Qu’est-ce qui différencie les spams des emails normaux ?

Toutes les technologies de lutte contre les spams reposent sur un fondement unique : faire la distinction entre spams et vrais courriers. Au-delà des critères que nous, en tant qu’humains, appliquons pour faire la distinction (nous identifions les spams essentiellement par une analyse de leurs contenus), il est intéressant de relever quelques unes de leurs plus importantes caractéristiques.

On traite actuellement les spams à travers deux orientations : une orientation pré-acceptation et une orientation post-acceptation. Dans la première, on cherche à détecter et à bloquer les spams avant la réception des emails, tandis qu’avec la seconde, on les détecte et les supprime après la réception. Parmi les exemples de la première orientation, on retrouve les listes noires et grises, l’authentification du serveur d’envoi, une tarification des mails, voire la mise en place de dispositions législatives. Les méthodes de post-acceptation comprennent les filtres bayésiens, les filtres collaboratifs, la hiérarchisation des mails, les dispositifs de challenge/réponses…

Aucune de ces méthodes n’est efficace à 100%, et il arrive de temps en temps que des emails normaux soient considérés comme des spams (faux positifs), ou à l’inverse, que quelques spams passent à travers les mailles (faux négatifs). Afin de réduire les faux positifs, il importe donc que les outils anti spams sachent davantage distinguer les spams de l’email normal. Dans cet article, nous nous pencherons sur ce qui les distingue au niveau du trafic et au niveau du comportement du spammeur.

La première distinction est la fréquence et le moment d’envoi. Le trafic de courriers électroniques légitimes suit généralement une fréquence hebdomadaire ou journalière bien définie, avec un pic pendant les jours ouvrables et pendant le jour, tandis que les spams sont envoyés à n’importe quelle heure de la journée, en semaine ou en week-end.
Seconde distinction, les arrivées des spams et des courriers classiques relèvent d’un processus de Poisson, mais là où les taux des spams sont quasiment invariables quelle que soit la période analysée, les taux d’arrivée des emails normaux varient d’une période à l’autre.

Troisième différence, on constate que la taille moyenne des courriers légitimes est plus importante que celle des spams. Par ailleurs, la variation des tailles des courriers légitimes est plus élevée que celles des spams. Cela s’explique par le caractère automatisé et non spontané des spams qui ont plus ou moins toujours le même contenu lorsqu’ils relèvent d’un même lot. On voit rarement un spammeur envoyer plusieurs centaines de milliers de messages avec du contenu de taille variable.

Le nombre de destinataires est la quatrième différence significative : comparativement aux emails légitimes qui ont le plus souvent un destinataire unique, les spams sont envoyés plus souvent avec de multiples destinataires (même si dans les deux cas, le destinataire unique est le cas le plus fréquent).

Qu’est-ce qu’on peut conclure de ces caractéristiques ? Qu’un courrier légitime résulte d’une relation bilatérale, le plus souvent à l’initiative d’un être humain, et sert de vecteur à une relation sociale tandis que les spams résultent d’actions unilatérales, réalisées par des méthodes automatisées et dont le seul but est d’arroser le maximum de cibles possibles. Ces distinctions ne feront pas à elles seules la différence dans la lutte contre les spams et la prévention à 100% des faux positifs, mais elles sont prises (ou seront prises) en compte dans les diverses méthodes de lutte anti spams et participeront à mieux distinguer entre les différents types de courriers, sollicités ou non sollicités.