Des filtrages antispam sont présents sur la messagerie Gadz.org ; voici la liste des mécanismes mis en place :
[schéma simplifié à produire]
Le premier niveau de filtrage correspond tout simplement au bon respect des standards des protocoles de messagerie (SMTP, HELO, FQDN...)
Les spammeurs / les scripts utilisés ne s'embetent généralement pas trop à respecter les standards (HELO valide, hostname valide au format FQDN, reverse DNS correct, etc...)
Cette première étape permet de bloquer les spammeurs ne maîtrisant pas réellement les systèmes de messagerie.
Le taux d'efficacité du filtrage d'enveloppe est d'environ 50 %. Ce type de filtrage s'applique uniquement à l'en-tête du message, qui contient souvent assez d'informations pour pouvoir distinguer un spam. Il ne s'attache pas au contenu du courriel.
Cette technique présente l'avantage de pouvoir bloquer les courriels avant même que leur corps ne soit envoyé, ce qui diminue grandement le trafic sur la passerelle SMTP (puisque le corps du message est envoyé après que l'en-tête a été reçu et accepté). De plus, le taux de faux positifs dans ce type de filtrage est quasiment nul : lorsqu'un filtre d'enveloppe a identifié un courriel comme du spam, il se trompe rarement.
Les règles d'intégrité SMTP sont souvent très efficaces, car, pour les spammeurs, elles agissent comme inhibiteurs de performance (elles ralentissent les envois). Or, un spammeur a intérêt à être le plus performant possible et il peut être très payant pour lui de passer outre ces règles.
Exemples d'erreurs :
| SMTP_response | Reason | Description simple |
|---|---|---|
| 504 5.5.2 | Helo command rejected: need fully-qualified hostname | HELO mal formaté / non pleinement qualifié |
| 450 4.1.8 | Sender address rejected: Domain not found | Domaine d'envoi inexistant (ex: @amazoon.tutu) |
Des vérifications sont également effectuées sur l'émetteur et le destinataire (vérifications de l’existence de l'adresse) :
| SMTP_response | Reason | Description simple |
|---|---|---|
| 550 5.1.0 | Sender address rejected: User unknown in relay recipient table | Fausse adresse d'envoi (ex: [email protected] avec un PDF vérolé) |
| 550 5.1.1 | Recipient address rejected: User unknown in relay recipient table | Destinataire inconnu (ex: [email protected]) |
Techniques mises en place :
Sur postfix : helo_restrictions (reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname...) et sender_restrictions (reject_non_fqdn_sender, reject_unknown_sender_domain, reject_invalid_hostname...)
Une adresse mails et/ou un domaine spécifique (@toto.toto) peuvent faire l'objet d'un filtrage "manuel".
Cela peut se produire suite à des plaintes, rapport d'abus reçus sur les adresses d'exploitation de messagerie "postmater" et "abusemaster" at gadz.org (envoyé généralement par les FAI ou prestataires en charges des relais de messagerie des FAI et fournisseurs de messagerie, exemple AOL, Laposte.net, Microsoft (Hotmail/Live/Oultook), etc...) ou bien par constat d'un admin sur les interfaces d'exploitation (exemple : adresse mail voulant écrire à plus de 5 000 adresses mails en @gadz.org ...)
Exemple d'erreurs : (le code d'erreur sera toujours identique)
| SMTP_response | Reason | Description simple |
|---|---|---|
| 554 5.7.1 | Sender address rejected: spam | Domaine ou adresse envoyant du spam |
| 554 5.7.1 | Sender address rejected: abusive domain | Domaine abusif |
| 554 5.7.1 | Sender address rejected: SPAM&PHISH compromised account | Compte mail compromis / utilisé pour relayer du spam |
Techniques mises en place :
Table SQL de blacklist sur le champs "sender"
Afin de lutter contre l'exécution de code malveillants caché/intégré dans des pièces jointes, il a été décidé d'interdire certain type de fichier en pièce jointe des mails.
Les pièces jointes sont filtrées selon les règles suivantes :
.ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh .zip |
+ Les fichiers .doc contenant "facture" dans le nom de fichier sont également bloqués (depuis 2015/2016 suite aux nombreuses vagues de Cryptolocker se servant de ce vecteur d'infection) |
Ces règles sont quasiment identiques à celles mise en place par Google pour sa messagerie Gmail : https://support.google.com/mail/answer/6590?hl=fr
Exemple d'erreurs :
Des services de blacklists distantes et gratuites (DNSBL : DNS black lists) ont été configurées sur nos serveurs Postfix.
Ces services
5- Greylisting :
6- Antispam Bogofilter :