Qu'est-ce que le "Spam" ? Il s'agit de
l'envoi simultané de copies multiples non sollicitées du même message à des
destinataires différents. La plupart du Spam est à caractère commercial, en
effet le Spam est une forme de publicité bon marché. Le Spam par e-mail cible
des utilisateurs individuels de manière directe. Les Spammers établissent des
listes de destinataires en écumant les messages Usenet, en volant des les
adresses e-mail de listes de diffusion ou encore en cherchant des adresses
e-mail sur la toiles (Ils utilisent pour ce faire ce qu'on appelle un
"harvester", outil qui collectera tout ce qui peut ressembler de près ou de loin
à une adresse e-mail). Certains services gratuits sur le net collectent ces
"précieuses" adresses pour les revendre.
Le Spam est un mal, car il est
assimilé à un vol de ressources: les Spammers envoient leurs e-mails la plupart
du temps via des systèmes intermédiaires innocents pour éviter d'être bloqués
par les dispositifs de filtrage que ces systèmes peuvent déployer pour empêcher
l'invasion des e-mails venant directement des Spammers. En outre le Spam rempli
les disques durs, utilise de la bande passante et ennui le monde, faisant perdre
du temps. Les techniques.
Les Spammers utilisent des techniques de plus
en plus sophistiquées afin de contourner les filtres dressés contre eux. Le
spammer utilisera soit un compte temporaire auprès d'un service de messagerie
électronique gratuit, soit il falsifiera les entêtes SMTP des messages envoyés
afin de cacher l'origine réelle des messages. Il faut aussi savoir que de nos
jours les techniques que les Spammers utilisent sont utilisées aussi par ceux
qui envoient des virus de manière massive via e-mail. Les entêtes SMTP.
From:
C'est la ligne qui indique l'origine du message. Elle
peut-être facilement falsifiée, ce que le spammer fera pour éviter de recevoir
les réponses et plaintes des destinataires soit à l'aide d'une adresse
inexistante, soit avec une adresse valide d'une tierce personne. Reply-To:
Cette ligne indique l'adresse de retour (par défaut l'adresse de retour
est celle indiquée dans l'entête From:), elle peut tout aussi aisément être
falsifiée.
Sender:
Ligne identique au From:.To:
Cette ligne indique habituellement le(s) destinataire(s) du message,
bien que rien n'oblige d'y indiquer le destinataire réel (par l'usage du Carbon
Copy/Blank Carbon Copy), ce qui permet de la falsifier.
Received:
Ces lignes sont les plus importantes. Un message passe d'habitude au
moins du FAI de l’expéditeur au FAI du destinataire. Les serveurs appelés MTA
(Mail Transport Agent) passent le message au MTA suivant jusqu’à ce qu'ils
atteignent le serveur du destinataire. Chaque MTA qui reçoit un message y insère
une ligne Received:, indiquant de qui il a reçu le message et qui il est. Cette
ligne Received: est toujours ajoutée au sommet des entêtes Received:, ainsi la
première ligne Received: que vous voyez correspond à la dernière qui a été
ajoutée (par le FAI du destinataire donc).Un e-mail sera envoyé ainsi d'un MTA
(test.com?) à un autre (mail.wanadoo.fr):
HELO test.com
Mail
From: test
Rcpt To: victim
DATA:
Ceci est un Spam!
QUIT
Le MTA mail.wanadoo.fr va
injecter la ligne suivante:
Received: from test.com []
by mail.wanadoo.fr with SMTP (Exim 1.70)
id 0003_00d7_000f_8943;
Sun, 23 Nov 1940 12:23:00 +0200
test.com sera le nom du système
spécifié à la commande SMTP HELO. Ce nom de système peut être falsifié. Le MTA
va insérer l'adresse IP du serveur qui se connecte. Cette adresse IP ne peut
être falsifiée aisément (il s'agit de TCP/IP, seul le passage par un proxy le
permettrait et ne rajouterait qu'une étape de plus à l'identification). En
comparant cette adresse IP avec le nom du système, on peut savoir si le nom est
correct ou pas. Quoiqu'il en soit on peut se fier à l'adresse IP, pas au nom du
système. Le MTA va aussi insérer le nom de l'application, sa version, le Message
ID qu'il génère pour ce message ainsi que la date et l'heure.
Alors
qu'une ligne Received: ne peut donc être falsifiée, le spammer peut toujours
ajouter ses propres lignes Received: créées de toute pièces, rendant plus
complexe la tâche de l'identification du serveur d'origine du message
. DATA:
Il s'agit du contenu du message.
relays
Un serveur SMTP dit "relay" permet à un tiers d'envoyer ses e-mails
par son intermédiaire. Les spammers sont friands de ce type de serveurs ouverts,
c'est pourquoi une configuration correcte du serveur e-mail est indispensable
afin d'éviter de devenir un relais. Dans ce but la plupart des FAI limitent
l’accès à leur serveur SMTP aux seuls systèmes appartenant à leur domaine. Mais
ce n'est pas toujours suffisant, il est possible de profiter de vulnérabilités
des serveurs comme par exemple de celle de relais UUCP datant des temps anciens
d’Internet où les serveurs de noms de domaines n'existaient pas et où il était
possible de spécifier le chemin que l'e-mail devait parcourir pour atteindre son
serveur de destination en utilisant le caractère '%'. Cette fonctionnalité
peut-être utilisée pour prétendre l'appartenance au domaine du serveur SMTP: il
est alors possible d'envoyer un e-mail à victim en utilisant ce
serveur SMTP mal configuré relay.com et en envoyant l'e-mail à
victim%target.com
Loopback MX records
Pire encore,
certains spammers envoient des e-mails avec dans le From: et/ou le Reply-To: un
nom de domaine ayant un MX record du style localhost, 127.0.0.1 ou encore
0.0.0.0. Ceci a le fâcheux effet de créer des boucles infinies sur le serveur de
messagerie essayant en vain d'envoyer des notifications de type Non-Delivery à
lui-même par exemple. L'utilisation de Long IP
Certains spammers
utilisent des URLs codées en adresses Long IP (ou toute autre forme similaire de
codage accepté par les clients HTTP), ce qui rend la tâche plus ardue dans la
constitution de filtres. Vous pouvez jeter un coup d’œil au Long IP converter à
l'adresse suivante: http://www.elfqrin.com/LongIP.html.Comment combattre le Spam
Les outils de filtrage
Certaines applications existent et
permettent de créer des filtres basés sur l'analyse des entêtes HTTP et de leur
validité (exemples: vérification de la date insérée par les MTA, vérification de
la route utilisée (un message devant aller de France en France a peu de chance
de passer par un serveur à Hong Kong, l'absence d'entête est suspecte, ...). Les
filtres basés sur le contenu filtrent souvent les URLs s'il en contient,
puisqu'elles sont généralement là où le spammer veut que vous alliez. Listes
noires d'relays
Certains serveurs de messagerie permettent
d'utiliser ces listes noires et bloqueront la réception d'e-mails dont le nom de
domaine ou l'adresse IP est listé. Il est possible de demander le test d'un
serveur suspecté d'êtrerelay à http://www.ordb.org par exemple.
Utilisation d'un serveur DNS interne
Un serveur DNS interne peut être
utilisé pour contrer l'effet néfaste des domaines ayant un MX record de type
loopback, il suffit d'ajouter ce nom de domaine et de lui donner un MX record
valide. Configurer correctement son serveur de messagerie
Le serveur de
messagerie doit être configuré non seulement pour éviter de devenir un
relay, mais il peut aussi être configuré de manière à implanter des filtres.
Lisez la documentation de votre serveur de messagerie, habituellement un
chapitre y est consacrer. Introduire une plainte aux autorités
Même si
on peut parfois avoir l'impression que ça n'y changera rien, une plainte devrait
toujours être introduite. Les lois changent dans tous les pays, surtout en
Europe, le spam est de plus en plus mal vu par les autorités. Jetez un coup
d’œil à l'adresse: http://www.abuse.net et http://www.cauce.org.
Certains ont même eu l'idée de facturer tout Spam reçu pour utilisation
de leur bande passante par les message non sollicité, je reste sceptique quant
au résultat...
Votre adresse e-mail publiée sur le net
Eviter d'une manière générale de laisser votre adresse e-mail en proie
aux "harvesters", préférez l'utilisation d'une notation du style blahblah.com ou
blah at blah.com à blah, ou encore changez la en blah
Home
