Fonctionnement du filtre antispam et antivirus SaaS

L'analyse heuristique constitue un ensemble de règles représentées sous forme d'expressions régulières. Elle permet de rechercher les mails dont les entêtes et/ou les corps correspondent à des caractéristiques très particulières connues pour avoir une forte probabilité d'être un spam. ALTOSPAM utilise une base de règles customisées pour identifier les spams aussi bien américains que français.

Les RBL (Realtime Blackhole List) ou DNSBL (Back List DNS) sont des listes de serveurs ou de réseaux connus pour aider, accueillir, produire ou retransmettre des spams ou fournir un service pouvant être utilisé comme support pour l'expédition de spam : OpenSMTP Relay, Open Proxy List (OPL). ALTOSPAM utilise les principales RBL du marché.

Ces bases de signatures de spams sont utilisées de la même manière que les bases de signatures de virus. Elles sont alimentées par les utilisateurs de solutions antispam.

Vérifie la corrélation entre l'adresse IP du serveur source et son nom via une requête DNS inverse (in-addr.arpa). Généralement, les véritables serveurs de messagerie possèdent une adresse IP fixe et bijective avec son nom de domaine associé. Bien qu'une grande quantité de serveurs ne possèdent pas d'enregistrements PTR dans les zones d'adresses pour lesquelles leurs fournisseurs sont autoritaires, il reste intéressant de connaître l'information pour tempérer le résultat.

Méthode probabiliste de filtrage des courriers électroniques fonctionnant par apprentissage et se basant sur la distribution statistique de mots-clés dans les mails. Ce type d'algorithme s'autoadapte en s'appuyant sur l'analyse des emails connus comme étant ou n'étant pas des spams.

Liste de sites, hôtes, domaines ou adresses sûrs. Par défaut, très peu d'hôtes sont considérés comme sûrs car leurs adresses pourraient être usurpées par les spammeurs. Cependant, un système d'autoapprentissage de liste blanche est utilisé par Altospam afin d'accélérer le temps de traitement des émetteurs déjà testés et considérés comme sûrs. De plus, ALTOSPAM vous permet de configurer votre propre liste blanche.

Les transactions précédemment effectuées entre l'expéditeur et le destinataire d'un message influent sur le résultat de l'analyse. Des individus ayant l'habitude de s'envoyer des emails légitimes, n'ont pas de raison de s'envoyer des spams.

L'analyse des URL présentes dans le corps du message a pour but d'identifier et de filtrer le mail en fonction de l'action souhaitée : le clic de l'utilisateur sur un lien promotionnel. Cette analyse est basée sur la détection de sites suspects et des URL suspectes (numériques, mal formatées).

Les techniques anti-spam dénommées SPF ( Sender Policy Framework) et DKIM (DomainKeys Identified Mail) ont pour but d'authentifier les serveurs de messagerie autorisés à expédier des emails pour un domaine donné. DKIM signe également les emails émis par les serveurs de messagerie. DKIM est normalisé par l'IETF sous la RFC 4871.

Bien que l'adresse email ne soit pas vérifiée, car certaines lettres d'information proviennent de comptes qui n'existent pas, nous procédons à l'analyse du domaine émetteur du mail afin de valider que l'entité émettrice soit bien en mesure de recevoir des emails.

Suite à l'augmentation du nombre de spams-image, nous avons intégré un système d'analyse des images pour accroître l'efficacité du service. ALTOSPAM examine les images et les fichiers PDF contenus dans un email sur différentes bases : nombre, type, taille, format et dimensions, puis compare ces critères avec les caractéristiques des images utilisées par les spammeurs.

Technique permettant, par un maintien de session, de réduire significativement la vitesse de réponse du serveur SMTP, sur certaines connexions considérées comme suspectes. Le teergrubing permet de contraindre le serveur de spams.

Le greylisting est une technique antispam très récente qui consiste à rejeter temporairement un message, par émission d'un code de refus temporaire au serveur émetteur. Le serveur émetteur réexpédie le mail après quelques minutes, la plupart des serveurs de spams ne prennent pas cette peine! (Cf. Notre article sur le Greylisting)

Cette technique, également nommée challenge/réponse, consiste à renvoyer un email de demande d'authentification à l'expéditeur du message (via la reproduction d'un code affiché) afin de s'assurer de son existence physique réelle. Utilisée seule cette technologie comporte de nombreux inconvénients (report du travail de filtrage sur l'expéditeur du message, envoi systématique de messages souvent non sollicités, génération de faux-positifs). Intégrée à d'autres technologies et utilisée à bon escient en fin d'analyse, elle permet au contraire de libérer les faux-positifs non résolus.

Pour plus d'information, notre article Panorama des technologies anti-spams présente dans le détail l'ensemble de ces technologies.

Le service Altospam protège le flux de messagerie électronique entrant. Notre service complémentaire MailOut permet de sécuriser le flux sortant et d'accroitre la délivrabilité de vos emails.