Lutte contre le spam

Les failles exploit´ ees par les spammeurs Du cˆ ot´
e de l’administrateur Nicolas Bareil 28 mars 2006 Nicolas Bareil Les failles exploit´ ees par les spammeurs

Envoi de mail Message malicieux R´ ecapitulatif : les classes
de spammeurs Bots Serveurs oﬃciels Open* Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* R´ eseau de bots Qu’est-ce qu’un bot ? Un bot est une machine infect´ ee et contrˆ ol´ ee par un pirate. L’union fait la force Un bot isol´ e est inutile, mais en poss´ eder plusieurs milliers oﬀre : Attaques DoS, Robots spammeurs, Scans de r´ eseau, R´ ecolte de donn´ ees, Une bonne monnaie d’´ echange ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* Fonctionnement d’un bot Capacit´ e d’un bot : Quelques commandes internes, Possibilit´ e de se mettre ` a jour automatiquement, Controle du bot via IRC, ´ Ecrit from scratch ou d´ evelopp´ e ` a partir de framework existant ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* R´ ecolte d’informations Les donn´ ees r´ ecup´ er´ ees peuvent ˆ etre : Adresses mail Carnet d’adresses, Recherche dans le disque dur, Liste de fichiers pr´ esents sur le disque, Mots de passe, clefs priv´ ees, etc. Topologie r´ eseau ; Et les mails eux-mˆ eme afin de les renvoyer modifier. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* Mais. . . Difficile d’´ ecrire un moteur SMTP afin d’envoyer du spam : Une RFC longue et pi´ egeuse, Des montagnes de d´ etails ; Mais rater 20% des envois est n´ egligeable. D´ etection possible de bots Toutes ces erreurs d’impl´ ementation pourront nous ˆ etre utiles ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* Mais. . . Obsolescence rapide D´ etection par les anti-virus, Code d´ esuet ou bugg´ e, R´ einstallation de la machine par l’utilisateur ; Vol du botnet par un autre pirate ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* Utilisation de serveurs d´ edi´ es Location de serveurs d´ edi´ es au spamming : Officiellement des serveurs de mailing opt-in, Utilisant de vrais serveurs SMTP En th´ eorie Une solution tr` es efficace. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* Architecture coˆ uteuse Solution ´ el´ egante, mais coˆ uteuse : Bande passante importante, Connectivit´ e pay´ ee au volume ; Puissance de calcul pour parall´ eliser au maximum, Paiement du mat´ eriel et de la salle d’h´ ebergement ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* Tr` es peu viable Dur´ ee de vie tr` es courte, ` A la premi` ere plainte au fournisseur de connectivit´ e ; Architecture centralis´ ee, peu flexible, Non anonyme, possibilit´ e de poursuites judiciaires ; Aussi rapide ` a tomber qu’` a ˆ etre mont´ e Une fois l’adresse du serveur blacklist´ ee, l’efficacit´ e devient nulle. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* OpenCGI Utilisation de script mal programm´ e permettant l’envoi de mail en masse. Application vuln´ erable, Fonction (( Send this link )) sans bridage, Plateformes de test Ni prot´ eg´ e, Ni monitor´ e, Exemple : site de d´ emonstration de webmail ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* Open HTTP Proxy La requˆ ete CONNECT permet de se connecter ` a une machine et ` a un port pr´ ecis. Impl´ ement´ ee sur tous les proxys pour g´ erer le SSL, Non limitative : c’est un vrai tunnel ; Un proxy ouvert ? Les spammeurs l’utilisent alors pour faire du SMTP. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* Exemple de spams au travers un proxy HTTP CONNECT vers un serveur SMTP CONNECT smtp.bigcorp.com :25\r\n \r\n EHLO my.hostname.com MAIL FROM :<> RCPT TO :<[email protected]> DATA ... . Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs oﬃciels Open* OpenProxy Encore d’autres m´ ethodes. . . M´ ethode HTTP POST, Proxy Socks ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* Serveur SMTP OpenRelay SMTP Openrelay Un serveur SMTP ouvert est un serveur qui transmet les mails de n’importe qui vers n’importe o` u, souvent ` a cause d’une erreur dans la configuration. C’est l’environnement le plus favorable pour un spammeur car : Stable, Discret, Efficace : comprends en int´ egralit´ e le protocole SMTP, D´ ecentralis´ e : la perte d’un noeud n’est pas critique ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bots Serveurs officiels Open* Cela peut arriver ` a tout le monde Certains groupes de pirates modifient la configuration de serveurs compromis afin de les transformer en relais ouvert. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Objectif des spammeurs R´ ecup´ erer des adresses ´ electroniques Une adresse (v´ eriﬁ´ ee) valide se revend plus cher, Exploiter d’autres clients ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Solutions ? Deux solutions pour arriver ` a ses ﬁns : Pousser l’utilisateur ` a faire une action, ´ Executer du code dans son dos ; HTM Hell Un mail au format HTML est un vecteur parfait : Liens, images, frames. . . ´ Execution de code Javascript possible, Complexe ` a interpr´ eter : vuln´ erabilit´ es nombreuses ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Image cach´ ee L’aﬃchage d’image lors de la lecture d’un mail est pratique. . . pour le spammeur : T´ el´ echargement automatique, Pas forc´ ement visible (carr´ e transparent d’1x1 pixel), Permet d’obtenir beaucoup d’informations : Navigateur, Syst` eme d’exploitation, Langue ; Personnalisation de l’adresse de l’image Chaque URL est unique et sp´ eciﬁque ` a une adresse mail, s’il y a un hit, c’est que l’adresse est valide. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Mˆ eme chose pour les liens Les liens sont ´ egalement trompeurs : V´ eritable lien diﬀ´ erent de celui aﬃch´ e, Adresse personnalis´ ee, Technique d’obfuscation d’URL ; Sans compter les liens de d´ esabonnements qui ne servent qu’` a valider une adresse ´ electronique ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Javascript & ActiveX Toujours les mˆ emes ` a proﬁter des technologies : Exploitation de vuln´ erabilit´ e des machines virtuelles, Lecture ou ´ ecriture de cookies, Envoi de donn´ ees ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Un navigateur ≃ passoire 1 2 3 4 5 6 Jan 03 Jul 03 Jan 04 Jul 04 Jan 05 Jul 05 Jan 06 Jul 06 ´ Evolution dans le temps Vuln´ erabilit´ es d’Internet Explorer 6.0 par mois Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Le pire. . . Le pire, c’est que. . . Ce ne sont que des vuln´ erabilit´ es publiques ! Le cas Windows Meta File Par exemple, la vuln´ erabilit´ e (( WMF )) a ´ et´ e d´ ecouverte par hasard sur un site pornographique. Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Les bots Caract´ eristiques des bots Impl´ ementation minimaliste du protocole SMTP, Cherchent ` a envoyer le plus de mail le plus vite possible, Aucune gestion d’erreur Aucun ´ etat (pas de m´ emoire), Les bots viennent d’adresses r´ esidentielles ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Serveurs d´ edi´ es et ouverts Les serveurs d´ edi´ es Comportement normal, Adresse ﬁxe, ´ Eph´ em` ere ; Serveur ouvert Adresse r´ esidentielle ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy OpenCGI et OpenProxy OpenProxy : Tr` es mauvais client SMTP ; OpenCGI : Pourrait ˆ etre d´ etect´ e si identd existait encore ; Ajout d’en-tˆ etes par l’h´ ebergeur : Exemple de spam X-AntiAbuse: Primary Hostname - x.y.net X-AntiAbuse: Originator/Caller UID/GID - [99 500] X-AntiAbuse: Sender Address Domain - x.y.net X-Source-Args: /usr/apache/bin/httpd -DSSL X-Source-Dir: t.org:/public_html/contents/OldFIles Nicolas Bareil Les failles exploit´ ees par les spammeurs

Bonne application des standards Session SMTP conforme Message, le plus
important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Session SMTP 220 mx.serveur.org ESMTP HELO client.pays.fr 250 serveur.serveur.org Hello client.pays.fr [192.168.88.10] MAIL FROM:<[email protected]> 250 OK RCPT TO:<[email protected]> 250 Accepted Suite. . . Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Session SMTP, suite et ﬁn DATA 354 Enter message, ending with "." on a line by itself From: [email protected] To: [email protected] Subject: vaisselle I’m not a spam! . 250 OK id=1CIASN-0000X0-IH QUIT 221 mx.server.org closing connection Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Quelques r` egles impos´ ees par la RFC Obligations de l’administrateur : L’adresse postmaster doit accepter tous les mails, On ne peut rejeter un client qu’apr` es l’´ etape RCPT TO, Si possible, ne JAMAIS envoyer de bounce ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting L’int´ erˆ et de bloquer d` es la session SMTP Ce qu’en pense les standards La RFC 2505 part du principe qu’un message est accept´ e ou bloqu´ e lors de la session SMTP ou par le mail user agent. Ainsi Pas de copie locale du message, Nous ne prenons aucune responsabilit´ e, Nous ne bouncerons pas ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Exemple de spamming par bounce ezmlm est ´ ecrit de fa¸ con ` a bouncer tout message qu’il ne comprendrait pas avec le message original dans son int´ egralit´ e. Proﬁtait de la r´ eputation du serveur (adresse IP whitelist´ ee), Utilisait pleinement les ressources du serveur ; =⇒ N´ ecessite de patcher le code ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Ajout de temps mort Les mailers mal programm´ es envoient les mails en rafale, sans se soucier du protocole. Or, Un client SMTP doit attendre l’HELO/EHLO du serveur, dans la limite de cinq minutes. Introduction d’un d´ elai avant le HELO =⇒ Rejet des clients envoyant des donn´ ees avant nous Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Bon usage des d´ elais Avantages Tr` es eﬃcace contre les bots ou virus, Op´ eration presque gratuite pour le syst` eme, Aucun eﬀet de bord ` A condition d’avoir un d´ elai raisonnable, Tenir compte des callouts ; Meilleure fa¸ con de l’utiliser Mettre des d´ elais en fonction du client : Adresses r´ esidentielles, Classe de continents spammeurs ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Greylisting Il y a plusieurs codes d’erreur SMTP : Permanentes, ne jamais r´ eessayer ! Temporaires, r´ eessayer plus tard ; Les robots sont fain´ eants Les robots ne regardent pas les codes d’erreur et passent tout de suite ` a l’adresse suivante, ne r´ eessayant jamais. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Fonctionnement du Greylisting Le Greylisting maintient une table de sessions : ç Lorsqu’un serveur inconnu se pr´ esente, on refuse temporairement son mail et on d´ emarre le timer, é Tant que le timer n’est pas termin´ e, on refuse le message, è Maintenant, on peut l’accepter ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Eﬃcacit´ e ` A l’heure actuelle M´ ethode eﬃcace : ´ Economique, Facile ` a mettre en œuvre ; Mais. . . Entraine des latences importantes =⇒ les commerciaux n’aiment pas attendre, Les spammeurs vont s’adapter, Repose sur le respect des standards : tous les MTA ne sont pas ´ egaux face aux politiques de retries ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Prologue de la session Commande HELO/EHLO Envoy´ ee par le client, elle sert ` a pr´ esenter son nom pleinement qualiﬁ´ e. Exemple d’un EHLO valide 220 mx.serveur.org ESMTP EHLO moi.client.fr 250-mx.serveur.org Hello moi.client.fr Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Usurpation du nom pr´ esent´ e Comportement ´ etrange des moteurs SMTP des virus ou vers : ils ne savent pas donner un nom correct. =⇒ Utilisation du nom du serveur (pour contourner des ﬁltres ?) Exemples HELO mx.serveur.org HELO 234.32.12.3 HELO [234.32.12.3] HELO one.of.the.reverse.dns Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Reverse DNS 82.23.2.12 mx.domaine.fr PTR 82.23.2.12 ? A mx.domaine.fr ? Fig.: V´ eriﬁcation du reverse DNS Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Syntaxe incorrecte Le nom donn´ e doit ˆ etre un FQDN donc : Comporter au moins un point, ˆ Etre un des reverse dns de l’adresse IP Exemples HELO localhost HELO 234.32.12.3 HELO labo-pc4231 Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Usurpation d’identit´ e Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Empˆ echer l’usurpation d’identit´ e Plusieurs techniques existent : Sender Policy Framework (SPF), SenderID, SPF vu par Microsoft, DomainKeys, pouss´ e par Yahoo ! ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Sender Policy Framework & SenderID R´ ecup´ eration de l’´ emetteur Pour SPF : enveloppe, Pour SenderID : adresse dans le message ; V´ erification ` A partir du domaine de l’´ emetteur, on v´ erifie qu’on est contact´ e par un serveur autoris´ e : Une liste de tous les serveurs autoris´ es est cr´ e´ ee, Stock´ ee dans une entr´ ee TXT du DNS ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche DomainKeys Utilisation de la cryptographie asym´ etrique : Publication de la clef publique des serveurs SMTP, Dans un champ TXT de la zone DNS ; Signature de chaque message sortant du serveur Ajout d’un en-tˆ ete dans le message ; ` A la r´ eception d’un message, on v´ eriﬁe la signature. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Solutions limit´ ees Mesures insuﬃsantes Empˆ eche l’usurpation, Les spammeurs ont vite adopt´ e SPF, Peu applicable en g´ en´ eral Il faut forcer les utilisateurs ` a utiliser son serveur ! Conclusion Ces technologies r´ eduiront juste les dommages collat´ eraux. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche V´ erification des deux parties Adresses valides ? En pratique, il est impossible de v´ erifier qu’une adresse est valide. =⇒ VRFY ou ´ equivalent sont d´ esactiv´ es Avec un peu de ruse. . . si ! Lors de la r´ eception d’un mail, on va simuler la livraison d’un mail pour l’adresse de l’exp´ editeur. while (1) ; Mais c’est une boucle infinie ! ? ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Un callout en action 220 mx.serveur.fr ESMTP EHLO moi.chezmoi.fr 250-mx.serveur.fr Hello moi.chezmoi.fr 250 ... MAIL FROM:<> adresse forc´ ement valide ! 250 OK RCPT TO:<[email protected]> 250 Accepted RCPT TO:<[email protected]> 550 unknown user QUIT 221 mx.serveur.fr closing connection Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche DNSBL, RBL, etc. DNS Blacklist ? Stockage d’adresses IP dans un serveur DNS. IP ayant d´ ej` a spamm´ e, IP d’une liste blanche, IP dans une plage d’adresses r´ esidentielles ; All´ echant ? ´ Economique : une question/r´ eponse DNS ` A coupler avec un serveur de cache local, ˆ Etre sˆ ur de ne pas tomber en timeout, Nicolas Bareil Les failles exploit´ ees par les spammeurs

important Helo, world ! Usurpation d’identit´ e V´ eriﬁer les adresses Liste noire/blanche Mais comment choisir les listes ? ´ Ethique Il faut imp´ erativement connaˆ ıtre : R` egles d’entr´ ee de la liste, R` egles de sortie, Suivre son ´ evolution Lorsqu’une liste s’arrˆ ete, elle blackliste le monde entier aﬁn que personne ne l’utilise. . . En th´ eorie ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ eriﬁcation syntaxique Filtrage par mots clefs Filtre Bayesien Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ eriﬁcation syntaxique Filtrage par mots clefs Filtre Bayesien V´ eriﬁcation syntaxique Comme pour le SMTP, peu de respect des standards Header manquant, =⇒ MessageID est un cas int´ eressant Mauvais encodage, Syntaxe incorrecte ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ eriﬁcation syntaxique Filtrage par mots clefs Filtre Bayesien Filtrage par mots clefs Mots clefs Langage des spammeurs : =⇒ viagra, sexe, drogue, argent, casino, etc. Calcul d’un score ` a partir de ces mots clefs (bonus/malus) Spamassassin Bien plus qu’une simple liste de mots : Analyse d’URL, Transformation d’alphabet, V´ eriﬁcation de syntaxe des mails, Tests r´ eseaux, =⇒ Usine ` a gaz ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Limites du filtrage Les spammeurs s’adaptent vite pour ´ eviter les r` egles : ´ Ecriture avec un alphabet diff´ erent (viagra −→ v14gr4), Modification des en-tˆ etes des mails, Veille des r` egles publiques On estime qu’une r` egle Spamassassin post´ ee perd 80% de son efficacit´ e apr` es sa publication. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Bayes & la classification automatique Apprentissage En fournissant un nombre cons´ equent de messages d´ ej` a tri´ es (spam ou non), on va pouvoir attribuer une probabilit´ e de spam ` a un mot. ` A la r´ eception d’un message, on somme les probabilit´ es de chaque mots pr´ esent pour d´ eterminer si cela est un spam. Contre attaque des spammeurs Pour affaiblir les probabilit´ es, les spammeurs envoient des messages avec des mots al´ eatoires ` a la fin de leurs messages. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Meilleure solution ? Sˆ urement la solution la plus efficace ! =⇒ Int´ egr´ ee partout : Thunderbird, Outlook, Evolution. . . Mais : N´ ecessite un long apprentissage pour ˆ etre efficace, Entretien constant, Individuel, Gourmand en espace disque et acc` es I/O ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Hashage des messages Hashage Une fonction de hashage prend une suite d’octets de taille variable et la transforme en un condens´ e d’une taille fix´ ee. =⇒ Modifier un bit du message modifie totalement le hash =⇒ On suppose la tr` es faible probalit´ e d’une collision Publication des condens´ es de spam ` A la r´ eception de chaque message, on calcul son condens´ e et on regarde sur un serveur si ce hash est connu pour ˆ etre du spam. Nicolas Bareil Les failles exploit´ ees par les spammeurs

important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Parade contre ces hashes Adaptation rapide Personnalisation des messages : Ajout du nom de la personne, Modification des dates ; Suite de caract` eres al´ eatoires ` a la fin du message ; Cons´ equence Ces services n’ont plus d’efficacit´ e ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Plan 7 Conclusions
Nicolas Bareil Les failles exploit´ ees par les spammeurs

Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Que peuvent faire
les ISP ? Probl´ ematiques Difficult´ es techniques : ACL tr` es coˆ uteuses et peu maintenables, Passage ` a l’´ echelle ; Publicit´ e, Liaison pay´ ee au volume Solutions ( ?) Proposer des relais SMTP stables =⇒ Afin de limiter l’installation de serveur SMTP Le filtrage du port 25 n’est pas une solution =⇒ Mettre de la QoS sur le port 25 en sortie ? Nicolas Bareil Les failles exploit´ ees par les spammeurs

les serveurs d’entreprise ? Si moyens suﬃsants : Clusters de serveurs utilisant Spamassassin, Impl´ ementer toutes les v´ eriﬁcations syntaxiques, Les communications inter-entreprises utilisent des vrais MTAs, Utilisation de liste noire et blanche ; Le greylisting est une option si les utilisateurs peuvent accepter un retard lors du premier ´ echange. Important Filtrez le port 25 en sortie ! Surveillez le nombre d’envois ; Nicolas Bareil Les failles exploit´ ees par les spammeurs

les particuliers ? Deux solutions eﬃcaces ` a 99,99% : Spamassassin, Filtre Bayesien ; En plus d’un ﬁrewall et un anti-virus ` a jour. Nicolas Bareil Les failles exploit´ ees par les spammeurs

Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers En entr´ ee
et en sortie Personne n’est ` a l’abri Vous devez contrˆ oler tout ce que vous recevez et ce que vous ´ emettez ! Soyez exigent Contrˆ ole syntaxique, Surveillance statistiques, Utilisation de Spamassassin ; Imposez des quotas ! Nicolas Bareil Les failles exploit´ ees par les spammeurs

Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Questions ? Questions
ou remarques ? [email protected] http://mouarf.org/ Nicolas Bareil Les failles exploit´ ees par les spammeurs

Lutte contre le spam

Lutte contre le spam

More Decks by Nicolas Bareil

Other Decks in Programming

Featured

Transcript