Lutter contre le spam avec le Greylisting
Les techniques antispam sont nombreuses et l’association de différentes
techniques permet d’obtenir des résultats très satisfaisants.
L’une d’elles, en vogue ces derniers mois, s’appelle le
« gray listing ». Nous allons aborder ce concept dans ce document.
Une solution contre le spam !
Les listes grises, ou greylisting ont été proposées par Evan Harri dans son article « The Next Step in the Spam Control War: Greylisting » [1] (traduit en français par B&A Consultants [2]). Cette technique a été mise au point pour lutter contre les spams, mais fonctionne aussi contre les virus transmis par mail. Le greylisting est une méthode qui doit être implémentée directement sur le serveur de messagerie de votre entreprise. Elle a pour principe de rejeter temporairement tous les mails arrivant sur votre serveur de mails.
Les résultats obtenus aujourd’hui montrent que la mise en
place d’une solution de type greylisting permet de réduire
considérablement le nombre de spams reçus, tout en évitant
tout faux-positif (Cf. statistiques [3]). Le nombre de spams peut ainsi
être divisé par 10 et le nombre de virus par 20 !
Fonctionnement technique du Gray Listing
Un triplet identifié par l’adresse IP du serveur émetteur, l’adresse email de l’expéditeur et l’adresse email du destinataire, est associé à chaque mail.
Si le triplet apparaît pour la première fois, le serveur de messagerie renvoie un code 4xx (refus temporaire) au serveur SMTP distant. Si ce serveur est un véritable serveur SMTP, le mail sera réexpédié ultérieurement. Si le triplet réapparaît après un certain temps (paramétrable, prévoir entre 15 minutes et une demi heure) le message est accepté et notre triplet est whitelisté.
Dans le cas où l’email est réexpédié
avant ce délai, il est à nouveau temporairement refusé.
Après un certain délai (4 ou 5 heures), les triplets greylistés
sont supprimés. De plus, une réinitialisation des whitelistes
est recommandée périodiquement (entre 1 semaine et 1 mois).
Limites et inconvénients
Malheureusement il existe des imperfections à l’utilisation de cette méthode. L’utilisation du greylisting crée un temps de latence entre l’expédition du message et sa réception par son destinataire lors des premiers échanges ou après les réinitialisations.
En outre, de par son fonctionnement, les messages sont reçus plusieurs
fois par votre serveur de messagerie ce qui peut le saturer et encombrer
la bande passante. Certains serveurs de spams sont capables de passer
outre cette technologie en réémettant périodiquement
les spams non délivrés.
L'union fait la force
Pour éviter ce type d’inconvénient, une technique utilisée par le service antispam externalisé Altospam [4] consiste à combiner le greylisting aux solutions de filtrage de spams standards comme l’analyse heuristique, l’utilisation d’RBL ou de bases de spams, l’utilisation de filtres bayésiens ou encore une combinaison de ces différentes techniques.
L’intérêt d’une telle solution est de ne greylister
que les messages difficilement identifiables comme des spams ou des hams.
Ainsi, les messages licites seront directement reçus par leurs
destinataires, les spams identifiés de manière sûre
seront refusés ou rejetés et les emails prêtant à
confusion devront passer avec succès le test de greylisting.
Références & Liens interne
[1] The Next Step in the Spam Control War: Greylisting - Evan Harri - http://projects.puremagic.com/greylisting/whitepaper.html
[2] Une nouvelle étape dans le contrôle du pourriel : le
Greylisting - B&A Consultants - http://www.ba-cst.com/technique/Greylisting/greylisting.html
[3] Postgrey - Postfix Greylisting Policy Server - http://isg.ee.ethz.ch/tools/postgrey/
[4] Altospam : passerelle antispam externalisée – http://www.altospam.com/
Article paru sur Vunerabilite.com
Copyright © 2002-2008 OKTEY - Tous droits réservés - Accessibilité - Mentions légales - Plan du site