Filtre antispam anti-spam
Comment reconnaître un spam ?
Grâce à l'adresse de l'expéditeur
A la réception d’un email, tout utilisateur doit, avant de l'ouvrir, faire attention à son origine. Ainsi, une adresse email inconnue ou en anglais ou dans une langue étrangère ou très longue ou en majuscules ou contenant un grand nombre de caractères spéciaux, doit vous alerter immédiatement !
Grâce à l'objet du message
L’internaute doit toujours lire attentivement les titres des emails qu’il réceptionne.
Les titres contenant soit des intitulés publicitaires ou promotionnels, soit des jeux concours ou des lots incroyables à gagner ou des loteries, soit des promesses impossibles, soit des titres cherchant clairement à susciter une émotion pour une cause humanitaire ou autre, soit des termes en anglais ou dans une langue étrangère, soit des mots en majuscules, soit une succession de points d'exclamation, de guillemets, de symboles d'argent, des symboles entre chaque lettres d'un même mot (-, *, .), soit un signe de messages transmis : « Trans : » qui peut signifier qu'un de vos contacts (adresse connue) vous aurait fait suivre un spam., soit un signe de messages réponses : « Re : »., soit, enfin, certains spammeurs n’hésitent pas à faire croire qu'ils vous répondent car cela peut susciter votre curiosité et vous inciter à ouvrir leurs messages, doivent éveiller la prudence de l’internaute.
Grâce au contenu du message
Dans le cas où l’utilisateur ouvre un email suspect, il y a de forte chance pour celui-ci s’avère être un spam si il repère dans son contenu les éléments suivants :
- Un message publicitaire ou promotionnel
- Des jeux concours, des lots incroyables à gagner, des loteries
- Des promesses impossibles
- Des messages cherchant clairement à susciter une émotion : pour une cause humanitaire, une enfant malade, ... ou vous demandant de les faire suivre à plusieurs personnes voire à tout votre carnet d'adresses (on appelle ces spams des chaînes de lettres)
- Des messages vous demandant d'appeler un numéro de téléphone (en général surtaxé) ou de visiter tel site (en général payant)
- Des messages vous demandant de verser de l'argent, ou de le faire suivre sous prétexte que chaque e-mail transmis rapporte tant à une bonne cause
- Des messages en anglais ou dans une langue étrangère
- Des mots en majuscules
- De multiples points d'exclamation, de guillemets, de symboles d'argent, des symboles entre chaque lettres d'un même mot (-, *, .)
- Des messages courts ne contenant qu'une adresse url
- Des messages proposant de manière très visible un lien de désinscription (alors que vous ne vous êtes jamais inscrits...)
Grâce à la langue employée dans le message
Effectivement, la CNIL a constaté que 8 % des spams seulement proviennent de sources françaises. Ainsi, les messages en langue anglaise ou en tout autre langue étrangère doivent éveiller la méfiance de l’internaute.
Grâce à l’effet de répétition des messages
Les spams sont envoyés en masse et de manière très récurrente. Et, il est fréquent que l’on reçoive plusieurs fois le même message en peu de jours ou le même jour.
anti-malware malware scams spamming scams solution antispam comparatif spamming e-mail anti-phishing comparatif anti-virus courrier electronique filtre antispam bombing pourriel spams mails spammeur logiciel anti-spam courrier electronique e-mail logiciel antispam virus phishing filtre smtp solution antispam messagerie scam logiciel anti-spam phishing ASP email
Les thèmes fréquents des spams
On peut classer les spams suivant plusieurs thématiques, en voici des exemples :
Genre |
Contenu |
Types |
ADULTE |
Produits ou services destinés à des personnes ayant plus de 18 ans. |
Erotisme, Pornographie, Annonces Personnelles, Conseils matrimoniaux, ... |
FINANCIER |
Références ou offres liées à l'argent, au marché boursier ou à d'autres opportunités financières. |
Investissements, Crédits, Prêts Immobiliers, ... |
PRODUITS DIVERS |
Offres publicitaires pour des produits ou services |
Produits et services divers hors des autres catégories |
MULTIMEDIA |
Offres publicitaires pour des produits et services multimédia, des logiciels |
Logiciels de création de sites, antivirus, antispam, ... |
SPIRITUEL |
Informations se rapportant à l'évangélisation religieux ou spirituel |
Astrologie, Groupes de pensée, Religion, Psychologie, ... |
ESCROQUERIE |
Messages frauduleux avec intention de nuire, d'escroquer ou de désinformer |
Chaine de lettres, Pyramide d'arrangements, Investissements étrangers, ... |
CONCOURS |
Promesses de prix, récompenses, voyages, gains d'argent facile,... |
Offres de vacances, Casinos en ligne, Jeux, Tirages au sort, ... |
SANTE |
Offres publicitaires pour des produits ou services en rapport avec la santé |
Produits miracles, Médicaments interdits en France, Médecines douces,... |
virus antivirus logiciel antispam anti-spam virus messagerie malware ASP anti-spam spamming anti-spam anti-pourriel spammeur e-mail ASP messagerie spamming bombing smtp logiciel anti-spam anti-pourriel email anti-virus ASP malware anti-spam e-mail scam anti-malware anti-phishing anti-spam antispam phishing filtre antispam
Actions contre le spam
Si vous êtes déjà victime de spamming ou que vous ne pouvez pas limiter la diffusion de votre adresse à quelques personnes de confiance, vous pouvez filtrer le courrier reçu :
- essayez les fonctionnalités anti-spam éventuellement disponibles dans votre logiciel de messagerie ou votre webmail. Plutôt que la suppression immédiate, optez pour le déplacement des messages suspects dans un répertoire poubelle, afin de vérifier au moins dans un premier temps que les messages écartés sont bien tous des spams ;
- filtrez les messages reçus à leur arrivée dans votre logiciel de messagerie. Dans Outlook choisissez "Outils" puis "Assistant Gestion des messages...", dans Outlook Express choisissez "Outils" puis "Règles de messages" puis "Courrier...", dans Mozilla sélectionnez le compte puis cliquez sur "Create message filters" et laissez-vous guider.
- définissez une règle de filtrage pour que les messages comportant l'expression "ADV:", "[ADV]" ou "ADV " dans leur objet soient redirigés vers un répertoire poubelle. Ces expressions sont parfois utilisées par les spammers pour signaler que le message est une publicité (advertisement, en anglais) ;
- définissez une règle de filtrage pour que les messages comportant l'expression "ks_c_5601-1987", "KS_C_5601-1987" ou "euc-kr" dans leur entête soient redirigés vers un répertoire poubelle, si vous n'avez pas de correspondant coréen. Ces expressions correspondent précisément aux jeux de caractères du Coréen, une langue très fréquente dans les spams internationaux ;
- définissez une règle de filtrage pour que les messages contenant l'expression ".com.br", ".com.tw", ".net.tw", ".co.kr", ".co.jp" ou ".com.cn" dans l'adresse d'expéditeur ou dans leur entête soient redirigés vers un répertoire poubelle, si vous n'avez pas de correspondant brésilien, taïwanais, coréen, japonais ou chinois. Ces domaines exotiques sont également assez largement utilisés dans les spams internationaux ;
- installez le plug-in gratuit SpamBayes si vous utilisez le logiciel de messagerie Microsoft Outllook 2000/XP pour Windows, mais aussi pour les plateformes Linux et Mac OS. Avec Outlook Express 5/6 et également Outllook 2000/XP vous pouvez utiliser SpamPal ;
- ne donnez jamais donner suite aux spams reçus, sauf à les dénoncer à l'adresse abuse@ du propriétaire du serveur utilisé pour les envoyer.
Il existe par ailleurs une technique qui permet de mettre fin définitivement à la perte de temps engendrée par le spamming, au prix d'une petite implication de vos interlocuteurs. Elle est basée sur le fait que le spammer ne peut pas connaître votre nom ou votre pseudo autrement qu'en analysant votre adresse email. Si vous demandez à vos correspondants de vous insérer dans leur carnet d'adresses avec un nom de contact plus ou moins différent du login de votre adresse ("Jerome Dupond" ou "Super Dupond" si votre email est j.dupond@votredomaine.com, "-Voiture-" si votre email est voiture@votredomaine.com) vous êtes en mesure de filtrer les messages entrant pour ne retenir que ceux qui vous ont réellement été envoyés par vos correspondants, ainsi le cas échéant que via le formulaire de votre site web : il suffit de définir une règle qui envoie dans un répertoire poubelle tous les messages sauf ceux qui comportent le nom de contact (ici "Jérome Dupond", "Super Dupond" ou "-Voiture-") dans leur entête ou dans les champs A/Cc. Si vous êtes en copie cachée, le message ne peut cependant pas être distingué d'un spam, à moins que vous ne prévoyiez des exceptions pour certains correspondants choisis.
En combinant une divulgation prudente de son adresse email, la gestion de plusieurs comptes d'email et le filtrage des messages entrant, il est ainsi possible d'atténuer voire de complètement éliminer la nuisance que représente le spamming, tout en préservant sa vie privée
mails comparatif virus antispam antivirus comparaison bombing anti-virus antispam pourriel antivirus malware anti-pourriel anti-scam spamming solution antispam anti-spam mail anti-malware email mails solution antispam malware comparaison e-mail spams spammeur spam malware anti-spams anti-scam logiciel anti-spam anti-virus ASP
Qualité du logiciel antispam
Les critères de mesure de qualité des logiciels antispam sont : les taux de faux positifs et de faux négatifs. Le taux de faux positifs est le pourcentage de courriers électroniques légitimes identifiés à tort comme spams par la solution antispam mise en place. Le taux de faux négatifs est le pourcentage de spams interprétés par l'antispam comme étant des courriers électroniques légitimes.
Plus ces taux sont bas, plus la solution est performante. Un logiciel antispam efficace sera un système garantissant un faible taux de faux positifs et de faux négatifs. Malheureusement ces deux taux varient toujours de façon inversée. Il est relativement simple de développer une solution supprimant quasiment tous les spams, cependant des emails légitimes seront inévitablement interprétés comme des spams. Inversement, en réduisant au maximum le nombre de faux positifs, la quantité de spams détectés se trouvera également réduite !
Les faux positifs restent cependant un élément critique car ils peuvent correspondre à des emails légitimes importants, davantage préjudiciables. Il est donc naturel de privilégier au maximum la réduction du taux de faux positifs tout en essayant de conserver un bon niveau de détection de spams.
Étant donné que tous les logiciels antispam génèrent forcément des faux positifs, il convient également de proposer au client une alternative afin de se retourner en cas de faux positifs. Pour répondre à cette problématique, plusieurs techniques existent. Dans le cas d'une solution implémentée directement sur le poste de l'utilisateur, on trouvera souvent un dossier associé aux spams afin que l'utilisateur puisse lui-même analyser à posteriori le contenu de ce dossier. Dans le cas d'une solution implémentée du côté du serveur de messagerie, l'éditeur proposera soit une mise en quarantaine des spams, soit l'accès à un webmail contenant comme dans le premier cas un dossier spécifique aux spams.
>>> Un logiciel antispam doit réduire au maximum le taux de faux positif.
>>> Un logiciel antispam doit gérer les faux positifs : informer l'expéditeur et/ou le destinataire du message et récupérer le message bloqué.
anti-spam spams mails scams mail e-mail logiciel anti-spam antispam ASP spams scams mail bombing comparatif email mails anti-spams antivirus malware spamming virus ASP logiciel anti-spam spammeur courrier electronique spamming messagerie spammeur bombing smtp spammeur Blacklist logiciel anti-spam spam
Les cibles du spam
Le spam s'attaque à différents médias électroniques : courriers électroniques, forums de discussion de Usenet, moteurs de recherche, wikis, messageries instantanées, etc.
Par courrier électronique
Le pourriel ou le spam par courrier électronique est le type de spam le plus utilisé et le plus connu. Il est très aisé d’envoyer des courriers électroniques à un grand nombre de destinataires et ceci à un coût d’envoi très faible. Le coût de réception et de stockage en boîte aux lettres est supporté par le destinataire, ce qui engendre des coûts non négligeables aux prestataires de services, en raison du volume occupé par le spam.
En comparaison aux emails de promotion commerciale pour lesquels l’utilisateur à la possibilité de donner son accord pour leur réception, le spam lui ne le demande pas, il n’est à aucun moment sollicité par l’utilisateur. Il est rédigé dans le but de déjouer les filtres anti-spam des utilisateurs. L’orthographe des mots reconnus par ces filtres est donc modifier afin de passer outre, par exemple, pour le mot clé Viagra, que l’on trouve dans de nombreux spams, peut être ainsi écrit « v1@gr@ » ou « v|agra » afin de tromper une règle de filtrage basée sur ce mot.
D’autres techniques sont notamment employées par les spammeurs pour masquer leurs activités et ne pas être démasqués, comme la falsification des adresses d'expéditeur ou l’utilisation de serveurs SMTP non sécurisés pour l’envoi d’emails anonymes.
Ce sont des robots d'indexation qui collectent généralement les adresses qui faire l’objets de spams, par ailleurs, il existe un marché pour les listes d'adresses.
Afin d’éviter les spams, les internautes font souvent apparaître leur adresses de manière masquée, lorsqu'il a besoin de la faire apparaître dans un site Web ou dans Usenet. Voici 2 exemples :
Pierre@NOSPAM.exemple.fr
pourPierre@exemple.fr
.Pierre à exemple point fr
pourPierre@exemple.fr
Par message de forum de discussion
Avant même l’apparition des spams par courrier électronique, cette forme de spam est apparue via Usenet. En effet, les forums de discussion de Usenet sont une cible facile pour les spammers car un message qui est envoyé à un forum touche l’ensemble des lecteurs du forum. D’ailleurs, certains groupes de discussion reçoivent quasiment que du spam et c'est pour cela que de nombreux forums sont surveillés soit par un humain, soit par un robot qui effectue un tri parmi les articles proposés. De plus, les adresses électroniques des usenautes figurent souvent dans leurs articles, et les spammeurs ont, ainsi, facilement la possibilité de récolter des milliers d'adresses grâce par exemple à un robot, et peuvent ensuite spammer les auteurs de ces articles par courrier électronique.
La publication croisée ou la publication multiple consistant à destiner un message à plusieurs groupes simultanément ou à envoyer le message dans plusieurs de groupes de suite rendent le phénomène pénible et difficile à combattre. Par conséquent les messages de promotion de tout type sont interdits dans les forums Usenet, sauf news:alt.business.
Pour Usenet, lorsqu’un lorsqu'un article, quel que soit son contenu, et même s'il n'appartient pas aux catégories usuelles de messages abusifs (publicités commerciales, escroqueries, insultes...) est publié en un nombre d'exemplaires excessif, celui est considéré comme un spam.
Les réactions des usenautes spécialisés dans la lutte contre le spam aboutissent bien souvent à des accusations de censure et de cabale.
Le spamdexing
Certains spams sont destinés aux robots d'indexation des moteurs de recherche afin de modifier des pages Web et d’augmenter ainsi les chances d'avoir un bon classement au sein du moteur de recherche.
Nous pouvons citer les techniques utilisées suivantes :
- Manipulation de mots clés en ajoutant une longue liste de mots souvent recherchés (par exemple « sexe » ou « piratage ») répétitivement dans une page (« sexe à UneVille », « sexe à UneAutreVille », « sexe à EncoreUneAutreVille », « sexe à UnVillageTropPetitPourÊtreUneVille », et toute autre variation possible) pour apparaître immédiatement si l’internaute fait une recherche avec ces mots. Parfois une page ne contient que les résultats d'une recherche, mis sur le Web pour être trouvé et classé par les moteurs de recherche et affiché aux usagers qui effectuent des recherches avec ces mêmes mots.
- Bourrage de mots clés populaires, soit en les imprimant blanc sur fond blanc, ou en utilisant la police de caractères la plus petite, ou encore en les utilisant en lignes « commentaire » et « méta » qui ne sont pas affichées à l'utilisateur, ou en modifiant le contenu de la page après que le logiciel « robot » ou « araignée » l'ait lu ou en changeant le serveur pour envoyer une page au moteur de recherche et une autre aux utilisateurs ordinaires.
- Spam de liens qui consiste à créer des liens vers un site que l’on souhaite promouvoir dans autant d'autres sites externes que possible, forums publics et pages de commentaires d'autres sites étant inclus.
- Une ferme de liens (link farm) se définit comme étant un site qui héberge des listes de liens vers les autres sites qui sont ici contrôlé afin d’améliorer leur classement en les faisant apparaître populaires. Google comptabilise la quantité ainsi que l'importance des liens vers un site dans le but d’évaluer l'importance du site. Dans certains cas, des sites multiples (simulant des sites indépendants et pas simplement des sous domaines du même site) avec presque le même contenu sont construits. Et, chacun contient un certain nombre de liens vers tous les autres afin d’accroître leur classement de façon significative.
- La technique du Googlebombing consiste à placer au départ des hyperliens vers George W. Bush avec des phrases comme « l'idiot du monde » dans le plus grand nombre de site Web possible. Le destinataire de cet hyperlien est en général un site externe. Si ce type de lien est présent dans un nombre suffisant de pages Web, une recherche pour « l'idiot du monde » va immédiatement orienter l’utilisateur sur Bush, peu importe s'il le souhaite et peu importe si ces mots sont mentionnés sur son site.
- Le Spam des affiliés (affiliate spam), ici, soit c’est une compagnie qui paye pour chaque visiteur, soit chaque client est envoyé par des liens affichés par d’autres, du genre «affiliez-vous et devenez riche, mettez un lien vers www.arnaqeur.porno.example.com et pour chaque victime qui nous donne tous ses numéros de carte de crédit nous vous donnons un sou ». Ce type de liens provenant de ces programmes d'affiliation contient le code d'identification d'un affilié de façon www.arnaquer.porno.example.com/donnemoiargent?MonsieurLeSpammeur pour laisser savoir qui doit être payé pour avoir posté tous ces liens partout.
Les opérateurs de sites de recherche se battent pour détecter efficacement et définitivement ces types d’abus et pour rendre leur utilisation difficile.
anti-malware anti-phishing comparaison filtre antispam anti-virus Blacklist filtre messagerie scam anti-spam logiciel antispam ASP antivirus antispam courrier electronique logiciel antispam courrier electronique virus anti-scam malware anti-pourriel spamming anti-virus ASP spam solution antispam scams logiciel anti-spam mails anti-phishing anti-scam mail bombing Blacklist
Technologies du logiciel antispam
Il existe un très grand nombre de techniques antispams, dont certaines sont très récentes, comme le Greylisting et le Teergrubing. Voici une liste, la plus exhaustive possible, des techniques utilisées pour lutter contre les spams :
- Analyse lexicale (mots clefs et expressions) : L'analyse lexicale constitue un ensemble de règles représentées sous forme d'expressions régulières ou mots clefs. Elle permet de rechercher les mails dont les entêtes et/ou les corps des messages correspondent à des caractéristiques très particulières connues pour avoir une forte probabilité d'être un spam. Ces règles doivent être customisées afin d'identifier aussi bien les spams français qu'américains ou autres.
- Listes noires : Les RBL (Realtime Blackhole List) ou DNSBL (Back List DNS) sont des listes de serveurs ou de réseaux connus pour aider, accueillir, produire ou retransmettre des spams ou fournir un service pouvant être utilisé comme support pour l'expédition de spams : OpenSMTP Relay, Open Proxy List (OPL). Certaines de ces listes sont gratuites d'accès, d'autres nécessitent de souscrire à un abonnement payant.
- Conformité du protocole : Vérifie la conformité du protocole d'échange des emails avec les RFC 821 (SMTP) et RFC 1651 (ESMTP).
- Bases collaboratives de spams : Ces bases de signatures de spams sont utilisées de la même manière que les bases de signatures de virus. Elles sont alimentées par les utilisateurs de solutions antispams. Les bases les plus couramment utilisées sont : Razor, Distributed Checksum Clearinghouses (DCC) et Pyzor.
- Enregistrement DNS : Vérifie la corrélation entre l'adresse IP du serveur source et son nom via une requête DNS inverse (in-addr.arpa). Généralement, les véritables serveurs de messagerie possèdent une adresse IP fixe et bijective avec un nom de domaine associé. Malheureusement une grande quantité de serveurs ne possède pas d'enregistrement PTR dans les zones d'adresses pour lesquelles leurs fournisseurs sont autoritaires.
- Filtres bayésiens : Méthode probabiliste de filtrage des courriers électroniques fonctionnant par apprentissage et se basant sur la distribution statistique de mots clefs dans les mails. Ce type d'algorithme s'auto-adapte en s'appuyant sur l'analyse des emails connus comme étant ou n'étant pas des spams.
- Liste blanche : Liste de sites, hôtes, domaines ou adresses sûres. Par défaut très peu d'hôtes sont considérés comme sûrs car leurs adresses pourraient être usurpées par les spammeurs.
- Pondération par l’historique des transactions : il s'agit d'un système d'auto apprentissage des transactions effectuées entre un expéditeur et un destinataire. Cette technique permet généralement d'accélérer le temps de traitement des émetteurs déjà testés et considérés comme sûrs.
- Adresses URL : L'analyse des URL présentes dans le corps du message a pour but d'identifier et de filtrer le mail en fonction de l'action souhaitée (le click de l'utilisateur sur un lien promotionnel). Cette analyse est basée sur la détection de sites suspects et des url suspectes (numériques, mal formatées).
- Teergrubing : Technique permettant, par un maintien de session, de réduire significativement la vitesse de réponse du serveur SMTP sur certaines connexions considérées comme suspectes. Le teergrubing permet de bloquer temporairement les serveurs de spams afin de limiter toute réexpédition ultérieure.
- Greylisting : Le greylisting est une technique antispam récente qui consiste à rejeter temporairement un message, par émission d'un code de refus temporaire au serveur émetteur. Le serveur émetteur réexpédie le mail après quelques minutes, la plupart des serveurs de spams ne prennent pas cette peine !
- Sender Policy Framework (SPF), Caller-ID (Microsoft) ou Sender-ID (convergence de SPF et Caller-ID) sont des techniques ayant pour but d'identifier, pour un domaine donné, les hôtes autorisés à expédier des emails pour ce domaine. Concrètement cela s'effectue par la mise en place d'un identifiant particulier dans un champ TXT du domaine.
Toutes ces techniques comportent leurs avantages et leurs inconvénients, le greylisting par exemple ne génère aucun faux positif, les filtres bayésiens offrent des performances très intéressantes, après un temps d'apprentissage malheureusement important. La solution idéale ne consiste-t-elle pas à tirer partie de toutes ces techniques en les assemblant ? Il est préférable en terme de pertinence de résultat, et de réduction des faux positifs d'utiliser une combinaison de techniques antispam plutôt qu'une seule technique.
>>> Un logiciel antispam pour être efficace doit utiliser une combinaison de techniques antispam.
antispam spammeur antispam antispam antivirus messagerie anti-virus scam scam comparaison bombing anti-scam logiciel antispam filtre anti-spam scams Blacklist bombing scams anti-virus spamming filtre antispam spammeur bombing logiciel anti-spam antispam anti-pourriel virus antispam phishing scam logiciel antispam comparaison anti-malware mails