> Tech > Détecter le pourriel

Détecter le pourriel

Tech - Par iTPro - Publié le 24 juin 2010
email

Le logiciel de détection de spam mêle plusieurs techniques pour reconnaître les messages indésirables. Les combinaisons diffèrent selon les logiciels. Une technique consiste à  examiner les adresses d'origine pour bloquer les messages de spammers bien connus qui figurent sur les RBL (Realtime Backhole Lists) ; une autre pratique l'examen des

Détecter le pourriel

propriétés
des messages (comme le sujet du message) et le contenu
pour détecter des mots-clés du genre viagra et porno. (Vous
pouvez mettre en oeuvre ce genre de vérification en utilisant
les règles Outlook, mais cela ralentit considérablement le
traitement parce que les règles en question n’ont pas été
conçues pour cela. Les produits antispam fournissent généralement
des dictionnaires de mots ou de phrases courants
et utilisent du code compilé pour faire la corrélation entre le
contenu des messages et le contenu des dictionnaires, et
donc ils traitent les messages beaucoup plus rapidement.)
Le logiciel de détection analyse aussi la structure des
messages pour y déceler des profils caractéristiques du pourriel.
Par exemple, les auteurs de spam se croient obligés
d’ajouter de l’emphase à  leurs messages par une profusion
de points d’exclamation. Si le système de scoring d’un outil
antispam trouve 20 points d’exclamation dans un message,
ce pourrait bien être du spam. (Mais il pourrait aussi venir
d’un membre enthousiaste de votre service marketing.) Le
logiciel de détection pourrait aussi examiner les empreintes
digitales des messages de spams connus. Les fournisseurs
d’outils antispam suivent le spam connu et analysent le
contenu des messages pour créer une empreinte digitale (en
principe incluse dans les dictionnaires de leurs outils) permettant
aux filtres de reconnaître des messages similaires.
Exchange 2003 possède des fonctions de filtrage de
connexion mises à  niveau ainsi que la possibilité de bloquer
le courrier de tout autre que des envoyeurs autorisés. Vous
pouvez connecter les filtres de connexion d’Exchange 2003 à 
un abonnement RBL et peut-être éviter l’achat d’un produit
antispam supplémentaire pour le serveur. Cette option
Exchange/RBL est peu coûteuse, mais vous devez garder
votre abonnement RBL à  jour pour qu’Exchange puisse reconnaître
le courriel provenant de spammers récemment
enregistrés. En outre, si vous n’avez qu’un abonnement RBL,
vous comptez sur la maintenance de ce RBL pour suivre le
rythme des nouvelles techniques de spamming et bien sûr
résister aux attaques par déni de service (DoS) sur son
propre service. L’abonnement à  plusieurs RBL réduit vos
risques, mais pour plus cher. Acheter et déployer un produit
antispam de qualité commerciale est beaucoup plus facile,
particulièrement pour un serveur de production qui prend
en charge plus de quelques centaines de boîtes à  lettres.
Les derniers outils de suppression de spam déploient des
techniques analytiques pour déceler très tôt les attaques de
spam. Des sondes du réseau surveillent le trafic qui passe sur
Internet pour tenter de détecter des pointes de trafic provenant
d’un serveur de pourriel. De telles pointes peuvent provenir
d’un spammer générant des centaines de milliers de
messages de même contenu. Les sondes utilisent des algorithmes
semblables à  ceux qui génèrent une valeur de
contrôle pour qu’un message signé électroniquement crée
une signature numérique fondée sur le contenu du message,
puis stocke la signature dans une base de données. Les outils
comparent ensuite les nouveaux messages aux signatures
numériques dans la base de données, pour déterminer si un
message est du spam. Ce genre de technique n’existe aujourd’hui
que dans un logiciel basé sur serveur, pas dans un
logiciel client.
Toutes les versions Outlook permettent le traitement par
règles pour permettre d’automatiser des tâches courantes,
comme placer dans un certain dossier les messages d’un envoyeur
particulier. Outlook 2000 et les versions antérieures
tentent d’utiliser un ensemble de règles standard pour filtrer
les messages de pourriel, mais le volume croissant de spam
et les techniques toujours plus évoluées des spammers pour
éviter la détection ont rendu l’approche à  base de règles inefficace.
De plus, cette approche est lente. Le Outlook 2003
Junk E-mail Filter n’utilise pas l’ancienne approche à  base de
règles couplée avec une liste statique de mots-clés et d’envoyeurs
de pourriel, pour détecter celui-ci. Outlook 2003 utilise
plutôt une combinaison de code compilé et un dictionnaire
pour détecter le spam : cette méthode est le fruit du
travail d’analyse de texte de Microsoft Research. MAPILab,
une petite société spécialisée dans les add-ons Outlook a récemment
effectué une analyse Outlook 2003 Junk E-mail
Filter approfondie qui éclaire le traitement fait par Outlook
en coulisses. Pour plus d’informations, voir http://www.ma-pilab.com/news/0042.html. Le dictionnaire est stocké dans
\program files\microsoft office\office 11 dictionary\outfltr.dat
et est d’environ 2 Mo. Le contenu et l’exactitude du dictionnaire
sont cruciaux pour le fonctionnement de Junk E-mail
Filter, et Microsoft s’est engagée à  diffuser des mises à  jour
régulières avec les plus récentes informations recueillies à 
propos des messages de pourriel. Microsoft a émis la première
mise à  jour en décembre 2003, comme décrit dans
l’article Microsoft « Overview of the Outlook 2003 Junk Email
Filter Update : December 16, 2003 » (http://support.microsoft.
com/?kbid=832333).
A noter que comme Junk E-mail Filter d’Outlook 2003
fonctionne sur le client, vous ne pouvez utiliser le filtre qu’en
configurant Outlook 2003 en mode Exchange en cache ou en
vous connectant à  un serveur avec POP3 ou IMAP4 (des protocoles
qui placent toujours les messages dans un stockage
local pour traitement). Vous pouvez aussi utiliser le Junk Email
Filter si vous configurez Outlook pour transférer des
messages dans un fichier Personal Folders (.pst), mais ce
genre de configuration est largement dépassée par l’avènement
du mode Exchange en cache et n’est vraiment utile que
si vous déployez Exchange avec de petits quotas de boîte à 
lettres. Microsoft aurait pu concevoir Outlook pour se
connecter à  une boîte à  lettres Exchange de la manière clientserveur
traditionnelle et traiter les messages online, mais
Outlook devrait atteindre le contenu des messages à  partir
d’Exchange avant que le client ne puisse les filtrer. Cette méthode
serait satisfaisante pour de petits messages, mais
l’overhead des communications réseau nécessaire pour
atteindre les messages à  des fins de vérification est excessif.
C’est pourquoi Outlook limite son traitement au contenu
local.
Les règles d’Outlook 2002 et versions antérieures ne peuvent
pas effectuer un filtrage aussi sophistiqué que le logiciel
antispam côté client dédié ou basé sur serveur, mais Junk
E-mail Filter d’Outlook 2003 peut supprimer un fort pourcentage
du spam qui parvient à  franchir les défenses de l’entreprise
jusqu’à  votre boîte de réception. Vous pouvez donc
considérer Junk E-mail Filter d’Outlook 2003 comme une
autre ligne de défense contre le spam, de la même manière
que vous utilisez un outil antivirus
desktop en plus du logiciel antivirus
de vos serveurs. Junk E-mail Filter
d’Outlook 2003 est l’un des nombreux
outils antispam côté client.
Pour plus d’informations sur les
autres, voir l’encadré « Autres outils
antispam Outlook ».

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010