Les outils et méthodes de reconnaissance d’un SPAM

blanches et des listes noires. Une liste blanche est une liste d’expéditeurs ou de domaines d’expéditeurs dignes de confiance et reconnus comme étant autorisés à émettre des messages sans aucune restriction vers les systèmes de messagerie de l’entreprise.

Au contraire, les listes noires sont constituées des adresses d’expéditeurs ou de domaines complets qui seront jugés indésirables et donc tous les messages en provenance de ces expéditeurs seront systématiquement et automatiquement refusés par le filtrage anti-spam. Pour être efficace, ces listes blanches ou noires doivent être renseignées et mises à jour régulièrement. Pour les listes blanches, la plupart des logiciels maintiennent automatiquement ces listes en ajoutant systématiquement les adresses e-mail des destinataires des messages sortant de l’entreprise, à condition que le message soit bien remis. Ainsi, l’envoi à une personne d’un message place automatiquement ce destinataire dans les personnes autorisées au sein de la liste blanche. Le plus difficile reste la maintenance des listes noires pour la remplir avec les adresses d’émetteurs référencés comme spammeurs.

Il est possible de faire appel à des listes externes, nommées RBL (Realtime Blackhole Lists) ou encore BLDNS. Ces listes sont le plus souvent associées à des services payant proposés par des éditeurs sous la forme d’un abonnement. Ces différentes restrictions peuvent être effectuées sur les noms de domaine, mais aussi et surtout sur les adresses IP des serveurs qui effectuent les connexions SMTP. Si ce système apparaît comme l’un des plus efficaces, il présente une forte contrainte: les listes doivent être mises à jour le plus régulièrement et le plus rapidement possible. Entre ces deux techniques d’acceptation systématique au sein des listes blanche et de refus systématique au sein des listes noires, on trouve un intermédiaire logiquement nommé listes grises.

La gestion de listes grises consiste à refuser systématiquement tous les e-mails pour attendre leur réexpédition. L’inconvénient majeur de cette solution est le retard d’acheminement des messages ce qui en fait une solution peu utilisée. Pour terminer, on peut évoquer d’autres techniques simples comme la vérification des adresses par le renvoi d’un message pour vérifier que l’expéditeur n’est pas un robot ou encore l’utilisation d’un subterfuge consistant à un envoi de non-remise du courrier à l’intention des spammeurs, mais ces solution ne sont pas fiables à 100%.

• Utilisation de filtres Bayésiens
Une deuxième technique, très employée elle aussi, s’appuie sur les "filtres bayésiens", basés sur les probabilités. Dans un premier temps, tous les messages reçus sont analysés. On procède ensuite à la création d’une base de données qui stocke les mots qui apparaissent le plus souvent, d’une part dans les spams et d’autre part dans les messages valides. Les messages contenant, par exemple, des mots tels que "prescription" ou "pharmacie" sont généralement des spams.

Dans un second temps, tous les messages sont analysés dès leur réception sur le serveur de messagerie et distribués, ou non, après la validation de leur contenu. Toutefois, les spammeurs tentent de leurrer ces filtres en plaçant, par exemple, des signes de ponctuation à l’intérieur des mots. Pour contrer cette pratique, les logiciels antispams utilisent des algorithmes complexes, capables d’identifier ces mots modifiés, ou même de reconnaître des mots à l’intérieur d’une image. Les spams évoluant rapidement, la mise à jour fréquente des bases de mots est impérative.

• Utilisation de règles de bases pour les messages
Certains principes simples peuvent aussi être utilisés pour effectuer un marquage ou un tri automatique des messages en se basant sur les entêtes SMTP des flux entrant en se basant sur l’adresse de l’émetteur et en vérifiant la présence de nombreux caractères numériques, souvent le signe d’un message automatique ou encore en refusant les message avec un champ expéditeur en blanc ou vide dans l’entête SMTP du message. Enfin, l’analyse du corps du message peut aussi déclencher un marquage du message en fonction de la présence de mots clé.

Un autre indicateur est aussi souvent utilisé, c’est la réception massive de message en provenance d’un même expéditeur ou en provenance d’un seul domaine, surtout si de nombreux destinataires sont inexistants. En effet, certains outils analysent la composition des adresses de courrier électronique de certaines entreprises et forgent des messages vers des destinataires supposés comme par exemple nom@société.com. Le refus ou non de ces adresses peut aussi fournir des indications précieuses aux spammeurs. Une vérification dans l’annuaire de l’entreprise en temps réel permet donc d’interrompre la communication en cas de destinataire inexistant, ce qui limite les transferts et permet de ne pas envoyer un avis de non remise.