SlideShare ist ein Scribd-Unternehmen logo

Panorama des technologies antispam

Stephane Manhes
Stephane Manhes

Présentation synthétique des techniques antispam. Bref rappel sur le fonctionnement des emails. Avantages / Inconvénient de chaque technologie. Pour une version plus détaillée: http://www.altospam.com/fr/panorama-des-technologies-antispam.php

Technologie
1 von 25
Panorama des technologies antispam http://www.altospam.com/ 1
Introduction Définitions Structure d’un email Le protocole SMTP Les technologies anti-spams 2
Définitions Un spam est un email ne respectant pas la Loi pour la Confiance dans l'Economie Numérique (LEN) du 22 juin 2004, complétée par les précisions d'interprétation définies par la CNIL lors de la séance du 17 février 2005 Scam, Phishing, Bounces 3
Définitions Faux-négatifs : spams interprétés comme étant des courriers électroniques légitimes (spams passant l’antispam). Faux-positifs : messages licites interprétés comme des spams. Taux inversement proportionnés Limiter au maximum le faux-positif (plus nuisible) et gérer si possible les cas de faux-positifs. 4
Structure d’un mail 5
Structure d’un mail From: "Stephane XXXX- XXX" <smxxxxx@oxxxx.com> To: "Marc JXXXXN" <mxxxxn@oxxxxx.com> Subject: TEST Date: Fri, 25 Jul 2008 12:01:08 +0200 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0003_01C8EE4E.5AFEFFE0“ En-tête Corps TEST TEST ------=_NextPart_000_0003_01C8EE4E.5AFEFFE0 Content-Type: image/gif; name="Test.gif" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Test.gif" R0lGODdhBQAFAIgAAP+AAAAAACwAAAAABQAFAAACBISPqVgAOw== ------=_NextPart_000_0003_01C8EE4E.5AFEFFE0-- 6 MIME
Architecture SMTP Domaine A.com Domaine B.com DNS.B.com Mail.A.com 7 Mail.B.com
Protocole SMTP Protocole « ouvert », Mode connecté (par acquittement), Port TCP 25, SMTP (Simple Mail Transfert Protocol) → RFC 821 (1982) puis 2821, ESMTP (Extended SMTP) → RFC 1651(1994) compatibilité ascendante, Chaque serveur traversé ajoute une entête « Received » (Traçabilité). 8
Informations utiles IP émettrice OS serveur émetteur Route empruntée par le mail (IPs) Configuration du serveur émetteur Protocole SMTP Adresse email et domaine de l’expéditeur En-tête du mail Corps du mail Pièces jointes 9
Reverse DNS mail.altospam.com → 192.168.0.1 192.168.0.1 → mail.altospam.com HELO mail.altospam.com Certains Reverses sont mal configurés Des opérateurs ne permettent pas la personnalisation des Reverse-DNS 10
Validation de l’émetteur Différence MAIL FROM: / From: Vérification de l’existence de l’émetteur: no-reply Vérification du domaine • Whois • MX • Serveurs MX réels (avec une IP, à l’écoute) 11 Certains serveurs sont mal configurés Le MAIL FROM: peut être différent du From:
Protocole SMTP Présence et syntaxe du HELO/EHLO Fully qualified domain name (FQDN) Respect de la RFC 2821 Synchronisation et respect des acquittements Les éditeurs ne respectent pas la RFC à 100% Les serveurs ne sont pas toujours FQDN 12
Analyse heuristique Utilisation d’expressions régulières : /C1al1s/ En-tête, corps, URL, contenu de pièces jointes... Emailing: Respecter la RFC 2369 (champs spécifiques) Certains mots clef sont très mal appréciés mais peuvent quant même apparaitre dans des emails légitimes : CASINO / Géant Casino 13
Listes noires / listes blanches RBL / DNSBL / LHSBL : IP RHSBL / URIBL : domaines Spamtrap, Définition des ip-whois, Dénonciation d’Internaute, Relais SMTP, Antispam, Utilisateurs inconnus, Serveurs générant des Bounces, Pays 90% des sociétés françaises se sont retrouvées blacklistées un jour 14
Filtres Bayesiens Distribution statistique de mots clé : spam / ham Utilisé pour les logiciels sur postes utilisateurs Apprentissage / Adaptabilité aux utilisateurs Les Bounces ne peuvent pas être traités ainsi Génère un taux non négligeable de faux-positifs Biaisé par les contenus aléatoires 15
Bases collaboratives Signature / Hash Processus automatique par consultation Deux mails peuvent générer un hash identique Spams avec des contenus différents (aléatoire) génèrent un hash différent 16
Authentification des emails SPF / Caller-ID / Sender-ID domaine.tld IN TXT "v=spf1 ip4:192.168.0.1/32 ~all" DomainKeys / DKIM DomainKey-Signature: a=rsa-sha1; q=dns; c=nofw Permet simplement d’éviter l’usurpation de son domaine par un tiers Des spammeurs utilisent ces techniques pour faciliter la délivrabilité de leurs spams 17
Greylisting Refus temporaire 4xx Triplet (IP émettrice, email émetteur, destinataire) Réémission → Whiteliste Génère de la latence dans la réception des emails Ne bloque que env. 85% des spams (certains spammeurs réémettent) 18
Teergrubing Maintien de session du serveur expéditeur (ajout de délais de réponse) Technologie proactive contre les spammeurs A n’utiliser que sur les spams certains Sature également le serveur antispam 19
Analyse d’image / PDF Caractéristiques (nombre d’images, dimensions, tailles, format de fichier, colorimétrie,...) OCR Recherche: Découpage en zone / Datamining (recherche d’images proches) → HSC OCR peut facilement être trompé par le bruit Les caractéristiques des images spam / ham peuvent être très proches 20
Test de Turing Authentification de l’expéditeur Reconnaissance de l’utilisateur via un CAPTACH Grand nombre de faux-positifs Deux systèmes équivalents : ping-pong Très simple à contourner pour un spammeur Ne bloque pas les SCAM Déport du problème sur l’expéditeur Génère beaucoup de mails (augmente le flux) 21
OS Fingerprint Détection du système d’exploitation du serveur émetteur Analyse du nom de sauts réseau Ne peut être utilisé seul pour identifier un spam: • Un serveur Linux, n’est pas forcément un bon serveur • Un poste Windows XP n’est pas toujours un spammeur 22
Compression Taille de la plus forte compression d’un email Recherche des k-plus proches voisins Extraction d’un vecteur représentant le mail Recherche sur une base SVM (Support Vector Machine) des k-plus proches voisins vectoriels Recherches : Gilles Richard – IRIT Toulouse Ne peut être le seul élément de détection 23
Conclusion Technologies utilisées séparément → résultats non satisfaisants Possèdent toutes des avantages et des inconvénients propres La combinaison judicieuse de plusieurs (maximum) technologies → qualité filtrage performant http://www.altospam.com/fr/Panorama-des-technologies-antispam.pdf 24
? 25

Empfohlen

TYPO3 meets XLIFF + reST
TYPO3 meets XLIFF + reSTTYPO3 meets XLIFF + reST
TYPO3 meets XLIFF + reSTXavier Perseguers
 
Halte aux spams contexte, techniques et solutions
Halte aux spams contexte, techniques et solutionsHalte aux spams contexte, techniques et solutions
Halte aux spams contexte, techniques et solutionsStephane Manhes
 
Extbase et Fluid
Extbase et FluidExtbase et Fluid
Extbase et FluidXavier Perseguers
 
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIME
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIMEPrésentation exhaustive des protocoles SMTP, IMAP, POP3 et MIME
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIMEMax Benana
 
Webinar: Migration from IBM Domino to IBM Verse
Webinar: Migration from IBM Domino to IBM VerseWebinar: Migration from IBM Domino to IBM Verse
Webinar: Migration from IBM Domino to IBM VerseMOVE4IDEAS
 
Domino85 vs Exchange 2010
Domino85 vs Exchange 2010Domino85 vs Exchange 2010
Domino85 vs Exchange 2010Narender Mohan Bhatnagar
 
Smtp protocol
Smtp protocolSmtp protocol
Smtp protocolalibefkani
 
Domino Vs. Ms Exchange
Domino Vs. Ms ExchangeDomino Vs. Ms Exchange
Domino Vs. Ms Exchangedominion
 

Empfohlen

TYPO3 meets XLIFF + reST
TYPO3 meets XLIFF + reSTTYPO3 meets XLIFF + reST
TYPO3 meets XLIFF + reSTXavier Perseguers
 
Halte aux spams contexte, techniques et solutions
Halte aux spams contexte, techniques et solutionsHalte aux spams contexte, techniques et solutions
Halte aux spams contexte, techniques et solutionsStephane Manhes
 
Extbase et Fluid
Extbase et FluidExtbase et Fluid
Extbase et FluidXavier Perseguers
 
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIME
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIMEPrésentation exhaustive des protocoles SMTP, IMAP, POP3 et MIME
Présentation exhaustive des protocoles SMTP, IMAP, POP3 et MIMEMax Benana
 
Webinar: Migration from IBM Domino to IBM Verse
Webinar: Migration from IBM Domino to IBM VerseWebinar: Migration from IBM Domino to IBM Verse
Webinar: Migration from IBM Domino to IBM VerseMOVE4IDEAS
 
Domino85 vs Exchange 2010
Domino85 vs Exchange 2010Domino85 vs Exchange 2010
Domino85 vs Exchange 2010Narender Mohan Bhatnagar
 
Smtp protocol
Smtp protocolSmtp protocol
Smtp protocolalibefkani
 
Domino Vs. Ms Exchange
Domino Vs. Ms ExchangeDomino Vs. Ms Exchange
Domino Vs. Ms Exchangedominion
 
Les protocoles de messagerie
Les protocoles de messagerie Les protocoles de messagerie
Les protocoles de messagerie Abde Kemrani
 
Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes jackdowning
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Microsoft Technet France
 
What is SPAM?
What is SPAM?What is SPAM?
What is SPAM?Yavuz Adabalı
 
Chap 20 smtp, pop, imap
Chap 20 smtp, pop, imapChap 20 smtp, pop, imap
Chap 20 smtp, pop, imapNoctorous Jamal
 
Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Microsoft Technet France
 
Compare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino featuresCompare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino featuresmaria_francis1983
 
Replacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes DownReplacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes DownPeter Presnell
 
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...Office
 
Spam Filtering
Spam FilteringSpam Filtering
Spam FilteringUmar Alharaky
 
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm
 
Smtp
SmtpSmtp
SmtpEri Alam
 
Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21Alphorm
 
Smtp, pop3, imapv 4
Smtp, pop3, imapv 4Smtp, pop3, imapv 4
Smtp, pop3, imapv 4Shwetanshu Gupta
 
Alphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration AvancéeAlphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration AvancéeAlphorm
 
Fonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicativesFonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicativesfadelaBritel
 
Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...Microsoft Décideurs IT
 
Comptes email
Comptes emailComptes email
Comptes emailChristophe Lombard
 
Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2Alphorm
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)Alphorm
 

Weitere ähnliche Inhalte

Andere mochten auch

Les protocoles de messagerie
Les protocoles de messagerie Les protocoles de messagerie
Les protocoles de messagerie Abde Kemrani
 
Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes jackdowning
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Microsoft Technet France
 
Compare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino featuresCompare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino featuresmaria_francis1983
 
Replacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes DownReplacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes DownPeter Presnell
 
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...Office
 
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm
 
Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21Alphorm
 
Alphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration AvancéeAlphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration AvancéeAlphorm
 
Fonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicativesFonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicativesfadelaBritel
 
Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...Microsoft Décideurs IT
 
Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2Alphorm
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)Alphorm
 

Andere mochten auch (20)

Les protocoles de messagerie
Les protocoles de messagerie Les protocoles de messagerie
Les protocoles de messagerie
 
Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes Migration to IBM SmartCloud Notes
Migration to IBM SmartCloud Notes
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance
 
What is SPAM?
What is SPAM?What is SPAM?
What is SPAM?
 
Chap 20 smtp, pop, imap
Chap 20 smtp, pop, imapChap 20 smtp, pop, imap
Chap 20 smtp, pop, imap
 
Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques
 
Compare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino featuresCompare Exchange and Lotus Notes Domino features
Compare Exchange and Lotus Notes Domino features
 
Replacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes DownReplacing Lotus Notes? Here's How It Really Goes Down
Replacing Lotus Notes? Here's How It Really Goes Down
 
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
White Paper: Migrating IBM Lotus Notes and Domino to the Cloud: Selecting Mic...
 
Spam Filtering
Spam FilteringSpam Filtering
Spam Filtering
 
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
 
Smtp
SmtpSmtp
Smtp
 
Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21Alphorm.com Support de la Formation WebDev 21
Alphorm.com Support de la Formation WebDev 21
 
Smtp, pop3, imapv 4
Smtp, pop3, imapv 4Smtp, pop3, imapv 4
Smtp, pop3, imapv 4
 
Alphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration AvancéeAlphorm.com Formation Exchange 2016, Configuration Avancée
Alphorm.com Formation Exchange 2016, Configuration Avancée
 
Fonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicativesFonctionnalités et protocoles des couches applicatives
Fonctionnalités et protocoles des couches applicatives
 
Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...Comment automatiser les commandes PowerShell pour optimiser la performance d'...
Comment automatiser les commandes PowerShell pour optimiser la performance d'...
 
Comptes email
Comptes emailComptes email
Comptes email
 
Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2Alphorm.com Formation SCCM 2012 R2
Alphorm.com Formation SCCM 2012 R2
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
 

Panorama des technologies antispam

  • 2. Introduction Définitions Structure d’un email Le protocole SMTP Les technologies anti-spams 2
  • 3. Définitions Un spam est un email ne respectant pas la Loi pour la Confiance dans l'Economie Numérique (LEN) du 22 juin 2004, complétée par les précisions d'interprétation définies par la CNIL lors de la séance du 17 février 2005 Scam, Phishing, Bounces 3
  • 4. Définitions Faux-négatifs : spams interprétés comme étant des courriers électroniques légitimes (spams passant l’antispam). Faux-positifs : messages licites interprétés comme des spams. Taux inversement proportionnés Limiter au maximum le faux-positif (plus nuisible) et gérer si possible les cas de faux-positifs. 4
  • 6. Structure d’un mail From: "Stephane XXXX- XXX" <smxxxxx@oxxxx.com> To: "Marc JXXXXN" <mxxxxn@oxxxxx.com> Subject: TEST Date: Fri, 25 Jul 2008 12:01:08 +0200 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0003_01C8EE4E.5AFEFFE0“ En-tête Corps TEST TEST ------=_NextPart_000_0003_01C8EE4E.5AFEFFE0 Content-Type: image/gif; name="Test.gif" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Test.gif" R0lGODdhBQAFAIgAAP+AAAAAACwAAAAABQAFAAACBISPqVgAOw== ------=_NextPart_000_0003_01C8EE4E.5AFEFFE0-- 6 MIME
  • 7. Architecture SMTP Domaine A.com Domaine B.com DNS.B.com Mail.A.com 7 Mail.B.com
  • 8. Protocole SMTP Protocole « ouvert », Mode connecté (par acquittement), Port TCP 25, SMTP (Simple Mail Transfert Protocol) → RFC 821 (1982) puis 2821, ESMTP (Extended SMTP) → RFC 1651(1994) compatibilité ascendante, Chaque serveur traversé ajoute une entête « Received » (Traçabilité). 8
  • 9. Informations utiles IP émettrice OS serveur émetteur Route empruntée par le mail (IPs) Configuration du serveur émetteur Protocole SMTP Adresse email et domaine de l’expéditeur En-tête du mail Corps du mail Pièces jointes 9
  • 10. Reverse DNS mail.altospam.com → 192.168.0.1 192.168.0.1 → mail.altospam.com HELO mail.altospam.com Certains Reverses sont mal configurés Des opérateurs ne permettent pas la personnalisation des Reverse-DNS 10
  • 11. Validation de l’émetteur Différence MAIL FROM: / From: Vérification de l’existence de l’émetteur: no-reply Vérification du domaine • Whois • MX • Serveurs MX réels (avec une IP, à l’écoute) 11 Certains serveurs sont mal configurés Le MAIL FROM: peut être différent du From:
  • 12. Protocole SMTP Présence et syntaxe du HELO/EHLO Fully qualified domain name (FQDN) Respect de la RFC 2821 Synchronisation et respect des acquittements Les éditeurs ne respectent pas la RFC à 100% Les serveurs ne sont pas toujours FQDN 12
  • 13. Analyse heuristique Utilisation d’expressions régulières : /C1al1s/ En-tête, corps, URL, contenu de pièces jointes... Emailing: Respecter la RFC 2369 (champs spécifiques) Certains mots clef sont très mal appréciés mais peuvent quant même apparaitre dans des emails légitimes : CASINO / Géant Casino 13
  • 14. Listes noires / listes blanches RBL / DNSBL / LHSBL : IP RHSBL / URIBL : domaines Spamtrap, Définition des ip-whois, Dénonciation d’Internaute, Relais SMTP, Antispam, Utilisateurs inconnus, Serveurs générant des Bounces, Pays 90% des sociétés françaises se sont retrouvées blacklistées un jour 14
  • 15. Filtres Bayesiens Distribution statistique de mots clé : spam / ham Utilisé pour les logiciels sur postes utilisateurs Apprentissage / Adaptabilité aux utilisateurs Les Bounces ne peuvent pas être traités ainsi Génère un taux non négligeable de faux-positifs Biaisé par les contenus aléatoires 15
  • 16. Bases collaboratives Signature / Hash Processus automatique par consultation Deux mails peuvent générer un hash identique Spams avec des contenus différents (aléatoire) génèrent un hash différent 16
  • 17. Authentification des emails SPF / Caller-ID / Sender-ID domaine.tld IN TXT "v=spf1 ip4:192.168.0.1/32 ~all" DomainKeys / DKIM DomainKey-Signature: a=rsa-sha1; q=dns; c=nofw Permet simplement d’éviter l’usurpation de son domaine par un tiers Des spammeurs utilisent ces techniques pour faciliter la délivrabilité de leurs spams 17
  • 18. Greylisting Refus temporaire 4xx Triplet (IP émettrice, email émetteur, destinataire) Réémission → Whiteliste Génère de la latence dans la réception des emails Ne bloque que env. 85% des spams (certains spammeurs réémettent) 18
  • 19. Teergrubing Maintien de session du serveur expéditeur (ajout de délais de réponse) Technologie proactive contre les spammeurs A n’utiliser que sur les spams certains Sature également le serveur antispam 19
  • 20. Analyse d’image / PDF Caractéristiques (nombre d’images, dimensions, tailles, format de fichier, colorimétrie,...) OCR Recherche: Découpage en zone / Datamining (recherche d’images proches) → HSC OCR peut facilement être trompé par le bruit Les caractéristiques des images spam / ham peuvent être très proches 20
  • 21. Test de Turing Authentification de l’expéditeur Reconnaissance de l’utilisateur via un CAPTACH Grand nombre de faux-positifs Deux systèmes équivalents : ping-pong Très simple à contourner pour un spammeur Ne bloque pas les SCAM Déport du problème sur l’expéditeur Génère beaucoup de mails (augmente le flux) 21
  • 22. OS Fingerprint Détection du système d’exploitation du serveur émetteur Analyse du nom de sauts réseau Ne peut être utilisé seul pour identifier un spam: • Un serveur Linux, n’est pas forcément un bon serveur • Un poste Windows XP n’est pas toujours un spammeur 22
  • 23. Compression Taille de la plus forte compression d’un email Recherche des k-plus proches voisins Extraction d’un vecteur représentant le mail Recherche sur une base SVM (Support Vector Machine) des k-plus proches voisins vectoriels Recherches : Gilles Richard – IRIT Toulouse Ne peut être le seul élément de détection 23
  • 24. Conclusion Technologies utilisées séparément → résultats non satisfaisants Possèdent toutes des avantages et des inconvénients propres La combinaison judicieuse de plusieurs (maximum) technologies → qualité filtrage performant http://www.altospam.com/fr/Panorama-des-technologies-antispam.pdf 24
  • 25. ? 25