Différences entre versions de « SPAM »
imported>SylvainBeucler m (jet en cours) |
imported>SylvainBeucler m (SPF) |
||
Ligne 6 : | Ligne 6 : | ||
Depuis plusieurs années, à mesure que ce phénomène gagne en puissance, diverses solutions ont été mises en oeuvre. Pour résumé aucune ne fonctionne vraiment bien, et aucune n'est réellement sans douleur. | Depuis plusieurs années, à mesure que ce phénomène gagne en puissance, diverses solutions ont été mises en oeuvre. Pour résumé aucune ne fonctionne vraiment bien, et aucune n'est réellement sans douleur. | ||
+ | |||
+ | On cherchera, au passage, des solutions qui permettront de filtrer à cause quasi-sûr un spam, de manière à réaliser ce filtrage en amont, épargnant cette peine à l'utilisateur de notre service de courriel, et d'autre part afin d'éviter de devoir vérifier ce filtrage manuellement, au cas où le filtre aurait filtré un bon message ("false-positive"). | ||
==Les bases== | ==Les bases== | ||
Ligne 11 : | Ligne 13 : | ||
La [http://www.hashcash.org/faq/index.fr.php FAQ] de Hashcash est bien faite et aborde les points du point de vue d'un utilisateur soucieux de sa boîte aux lettres mais aussi de ses libertés. | La [http://www.hashcash.org/faq/index.fr.php FAQ] de Hashcash est bien faite et aborde les points du point de vue d'un utilisateur soucieux de sa boîte aux lettres mais aussi de ses libertés. | ||
− | == | + | ==Listes noires== |
− | |||
− | |||
La solution qui vient rapidement à l'esprit est de mettre des IPs sur liste noire. Le principal défaut de cette solution, outre le fait qu'une adresse IP peut être falsifiée ("man in the middle"), est d'estimer que toutes les IPs sont fixes. Je ne serais pas surpris si la majorité des IPs étaient plutôt dynamiques. Utiliser une adresse IP comme vecteur d'authentication est une erreur qu'on ne fait logiquement plus depuis les klines IRC. | La solution qui vient rapidement à l'esprit est de mettre des IPs sur liste noire. Le principal défaut de cette solution, outre le fait qu'une adresse IP peut être falsifiée ("man in the middle"), est d'estimer que toutes les IPs sont fixes. Je ne serais pas surpris si la majorité des IPs étaient plutôt dynamiques. Utiliser une adresse IP comme vecteur d'authentication est une erreur qu'on ne fait logiquement plus depuis les klines IRC. | ||
Ligne 22 : | Ligne 22 : | ||
- le listage d'adresses IP est souvent erroné et long à rectifier | - le listage d'adresses IP est souvent erroné et long à rectifier | ||
+ | |||
+ | ==Authentification== | ||
+ | |||
+ | SMTP est un protocole sans authentification - une approche est donc de corriger ce "défaut". Le courriel peut donc être identifié à l'aide des solutions suivantes, mais l'identification d'une base d'utilisateur de potentiellement 8 milliards d'individus * une infinité de boîtes aux lettres par personnes ne permet pas directement d'affirmer quoi que ce soit sur le contenu du message. On notera enfin qu'une entreprise utilisera en général la même adresse pour communiquer à ses clients à la fois des informations cruciales (notification d'un service arrivant à expiration, mots de passe...) et du spam (publicités en tout genre). | ||
+ | |||
+ | Ces méthodes sont appuyées par de grande entreprise qui cherchent plus à éradiquer le spam illégal que le spam tout court. Il n'y a pas, à proprement parler, de spam légal: aucune personne sensée ne souhaite recevoir du spam (ou de la publicité, ou de l'information client, qu'importe le nom que l'on lui donne), et un spam reste un spam quels que soient son origine et son mode de transmission. | ||
===SPF=== | ===SPF=== | ||
− | SPF propose une idée intéressante d'authentifier toujours au niveau IP mais en passant par un champ DNS qui indique quels noms de machine peuvent . Cela permet a priori les serveurs SMTP des particuliers, pourvu d'utiliser un service de DNS dynamiques | + | SPF propose une idée intéressante d'authentifier toujours au niveau IP mais en passant par un champ DNS qui indique quels noms de machine peuvent envoyer le courriel d'un domaine donné. Cela permet a priori les serveurs SMTP des particuliers, pourvu d'utiliser un service de DNS dynamiques. |
+ | |||
+ | Ceci permet dans un premier temps non pas de savoir si un message est ou non du spam, mais de détecter s'il a été envoyé par le possesseur du domaine. On peut donc automatiquement, avec un faible temps de traitement, éliminer tous les messages ''forged'' / falsifié d'un domaine utilisant SPF. | ||
+ | |||
+ | Les spammers peuvent eux aussi utiliser SPF. Si tout le monde est sous SPF, alors on est logiquement sûr de la provenance de chaque message, mais en aucun cas de sa teneur spam/non-spam. Les ennuis commencent ici: la base SPF donnerait naissance à un groupe de domaines "reconnus", et les nouveaux arrivants seraient suspectés d'être des spammeurs par défaut, devant alors négocier l'acceptation de leur courrier soit par l'age de leur domaine, soit en payant un des membres du groupe qu'il lui apporte son soutien. | ||
+ | |||
+ | La composition de ce groupe initial est critique; les [http://www.openspf.org/aspen.html suggestions] incluent par exemple les entreprise Fortune 2000, et les exemples données impliquent souvent amazon.com ou aol.com - ce qui est discutable, ces entreprises envoyant certainement plus de messages de publicité que l'ensemble des sites persos de l'Internet. | ||
+ | |||
+ | Cette organisation élèverait également la barrière d'entrée pour les entreprises nouvelles sur Internet. | ||
+ | |||
+ | La [http://www.openspf.org/faq.html FAQ] du site mentionne fièrement que le système de mail passe d'une présomption d'innocence à une présomption de culpabilité, ce qui devrait suffire pour rendre l'approche questionnable. | ||
+ | |||
+ | |||
+ | SPF n'est pas nécessairement mauvais en soi (mettre fin aux courriels anonymes), mais le futur qu'il nous laisse entrevoir n'est pas nécessairement enviable au présent. | ||
+ | |||
==Graylisting== | ==Graylisting== |
Version du 14 février 2006 à 17:53
Principes
Le mail circule via Internet via le protocole protocole SMTP et en se basant sur IP et DNS.
Le problème: il n'y a aucune identification, et envoyer du courriel et pour ainsi dire gratuit, par conséquent toute boîte au lettre peut être remplie de spam par n'importe qui.
Depuis plusieurs années, à mesure que ce phénomène gagne en puissance, diverses solutions ont été mises en oeuvre. Pour résumé aucune ne fonctionne vraiment bien, et aucune n'est réellement sans douleur.
On cherchera, au passage, des solutions qui permettront de filtrer à cause quasi-sûr un spam, de manière à réaliser ce filtrage en amont, épargnant cette peine à l'utilisateur de notre service de courriel, et d'autre part afin d'éviter de devoir vérifier ce filtrage manuellement, au cas où le filtre aurait filtré un bon message ("false-positive").
Les bases
La FAQ de Hashcash est bien faite et aborde les points du point de vue d'un utilisateur soucieux de sa boîte aux lettres mais aussi de ses libertés.
Listes noires
La solution qui vient rapidement à l'esprit est de mettre des IPs sur liste noire. Le principal défaut de cette solution, outre le fait qu'une adresse IP peut être falsifiée ("man in the middle"), est d'estimer que toutes les IPs sont fixes. Je ne serais pas surpris si la majorité des IPs étaient plutôt dynamiques. Utiliser une adresse IP comme vecteur d'authentication est une erreur qu'on ne fait logiquement plus depuis les klines IRC.
Cela occasionne deux inconvénients:
- le listage d'adresses IP dynamiques, donc un emplacement plutôt que l'expéditeur à proprement parler, interdisant aux particuliers d'utiliser leur propre serveur SMTP. Le fait qu'il s'agisse d'une pratique effectivement peu répandue 1) n'en est pas moins intéressant 2) n'est pas répandu partiellement à cause de telles politiques.
- le listage d'adresses IP est souvent erroné et long à rectifier
Authentification
SMTP est un protocole sans authentification - une approche est donc de corriger ce "défaut". Le courriel peut donc être identifié à l'aide des solutions suivantes, mais l'identification d'une base d'utilisateur de potentiellement 8 milliards d'individus * une infinité de boîtes aux lettres par personnes ne permet pas directement d'affirmer quoi que ce soit sur le contenu du message. On notera enfin qu'une entreprise utilisera en général la même adresse pour communiquer à ses clients à la fois des informations cruciales (notification d'un service arrivant à expiration, mots de passe...) et du spam (publicités en tout genre).
Ces méthodes sont appuyées par de grande entreprise qui cherchent plus à éradiquer le spam illégal que le spam tout court. Il n'y a pas, à proprement parler, de spam légal: aucune personne sensée ne souhaite recevoir du spam (ou de la publicité, ou de l'information client, qu'importe le nom que l'on lui donne), et un spam reste un spam quels que soient son origine et son mode de transmission.
SPF
SPF propose une idée intéressante d'authentifier toujours au niveau IP mais en passant par un champ DNS qui indique quels noms de machine peuvent envoyer le courriel d'un domaine donné. Cela permet a priori les serveurs SMTP des particuliers, pourvu d'utiliser un service de DNS dynamiques.
Ceci permet dans un premier temps non pas de savoir si un message est ou non du spam, mais de détecter s'il a été envoyé par le possesseur du domaine. On peut donc automatiquement, avec un faible temps de traitement, éliminer tous les messages forged / falsifié d'un domaine utilisant SPF.
Les spammers peuvent eux aussi utiliser SPF. Si tout le monde est sous SPF, alors on est logiquement sûr de la provenance de chaque message, mais en aucun cas de sa teneur spam/non-spam. Les ennuis commencent ici: la base SPF donnerait naissance à un groupe de domaines "reconnus", et les nouveaux arrivants seraient suspectés d'être des spammeurs par défaut, devant alors négocier l'acceptation de leur courrier soit par l'age de leur domaine, soit en payant un des membres du groupe qu'il lui apporte son soutien.
La composition de ce groupe initial est critique; les suggestions incluent par exemple les entreprise Fortune 2000, et les exemples données impliquent souvent amazon.com ou aol.com - ce qui est discutable, ces entreprises envoyant certainement plus de messages de publicité que l'ensemble des sites persos de l'Internet.
Cette organisation élèverait également la barrière d'entrée pour les entreprises nouvelles sur Internet.
La FAQ du site mentionne fièrement que le système de mail passe d'une présomption d'innocence à une présomption de culpabilité, ce qui devrait suffire pour rendre l'approche questionnable.
SPF n'est pas nécessairement mauvais en soi (mettre fin aux courriels anonymes), mais le futur qu'il nous laisse entrevoir n'est pas nécessairement enviable au présent.
Graylisting
Liens
Des systèmes:
Des black lists:
Des sites à éventuellement regarder:
Masquage minimal de son adresse e-mail:
perl -e '$a = "your\@email.tld"; $a =~ s/(.)/"&#".ord($1).";"/eg; print "$a\n";'