Flux RSS15 04 2007 | [SPAM]Gestion du spam.[SPAM]
Intéressons nous à ce qui se passe lors de la phase 1 : le filtrage.
Un mail est rédigé chez un fournisseur Lambda et a pour destinataire pedro@toto.com hébergé chez Celeonet. Le mail est mis dans les files d’envois du serveur SMTP (envoi des mails) de Lambda, ce dernier va faire une interrogation DNS afin de savoir quels sont les serveurs de réception pour le domaine toto.com. Il établit une connection avec les serveurs MX (réception des mails) de Celeo et l’aventure commence. Le mail est réceptionné par Celeonet, le logiciel Bitdefender va en analyser le contenu :
1) Le mail contient un fichier joint, il est analysé par l’antivirus. Il est infecté ? Bitdefender le rejette et prévient l’expéditeur.
2) Le mail ne contient pas de fichier infecté, plusieurs moulinettes antispams se mettent en marche (sources Bitdefender):
Le module contenu explicite permet de bloquer les emails à contenu sexuellement explicite.
Le filtre heuristique avancé (avec technologie NNet) recherche les caractéristiques communes d’un message, propres au spam.
Le module Charset Filter filtre les messages comprenant des caractères asiatiques ou cyrilliques.
Le module URL Filter identifie les emails en provenance de sites connus de spammeurs. Cette base d’URLs est régulièrement enrichie.
Le module Image Filter identifie les images intégrées dans les messages et les compare à une base de données régulièrement actualisée d’images utilisées par les spammeurs.
Filtre antiphishing contre les tentatives d’escroquerie par usurpation d’identité.
Chacune de ces opérations aboutit à un cumul de points, plus le nombre de points est haut plus la probabilité que le mail soit un spam est importante. Vous pouvez retrouver dans l’entête de vos emails ce décompte :
X-BitDefender-SpamStamp: v1, bayes score: 500, pbayes score:994(994), neunet score: 500, total: 994
Si le score obtenu est supérieure à la limite fixée par l’administrateur l’objet du mail est modifié et encadré par [SPAM]Sujet du mail[SPAM].
3°) Le mail est transmis à Postfix qui effectue une vérification sur l’entête du mail et principalement sa provenance. Pour cela les blacklistes publiques sont utilisées afin de savoir si le mail provient d’un serveur dont l’ip est référencée comme celle d’un spammeur. Si tel est le cas il est rejetté et l’expéditeur en est averti, sinon il est transmis aux serveurs de la phase 2 pour être mis dans la boîte aux lettres du destinataire.
La théorie c’est bien joli mais quels sont les résultats dans les faits ?
La boite aux lettres service-clients@celeonet.fr est idéale pour tester les performances de l’antispam, elle est indiquée sur le site de Celeonet et est présente dans les carnets d’adresses de nos clients, elle a donc un fort potentiel à être spammée.
Période de référence :
Du lundi 09/04/2007 00:00 au dimanche 15/04/2007 17:00
Nombre de mails reçus : 366
Mails réels : 144
Spams : 201
Abonnements à des newsletters sans accord : 21
Spams détectés par l’antispam : 187
Faux positif : 0
93,03% des spams ont donc été détectés et taggués, un résultat plutà´t bon.
Trucs et Astuces :
Si vous ne voulez plus voir les spams dans vos emails vous pouvez créer un filtre soit dans le webmail soit dans votre logiciel de messagerie.
Dans le webmail :
Si le filtre est actif dans le webmail les messages seront filtrés mêmes si vous ne vous connectez pas à votre boite aux lettres, vous ne downloaderez ainsi que des mails « valides ».
Attention tout de même à vider régulièrement le dossier Spam pour ne pas saturer votre boite aux lettres.
Sur votre client de messagerie :
Outlook et Thunderbird intègrent les possibilités de création de filtres, l’avantage par rapport au filtrage via le webmail est que vous ne risquez pas de saturer votre boite aux lettres.
Quelles évolutions possibles dans l’avenir ?
1°) Le filtre AS/AV est mutualisé entre tous les domaines mails gérés sur nos infrastructure, il n’est donc pas possible d’apporter une quelconque flexibilité dans le filtrage.
Une possibilité est de créer trois filtres distincts que vous pourrez choisir depuis votre interface client pour un domaine donné :
- le premier n’effectue aucun filtrage, tout passe,
- le second est celui par défaut et taggue les spams,
- le troisième est extrêmement restrictif (avec un risque de faux positif) et rejette tout ce qui s’apparente à du spam.
A vous de nous indiquer s’il s’agit d’une fonctionnalité que vous souhaitez voir aboutir ou pas.
2°) Fin 2007 nous devrions également proposer une infrastructure mails optionnelle utilisant Sophos (le top en terme de performance et de fonctionnalités) sur une plateforme Windows Exchange, par contre le coûts des licences et des matériels à déployer en feront obligatoirement un produit à destination des entreprises.
By Emmanuel, 16 avril 2007 @ 16:13
Merci pour toutes ces explications claires.
Il nous faudrait un peu plus d’avis tout de même.
Pour ma part, je serais intéressé par un filtre laissant tout passer et surtout pas par un filtre qui rejette les spams sans les taguer,
Emmanuel.
>> Ok nous prenons en compte
By David Anseaume, 16 avril 2007 @ 16:27
Pour ma part, j’estime que nos outils courriers aujourd’hui ont déjà des filtres antispam performant, et ayant l’avantage de pouvoir apprendre grace aux règles qu’on lui donne.
je préfèrerais éviter le tag [spam], car certains de mes contacts légitime s’en sont trouvés affublé et on répond parfois un peu trop vite à un mail et on oublie de supprimer le tag
>> Nous prenons en compte, la solution visant à permettre un choix entre (pas de filtrage / filtrage / filtrage renforcé) peut donc ( à priori) être pertinente.
By Nico, 16 avril 2007 @ 16:48
Bonjour,
Je trouve que marquer un mail comme n’étant pas un spam serait également un +.
Quelques (très rares) mails se faufilent dans le piège du spam.
Nico
>> Outre le fait que cela n’est techniquement pas possible, si le tag [SPAM] n’est pas en place c’est que le mail est considéré comme valide, dans cette optique l’ajout d’un second tag a-t-il réellement une utilité ?
By Nico, 16 avril 2007 @ 17:44
Aà¯e, je me suis mal exprimé. Je voulais dire « marquer un mail considéré comme spam alors qu’il ne l’est pas réellement » : c’est mieux mon explication?
Nico
>> Oui c’est beacoup plus clair
C’est malheureusement le risque des antispams, le faux positif, d’o๠(et cela n’engage que moi) la nécessité de ne pas supprimer les spams.
By Michael, 16 avril 2007 @ 22:26
Tout d’abord, bravo pour le blog, c’est vraiment une idée super. En plus, si il est alimenté aussi souvent qu’en ce début de blog, il servira vraiment à faire avancer les choses!
>> Nous avions prévu 2 news par semaine mais nous nous emballons un peu
En tant que client « professionel », nous utilisons exchange (exchange se connecte aux différents « POP » celeonet), et depuis peu, le produit sophos puremessage qui filtre le spam. Suivant les boites aux lettres, les résultats varient de bien à excellent.
En gros, entre 30 et 40% des mails entrants sont filtrés. La fonction « quarantaine » pour les messages dont le score n’est ni très élevé ni très bas est aussi bien pratique.
>> Je plussoie.
Le tag sur le serveur celeonet est relativement efficace. En ce qui nous concerne, il annonce à vue de nez 70% du spam, mais il annonce quelques faux positifs par semaine, ce qui est bien sûr génant (mais pas trop, vu que c’est seulement un tag).
Personellement, je trouve que les règles des logiciels de messagerie sont largement moins efficaces qu’un vrai filtre antispam qui se base sur des bases de données, compare, etc.
Voilà , c’était un petit témoignage.
Pour les solutions proposées :
Je pense que le choix entre « pas de filtrage/tag/filtrage » serait très apprécié.
Ceux qui ont leur antispam n’ont pas besoin d’un filtrage préalable.
Ceux qui veulent le tag mais n’ont pas confiance à 100% dans la solution (au début?) peuvent le choisir.
Ceux qui veulent que celeo fasse le boulot antispam (sites persos par exemple) seront également satisfait.
>> Nous partons donc doucement vers la concrétisation de cette solution.
Au niveau d’une éventuelle solution exchange au niveau de celeonet, je pense que ça risque souvent de faire double emploi. En effet, les entreprises disposent en général d’un domaine, donc d’un serveur windows équipé d’exchange.
>> A vérifier, cela peut faire l’objet d’un sondage afin d’avoir une visu fiable sur l’intérêt d’un tel service.
Ensuite, le surcout pour une solution antispam n’est pas très élevée par rapport à une license windows serveur ou un antivirus.
>> Oui mais par rapport à un CeleoPrimo ?
By Bruno Kerouanton, 17 avril 2007 @ 8:32
Bonjour
Merci pour la description claire. Sur le plan technique ça tient parfaitement debout et c’est une bonne architecture. Le fait de tagger les spams sans les détruire me convient, mais je rejoins l’avis général : Vu mon boulot (RSSI) je suis amené à créer quelques boites de réception honeypot pour collecter les dernières tendances (spam ET virus). Le filtrage des virus m’en empêche (bon d’accord je comprends que mon cas soit spécifique, et tant pis si je n’en reçois pas, mais bon).
Je rejoins à 100% le commentaires précédent :
- intérêt évident pour la possibilité de choisir entre trois queues de traitement avec ou sans filtrage,
- et peu d’intérêt pour une plateforme Exchange, la plupart des entreprises en étant déjà pourvues (même si on utilise… Novell et Notes là où je travaille !).
Cordialement,
Bruno Kerouanton
>> Nous prenons bonne note de vos réflexions.
By Lexel, 17 avril 2007 @ 17:44
Sujet très intéressant, merci pour ces infos.
By David Anseaume, 17 avril 2007 @ 20:36
La solution exchange peut éventuellement devenir interessante pour les petites entreprises, par exemple dans l’entreprise pour laquelle je travaille ont est que 2.
Si la plateforme exchange offre les possiblité que j’ai connue chez mon ancien employeur (synchronisation outlook, partage des contacts et calendrier, délégation de boite…), cela m’interesse grandement (je nous vois mal investir dans un serveur windows + licence exchange pour 2 malheureuses boites email, après bien sûr cela dépendra du coût.
By Antoine Rogues, 17 avril 2007 @ 22:11
Bonjour,
Merci beaucoup pour ce sujet très interessant !
Je suis bien sur partisan d’un choix de politique (à 3 niveaux comme presenté).
Enfin pour rebondir sur le serveur Exchange, certains hebergeurs le propose pour env. 5€/mois. Pour moi l’interet est d’avoir mon Outlook sur le web par Outlook Web Access.
Est que c’est ce genre de solution que vous pensez mettre en place ou juste un serveur exchange et donc un prix bien plus important ?
By Pierre-Etienne Jay, 18 avril 2007 @ 10:39
Bonjour,
Voilà qui soulève un problème récurent avec les filtrages. J’ai de nombreux contacts au Brésil et en Bulgarie, et la grande majorité des mails qui viennent de ces contacts se trouvent tagués SPAM et placés automatiquement dans la poubelle de Thunderbird… : ( Ca m’a déjà de nombreux et sérieux problèmes.
By Ludovic Metz, 18 avril 2007 @ 10:57
Bonjour,
Je suis tout à fait partant pour un filtrage à 3 niveaux. En effet, nous avons quelques faux positifs qui nous arrivent. Nous testons actuellement un système interne à base de Kaspersky qui nous donne de bons résultats (aucun faux positif après 1 mois d’essai).
Merci pour ce blog. Excellente idée !
By Dominique Nuvoloni, 20 avril 2007 @ 19:05
Ca fait du bien de savoir qu’on nous protège de ses idioties.
merci donc pour la protection et pour ses explication lumineuses.
By Tong, 26 avril 2007 @ 15:43
Hello,
Personnelement, votre filtre génère une grande quantité de faux positifs; C’est presque même systématique lorsque le mail a été envoyé avec la fonction mail(). Ce qui se comprend, car ce sont alors dans mon cas des petits mails, contenant uniquement des données.
Mais n’est-il pas possible de laisser passer sans filtrer tout les mails envoyé depuis notre propre site ? (cela dit ce n’est pas très gênant …)
>> L’orientation actuelle vise à fournir à chacun de nos clients la possibilité d’utiliser (ou pas) l’antispam. Il n’est par contre pas possible de paramétrer l’antispam pour que tout mail émanant de notre réseau ne soit pas taggé [SPAM] (c’est bien dommage d’ailleurs).
By Nalange, 14 septembre 2007 @ 15:03
Personnellement c’est cool, mais tant qu’il restera des emails tagués [SPAM] alors qu’en réalité ils sont normaux, ce qui arrive dans ma société au moins 4 à 5 fois par jour, le système n’est guerre si intéressant que cela.
Je rejoins donc la majorité des gens qui estiment qu’on devrait pouvoir activer ou supprimer cette fonction.
Encore mieux et rien est impossible, pouvoir activer des options indépendantes du genre :
Une case pour : les images à caractère douteux
Une case pour : les domaines connus pour les spammeurs
Une case pour : …
et ainsi personnalisé son filtre. Je me vois mal dire à mon gros client que je n’ai pas reçu son email important dans lequel il y avait un super gros contrat tout simplement en prenant comme excuse que c’est parce que je suis chez Celeonet…
Enfin voilà ce n’est que mon avis :p
D’ailleurs j’espère que dans le futur très proche je pourrai désactiver cette fonction avant son évolution sinon, j’change d’hébergeur, tout simplement.
Nalange
>> Le faux positif est une réalité sur un antispam, le fait que vous annonciez 4 à 5 mails/jour taggés injustement [SPAM] me surprend au plus au point puisque nous utilisons la même infrastructure pour le domaine celeonet.fr avec un nombre de faux positifs de l’odre de 1 à 2 par an.
« D’ailleurs j’espère que dans le futur très proche je pourrai désactiver cette fonction avant son évolution sinon, j’change d’hébergeur, tout simplement. »
Je crainds que si nous n’ayons à choisir entre la perte d’un client sur un contrat 3 mois et l’ajout de X serveurs « dans un futur proche » pour ne plus gérer le spam, la logique veuille que nous vous souhaitions une bonne continuation
Comme je vous l’ai déjà indiqué à plusieurs reprises sur le support, vos exigences doivent correspondre à la prestation pour laquelle vous optez. Nous avons des clients qui souhaitent un mail irréprochable et flexible, ils utilisent des serveurs dédiés.