Lutter contre le spam avec le Greylisting

Image-Par-Défaut-Site-Actualités

L'union fait la force, même avec le Greylisting

Les techniques antispam sont nombreuses et l’association de différentes techniques permet d’obtenir des résultats très satisfaisants. L’une d’elles, en vogue ces derniers mois, s’appelle le « gray listing ». Nous allons aborder ce concept dans ce document.

Une solution contre le spam !

Les listes grises, ou greylisting ont été proposées par Evan Harri dans son article « The Next Step in the Spam Control War: Greylisting » [1] (traduit en français par B&A Consultants [2]). Cette technique a été mise au point pour lutter contre les spams, mais fonctionne aussi contre les virus transmis par mail. Le greylisting est une méthode qui doit être implémentée directement sur le serveur de messagerie de votre entreprise. Elle a pour principe de rejeter temporairement tous les mails arrivant sur votre serveur de mails.

Les résultats obtenus aujourd’hui montrent que la mise en place d’une solution de type greylisting permet de réduire considérablement le nombre de spams reçus, tout en évitant tout faux-positif (Cf. statistiques [3]). Le nombre de spams peut ainsi être divisé par 10 et le nombre de virus par 20 !

Fonctionnement technique du Gray Listing

Un triplet identifié par l’adresse IP du serveur émetteur, l’adresse email de l’expéditeur et l’adresse email du destinataire, est associé à chaque mail.

Si le triplet apparaît pour la première fois, le serveur de messagerie renvoie un code 4xx (refus temporaire) au serveur SMTP distant. Si ce serveur est un véritable serveur SMTP, le mail sera réexpédié ultérieurement. Si le triplet réapparaît après un certain temps (paramétrable, prévoir entre 15 minutes et une demi heure) le message est accepté et notre triplet est whitelisté.

Dans le cas où l’email est réexpédié avant ce délai, il est à nouveau temporairement refusé. Après un certain délai (4 ou 5 heures), les triplets greylistés sont supprimés. De plus, une réinitialisation des whitelistes est recommandée périodiquement (entre 1 semaine et 1 mois).

Limites et inconvénients

Malheureusement il existe des imperfections à l’utilisation de cette méthode. L’utilisation du greylisting crée un temps de latence entre l’expédition du message et sa réception par son destinataire lors des premiers échanges ou après les réinitialisations.

En outre, de par son fonctionnement, les messages sont reçus plusieurs fois par votre serveur de messagerie ce qui peut le saturer et encombrer la bande passante. Certains serveurs de spams sont capables de passer outre cette technologie en réémettant périodiquement les spams non délivrés.

L’union fait la force

Pour éviter ce type d’inconvénient, une technique utilisée par le service antispam externalisé Altospam [4] consiste à combiner le greylisting aux solutions de filtrage de spams standards comme l’analyse heuristique, l’utilisation d’RBL ou de bases de spams, l’utilisation de filtres bayésiens ou encore une combinaison de ces différentes techniques.

L’intérêt d’une telle solution est de ne greylister que les messages difficilement identifiables comme des spams ou des hams. Ainsi, les messages licites seront directement reçus par leurs destinataires, les spams identifiés de manière sûre seront refusés ou rejetés et les emails prêtant à confusion devront passer avec succès le test de greylisting.

Références & Liens interne

[1] The Next Step in the Spam Control War: Greylisting – Evan Harri – http://projects.puremagic.com/greylisting/whitepaper.html
[2] Une nouvelle étape dans le contrôle du pourriel : le Greylisting – B&A Consultants
[3] Postgrey – Postfix Greylisting Policy Server – https://postgrey.schweikert.ch/
[4] Altospam : passerelle antispam externalisée – https://www.altospam.com/

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …