Return to Spam - Bounce - Spam par retour à l'envoyeur
Pierre Pinard© (06.04.2004 - révision 1)
Voilà une belle démonstration de savoir faire des spammeurs. Comme la technique porte un nom pas très "parlant" - Bounce (rebond), je l'appellerais "Return to Spam". C'est une technique de "Spam par retour à l'envoyeur".
Lorsque vous envoyez un courriel, votre destinataire doit pouvoir vous répondre. Le courriel que vous envoyez comporte donc l'adresse du destinataire et votre adresse soit les 2 champs From: et To:
- Lorsque le destinataire reçoit le courriel et vous répond (il clique sur le bouton "Reply" ou "Répondre") la réponse est envoyée à l'adresse contenue dans le champ From: du message d'origine soit l'adresse de l'expéditeur originel, votre adresse.
- Lorsque l'adresse du destinataire est erronée (faute de frappe par exemple ou boîte du destinataire qui n'existe plus ou qui est pleine), c'est le serveur de messagerie du domaine du destinataire (Wanadoo par exemple si votre destinataire est tartempion@wanadoo.fr) qui prend automatiquement l'initiative de retourner le courriel à l'envoyeur (avec un petit mot pour lui expliquer qu'il n'a pas pu délivrer le courriel).
En quoi les outils anti-spam gènent les spammeurs :
- Les filtres anti-spam consultent les diverses listes de blocage, les RBL - RealTime Blocking List, et bloquent les intervalles d'adresses IPs des serveurs de messagerie des spammeurs. Ils ne peuvent plus se servir de leurs propres serveurs.
- Les filtres anti-spam consultent également d'autres listes de blocage, celles des relais ouverts, ces serveurs de messagerie mal configurés qui sont squattés par les spammeurs d'où ils essaient d'envoyer leurs Spam. Ils ne peuvent plus s'en servir non plus.
- Les filtres anti-spam consultent aussi les listes de proxy d'anonymisation comme Anonymiser.com et bloquent les courriers transitant par ces machines. Ainsi des listes misent à la disposition des internautes pour assurer leur anonymat sont également utilisées par les spammeurs pour trouver les machines utiles pour nous pourrir la vie et sont également utilisées par les anti-spam qui, eux, n'aiment pas l'anonymat.
Liste de proxy de Samair
Liste de proxy de Winfosec
Liste de proxy de Nullium
...
Les spammeurs ont trouvé là une belle parade aux filtres anti-spam :
Les spammeurs expédient leurs spam délibérément vers une fausse adresse mais sur un domaine qui n'est pas blacklisté par les organisations anti-spams.
- Envoyer un Spam à jenexiste.pasdutout@wanadoo.fr n'a aucune chance d'être bloqué par des filtres anti-spam côté serveurs car on n'imagine pas une organisation anti-spam s'amuser à blacklister les domaines et / ou les machines de Wanadoo. L'hébergeur OVH, par exemple, qui a mis en place la liste de blocage http://spam-rbl.com, le dit carément : "Nous retirons sytématiquement de cette liste les adresses IPs des gros fournisseurs d'accès ou hébergeur comme Caramail ou Wanadoo".
- Les spammeurs savent que le courrier va être réexpédié à son envoyeur. Ils mettent donc, dans le champs From: l'adresse de leur cible et c'est Wanadoo qui va se rendre complice des spammeurs en acheminant le courrier soit-disant non distribué, délibérément, vers le destinataire voulu par le spammeur.
Quelle est la contre-mesure ?
C'est une contre-mesure proactive d'une simplicité enfantine : que les outils de messagerie côté serveur (les logiciels Sendmail...) n'expédient plus, en pièce jointe, le message initial non distribué. Maintenant, pourquoi ne le font-il pas ?
Une autre contre-mesure est appelée "Challenge Message" ou "Captcha".
Rédigé en écoutant
|
 |
|
