Mécanisme de fonctionnement de la liste noire

SPAM-00022-altospam

Intérêt, efficacité et types de DSNBL (RBL)

L’une des techniques les plus couramment utilisées (seule ou combinée à d’autres techniques) dans la lutte contre les spams est le filtrage par adresse. Le principe est que les hôtes considérés comme sources de spam sont inscrits sur des bases de données (la liste noire) auxquelles les serveurs de mails accèdent. A charge ensuite pour le serveur de mail de décider de ce qu’il va faire avec le courrier provenant de ces hôtes.

Il est loin le temps où les spammeurs se servaient de leur propre machine pour envoyer leurs emails. Il était alors facile pour le destinataire de mettre en liste noire l’IP de l’expéditeur, voire de demander à son fournisseur d’accès de supprimer son compte. Pour éviter de mettre son propre IP sur liste noire, mais également pour économiser de l’argent (la bande passante et les processeurs coûtent cher), les spammeurs commencèrent à utiliser les open relays, des hôtes qui acceptent d’expédier les mails en provenance de n’importe quel expéditeur. Avec le temps, les open relays étant de moins en moins nombreux, ils se servirent de logiciels malveillants pour prendre le contrôle des ordinateurs de monsieur tout-le-monde et s’en servir comme serveurs d’envoi de mails. Ils ont donc potentiellement la main sur un vaste nombre d’hôtes, et il n’est plus possible de manière pratique pour un simple utilisateur (fût-il une organisation importante) de tenir une liste noire à jour les recensant.

Il existe donc des bases de données centralisées de listes noires qui sont accessibles par une requête DNS, d’où leur appellation de DNSBL (Domain Name System Black Lists). On retrouve quelquefois le terme RBL (Realtime Blackhole List), du nom de la première liste noire publique qui date de 1997, mais ce terme fait l’objet d’une marque déposée et est par conséquent de moins en moins usité. DNS constitue un protocole pratique, rapide et flexible pour autoriser des clients (ici les MTAs) géographiquement distribués, à tester si un hôte en particulier est inscrit dans la liste noire.  Par exemple, la requête pour déterminer si l’hôte 1.2.3.4 est listé est assez simple : le MTA effectue un DNS lookup de l’enregistrement A du nom 4.3.2.1.liste-noire, d’une manière identique aux reverse lookups (in-addr.arpa).

La présence d’un IP dans une liste noire ne signifie théoriquement pas que les emails en provenance de l’hôte sont systématiquement refusés. Il appartient au MTA de décider de la politique à adopter en conséquence : effectuer une ou plusieurs vérifications supplémentaires auprès d’autres sources de listes noires, marquer le courrier de la qualification SPAM et l’envoyer au destinataire, transférer le courrier dans un dossier dédié aux messages indésirables ou le refuser. Dans la pratique toutefois, il est plus simple pour le MTA de le rejeter immédiatement : cela permet d’économiser des ressources précieuses.

Il n’y a pas de liste exhaustive de DNSBL. N’importe qui peut compiler une liste noire, à la condition de contrôler une zone DNS. De nombreuses listes apparaissent (et disparaissent) chaque jour. On peut néanmoins qualifier les DNSBL suivant deux critères. Le premier critère est l’objectif de la liste noire (respect des RFC, open relays, spammeurs vérifiés, propagateurs de virus et d’exploits…) ; et le second critère est la modalité (certains diront l’agressivité) par laquelle un hôte est ajouté à la liste noire : proactif (suite à des tests pour trouver des open relays), passif (ajout uniquement lorsque l’hôte envoie des mails vers des pièges à spams), manuelle (avec vérification de l’hôte avant l’ajout à la liste noire).

Les listes noires sont-elles efficaces dans la lutte contre les spams ? La réponse est indubitablement positive. Face aux ressources de plus en plus importantes mobilisées par les spammeurs (par exemple, les troupeaux de zombies), elles constituent une réponse à la fois économique et simple pour les destinataires. Il ne faut toutefois pas négliger le fait que comme tout système, une liste noire est sujette à des défaillances, et notamment l’ajout d’hôtes légitimes et qui n’émettent pas de spams de manière immédiate au moindre signe suspect, ce que pratiquent certaines listes très agressives. Dans un environnement professionnel, le risque est alors de perdre des courriers importants en provenance d’une machine qui ne respecterait tout simplement pas les RFC par exemple, ou qui a été compromise ponctuellement. Il importe donc de mettre en place une stratégie réfléchie de traitement après le recours à la liste noire, et ne pas rejeter ou supprimer systématiquement et aveuglément tout mail provenant d’un IP inscrit sur une liste noire.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …