Il y a quelques années, le spam pouvait sembler inoffensif. En effet, la plupart des spammers utilisaient ce moyen afin de promouvoir des produits en tous genres (produits pharmaceutiques, faux diplômes, logiciels piratés, matériel pornographique, etc.). Or, avec le volume sans cesse augmentant de spam transitant dans l’Internet (plus de 75 % des messages), et avec l’arrivée de types de pourriels plus pervers tels le hameçonnage, où la sécurité financière d’un individu est mise en péril, il est devenu très important de se prémunir contre cette nuisance.
A priori, les spammers peuvent sembler assez simplistes pour passer leur temps à envoyer des millions de courriels chaque jour, jour après jour. Il n’en est rien. L’industrie du spam est très florissante, et il est très facile de se faire beaucoup d’argent en peu de temps. Également, les spammers et les éditeurs de solutions antispam sont sans cesse dans une course afin de déjouer les techniques de l’autre partie, d’où l’importance de garder son système de protection à jour : plus le système est à jour, mieux il est protégé, et le nombre de faux-négatifs s’en trouve diminué.
Les solutions antispam, bien que souvent différentes quant à leur utilisation, leur implantation, leur coût, utilisent sensiblement les mêmes outils afin de filtrer les pourriels et éliminer les pourriels. Souvent, le filtre de courriel est implanté à même le MTA (Mail Transfer Agent) récepteur du courriel.
Les techniques de filtrage peuvent être soit préventives (marquage du courrier pour indiquer qu’il s’agit de courrier indésirables) soit curatives (blocage, voire renvoi des messages incriminés vers l’expéditeur). À noter que cette dernière comporte des inconvénients puisque le destinataire doit pouvoir être maître des courriers qu’il souhaite recevoir. De plus renvoyer un message ne peut que faire empirer la situation en occupant un peu plus le réseau, avec de fortes probabilités que l’auteur du pourriel ait maquillé sa véritable adresse ou utilisé l’adresse d’un tiers (tout à fait innocent) comme adresse de retour. De plus, cette façon de faire indique au polluposteur que votre adresse est bel et bien active, ce qui augmente les envois bien souvent.
Plusieurs techniques de lutte contre le spam sont possibles et peuvent être cumulées : analyse statistique (méthode bayésienne), filtrage par mots clés ou par auteur, listes blanches (désignation de personnes ou de machines autorisées à publier dans certains lieux), listes noires (désignation de personnes ou de machines auxquelles il est interdit de publier dans certains lieux), interrogation en temps réel de serveurs spécialisés dans la lutte au pollupostage.
Ces techniques de lutte, tout comme les antivirus, doivent s’adapter en permanence car de nouveaux types de pourriels réussissent à contourner ces défenses.
- Filtrage d’enveloppe
- Filtrage de contenu
- Filtrage bayesien
- Filtrage par mots-clés ou adresses
- Filtrage par expressions rationnelles
- Analyse de virus et de pièces jointes
- Analyse des images
- Filtrage de serveur expéditeur
- RBL (Realtime Blackhole List)
- SPF (Sender Policy Framework)
- Intégrité SMTP
- La priorité des enregistrements MX
- Liste grise (greylisting)
- Filtrage par heuristiques
- Test de Turing
- PidKey® La clé d’identification personnelle
Parmi les solutions antispam présentes sur le marché aujourd’hui, certaines se démarquent par des services supplémentaires aux technologies susmentionnées. C’est le cas, par exemple, de la socitété canadienne Borderware. Avec son portail Borderware Security Network, l’éditeur apporte une réelle valeur ajoutée en terme de qualité de service et taux de détection.
Au travers d’un portail Web, BSN détecte les menaces et délivre l’analyse volumétrique et comportementale de tous les protocoles de communication dont HTTP, SMTP, IM, FTP & VoIP. Cette approche, associée à la puissance des produits BorderWare, offre aux organisations un moyen proactif, et temps réel, pour prévenir et stopper les attaques avant même que des brèches soient ouvertes et que les ressources ne soient impactées.
BSN collecte proactivement des données globales de plus de 30000 produits BorderWare déployés dans le Monde, pour identifier le comportement des expéditeurs malicieux et bloquer les menaces émergentes grâces à de multiples vecteurs.
BorderWare Security Network utilise des données temps réel et historisées, collectées depuis le plus grand nombre de Firewalls email, SIP et Web du marché. Cette approche intelligente combinée aux méthodes traditionnelles basées sur la réputation permet de réagir extrêmement rapidement à de nouvelles menaces, profitant ainsi de l’entendue du réseau BorderWare dans le Monde entier et de l’interaction avec les outils de Cisco et F5.
Grossièrement, les emails entrants de votre entreprise seront analysés par l’appliance antispam à la connexion. Une requête UDP très légère (équivalent d’une requête DNS) va être émise en destination du BSN et la réponse va contribuer à l’attribution d’un score au message entrant. Il sera évidemment possible de directement droper les messages en fonction de la réputation du BSN directement à la connexion. Vous en devinerez les gains en performance de traitement et bande passante…
—
Borderware Security Network
Borderware Security Platform
