités comme des courriers normaux puis distribués au destinataire. Le Filtre de contenu peut agir sur les courriers indésirables en ajoutant, par exemple, un avertissement dans le sujet. Pour les utilisateurs qui se servent du protocole IMAP et de l’interface Webmail, il est possible d’enregistrer les courriers indésirables dans un dossier « spams» propre à chaque compte. Listes noires de DNS L’un des moyens les plus simples de détecter le spam est de comparer l’adresse électronique de l’expéditeur avec une liste noire publique qui recense les spammeurs et les relais ouverts connus (un relais ouvert autorise la transmission d’un e-mail d’un expéditeur à un destinataire sans aucun contrôle de sécurité.) Plusieurs sites Web proposent ce type de listes, connues sous le nom de listes noires. Elles contiennent les adresses IP des serveurs de messagerie fautifs, auxquelles sont comparées les adresses des serveurs des messages entrants. En cas de correspondance, le score du message est augmenté afin de le marquer comme spam. MDaemon peut consulter diverses listes noires. Chacune d’entre elles utilise des critères différents pour l’ajout ou la suppression de serveurs de messagerie. Les listes noires que consulte MDaemon par défaut sont très fiables. Détection des sites Web complices Les spammeurs qui se servent du Web pour vendre leurs produits modifient souvent leur adresse d’expédition, mais ils changent rarement, voire jamais, de site Web. Une nouvelle technologie anti-spam s’appuie sur cette constatation pour détecter les courriers indésirables.

Intégrée dans MDaemon, SURBL (ou Spam URI Realtime Blocklists) recherche les URI contenues dans les messages entrants. Elle les compare ensuite à une liste d’adresses Internet, pour la plupart des sites Web, reconnues pour avoir diffusé du spam. Si une adresse correspond, le message est marqué comme spam potentiel. Les utilisateurs de SURBL ont observé une baisse du spam atteignant les 60 % simplement avec cet outil. Détection des fausses identités L’usurpation consiste à utiliser une adresse électronique ou un nom de domaine sans autorisation. Elle permet à des expéditeurs de masquer leur véritable identité. Lorsqu’ils envoient leurs messages, les spammeurs cachent leur identité en utilisant le nom et l’adresse de retour d’autres personnes. Cette astuce permet de piéger les destinataires en les faisant ouvrir et répondre aux emails. Le « Phishing » est l’un des dangers de l’usurpation : des messages prétendant venir sources sûres telles que des services de paiement en ligne, des banques, des fournisseurs d’accès, des organismes officiels ou des départements informatiques d’entreprises sont envoyés à des personnes pour leur demander de mettre à jour ou de confirmer des données personnelles par e-mail, ou via des sites à première vue officiels. Pour démasquer ces adresses usurpées, MDaemon utilise Sender Policy Framework (SPF). SPF est un outil de sécurité qui valide l’adresse des expéditeurs. Si une adresse semble suspecte, elle est marquée comme spam potentiel. La technologie SPF réduit l’usurpation de manière notable. Elle est aujourd’hui employée par des milliers de prestataires Internet parmi lesquels Amazon, AOL, Earthlink, eBay, Google, Hotmail, Microsoft et Symantec. Analyse du contenu des messages MDaemon se base sur la technologie heuristique de SpamAssassin pour isoler les courriers indésirables. Plusieurs règles de correspondance issues des résultats de l’analyse de millions de spams sont exécutées. Elles s’appliquent à diverses parties d’un e-mail : adresse du serveur, de l’expéditeur, sujet, corps du message, etc. Par exemple, un message qui comporte du texte HTML en rouge risque fortement d’être considéré comme du spam. Dès qu’un message répond à l’une des règles, il reçoit un score indiquant qu’il s’agit probablement d’un courrier indésirable. Lorsque le score atteint un certain seuil, MDaemon marque le courrier comme spam. Les règles heuristiques sont mises à jour conformément aux données de SpamAssassin.

Durant ces dernières années, la technologie heuristique a prouvé qu’elle était un système fiable, qui ne commettait aucune erreur de marquage.

timbres indiquent le temps processeur supplémentaire nécessaire pour la création du timbre et l’envoi du message. HashCash gêne l’activité des spammeurs car c’est une technologie qui ralentit l’envoi des messages.

Définition personnelle du spam

Utilisée à grande échelle, la technologie Hashcash donne du crédit aux courriers légitimes. Plus la valeur du timbre Hashcash est élevée, plus l’effort fait pour envoyer le message est important, ce qui donne à croire qu’il ne s’agit pas d’un courrier indésirable.

Pour une détection optimale du spam, la différence entre courrier indésirable et courrier légitime doit être opérée individuellement, sur chaque serveur de messagerie. MDaemon propose ce service par l’intermédiaire d’une classification bayésienne. Il est important de définir le spam puisqu’un courrier indésirable pour une entreprise peut être un courrier légitime pour une autre. La classification bayésienne analyse des échantillons de chaque type de message. Ces échantillons sont fournis par des administrateurs et des utilisateurs autorisés (il s’agit de cas concrets). L’outil bayésien analyse le contenu des messages, compare leurs données à celles des nouveaux messages entrants. En ajoutant des exemples chaque jour, la classification bayésienne devient de plus en plus précise. Au bout de plusieurs centaines d’exemples, le système devient fiable à 90 %, sans erreur de marquage. Toujours dans le processus bayésien, MDaemon configure deux dossiers distincts pour y enregistrer courriers indésirables et légitimes. Les utilisateurs autorisés ajoutent des échantillons par un simple cliquerdéposer des messages dans les dossiers requis. Ces échantillons peuvent également être envoyés par e-mail au gestionnaire de la classification. Enfin, des processus entièrement automatisés sont prévus pour l’ajout des courriers légitimes. Timbres HashCash Comme ils obtiennent un faible taux de réponse, les spammeurs doivent envoyer leurs messages en grande quantité. Plus l’envoi est rapide, plus leur potentiel de vente est important.

MDaemon est non seulement capable de créer des timbres Hashcash pour l’envoi des messages, mais aussi de lire ceux inclus dans les e-mails entrants. Liste noire locale, listes blanches et exceptions Les fonctionnalités anti-spam de MDaemon incluent une liste noire locale, des listes blanches et la possibilité de configurer des exceptions. Les adresses inscrites sur liste blanche sont exemptées de l’analyse anti-spam. Les entrées de la liste noire désignent les adresses potentiellement sources de spam. L’inscription d’une adresse sur liste noire ne signifie pas que les messages qui proviennent de celle-ci seront bloqués. Cela augmente simplement leur score pour les bloquer ensuite. Seuls les messages avec de faibles scores ne sont pas marqués comme spam. Les listes blanches recensent les adresses qui ne représentent aucun danger. L’inscription sur liste blanche n’exclut pas le traitement anti-spam. Elle ajuste simplement le score des messages de sorte qu’ils soient considérés comme des courriers légitimes. Seuls les messages avec des scores élevés sont marqués comme spam. Comme leur nom l’indique, les exceptions correspondent aux adresses électroniques exemptées de l’analyse anti-spam. En option, les e-mails provenant de destinataires inscrits dans le carnet d’adresses local d’un utilisateur peuvent ne pas être analysés.

La technologie récente dénommée HashCash insère des « timbres virtuels » dans les courriers légitimes. Ces

Les outils anti-spam en quelques points clés Listes noires DNS • • • • • •

Activer le contrôle des listes noires DNS. Marquer les messages issus de sites inscrits sur liste noire mais les accepter. Contrôler les en-têtes “received” des messages collectés en POP ou SMTP. Ignorer les en-têtes “received” des messages provenant de sites inscrits sur liste blanche. Ajouter, modifier et supprimer des serveurs de listes noires DNS. Mettre les résultats des listes noires DNS en cache pendant une durée définie.

•

Ne pas analyser les sites inscrits sur liste blanche.

Sender Policy Framework (SPF) • • • • • • •

Activer les vérifications SPF. Traiter les en-têtes « from ». Insérer l’en-tête « received-spf » dans les messages. Définir les options du résultat “Fail”. Définir les scores issus des diverses vérifications SPF. Exclure les sessions authentifiées des vérifications SPF. Exclure les IP de confiance des vérifications SPF.

•

Mettre les résultats SPF en cache. Rapports

Filtrage de spam • • • • • •

Définir les options de traitement des messages marqués comme spams. Exclure les adresses locales, authentifiées et de confiance. Ignorer les messages de plus de 2 Mo ou d’une certaine taille configurée. Ne pas transférer les messages marqués comme spams. Enregistrer automatiquement les messages dans les dossiers IMAP “spam” des utilisateurs. Ajouter les scores des analyses anti-spam pour les listes noires et blanches.

Analyse heuristique • • • •

Activer l’attribution de scores pour l’analyse heuristique. Définir des seuils pour les scores de l’analyse anti-spam. Définir un seuil à partir duquel rejeter les messages SMTP, afficher les résultats heuristiques dans le journal SMTP. Modifier le sujet d’alerte dans les messages marqués comme spam.

Classification bayésienne • • • • •

Associer l’apprentissage bayésien au système d’attribution de score heuristique. Programmer l’apprentissage bayésien. Exécuter l’apprentissage bayésien sur-le-champ. Créer des dossiers pour y enregistrer des échantillons de courriers légitimes et indésirables. Créer des rapports pour les messages marqués comme courriers indésirables.

Votre distributeur en France… WATSOFT SARL 4 allée du Doyen Georges Brus Parc scientifique Unitec 33600 Pessac

Tél.: 05 56 15 75 70 Fax : 05 56 15 75 71 http://www.watsoft.com

• • • •

Créer des rapports pour les messages marqués comme courriers indésirables. Insérer des rapports dans les en-têtes des messages d’origine. Créer un e-mail, et y joindre le message d’origine au format MIME rfc822 Créer un e-mail et y joindre le message d’origine au format text/plain.

HashCash • • • • •

Créer et insérer des timbres Hashcash dans le courrier sortant. Limiter le timbrage Hashcash aux sessions SMTP authentifiées. Ajouter, modifier ou supprimer des adresses de la liste de création. Définir la taille minimale des timbres. Vérifier les timbres Hashcash dans le courrier entrant.

Liste noire, listes blanches, exceptions • • • • •

Ajouter, modifier ou supprimer les adresses de la liste noire, liste blanche (Dest.) et liste blanche (Exp.) Activer l’inscription du carnet d’adresses sur liste blanche. Activer la mise à jour automatique des adresses. Ajouter les messages de liste blanche dans le dossier d’échantillons de messages légitimes du système bayésien. Activer l’adresse de transfert sur liste blanche.