Les moyens disponibles pour lutter contre le fléau du spam sont multiples : Cela peut aller de mécanismes de collection de plaintes en provenance des utilisateurs, de l'analyse du contenu des messages (détection de mots clefs, ...) ou encore de la présence de l'adresse IP de l'émetteur dans une liste noire ("blacklist").
Rares sont les personnes à souhaiter passer du temps à se plaindre auprès de leur fournisseur de services des spams qui peuvent arriver dans leur BAL : Les services de relais de messagerie intégrant des fonctions de détection et de filtrage de spam sont désormais la norme.
Donc si les remontées manuelles sont minoritaires, comment une source de spam jusqu'ici inconnue peut-elle être détectée et être inscrite dans ces fameuses listes noires ?
L'une des réponses à cette question, ce sont justement les spamtraps : Un mécanisme spécialement conçu pour piéger, et donc ainsi détecter, les spammeurs.
Comment me direz-vous, j'ai été amené à creuser un peu le sujet ? J'ai été amené à me pencher sur ce mécanisme dans le cadre de mes travaux avec la cellule Abuse d'Orange Business Services qui gère quotidiennement les problèmes relatifs au spam. En effet, alors que je regardai les plaintes reçues, je me suis étonné de voir plus de 600 plaintes associées à une seule et même adresse IP...
Les spamtraps, c'est quoi ? Comment créer un tel piège ? Que doit faire une cellule abuse vis à vis de ces pièges ?
Dans cet article, je vous propose de rentrer de l'autre coté du miroir et de découvrir ce mécanisme assez méconnu mais très efficace.
Rares sont les personnes à souhaiter passer du temps à se plaindre auprès de leur fournisseur de services des spams qui peuvent arriver dans leur BAL : Les services de relais de messagerie intégrant des fonctions de détection et de filtrage de spam sont désormais la norme.
Donc si les remontées manuelles sont minoritaires, comment une source de spam jusqu'ici inconnue peut-elle être détectée et être inscrite dans ces fameuses listes noires ?
L'une des réponses à cette question, ce sont justement les spamtraps : Un mécanisme spécialement conçu pour piéger, et donc ainsi détecter, les spammeurs.
Comment me direz-vous, j'ai été amené à creuser un peu le sujet ? J'ai été amené à me pencher sur ce mécanisme dans le cadre de mes travaux avec la cellule Abuse d'Orange Business Services qui gère quotidiennement les problèmes relatifs au spam. En effet, alors que je regardai les plaintes reçues, je me suis étonné de voir plus de 600 plaintes associées à une seule et même adresse IP...
Les spamtraps, c'est quoi ? Comment créer un tel piège ? Que doit faire une cellule abuse vis à vis de ces pièges ?
Dans cet article, je vous propose de rentrer de l'autre coté du miroir et de découvrir ce mécanisme assez méconnu mais très efficace.
Définition d'un spamtrap
Les spamtraps sont des adresses e-mail spécialement créées dans le but d'attirer des messages non-sollicités. Elle ne sont utilisées que pour cet usage et aucun autre. Aucun message n'est émis depuis ces adresses de spamtrap. On peut donc dire que ces adresses e-mail sont "factices" dans le sens ou elles sont pas utilisées pour des communications usuelles entre personnes ou des organisations.
Création du piège
L'administrateur d'un serveur de messagerie pourra créer des adresses e-mail "spamtrap" de différentes manières :
Création d'adresses : la méthode "basique"
piegespam1@nomdomaine.fr
piegespam23@nomdomaine.fr
spamtrap.45@nomdomaine.fr
xdrtgfde@nomdomaine.fr
edrfjhbghj.hgdndd@nomdomaine.fr
edsaqzs.koliop@nomdomaine.fr
....
Il est aussi possible de créer des pièges moins "évidents", en utilisant des adresses e-mail pour des personnes n'existant pas dans la société :
marienancy.dubrovnic@nomdomaine.fr
john.doe@nomdomaine.fr
bill.gates@nomdomaine.fr
jeanfrancois.dutronchu@nomdomaine.fr
(Ici, il y a un risque de collision avec une adresse existante ou celle d'un(e) futur(e) arrivant).
....
La méthode "automatisée"
En partant sur des fichiers de noms et prénoms usuels, on génère des adresses e-mail factices du genre "john.smith@nomdomaine.fr", "emile.durand@...".
Dans ce cas, faites attention à ne pas utiliser la même convention utilisée en interne (genre "prenom.nom@nomdomaine.fr) car il y aura surement quelques collisions...
Pour éviter toute déconvenue, préférez une convention différente de celle utilisée : pnom@nomdomaine.fr (1ere lettre du prénom suivie du nom)...
--> Avec la méthode "basique" c'est la méthode qui fait le plus de sens.
La méthode "binaire" pour les plus volontaires
Pour se simplifier la vie, utilisez un nom de domaine spécifique pour vos spamtraps : Toutes les adresses e-mail de ce domaine seront donc des pièges en puissance.
Et dans ce cas, plus de problème de collisions ou quoi que ce soit... Simple et efficace et d'un coût modéré !
La méthode de l'artisan
Beaucoup plus laborieuse mais diablement efficace : Pendant une durée donnée, on accepte tous les mails envoyés à des adresses e-mail n'existant pas : On ouvre chacun des messages (depuis un poste sécurisé et isolé de votre réseau) en chargeant le code HTML : Cela va avertir le spammeur que l'adresse email utilisée est lue...
On peut aller jusqu'à demander une désinscription (illusoire bien sûr, mais cela confirmera que l'adresse est lue). Une fois cela fait pendant quelques jours, on a une superbe base d'adresses de spamtrap à consommer sans modération. :-)
Mise en place ou pose du piège
Une fois les adresses mails factices créées, il s'agit de les poser aux "bons endroits" afin que les spammeurs s'y prennent les pieds.
Les adresses spamtrap vont être publiées à des endroits ou aucun humain n'irait les trouver : Dans des zones de commentaires de pages Web, au milieu des pages web mais en utilisant une couleur "ton sur ton" (invisibles donc pour une personne), en les publiant dans un groupes de discussion, etc...
Une autre alternative est de crééer une page dédiée ne contenant que des emails de type spamtrap et de mettre en place des liens cachés vers celle-ci depuis d'autres pages de votre site web. A chacun d'être créatif ! Il reste essentiel que ces adresses ne soient vue que par les outils de ramassage/collecte utilisés par les spammers pour constituer leurs bases d'adresses : Un terme a justement été créé pour ce type d'outils : Les spambots.
Dès qu'un spambot va arriver sur une page contenant les adresses email factices, il va les collecter et les ajouter à la base d'adresses emails du spammer. Le piège commence à se refermer sur le spammer : Il ne reste plus qu'a attendre.
Le cas spécial des adresses générées automatiquement
Dans le cas ou vous utiliseriez des adresses générées via un dictionnaire (de noms et prénoms à consonance anglophone de préférence), vous n'avez peut-être
même pas à publier les adresses.... Pourquoi me diriez-vous ?
Parce-que, tôt ou tard vous serez la cible d'une attaque par énumération/dictionnaire : Un spammer tentera de vous envoyer des mails vers des adresses créées avec des bases de noms et de prénoms... Dans ce cas, il suffit d'attendre... Bien sûr, il reste possible de passer à la vitesse supérieure via la publication des adresses sur un site web via quelques liens cachés.
Notes : En créant des spamtraps, vous allez attirer du spam... vérifiez-bien que cela est autorisé auprès de votre prestataire ou que vos serveurs de messagerie seront en mesure de gérer cette charge supplémentaire. Il est aussi __essentiel__ que vos adresses de spamtrap restent confidentielles, idem pour le nom de domaine de spamtrap.
Le piège se referme
Les adresses emails factices collectées par le spambot ont sont donc maintenant dans la base d'adresses du spammeur. Celui-ci va donc s'en servir pour envoyer ses messages non-sollicités par milliers ou plutôt par millions : Dans la masse de ces messages, certains de ses messages vont donc arriver sur nos pièges....
Et comme une adresse email de type spamtrap n'a jamais pu exprimer un consentement préalable pour quelque mail que ce soit, tout message adressé à ce type d'adresses email est donc à 99,999% du spam.... Le spammer est donc pris la main dans le sac !
Envoi des notifications de plainte pour réception de spam
Derrière chacune des adresses spamtrap, on peut retrouver un programme qui pour tout mail reçu, va génèrer une plainte à destination de la cellule Abuse référencée en contact pour le bloc d'adresses IP d'où provient le spam...
Ces messages pourront suivre le format ARF (Abuse Reporting Format) qui permet d'automatiser le traitement des emails via des programmes. Pas de règle (à ma connaissance du moins) dans le domaine, après une plainte formatée aura plus de chances d'être traitée qu'une autre... :-)
L'envoi d'une plainte n'est cependant pas une obligation : Certains préféreront bloquer l'adresse IP de l'émetteur via une règle de firewalling, etc... A chacun ses préférences et ses techniques de lutte contre le spam. :-)
Traitement des plaintes
La cellule Abuse va donc recevoir, quasiment en temps réel, des mails de plainte pour du spam émis depuis des adresses IP de son réseau. Ces plaintes sont reçues et traitées automatiquement pour être regroupées selon l'adresse IP d'émission. Les personnes physiques reprennent la main : L'utilisateur de l'adresse IP incriminée va être contacté.
La chasse au bot ou au serveur SMTP en open-relay peut donc commencer !
Cette technique ne permet absolument pas de lutter contre le spam, mais permet de générer encore plus de mails envoyés à travers le monde (qui ne seront certes pas lus, mais consommes de l'énergie et de la ressource serveur).
Les spammeurs sont assez malins pour émettre ces spams à partir de relais ouverts, proxy et j'en passe. Autrement dit, ce n'est pas en bloquant une source que l'on arrêtera le spam, car ils changeront de source très facilement et elles sont de toutes façons multiples à la base.
Par ailleurs cette technique n'a rien d'innovant, SpamPoison le propose depuis bien fort longtemps : http://french-135612606564.spampoison.com/
Pour lutter contre le spam il existe plusieurs solutions :
- Caller-ID, Sender-ID (microsoft, propriétaire)
- DomainKeys
- Sender Policy Framework (SPF)
- Confirmation de l'expéditeur en auto-reply via un captcha (je ne retrouve plus le nom du système)
Enfin, une alternative génialissime Yopmail : http://blogmotion.fr/internet/email-jetable-temporaire-2170
Les solutions de ce type sont parfaitement inutiles : http://www.caspam.org/ au même titre que de remplacer des caractères en les écrivant de toutes lettres.
Plus simplement il suffit de laisser vos mails chez Google (Google Apps ou Gmail pour les particuliers) et le spam disparaît grâce à la lutte communautaire.
Le nom de l'antispam captcha+email est : http://www.mailinblack.com/site/index.php?langue=fr
Project Honey Pot is the first and only distributed system for identifying spammers and the spambots they use to scrape addresses from your website
http://www.projecthoneypot.org/
Hello Mr.Xhark. Merci pour votre retour très complet !
Ce qui est intéressant dans le mécanisme de Spamtrap c'est qu'il permet d'identifier les sources d'émission de spam (les machines infectées par un bot/zombie ou un serveur de relais ouvert).
Je vous rejoins sur le fait que des systèmes comme Sender-ID, DKIM, SPF sont de meilleures solutions car proposent une approche préventive au problème su spam : Elles ne sont cependant pas encore assez déployées/utlisées pour être efficace.
Des outils comme Spampoison ont pour objectif de "pourrir" les listes des spammeurs en y insérant des adresses emails totalement fausses : Cela va aussi augmenter le trafic de mail... La technique n'est effectivement pas nouvelle.
Je connaissais pas YopMail, c'est effectivelent ingénieux : Merci pour l'info.
Le filtre antispam de Gmail est effectivement de très bonne facture : Très peu de spam arrivent à passer au travers des mailles du filet.
Project Honeypot is really a "spamtrap on steroid leveraging the community effect" : It provides all the tools and knowledge to get started with spamtrap technology. Thanks for the link Nat : really interesting.
For our French readers / Pour nos lecteurs francophones :
Le "Project Honeypot" est un système communautaire basé sur le principes des spamtraps. Tous les outils sont disponibles pour alimenter le système (URL vers des pages d'injection d'adresses email, "prêt" de champs MX de nom de domaines, système de blacklist basé sur le DNS pour lister les adresses malicieuses, etc...). Intéressant !
@JF.Audenard : bien que la sécurité puisse être qualifié de science, il est intéressant d'échanger nos points de vus respectifs.
Il faut, je pense, encourager les méthodes de lutte active contre le spam. Mais il convient également de remonter la piste des spammeurs pour stopper le phénomène (on se souvient de McColo Corp. http://www.ecrans.fr/Le-spam-mondial-decapite-par-un,5679.html).
Enfin, il faut soutenir les FAI qui désactivent pas défaut le port 25 en envoi sur les box, ce qui permet de limiter un tant soit peu l'émission de mails via les méthodes classiques (réseau de zombies, etc.). Il faut par contre que cette restriction soit désactivable pour l'abonné pour préserver une liberté de sa propre connexion (c'est le cas chez Free par exemple).
Pour YopMail, il suffit d'y goûter pour l'adopter :)
@Mr Xhark : Effectivement, l'échange de points de vue est essentiel. C'est autant vrai entre experts que vis-à-vis de personnes découvrant un domaine préalablement inconnu.
Arrêter les spammeurs est effectivement le "graal" : Il est possible de l'atteindre comme on a pu le voir avec McColo !
La désactivation du port TCP/25 (SMTP) depuis les box est effectivement une mesure qui permet d'endiguer les vagues de spam en provenance de machines infectées. C'est d'ailleurs une recommandation de groupes de travail comme le MAWWG. Après, il ne faut pas s'arrêter à cette seule mesure car elle traite les symptomes et non pas les causes (postes infectés)... Cette restriction doit effectivement être désactivable au cas par cas.
Bonjour,
Autant je partage la première partie de votre article, pour suivre l'utilisation qui est faite des adresses emails, autant je ne partage pas la partie répression proposée. Les premiers qui seraient touchés seraient les FAI. Ensuite ceux qui n'ont pas les compétences pour gérer un hébergement, un site, un formulaire protégé contre l'injection. Bref, ce seront surtout des victimes collatérales que vous allez faire. Les vrais spammeurs eux savent passer à travers ces méthodes de filtrage/répression.
Bonjour,
Merci pour votre retour mais je ne suis pas totalement en phase avec vous. Les spamtraps permettent effectivement de suivre "le cheminement" des adresses emails d'une base à une autre. Etre capable de suivre cela est une très bonne chose : Ne rien faire ensuite en est une autre.
Un FAI émettant du spam (ou qu'il en relaye que ce soit directement ou indirectement) vers un spamtrap sera identifié et potentiellement blacklisté ou à minima notifié d'un problème : Oui, c'est normal et cela doit rester le cas, même si cela a des coûts importants : Dans le cas contraire ce serait encore plus spam. Les FAI et hébergeurs sont des professionnels et se doivent de faire respecter un usage juste du réseau.
Concernant les personnes ayant un hébergement, un site : Pour moi, il ne faut pas les dédouaner de tout effort de sécurisation : Si ils sont compromis et émettent du spam alors il est important qu'ils en soient informés. Et oui, cela demande un minimum de compétences : A mon sens requis pour utiliser Internet. Dans le cas contraire, ce serait ingérable.
Pour les personnes ou sociétés dont des PC sont infectés par des bots : Encore une fois ne rien leur dire et les laisser du spam ne serait pas la solution. Oui, identifier le ou les postes infectés prends du temps et a un coût mais quelque part cela leur permet de reprendre le contrôle de leurs postes.
Concernant les spammeurs qui passent au travers : Oui, la lutte est permanente et sans cesse renouvelée... Faut-il pour autant baisser la garde ? Non, la lutte doit être permanente.
Oui, être "blaklisté" est perturbant/incapacitant : C'est vrai tant pour un serveur dédié, une petite entreprise ou encore un ISP/FAI : Orange Business Services a pu en faire les frais directement il y a quelques années de cela.
En vous souhaitant une bonne fin de journée.
Meilleurs Salutations.
JF.
Petite précision supplémentaire : Les spamtraps, seuls des professionnels mettent en place ce type de système.... Ce n'est pas Mr/Mme tout le monde qui vont mettre cela en place derrière leur ADSL à la maison... Donc oui, c'est un moyen de lutte pour des professionnels et à manipuler par des professionnels.
C'est ce qui fait la richesse du web de ne pas être en phase avec les gens que l'on lit, pour peut que cela ne parte pas directement en flamme et que cela dérape. ;-)
J'ai commenté longuement votre réponse sur Snipemail. Comme indiqué, je comprend votre vision du point de vue informatique et technique, mais les dérapages, et il y en aura forcèment ont un impact tellement important sur les victimes qu'on ne peut pas se permettre de les sacrifier sur l'autel de la lutte anti-spam. Ce ne sont pas uniquement des victimes collatérales, il y a des humains, des familles, des emplois. Ce n'est pas à prendre à la légère.
Un bon débat est effectivement enrichissant tant pour les parties en "prise" que pour ceux qui regardent.
Je viens de prendre connaissance de votre réponse sur Snipemail. Je suis en phase avec vous sur les difficultés que peuvent rencontrer des petites sociétés dans la sécurisation de leurs systèmes.
Les impacts d'un blacklistage, surtout dans le contexte économique actuel, peuvent effectivement avoir de graves conséquences comme vous l'évoquez dans votre réponse sur Snipemail.
Certaines de ces "listes noires" ont des pratiques des plus discutables comme monétiser une désinscription plus rapide...
Quelques recommandations pour ceux qui regardent l'échange (cordial) de balles :
1) Ne pas "jouer" avec les spamtraps si vous ne comprenez pas de quoi il retourne. Ce n'est pas un jeu, c'est du sérieux !
2) Si vous êtes blacklistés, le mieux est de solliciter l'aide d'un professionnel, que ce soit votre prestataire informatique, votre hébergeur ou votre fournisseur d'accès Internet.
3) Si vous le pouvez (et le souhaitez), profitez des serveurs de relais sortants de votre prestataire/FAI/hébergeur : Si il advenait que l'une de vos machines étaient infectée pas un bot, cela simplifierait la résolution du pb. En effet, vaut mieux négocier avec votre prestataire qu'avec l'adresse email anonyme d'une liste noire en anglais et qui se contrefout (c'est malheureux à dire mais c'est très souvent le cas) de vos difficultés ou problèmes et qui restera inflexible.
En vous souhaitant bonne continuation !
JF
À Yopmail je préfère Spamgourmet, qui ne dévoile pas les messages, ce qui le rend utilisable lorsque l'on s'inscrit sur un site web qui expédie par mail un URL secret ou mot de passe.
Je suis aussi un utilisateur de SpamGourmet depuis de longues années... et je dois dire que la simplicité d'utilisation du service est l'un de ses atouts ! Simple, efficace et ne change rien aux habitudes : On reçoit ses mails comme à l'habitude... Tout en sachant d'ou ils proviennent et en limitant le nombre.
Bonjour,
Je me permets de réagir à votre article.
Nous sommes editeur de la plate forme de routage emailing Pro Mail.
A ce titre nous avons mis en place une gestion drastique de la liste des contacts avec un taggage en temps réel sur l'ensemble des bases de nos clients en cas de plaintes de demande de radiation de domaines incorects ou de mails incorects. Nous nous assurons de la provenance de la base.
Maintenant nous ne sommes pas à l'abri qu'un client insère une mauvaise adresse une mauvaise base ou ne travaille pas sur de l'optin .
Pour cela je préconise une charte entre professionnels du routage, afin que nous ayons tous, les spamtrap et pieges et que nous puissions refuser une envoi client dont nous avons trouvés un spamtrap ou autre . Bien evidemment sans leur redonner notre source de détection.
Ainsi les grands acteurs emailing, emailvision, pro mail, do list, emailstratégie, np6 et autres pourraient réduire leurs envois sur des bases non optin, gagner du temps sur les déblacklistages et surtout cela reduirait considérablement l'envoi de mauvaises campagnes.
A vous lire,
cordialement,
Bonjour. La communication entre professionnels est effectivement essentielle afin de gérer mieux ce fléau qu'est le spam, surtout dans le cas d'une activité comme la votre.
Un partage des bases de spamtraps entre acteurs pourrait effectivement être intéressant mais le risque est que celle-ci soit compromise par une brebis galeuse travaillant pour le compte des spammers... Dans de cas, c'est mort : En ayant connaissance des spamtraps, les spammers les éviteront tout naturellement. Peu de chances que cela puisse être mis en place.
Une autre façon de mettre en oeuvre ce partage de spamtraps tout en assurant la confidentialité des adresses reste possible : Cf l'exemple de l'intégration du filtrage anti-phishing intégré dans Firefox qui s'appuie sur les listes de Google : Le hascode est notre amis dans ce cas. Ainsi il serait possible de tester si une adresse est un spamtrap ou non tout en conservant ladite liste secrète.
Par contre, un guide de bonnes pratiques ou "code de bonne conduite" est effectivement une bonne idée. Des initiatives dans ce ont pu être mises en place dans le cadre de l'AFA mais aussi de groupes de travail plus spécialisés comme le MAAWG : C'est l'occasion de rencontrer les personnes impliquées au quotidien et donc de tisser des relations permettant de travailler de façon plus coordonnée.