Notre outil de lutte contre les courriers indésirables

Introduction

Le but de ce document est de définir ce qu’est le SPAM (ou courrier indésirable ou encore pourriel), de proposer des solutions pour les utilisateurs finaux et de présenter le filtrage effectué sur notre infrastructure.

Qu’est-ce que le SPAM

En référence à l’inondation de boites de viande durant la Seconde Guerre Mondiale par les USA, on appelle SPAM du courrier électronique non sollicité (publicité p.ex.).

Par extension nous considérons également certains types de chaines par mail ou de virus comme SPAM.

La détection des spams est quelque chose de complexe, mais qui progresse sans cesse. Le but est de maximiser le nombre de SPAMs détectés et supprimer en minimisant le nombre de messages validés mal détectés.

Vous pouvez trouver ici une description plus complète.

Solutions pour utilisateurs finaux

Beaucoup de clients e-mail (Mozilla Thunderbird, Apple Mail, Microsoft Outlook, etc.) offrent des systèmes de détection de publicité basés sur des règles; certains offrent des fonctionnalités avancées, basées sur procmail par exemple.

Une option est de faire la détection sur le serveur directement, c’est ce que nous faisons.

Solution de filtrage despam-check

Tout le courrier transitant par le serveur de mail via SMTP (courrier privé, SMTP, listes de distribution, etc.) est contrôlé par un système évolutif utilisant les méthodes suivantes:

  • listes noires d’adresses IP (mail-abuse.org, snoop)
  • contrôle d’existence DNS de l’émetteur
  • listes noires simples locales sur l’expéditeur
  • utilisation du système spamassassin (y compris RBL et razor), avec des règles locales supplémentaires
  • suppression de certaines annexes dangereuses, renommage de certaines annexes inconnues.
  • anti-virus clamav sur ce qui reste, mis à jour automatiquement avec freshclam (optionnel)

Si un message est considéré comme SPAM, une erreur est envoyée à l’émetteur supposé avec un numéro de référence (URL) qui lui permet de visualiser voire débloquer lui-même, et le message est sauvé dans un répertoire spécial.

Une fois par jour, le destinataire du message (vous) reçoit une liste des messages interceptés avec un lien (URL) qui permet de débloquer, visualiser ou ignorer le message. Les messages ainsi débloqués sont appris par le filtre! Ne débloquez donc pas des spams par erreur! Uniquement des faux positifs!

Optionnellement, en utilisant IMAP, et la boîte SPAM, vous pouvez y déplacer des faux négatifs (SPAMs non détectés par le filtre) et le système apprendra et effacera ces messages.

Notre système a un taux de mauvaise détection (false positive) très faible, avec pourtant un taux de détection de spam très grand. Ajouté à l’inspection manuelle régulière, et à la notification à l’émetteur et au destinataire et la possibilité pour l’émetteur et pour le destinataire de débloquer son message lui-même, cela fait un excellent système.