Portail officiel de la sécurité informatique - ANSSI - République française

Ce document ne s’intéresse qu’aux mesures techniques et organisationnelles de lutte contre le pourriel. Les aspects légaux ne sont pas abordés.

Techniques basées sur la limitation des ressources

Ces techniques sont utilisables contre les émetteurs de pourriels qui font transiter tous leurs pourriels par un seul serveur. Il s’agit donc de fixer des règles limitatives sur ce serveur.

L’idée sous-jacente à ces méthodes est que l’émetteur de pourriel ou le bombardier fait un usage abusif des ressources du serveur de messagerie. En limitant les ressources accordées au transport estimé abusif du courriel, on limite l’impact du pourriel, avec un effet négatif marginal sur le courriel légitime.

Les ressources que l’on peut limiter sont par exemple, selon les options de configuration des outils :

 le nombre de destinataires par message ;
 le nombre de messages par source et par unité de temps ;
 la taille maximale d’un message ;
 ...

Techniques basées sur la qualification de la source du courriel

L’idée qui est à la base de ces techniques est que le pourriel est émis par un serveur.

Existence du domaine de messagerie de l’expéditeur

Certains logiciels de serveur de messagerie ont une option qui permet de vérifier si le domaine de l’expéditeur existe. Ils bloquent les courriels des domaines inexistants et cela évite donc les courriels avec un domaine émetteur fabriqué.

Le risque de blocage à tort est limité. En effet, ces courriels n’attendent pas de réponse.

Liste noire

Le principe est de qualifier le courrier en fonction de la réputation du serveur qui l’a émis.

La réputation d’un serveur de courrier qui a émis du pourriel récemment est entachée, dans la mesure où l’on suppose qu’il pourrait à nouveau en émettre. Le serveur émetteur est identifié par la seule information fiable : son adresse IP.

 Une première sorte de liste noire identifie, sur la base de signalement/dénonciation, des serveurs ayant envoyé du pourriel.
Le serveur émetteur de pourriel dont l’adresse IP ou le nom ont été mis en liste noire prend le risque qu’un nombre significatif des messages légitimes ou non qu’il envoie soit automatiquement qualifié de pourriel et en définitive jamais lu.
Cette première sorte de liste noire a un intérêt limité. L’émetteur de pourriel s’adapte pour que son serveur ne soit pas connu sous son adresse IP ou son nom de domaine.

 Une autre sorte de liste noire identifie les relais de messagerie ouverts.
En effet une technique utilisée par les émetteurs de pourriels est d’identifier des serveurs de messagerie configurés en relais ouverts et de les utiliser pour relayer le pourriel. L’adresse vue par le serveur récepteur du courriel est celle du relais de messagerie et non l’adresse du serveur émetteur de pourriel.
Le parti pris d’une telle liste est que la probabilité de recevoir du pourriel d’un relais de messagerie ouvert est plus grande que la probabilité de recevoir un pourriel d’un serveur qui ne serait pas ouvert.

Restrictions dans les connexions autorisées
 Certaines recommandations dans la lutte contre le pourriel préconisent de refuser le courrier venant de particulier.
L’idée sous-jacente est que, normalement, un utilisateur particulier de l’internet, lorsqu’il souhaite envoyer un message, configure son client de messagerie (MUA) pour se connecter directement au serveur (MTA) de son fournisseur d’accès. A l’inverse, un robot d’envoi de courriel, comme certains de ceux utilisés par les émetteurs de pourriel, s’adresse directement au MTA du destinataire ou à un relais ouvert.

Pour contrer cette méthode, une technique de plus en plus fréquemment utilisée par les émetteurs de pourriel est de prendre le contrôle d’une machine mal protégée, à l’aide d’un cheval de Troie par exemple, et d’y installer un serveur ou un relais de messagerie. Il est en général reconnu que de nombreux particuliers ne configurent pas leur ordinateur domestique pour lui permettre de résister à de telles prises de contrôle. Les machines connectées dans les plages d’adresses IP allouées par les fournisseurs d’accès à leurs clients particuliers sont plus souvent utilisées pour envoyer du pourriel que les adresses des clients professionnels.

Par ailleurs, les adresses allouées aux particuliers sont souvent des adresses dynamiques (l’utilisateur n’a pas toujours la même adresse IP). Il est donc difficile pour un particulier de placer son propre MTA sur ce type d’adresse. Ceci est encore un argument pour dire que, normalement, sur une plage d’adresses IP allouées à la clientèle des particuliers, il n’y a pas de serveur de messagerie sciemment installé par le propriétaire de la machine.

Lorsqu’un courriel provient d’une telle adresse IP, il est plausible que ce soit un pourriel.

L’inconvénient est le risque de faux positif pouvant toucher un émetteur de courrier légitime qui a les compétences pour installer un MTA sur son ordinateur personnel.

Comportement du serveur de messagerie émetteur du courriel

Interprétation des codes d’erreur

L’émetteur de pourriel, dans une démarche pragmatique, peut être tenté de simplifier l’usage qu’il fait du protocole SMTP. En particulier, sachant que la liste d’adresses dont il dispose est imparfaite et dans le but de toucher le plus rapidement possible les destinataires dont les adresses sont valides, il est parfois tenté de ne pas tenir compte des messages d’erreurs retournés par le serveur de messagerie à qui il envoie des messages électroniques.

Une technique de lutte contre le pourriel appelée liste grise consiste à envoyer un message d’erreur temporaire (C’est-à-dire un code du type 3xx.) pour obliger le MTA émetteur à tenter de réémettre le courriel. Si le courrier est effectivement réémis, l’adresse de l’émetteur est mémorisée pendant quelques semaines.

L’idée sous-jacente est qu’un MTA légitime normalement configuré va essayer de réémettre le courriel. En revanche, un logiciel d’envoi massif de messages électroniques ne prendra pas cette peine.

Interprétation du protocole SMTP

L’hypothèse qui est faite est qu’un logiciel d’envoi de pourriel est fait pour envoyer du courrier et non pour en recevoir. Il sait produire des commandes SMTP, mais ne sait pas les interpréter. Pour savoir si on est en présence d’un serveur de pourriel ou d’un serveur de messagerie, on va le tester avec des commandes SMTP. Des exemples de tests :

 vérifier si le serveur émetteur du courriel accepte MAIL FROM : <> (accepte-t-il de relayer un message d’erreur ?)
 vérifier si le serveur émetteur accepte de recevoir des courriels sur son adresse de courriel postmaster : (RCPT TO : postmaster@emetteur.com)
 vérifier si le serveur émetteur accepte de recevoir des courriels adressés à l’adresse de l’émetteur (RCPT TO : emetteur@emetteur.com).

L’inconvénient est que si l’adresse source du message est falsifiée, comme dans le cas des Joe Jobs, alors le serveur testé n’est pas celui qui a réellement envoyé le courriel.

Réponse à un défi

Lorsque le message arrive, il est placé dans une file d’attente. Le serveur de messagerie envoie une demande à l’expéditeur pour qu’il s’authentifie. L’authentification consiste en général à donner un mot de passe ou à visiter une page. Cela demande à l’émetteur une phase humaine d’interprétation de la requête. Il convient de s’assurer que la collecte d’adresses de messagerie ainsi réalisée est conforme à la déclaration faite auprès de la CNIL.

L’inconvénient est que cela ralentit l’acheminement du courrier. Il y a un risque de faux positif.

Techniques basées sur la qualification du contenu du message

L’idée à la base de ces techniques est que le phénomène du pourriel recouvre des contenus assez stéréotypés. L’étude du contenu des courriels peut aider à qualifier en pourriel ou non.

Filtre à mots clés

Il s’agit de qualifier de pourriel des courriels qui contiennent certains mots clés.

Cette technique est insuffisante : il est très aisé pour un émetteur de pourriel de faire une modification mineure de son texte, qui le laisse intelligible mais qui contourne les filtres à mots clés.

Par exemple, à partir du mot CERTA, on peut écrire les variantes suivantes C E R TA, CE.R.TA, C3RTA, C.ERT4, ... Visuellement ces mots restent très proches du mot recherché mais sont différents. Là où un humain reconnaît avec un petit effort quel est le mot maquillé, un programme de reconnaissance automatique peut avoir beaucoup de difficultés.

Filtre à empreinte

Un filtre à empreinte calcule une signature du contenu d’un courriel et le compare à une base de données d’empreintes de messages considérés comme du pourriel.

L’idée sous-jacente est que le pourriel consiste en l’envoi massif de messages tous identiques.

Il y a deux problèmes derrière ce type d’outils :

 Comme tous système à signature, un filtre à empreinte ne détecte que les pourriels connus.
 L’autre problème est que une modification minime du corps du texte (quelques caractères aléatoires) suffisent pour que la prise d’empreinte soit rendue inefficace puisque chaque empreinte sera différente.

Filtre heuristique

Ces filtres cherchent à établir une probabilité que le message soit un pourriel en étudiant son contenu, et le comparant ce dernier avec des caractéristiques de pourriels émis dans le passé :

 HTML dans le corps du message ;
 de nombreux mots écrits uniquement avec des lettres majuscules ;
 mots clés correspondants à des produits souvent vantés au travers du pourriel ;
 très grand nombre de destinataires ;
 ...

Techniques basées sur la configuration des systèmes

Politique de lutte contre les logiciels malveillants

De plus en plus de logiciels malveillants (virus, chevaux de Troie, bot, ...) installent un serveur de messagerie sur la machine qu’ils ont compromise. Cette fonctionnalité des outils malveillants est destinée à faciliter la propagation du pourriel.

Lutter contre le pourriel, c’est donc aussi lutter contre les logiciels malveillants. Le CERTA a émis de nombreux documents sur la façon de se protéger contre les logiciels malveillants.

Configurer les serveurs de messagerie

Faire une déclaration SPF

Une façon de contribuer à qualifier un courriel reçu pourrait être "est-ce que le serveur qui l’a émis est une machine reconnue par le maître du domaine émetteur apparent comme légitime pour envoyer du courriel ?".

Nous l’avons vu, le DNS d’un domaine au travers de son champ MX peut indiquer quel est le serveur de messagerie prévu pour recevoir le courrier électronique pour le domaine. C’est absolument nécessaire pour envoyer du courrier puisque le MUA ou le MTA doit déterminer quel serveur assure le relais du message vers le destinataire.

Le champ MX ne répond pas à la question qui consiste à déterminer quelles sont les machines prévues pour envoyer du courrier. Il faudrait une sorte de MX à l’envers.

C’est l’objet du champ SPF. Il sert à désigner dans le DNS les machines autorisées par le domaine à émettre du courrier. Les MTA ont ensuite la possibilité, au moment de la réception de la commande EHLO ou MAIL FROM, de vérifier si l’adresse IP de l’émetteur du courriel déclarant provenir de mondomaine.com est bien une des adresses déclarées par le gestionnaire du domaine mondomaine.com comme une adresse autorisée à envoyer du courriel.

L’inconvénient est qu’à l’heure actuelle le bénéfice de l’interrogation du champ SPF est faible puisque peu de domaines l’ont rempli.

Un autre inconvénient est que l’interprétation du SPF peut s’avérer fausse dans certains cas où l’utilisateur fait suivre son courrier.

Enfin, le SPF en tant que tel n’est pas suffisant. Un émetteur de pourriel pourrait très bien s’acheter ses noms de domaines et déclarer des champs SPF pour ses domaines. Les promoteurs de SPF mettent en avant la nécessité de la gestion de la réputation.

Éviter les relais non maîtrisés

A moins d’avoir une bonne raison de faire autrement, il est conseillé de ne pas laisser un relais de messagerie ouvert sur l’internet. Un serveur de messagerie raisonnablement configuré ne devrait accepter de relayer que vers les quelques domaines nécessaires (Ce n’est en aucun cas une limitation sur la nature des messages que l’on peut recevoir ou envoyer. C’est une limitation sur l’usage que des tiers pourraient faire du serveur pour envoyer du courriel à d’autres tiers).

Détecter les serveurs de messagerie

Normalement le plan de déploiement d’un parc informatique devrait préciser quelles sont les machines destinées à servir de relais de messagerie.

Un fournisseur d’accès à l’internet indique dans sa documentation technique les serveurs qu’il met à la disposition de ses abonnés.

Si c’est autorisé, scanner le réseau pour découvrir le port 25/TCP ouvert.

Maîtriser ses routes

Certains fournisseurs d’accès offrent un service relatif aux protocoles de routage, tel que BGP par exemple. Les émetteurs de pourriel ont dès lors la possibilité d’identifier des plages d’adresses IP pour lesquelles aucune route n’est définie, puis de déclarer des routes vers ces plages et d’émettre du pourriel depuis ces plages.

Il existe des listes de plages d’adresses IP non attribuées. Aucun trafic ne devrait venir de celles-ci.

Une bonne pratique veut que l’on filtre en entrée et en sortie de son réseau ces plages d’adresses.

Techniques basées sur le comportement de l’internaute

Utiliser des adresses volatiles

Certains outils d’envoi de pourriel collectent les adresses électroniques qu’ils trouvent sur la machine compromise sur laquelle ils sont installés. En particulier, un tel logiciel peut chercher dans les boîtes aux lettres. Un abonné à une ou plusieurs listes de diffusion, serait une cible idéale pour de tels outils parce qu’une grosse liste de diffusion avec plusieurs publications par jour est une source de nombreuses adresses électroniques sauvegardées sur de nombreuses machines d’internautes.

Pour limiter les risques qu’une adresse électronique soit collectée dans de telles conditions, il est recommandé d’utiliser des adresses jetables pour poster dans les listes de diffusion ou les groupes de news, dans un blog ou un forum.

Il existe sur l’internet de nombreux prestataires qui offrent des boîtes aux lettres gratuites. Il ne faut pas hésiter à créer de nombreuses boîtes aux lettres (une par usage).

Donner des adresses "poubelles"

De nombreux sites demandent une adresse électronique, pour la confirmation du service demandé par exemple. La plupart du temps le service est confirmé par un autre moyen, donner une adresse électronique est donc à la fois inutile et dangereux (si l’éditeur du site est peu scrupuleux quant à la gestion des adresses qu’il demande ou bien si le site est compromis et que la base de données des adresses est volée).

Il ne faut pas hésiter à donner une adresse de messagerie dite "poubelle" dans ce type de site. Il s’agit de donner une adresse (qui peut être créée pour l’occasion) qu’on ne relèvera jamais.

Ne pas donner l’adresse de quelqu’un d’autre

Chaque internaute devrait choisir lui-même l’usage qu’il fait de ses adresses de messagerie.

Il faut éviter de donner l’adresse électronique d’un tiers dans un formulaire que l’on remplirait à sa place sans son accord préalable, ou en donnant son adresse dans le champ d’un formulaire de site du style "envoyer à un ami" ou carte postale électronique.

Une façon de protéger l’adresse des tiers qui ont fait confiance en vous la donnant, est de mettre les destinataires des courriels dans les champs invisibles tels que Bcc (CCi ou copie invisible), plutôt que les champs To et CC. C’est important dès lors que l’on a beaucoup de destinataires dans un message.

Éviter la moisson d’adresses électroniques

Il existe des outils pour collecter les adresses électroniques sans se préoccuper du consentement de leur propriétaire. Il s’agit en particulier d’outils qui extraient les adresses électroniques publiées sur les sites. Afin d’éviter que les adresses ne soient collectées de la sorte, il convient d’éviter de publier les adresses sur les sites.

Il est préférable de ne publier que les adresses fonctionnelles plutôt que les adresses personnelles.

Il y a des astuces pour publier les adresses électroniques dans l’espoir qu’elles échappent aux outils de collecte :

 remplacer le texte de l’adresse par une image qui contient ce texte ;
 utiliser une devinette qui oblige un être humain à extraire l’adresse.
Par exemple certa123SPAM456-svp@certa.ssi.gouv.fr retirer les chiffres et le mot SPAM pour avoir l’adresse valide ;
 donner le moyen de reconstituer l’adresse : mon.alias(chez)fournisseur_internet.fr

Ne jamais répondre aux pourriels

Répondre à un courriel, c’est confirmer à l’émetteur de pourriel que l’adresse à laquelle il a envoyé un message existe vraiment. Indirectement, c’est s’exposer à recevoir beaucoup d’autres courriels.

Ne pas répondre ne suffit pas. Encore faut-il configurer son lecteur de messagerie pour qu’il ne réponde pas à la place du lecteur :

 ne pas envoyer d’accusé de réception ;
 interdire au lecteur de charger des images ou tout autre objet sur des sites distants ;
 interdire l’exécution du code JavaScript.