Lutter contre le spam Gordana Cindric Microsoft France [email protected].
60
Lutter contre le spam G ordana Cindric Microsoft France gordanac@ microsoft .com
-
Upload
lancelot-teyssier -
Category
Documents
-
view
124 -
download
3
Transcript of Lutter contre le spam Gordana Cindric Microsoft France [email protected].
Agenda
Comprendre le spamComprendre le spam
Constat sur le spamConstat sur le spam
Différentes méthodes de détection du spamDifférentes méthodes de détection du spam
Les outils actuels de Microsoft pour lutter Les outils actuels de Microsoft pour lutter contre le spamcontre le spam
Scénarii proposés par MicrosoftScénarii proposés par Microsoft
ConclusionConclusion
Inquiétudes liées au spam
Osterman Research: Spam is the biggest problem in today’s security market
Le développement des communications électroniques internes et externes à l'entreprise est indéniable.
Véritable outil de productivité, la messagerie électronique est également une source d'inquiétude croissante pour les responsables informatiques.
Selon la CNIL, le spam correspond à un:Selon la CNIL, le spam correspond à un:
« Envoi massif – et parfois répété - de « Envoi massif – et parfois répété - de courriers électroniques non sollicités, le courriers électroniques non sollicités, le plus souvent à caractère commercial, à plus souvent à caractère commercial, à des personnes avec lesquelles des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans dont il a capté l’adresse électronique dans les espaces publics de l’Internet: forums les espaces publics de l’Internet: forums de discussion, listes de diffusion, de discussion, listes de diffusion, annuaires, sites Web,etc... »annuaires, sites Web,etc... »
Synonymes: spamming, pollupostage, Synonymes: spamming, pollupostage, courrier-courrier-rebut, pourriel ou pollurielrebut, pourriel ou polluriel
Qu’est-ce que le spam ?
Exemple de spam
Pourquoi reçoit-on du spam ?
Notre FAE a cédé tout ou partie de sa liste Notre FAE a cédé tout ou partie de sa liste d’abonnés à un tiers, y compris nos adresses... d’abonnés à un tiers, y compris nos adresses...
Notre adresse a été générée au hasardNotre adresse a été générée au hasardAssociation de noms, prénoms et noms de domaine etc...Association de noms, prénoms et noms de domaine etc...
Nous avons communiqué notre adresse à un site Nous avons communiqué notre adresse à un site web web
Commande sur un site de commerce électronique...Commande sur un site de commerce électronique...
Publication de notre adresse sur InternetPublication de notre adresse sur InternetAAdresse laissée sur un forum de discussion, publication sur dresse laissée sur un forum de discussion, publication sur site web personnelsite web personnel
Comment les Spammers s’y prennent-ils ?
Les attaques actuelles courantes des Les attaques actuelles courantes des SpammersSpammers
Attaques au moyen de dictionnairesAttaques au moyen de dictionnaires
Relais et Relais et proxies proxies ouvertsouverts
Réseau compromisRéseau compromisMachines « zombie » (tendance en augmentation forte)Machines « zombie » (tendance en augmentation forte)
Attaque par « réflexion »Attaque par « réflexion »Utilisation « à l’inverse » des messages de non remiseUtilisation « à l’inverse » des messages de non remise
Attaques distribuéesAttaques distribuéesSoBig & MyDoomSoBig & MyDoom
Attaque en masse traditionnelleAttaque en masse traditionnelleSpamwareSpamware
Spamware: Exemple
Adresses usurpéesListes d’adresses
(200 millions d’adresses pour 500 $)
Spamware : Exemple
Remarquez les sélections « recommandées » Manipulation des en-têtes (Adresses IP usurpées, empreintes)
Spamware : Exemple
Ceci n’est qu’un exemple parmi des Ceci n’est qu’un exemple parmi des centaines de programmes du même centaines de programmes du même
genre disponibles aujourd’hui !genre disponibles aujourd’hui !
Liste de relais et de proxies ouverts (Liste de 40 000 relais ou proxies ouverts)
Vous pouvez disposer de tout cela pour seulement …
29,95 $
Raisons du succès du spam
Sources peu onéreusesSources peu onéreusesLLe coûte coût de fichiers d'adresses ou de logiciels collecteurs de fichiers d'adresses ou de logiciels collecteurs d'e-mails d'e-mails estest dérisoir dérisoire.e.
L'envoi de courriers électroniques ne coûte pas L'envoi de courriers électroniques ne coûte pas grand chose non plus (il suffit d'avoir une connexion grand chose non plus (il suffit d'avoir une connexion Internet) Internet)
LLes retours sont nombreux : même avec un taux de es retours sont nombreux : même avec un taux de clic faible, un envoi massif à plusieurs millions clic faible, un envoi massif à plusieurs millions d'adresses génère quelques milliers de visites !d'adresses génère quelques milliers de visites !
33% des internautes ont déjà cliqué sur le lien proposé par 33% des internautes ont déjà cliqué sur le lien proposé par un un spam spam
7% des internautes ont commandé un bien ou service suite 7% des internautes ont commandé un bien ou service suite à la réception d’un spamà la réception d’un spam
=> Le spammer affiche des revenus => Le spammer affiche des revenus exceptionnels avec très exceptionnels avec très
peu d’investissementpeu d’investissement
Raisons du succès du spam
Le Spam existe tout simplement parce qu’il rapporte !
Quand on compare l’utilisation du Spam à une campagne de marketing traditionnelle par mail, le Spam a des coûts très attractifs
Compagne Compagne traditionneltraditionnellele
Campagne Campagne SpamSpam
Coût par Coût par unité 1,37 €unité 1,37 €
Coût par Coût par unité 0,001 eunité 0,001 e
Mail de 10 Mail de 10 000 unités000 unités
Email de Email de 1000000 1000000 unitésunités
Coût total Coût total 13700 €13700 €
Coût total Coût total 1000 €1000 €
Taux de Taux de réussite 2 %réussite 2 %
Taux de Taux de réussite 0,02 réussite 0,02 %%
200 succès 200 succès pour 68,50 € pour 68,50 € l’unitél’unité
200 succès 200 succès pour 5 € pour 5 € l’unitél’unité
Constat sur le spam
Constat sur le spam
En 2005, le spam aurait représenté 57% du trafic mondial de En 2005, le spam aurait représenté 57% du trafic mondial de messages électroniques, soit 14,5 mlliards de Spam envoyés chaque messages électroniques, soit 14,5 mlliards de Spam envoyés chaque jour jour ((Radicati GroupRadicati Group). ).
Ce pourcentage devrait atteindre 78% d’ici à 2009.Ce pourcentage devrait atteindre 78% d’ici à 2009.
Le spam a évolué d’un simple désagrément à une réelle menace pour Le spam a évolué d’un simple désagrément à une réelle menace pour l’entreprisel’entreprise=> Impact financier estimé à 20,5 milliards de $/an globalement lié à:=> Impact financier estimé à 20,5 milliards de $/an globalement lié à:
- la perte de productivité (10 min /utilisateurs et 43 - la perte de productivité (10 min /utilisateurs et 43 min /admin)min /admin)
- l’utilisation excessive de la bande passante- l’utilisation excessive de la bande passante- moyens mis en œuvre pour renforcer - moyens mis en œuvre pour renforcer
les individusles individus Problème de sécurité et confidentialité des donnéesProblème de sécurité et confidentialité des données
- Phishing = email qui invite l'utilisateur à cliquer sur un - Phishing = email qui invite l'utilisateur à cliquer sur un lien qui lien qui doit doit conduire vers un site de confiance (banque, conduire vers un site de confiance (banque, vente en ligne, vente en ligne, enchères ...). En réalité, ce lien oriente l’utilisateur vers enchères ...). En réalité, ce lien oriente l’utilisateur vers des copies de des copies de ces sites de confiance et ces sites de confiance et lui vole les informations lui vole les informations souventsouvent confidentielles qu’il saisit (n° de carte bleue..)confidentielles qu’il saisit (n° de carte bleue..)
- Spear Phishing = vise principalement à usurper - Spear Phishing = vise principalement à usurper l'identité (et l'identité (et plus plus particulièrement le compte email) d'une particulièrement le compte email) d'une personne responsable et personne responsable et présente dans une entreprise présente dans une entreprise
Un exemple de scam (1/3)
Explication plausible, bien
écrite
… et ils nous aident à éviter la fraude !!
Appel à une action - basé le domaine PayPal
Un exemple de scam (2/3)
Design du site – aucune difference
Liens – sont fonctionnels
(redirige vers le vrai site PayPal)
Même un lien vers le centre de sécurité
de PayPal !
Champs Adresse – domaine PayPal
Un exemple de scam (3/3)Le lien n’est pas un lien texte, c’est en fait un ‘bouton’. Si Le lien n’est pas un lien texte, c’est en fait un ‘bouton’. Si vous tapez le lien manuellement, vous n’arrivez nulle part:vous tapez le lien manuellement, vous n’arrivez nulle part:
httpshttps://://www.paypal.comwww.paypal.com//cgicgi--binbin//webscr?cmdwebscr?cmd=_=_loginlogin--runrun--verify_and_updatverify_and_updat
En examinant le code source (clic droit “view source”), vous En examinant le code source (clic droit “view source”), vous remarquerez:remarquerez:
href="https://www.paypal.com/cgi-bin/webscr?cmd=_login-run-href="https://www.paypal.com/cgi-bin/webscr?cmd=_login-run-verify_and_update">verify_and_update"><FORM action=https://61.33.168.151 method=get><FORM action=https://61.33.168.151 method=get>
Cela vous mène à:Cela vous mène à:
https://61.33.168.151/? https://61.33.168.151/?
En vous rendant à l’adresse ci-dessous, le navigateur En vous rendant à l’adresse ci-dessous, le navigateur montre:montre:
https://www.paypal.com/cgi-bin/webscr?cmd=_login-run-https://www.paypal.com/cgi-bin/webscr?cmd=_login-run-verify_and_updateverify_and_update
... alors que le serveur qui affiche la page n’a aucun ... alors que le serveur qui affiche la page n’a aucun lien avec PayPallien avec PayPal
Méthodes de lutte contre le spam
Méthodes de lutte contre le spam
Méthodes de lutte contre le spam
Définir des objectifs pour l’entrepriseDéfinir des objectifs pour l’entreprise
Eduquer les utilisateursEduquer les utilisateursNe pas utiliser l’adresse mail de l’entreprise à Ne pas utiliser l’adresse mail de l’entreprise à des fins privées (navigation web, forum...)des fins privées (navigation web, forum...)Ne pas ouvrir un message ou cliquer sur un lien Ne pas ouvrir un message ou cliquer sur un lien sans au préalable penser aux conséquences sans au préalable penser aux conséquences etc...etc...
Mettre en oeuvre une solution pour Mettre en oeuvre une solution pour lutter contre le spam...lutter contre le spam...
Technologies anti-spam
Parmi les logiciels du marché, il existe Parmi les logiciels du marché, il existe plusieurs technologies pour lutter contre le plusieurs technologies pour lutter contre le spam:spam:
Listes RBLListes RBL
Filtrage de contenuFiltrage de contenu
ChecksumChecksum
Filtrage BayesienFiltrage Bayesien
Analyse heuristique Analyse heuristique
Technologie RPDTechnologie RPD
Ces technologies ont un certain nombre de Ces technologies ont un certain nombre de limitations.limitations.
La plupart des solutions anti-spam du marché La plupart des solutions anti-spam du marché repose sur une combinaison de ces repose sur une combinaison de ces technologies.technologies.
Realtime Black Lists (RBL)
=> => Service externe maintenant des listes d’adresses IP à Service externe maintenant des listes d’adresses IP à bloquer bloquer Exemple: SpamHaus, MAPS, SPEWS, DSPLExemple: SpamHaus, MAPS, SPEWS, DSPL
Nombre de logiciels anti-spam intègrent des listes RBL, des listes Nombre de logiciels anti-spam intègrent des listes RBL, des listes noires et des filtres basés sur le DNS qui bloquent des listes de noires et des filtres basés sur le DNS qui bloquent des listes de spammers connus, d’adresses ‘open relay’ et de relais masquant spammers connus, d’adresses ‘open relay’ et de relais masquant l’identité.l’identité.
Les listes RBL sont tributaires des temps de réponse (accès Les listes RBL sont tributaires des temps de réponse (accès internet)internet)Efficace pour bloquer le spam ancien, car la collecte des données Efficace pour bloquer le spam ancien, car la collecte des données prend du tempsprend du tempsMise à jour de ces listes très souvent sur la base du volontariatMise à jour de ces listes très souvent sur la base du volontariatManque de réactivité pour ‘blacklister’/’whitelister’ Manque de réactivité pour ‘blacklister’/’whitelister’ Augmentation potentielle des faux-positifsAugmentation potentielle des faux-positifs
Les SPAMMERs défient les RBLs en:Les SPAMMERs défient les RBLs en:utilisant des machines détournées de manière à regénérer utilisant des machines détournées de manière à regénérer systématiquement de nouvelles adresses IPsystématiquement de nouvelles adresses IPAttaquant les RBLs par des dénis de servicesAttaquant les RBLs par des dénis de services
4 sites sont tombés en Août/Sept 2003 à cause du ver Fizzer4 sites sont tombés en Août/Sept 2003 à cause du ver Fizzer
Filtrage de contenu Identifier des mots et expressions dans les Identifier des mots et expressions dans les
messages de spam et définir des filtres pour messages de spam et définir des filtres pour bloquer le message fonction de ces mots et bloquer le message fonction de ces mots et expressions.expressions.
Utile en tant qu’outil de gestion de contenusUtile en tant qu’outil de gestion de contenusEmpêche de véhiculer des mots/expressions non désirésEmpêche de véhiculer des mots/expressions non désirés
Inefficace et sans résultat probant dans la gestion du spam à Inefficace et sans résultat probant dans la gestion du spam à l’échelle de l’entreprisel’échelle de l’entreprise
Requiert une attention constante de l’administrateur (plusieurs Requiert une attention constante de l’administrateur (plusieurs
heures par jour)heures par jour)
Des leurres simples outrepassent la gestion de contenuDes leurres simples outrepassent la gestion de contenuExemples: $ave, V*i*a*gr*a, ChëὰExemples: $ave, V*i*a*gr*a, ChëὰρρIl existe 105 variantes disponibles juste pour la lettre A!Il existe 105 variantes disponibles juste pour la lettre A!
Résulte en de nombreux faux positifsRésulte en de nombreux faux positifs
Impossible à utiliser dans certains domaines d’activitésImpossible à utiliser dans certains domaines d’activités
Les spams avec peu ou pas de contenu ne pourront être bloquésLes spams avec peu ou pas de contenu ne pourront être bloqués
Limites du filtrage de contenu
V I @ G R A , [email protected], \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra
etc……
Ci-dessous plusieurs manières d’épeler le mot Ci-dessous plusieurs manières d’épeler le mot Viagra…Viagra…
Limites du filtrage de contenu
Des messages entiers peuvent être rédigés sans Des messages entiers peuvent être rédigés sans utiliser une orthographe/syntaxe correcte et utiliser une orthographe/syntaxe correcte et restés tout à fait lisible.restés tout à fait lisible.
“Aoccdrnig to a rscheearch at an Elingsh uinervtisy, it deosn't mttaer in what oredr the ltteers in a wrod are, the olny iprmoetnt tihng is taht the frist and the lsat ltteer is at the rghit pclae. The rset can be a toatl mses and you can sitll raed it wouthit porbelm. Tihs is bcuseae we do not raed ervey lteter by it slef but the wrod as a wlohe.”
Filtrage bayesien
=> Système d’apprentissage qui utilise => Système d’apprentissage qui utilise une analyse une analyse statistique du vocabulairestatistique du vocabulaire• Listes de mots “bon,” “mauvais” et “neutre”Listes de mots “bon,” “mauvais” et “neutre”• Se repose sur les théories du Réverend Thomas Bayes (c. 1702-Se repose sur les théories du Réverend Thomas Bayes (c. 1702-
1761)1761)En spécifiant au moteur ce que vous considérez ou non comme En spécifiant au moteur ce que vous considérez ou non comme spam, le moteur compile des listes de mots (ou dictionnaires) spam, le moteur compile des listes de mots (ou dictionnaires) représentatifs de chacune des catégories représentatifs de chacune des catégories
Mots dans les spams
Mots dans les messages légitimes
Mots ambigus
ViagraSexBuyPurchaseAgreeUnsubscribeFreeMortgageNude
UniversalBayeseanPERTInformationSmartBudgetJohn Brady
InterestTonightTheBestWife
Une fois les dictionnaires Une fois les dictionnaires compilés, le théorème de compilés, le théorème de probabilité de Bayes est utilisé probabilité de Bayes est utilisé pour noter chaque message en pour noter chaque message en tant que spam ou mail légitime.tant que spam ou mail légitime.
Limites du filtrage bayesienNécessite du temps et une participation active de Nécessite du temps et une participation active de
l’utilisateur pour devenir efficacel’utilisateur pour devenir efficace
Peut s’avérer efficace pour certains utilisateurs, Peut s’avérer efficace pour certains utilisateurs, beaucoup moins efficace au sein d’une entreprisebeaucoup moins efficace au sein d’une entreprise
Le choix d’un utilisateur peut écraser celui d’un autreLe choix d’un utilisateur peut écraser celui d’un autre
Visé par les spammersVisé par les spammersDu simple texte, parfois invisible pour l’utilisateur, minimise la Du simple texte, parfois invisible pour l’utilisateur, minimise la catégorisation du message en spam en augmentant le nombre catégorisation du message en spam en augmentant le nombre de “bons” motsde “bons” mots
Limites du filtrage bayesien
Echantillon d’une chaîne de mots modifiant la classification du mail
Le filtrage Bayesien Le filtrage Bayesien rencontre des rencontre des difficultés pour difficultés pour bloquer les scams, bloquer les scams, car ils sont écrits car ils sont écrits dans un style tout à dans un style tout à fait conventionnel.fait conventionnel.Peut générer des Peut générer des faux-positifsfaux-positifs
Limites du filtrage bayesien
Checksum => Création d’une “empreinte” de => Création d’une “empreinte” de messages de messages de spams connusspams connus
Chaque message transmis est accompagné par une valeur Chaque message transmis est accompagné par une valeur numérique basée sur le nombre d’octets du message. numérique basée sur le nombre d’octets du message.
La valeur numérique est alors comparée aux “empreintes” de La valeur numérique est alors comparée aux “empreintes” de spams connus spams connus
Mises à jour de la base contenant les Mises à jour de la base contenant les ”empreintes””empreintes”
Une “empreinte” ne peut être générée qu’après Une “empreinte” ne peut être générée qu’après réception d’un spamréception d’un spam
N’intercepte pas les spams lorsque des caractères N’intercepte pas les spams lorsque des caractères aléatoires sont ajoutésaléatoires sont ajoutés
Ne fonctionne qu’avec une comparaison exacte Ne fonctionne qu’avec une comparaison exacte des “empreintes”des “empreintes”
Presque pas de faux positifs mais taux de détection très faiblePresque pas de faux positifs mais taux de détection très faible
Limites du checksum
Falsification du calcul de l’empreinte numérique
Analyse heuristique
=> Une méthode de calcul qui concocte des => Une méthode de calcul qui concocte des règles fonction de la langue et des règles fonction de la langue et des techniques utilisés par le spammer. Pour techniques utilisés par le spammer. Pour chaque message, une note est définie.chaque message, une note est définie.
Les règles peuvent être simples:
utilisation du mot “FREE” dans la ligne d’objet utilisation du mot “FREE” dans la ligne d’objet ou encore le champ A: est videou encore le champ A: est vide
Les règles peuvent être complexes:Les règles peuvent être complexes:
Inversion les lettres en + ou – 13 par rapport à Inversion les lettres en + ou – 13 par rapport à leur ordre dans l’alphabet leur ordre dans l’alphabet
Exemple:“apple pie” devient “nccyr cvr”Exemple:“apple pie” devient “nccyr cvr”
Les règles peuvent être externalisées:Les règles peuvent être externalisées:
vérifier plusieurs RBLsvérifier plusieurs RBLs
Limites de l’analyse heuristique
Le seuil de classification de spam doit être Le seuil de classification de spam doit être constamment ajusté.constamment ajusté.
Utilisés dans de multiples produitsUtilisés dans de multiples produits
Bien connue des spammersBien connue des spammers
Les sites de spammers testent le spam vs. des Les sites de spammers testent le spam vs. des moteurs heuristiquesmoteurs heuristiques
Impact important sur les performancesImpact important sur les performancesToute détection est un nouvel évènement qui Toute détection est un nouvel évènement qui ne tire aucun bénéfice des détections ne tire aucun bénéfice des détections antérieuresantérieures
Dépendant de la langue du spam et Dépendant de la langue du spam et problèmes avec spam non-anglaisproblèmes avec spam non-anglais
Pourcentage très élevé de faux positifsPourcentage très élevé de faux positifs
Technologie RPD
Le spam est envoyé en masse – il y a un Le spam est envoyé en masse – il y a un composant récurrent à chaque attaque.composant récurrent à chaque attaque.
Détecte le composant récurrent de chaque attaqueDétecte le composant récurrent de chaque attaque
Identifie de manière unique l’ADN de chaque attaqueIdentifie de manière unique l’ADN de chaque attaque
Compare les messages entrants avec l’ADN en temps Compare les messages entrants avec l’ADN en temps réelréel Analyse du trafic Internet
Base des signatures de spam
ADN
Requête
Classification
Client:
Entreprise
ISP...RPD™ (Recurrent Pattern Detection)RPD™ (Recurrent Pattern Detection)
Technologie RPD
From:From: PayPal [mailto:skyhook- PayPal [mailto:[email protected]] [email protected]] Sent:Sent: Tuesday, June 15, 2004 12:16 AM Tuesday, June 15, 2004 12:16 AMTo:To: Ex-CTCH; media; Ex-CTCH Ex-CTCH; media; Ex-CTCHSubject:Subject: imagine being young again imagine being young again ferroelectricferroelectric
You've heard about these pills on TV, in You've heard about these pills on TV, in the news, and online andthe news, and online and
have probably asked yourself, "Do they have probably asked yourself, "Do they really work?" The answer isreally work?" The answer is
YES! IGF2 is a powerful erection enhancing YES! IGF2 is a powerful erection enhancing product that willproduct that will
create erections so strong and full that create erections so strong and full that over time your penis willover time your penis will
actually grow as a direct result! If you actually grow as a direct result! If you would like a morewould like a more
satisfying sex life then IGF2 is for you! satisfying sex life then IGF2 is for you! Check It Out Now!Check It Out Now!
175.237.138.240
eTn,D Hash @#J!7
t2CO! Hash L8k^n
Technologie RPD
Le spam est détecté suivant des caractéristiques Le spam est détecté suivant des caractéristiques identiques ou approximatives des messages de spamidentiques ou approximatives des messages de spam
Chaque message de spam est constitué de Chaque message de spam est constitué de similitarités.similitarités.
Vérification de l’émetteur, ligne d’objet et le corps du Vérification de l’émetteur, ligne d’objet et le corps du messagemessage
Système de classification,
analyse statistique
SPAM!
SPAM!
Message valideSignatures de
messages
Exemple de spam défiant plusieurs technologies à la fois
Mauvaise orthographe
Image seule
Dictionnaire Anti-Bayesien
Le lien“Unsubscribe”
est faux
Texte HTML Blanc-sur- Blanc
Le lien devient inexistant 4 jours
après réception du spam
Solution: Combiner les technologies ?
Les éditeurs qui proposent des Les éditeurs qui proposent des solutions de lutte contre le spam solutions de lutte contre le spam combinent plusieurs technologies combinent plusieurs technologies entre elles.entre elles.
Mais attention:Mais attention:Combiner les technologies ne permet Combiner les technologies ne permet pas de vous prémunir d’une erreur de pas de vous prémunir d’une erreur de traîtement par une des technologies.traîtement par une des technologies.
Le taux de faux-positifs n’est pas Le taux de faux-positifs n’est pas forcément inférieur !forcément inférieur !
Défis de la lutte contre le spam
Combattre les spammers, et non pas le spam.Combattre les spammers, et non pas le spam. Les spammers s’adaptent aux nouveautés et les technologies anti-spam deviennent rapidement obsolètes. Le besoin est bel et bien d’anticiper les moyens de contournement utilisés par les spammers.
Solution temps réel à installer le plus en amont possible de Solution temps réel à installer le plus en amont possible de l’infrastructure pour éviter les “fenêtres de vulnérabilités“l’infrastructure pour éviter les “fenêtres de vulnérabilités“
Flexibilité permettant de donner le contrôle de tout ou partie du Flexibilité permettant de donner le contrôle de tout ou partie du spam aux utilisateursspam aux utilisateurs
ils savent distinguer, pour eux-mêmes, ce qui est spam de ce qui ne ils savent distinguer, pour eux-mêmes, ce qui est spam de ce qui ne l’est pasl’est pasRéduit les faux-positifs et les plaintes de non-remise de messagesRéduit les faux-positifs et les plaintes de non-remise de messagesConfidentialité et sécuritéConfidentialité et sécurité
Pas ou peu d’administration pour les équipesPas ou peu d’administration pour les équipes
Indépendant du contenu (langue, toute méthode d’encodage, Indépendant du contenu (langue, toute méthode d’encodage, format de fichiers)format de fichiers)
Bon taux de détectionBon taux de détection
Limiter au maximum les faux-positifsLimiter au maximum les faux-positifs
Outils de Microsoft pour la lutte contre le spam
Fonctions anti-spam liées à Exchange 2003:Fonctions anti-spam liées à Exchange 2003:- fonctions anti-spam natives à Exchange 2003- fonctions anti-spam natives à Exchange 2003
- Microsoft Exchange Intelligent Message Filter- Microsoft Exchange Intelligent Message Filter
- Apport du Service Pack 2 d’Exchange dans la lutte - Apport du Service Pack 2 d’Exchange dans la lutte contre le spam contre le spam
- Apport d’E12- Apport d’E12
Outils tiers: Microsoft Advanced Spam Outils tiers: Microsoft Advanced Spam ManagerManager
Outils de lutte contre le spamOutils de lutte contre le spam
Filtrage d’expéditeurs :Filtrage de messages basé sur l’expéditeur ou le domaine SMTPFiltrage de messages basé sur l’expéditeur ou le domaine SMTPFiltrage de messages Filtrage de messages SANSSANS expéditeur expéditeur
Filtrage de destinataires :Filtrage de destinataires :Filtrage de messages adressés à un destinataire particulierFiltrage de messages adressés à un destinataire particulierCoupure de la connexion après remise de 20 messages non résolusCoupure de la connexion après remise de 20 messages non résolusUtilisation de certaines DL restreintes aux utilisateurs authentifiésUtilisation de certaines DL restreintes aux utilisateurs authentifiés
Anti-spoofing:Anti-spoofing:Filtrage d’expéditeursFiltrage d’expéditeursPas de résolution de l’expéditeur pour les connexions non Pas de résolution de l’expéditeur pour les connexions non authentifiées.authentifiées.Traçage de la méthode de remise : anonyme ou authentifié Traçage de la méthode de remise : anonyme ou authentifié
Outlook Web Access 2003 & Outlook 2003Outlook Web Access 2003 & Outlook 2003Blocage des pièces attachéesBlocage des pièces attachéesListe personnelle d’expéditeurs non désirablesListe personnelle d’expéditeurs non désirables
Fonctions anti-spam nativesà Exchange Server 2003
Microsoft Exchange Intelligent Message Filter (IMF)
Filtre Anti-Spam Filtre Anti-Spam dédiédédié à Exchange 2003 à Exchange 2003
Technologie « Technologie « SmartScreenSmartScreen » de MS Research » de MS Research
Déjà utilisé dans Outlook 2003, MSN 8, HotmailDéjà utilisé dans Outlook 2003, MSN 8, Hotmail
Basée sur l’analyse de millions de messagesBasée sur l’analyse de millions de messages
200 000 utilisateurs Hotmail200 000 utilisateurs Hotmail
Permet de définir un niveau de « Permet de définir un niveau de « SSpam pam CConfidence onfidence LLevel »evel »
Deux niveaux de SCL configurablesDeux niveaux de SCL configurables
PasserellePasserelle
ArchiverArchiver, supprimer, rejeter, supprimer, rejeter
Boîte aux lettresBoîte aux lettres
«Courrier indésirable»«Courrier indésirable»
Gratuit et téléchargeable sur le WebGratuit et téléchargeable sur le Web
Add-on complémentaire aux solutions Add-on complémentaire aux solutions
d’éditeurs tiersd’éditeurs tiers
Internet
ISA Server or Firewall
Exchange 2003 Anti-Spam Server
Exchange Servers
Exchange IMF
Smart Host Server
IMF est maintenant fourni en natif dans le Service Pack 2 d’Exchange IMF est maintenant fourni en natif dans le Service Pack 2 d’Exchange 20032003
Mise à jour de la technologie SmartScreenMise à jour de la technologie SmartScreenDernière mise à jour des filtresDernière mise à jour des filtresAmélioration de l’analyse les entêtes, le corps du message et d’autres Amélioration de l’analyse les entêtes, le corps du message et d’autres attributsattributsMise à jour prévue 2 fois par moisMise à jour prévue 2 fois par mois
Technologie Anti Phishing intégrée à SmartscreenTechnologie Anti Phishing intégrée à SmartscreenTransparent pour les administrateurs et les utilisateurs finauxTransparent pour les administrateurs et les utilisateurs finauxPPhishing hishing CConfidence onfidence LLevel (PCL) avec une classification 1-8 (plus c’est evel (PCL) avec une classification 1-8 (plus c’est élevé = plus c’est néfaste)élevé = plus c’est néfaste)Se repose sur une analyse heuristique et des listes blanches et noiresSe repose sur une analyse heuristique et des listes blanches et noiresLe PCL influe sur le SCLLe PCL influe sur le SCL
Création possible de ‘Custom Weight List’Création possible de ‘Custom Weight List’Liste pouvant être créée pour bloquer des messages fonction de Liste pouvant être créée pour bloquer des messages fonction de mots/expressions dans le sujet et/ou le corps du message mots/expressions dans le sujet et/ou le corps du message Saisie manuelle des donnéesSaisie manuelle des données
Identification et blocage de nouveaux type de SPAMIdentification et blocage de nouveaux type de SPAM
Exchange Server 2003 SP2 Exchange Server 2003 SP2 Amélioration de IMF (Intelligent Amélioration de IMF (Intelligent Message Filter)Message Filter)
Créé pour contrer l’usurpation de domaineCréé pour contrer l’usurpation de domaine (domain (domain spoofing)spoofing)
SIDF a été revu et soumis à l’IETF (SIDF a été revu et soumis à l’IETF (IInternet nternet EEngineering ngineering TTask ask FForce) pour validation finaleorce) pour validation finaleCombine le Combine le SSender ender PPolicy olicy FFramework (SPF) et Microsoft Caller ramework (SPF) et Microsoft Caller ID for EmailID for Email
Sender ID permet aux administrateurs d’un domaine Sender ID permet aux administrateurs d’un domaine de mail de protéger l’identité du domaine de mail en de mail de protéger l’identité du domaine de mail en spécifiant des enregistrements DNS.spécifiant des enregistrements DNS. Ces Ces enregistrements sont aussi appelés SPF (enregistrements sont aussi appelés SPF (SSender ender PPolicy olicy FFramework) et listent les hôtes (adresses IP, noms ramework) et listent les hôtes (adresses IP, noms etc…) autorisés à envoyer des mails de ce domaine de etc…) autorisés à envoyer des mails de ce domaine de mail. mail.
Exemple: Les entrées SPF pour le domaine de messagerie Exemple: Les entrées SPF pour le domaine de messagerie @microsoft.com listent environ 20 hôtes autorisé[email protected] listent environ 20 hôtes autorisés.
Exchange Server 2003 SP2 Exchange Server 2003 SP2 Support du Framework Sender ID Support du Framework Sender ID (SIDF)(SIDF)
Inventaire effectué des noms de domaines Inventaire effectué des noms de domaines émetteursémetteurs
Publication de l’enregistrement SPF dans le Publication de l’enregistrement SPF dans le DNSDNS
L’uitlisateur envoie un messageL’uitlisateur envoie un message
Vérification de l’enregistrement SPF de Vérification de l’enregistrement SPF de l’émetteur dans le DNS l’émetteur dans le DNS
Détermine “PRA” ou vérifie le “Mail From”Détermine “PRA” ou vérifie le “Mail From” Comparaison avec les adresses IP Comparaison avec les adresses IP
légitimes dans les enregistrements SPF légitimes dans les enregistrements SPF Correspondance Correspondance score neutre ou positif score neutre ou positif Pas de correspondance Pas de correspondance score neutre ou score neutre ou
negatifnegatif Réputation ajoutée au scoreRéputation ajoutée au score
Le message transite par n serveur(s) Le message transite par n serveur(s) en route vers son destinataireen route vers son destinataire
SenderID Framework
Pourquoi l’authentification?
Améliorer fiabilité et confiance en l’utilisation de Améliorer fiabilité et confiance en l’utilisation de messages électroniques.messages électroniques.
Détecte l’usurpation d’adresses, procédé recurrent dans Détecte l’usurpation d’adresses, procédé recurrent dans 95% des messages de type phishing.95% des messages de type phishing.
Protège la crédibilité et la réputation des entreprises et Protège la crédibilité et la réputation des entreprises et des noms de domainedes noms de domaine
Adoptée et signée par les leaders de l’industrie et Adoptée et signée par les leaders de l’industrie et diverses organisationsdiverses organisations
AOL, Cisco, IronPort, Microsoft, Sendmail SymantecAOL, Cisco, IronPort, Microsoft, Sendmail Symantec
American Association of Adv Agencies, US Chamber of American Association of Adv Agencies, US Chamber of Commerce, Interactive Advertising Bureau,Commerce, Interactive Advertising Bureau,
APWG, MAAWG, The-DMA, ESPC. TRUSTeAPWG, MAAWG, The-DMA, ESPC. TRUSTe
Adoption croissante de SIDF
19.3% 22.9%
27.0%28.7% 30.0%
0%
5%
10%
15%
20%
25%
30%
35%
Jan-Mar Apr-Jun July Nov Dec
Percent of valid e-mail - SIDF Compliant
21%
33%36%
71%
0%
10%
20%
30%
40%
50%
60%
70%
80%
F100 - CorpDomains (July)
F100 - CorpDomains (Oct)
F100 FinancialServices - Corp
Domains
F100 Corp &MarketingDomains
SIDF Adoption - Outbound Mail
Croissance rapide dans Croissance rapide dans son adoption par les son adoption par les F100 - 57% depuis F100 - 57% depuis juillet dernierjuillet dernier87% de croissance dans 87% de croissance dans les domaines .com / .net les domaines .com / .net depuis Mars depuis Mars
Permet une meilleure Permet une meilleure pondération du résultat pondération du résultat Liée à la réputationLiée à la réputation
Hotmail: Pourcentage Hotmail: Pourcentage croissant de messages croissant de messages conformesconformes
Exchange 2003 et E12
Exchange 2003Exchange 2003 Exchange 12Exchange 12
Service Pack 2Service Pack 2 Edge Server RoleEdge Server RoleIMF run on Mailbox serverIMF run on Mailbox server IMF and Message Hygiene services run on IMF and Message Hygiene services run on
network edgenetwork edge
33rdrd party DNS block-list support party DNS block-list support Automatic subscription to IP Reputation Service Automatic subscription to IP Reputation Service (IRS)(IRS)
DNS block-list (can now filter at the connection DNS block-list (can now filter at the connection level inside the firewall)level inside the firewall)
Bi-weekly IMF filter updates through Bi-weekly IMF filter updates through MU. Customers manually check for MU. Customers manually check for updates, then download & installupdates, then download & install
Frequent IMF and IRS filter updates with Anti-Frequent IMF and IRS filter updates with Anti-phishing data and Sender ID reputation.phishing data and Sender ID reputation.
Anti-phishing PCL added to overall Anti-phishing PCL added to overall SCLSCL
Smart-screen improvements (AV/AS Stamp, New Smart-screen improvements (AV/AS Stamp, New SCL Mgmt, more phishing data, Sender ID SCL Mgmt, more phishing data, Sender ID reputation)reputation)
Sender-ID supportSender-ID support Sender-ID reputation Sender-ID reputation
Computational Puzzle VerificationComputational Puzzle Verification
Spam reports and diagnostics using EXBPASpam reports and diagnostics using EXBPA
Per-user/group Spam preferences Per-user/group Spam preferences
Outlook Safe / Block List Aggregation Outlook Safe / Block List Aggregation
Server Quarantine Server Quarantine
Outlook Junk Mail Filter
Outlook 2003Outlook 2003 Outlook 12 Outlook 12
Solution Microsoft:Advanced Spam Manager (ASM)
Combinaison de 3 technologies distinctes:Combinaison de 3 technologies distinctes:
Intégration d’un moteur anti-spam
Intégration de Realtime Black List (RBL)
Filtrage (pièces jointes, ligne d’objet…)
Solution Microsoft:
Advanced Spam Manager (ASM)Intégration d’un moteur anti-spam :Intégration d’un moteur anti-spam :Moteur SpamCure de Mail-FiltersMoteur SpamCure de Mail-Filters
Le Spam est collecté de différentes manières
Moteur STAAR(Spammer Tricks Analysis And Response engine)
Recherche les moyens de contournement utilisés par les spammersInformations falsifiées dans l’entêteMauvaise orthographe et autres caractéristiques spécifiques au spam
Des signatures (‘Bullets’) sont crééesLes éditeurs génèrent des signatures ciblées et de petites tailles
(‘Bullets’)Basées sur les caractéristiques des messagesLes signatures sont prévisibles – détectent la plupart des courriers non-sollicités du même spammer
La base de signatures (‘bullets’) est continuellement mise à jour de manière à préserver efficacité et précision.
Architecture ASM
ASM ServerWindows 2000/03 SMTP ouExchange 5.5/2000/2003
Quarantaine de site
Exchange
Client Outlook
ASM Junk Folder ou Outlook 2003
Junk Folder
Mail Internet
Filtres disponibles:
• Filtre anti-spam
• Filtrage pièce jointe• Filtrage corps du message• Filtrage ligne d’objet• Filtrage émetteur/nom de domaine• Liste blanche émetteur/nom de domaine
• RBLs Boite de réception
Spam!
Autre serveur de mail
Spam tagging
ASM & IMF (sur le même serveur)
Possibilité d’activer les SCL dans Antigen for ExchangeUtilisation du dossier ‘Courrier Indésirable’ d’Outlook 2003
Comment fonctionne la combinaison ASM / IMF ?ASM positionne le SCL à 9 pour tout ce qui est considéré comme spam et à 0 pour tout le reste.
Sur un même serveur, IMF analyse avant ASM
Seul un SCL peut être appliqué
Une note élevée ‘écrase’ toute note inférieureLe SCL avec le plus de confiance l’emporte
Exemple: si IMF définit un SCL de 6 et que SpamCure détermine que le message est spam, le SCL final sera de 9
If IMF détermine qu’un message est spam, mais pas SpamCure, alors le SCL donné par IMF ne change pas.
Scénarii proposés par Microsoft
Windows Live Mail (Hotmail)
4 milliards de messages par jour-Volume de messages entrants bloqués: 3.6 milliards
90% des messages sont classifiés comme étant spamLa solution ‘Message Hygiene’ bloque plus de 95% de tout le spam
Windows Live Mail (Hotmail)
Connection filteringConnection filtering
Real Time Block List – MSBL / BMReal Time Block List – MSBL / BM
Rule Based Block Lists, Global accept / deny Rule Based Block Lists, Global accept / deny
and exception listsand exception lists
SMTP Filtering LayerSMTP Filtering Layer
Sender and Recipient FilteringSender and Recipient Filtering
Sender ID x Domain ReputationSender ID x Domain Reputation
Smartscreen + Brightmail Content Filter Smartscreen + Brightmail Content Filter
Anti-Spam SCL , Anti-Phishing PCLAnti-Spam SCL , Anti-Phishing PCL
Junk Mail Folder (JMF) rules Junk Mail Folder (JMF) rules
SignaturesSignatures
Connection FilteringConnection Filtering
SMTP FilteringSMTP Filtering
SmartscreenSmartscreen+ Brightmail+ Brightmail
InboxInbox
Junk E-mailJunk E-mail
IncomingInternet E-mail
Windows Live Mail (Kahuna)
‘Messaging Hygiene’ pour l’entreprise
Connection FilteringConnection Filtering
SMTP Filtering &SMTP Filtering & Sender ID Sender ID
Exchange Exchange FilteringFiltering
OutlookOutlookMailboxMailbox
InboxInbox
Junk E-mailJunk E-mail
IncomingInternet E-mail
Connection filteringConnection filtering
Real Time Block Lists – Microsoft IRS or 3Real Time Block Lists – Microsoft IRS or 3rdrd Party Party
RBLRBL
Rule Based Block Lists, Global accept / deny and Rule Based Block Lists, Global accept / deny and
exception listsexception lists
SMTP Filtering LayerSMTP Filtering Layer
Sender and Recipient FilteringSender and Recipient Filtering
Sender IDSender ID
Exchange Smart Screen Filter (IMF) Exchange Smart Screen Filter (IMF)
Outlook Safe List AggregationOutlook Safe List Aggregation
Anti-Spam SCL , Anti-Phishing PCLAnti-Spam SCL , Anti-Phishing PCL
International Domain SupportInternational Domain Support
Computational Puzzle (Outlook Postmark) Computational Puzzle (Outlook Postmark)
ValidationValidation
Quarantine and Spam ReportingQuarantine and Spam Reporting
Outlook Smart Screen Filter (JMF) Outlook Smart Screen Filter (JMF)
Safe + Blocked Sender & RecipientsSafe + Blocked Sender & Recipients
Phishing warning and block supportPhishing warning and block support
Outlook Postmark Generation (Computational Outlook Postmark Generation (Computational
Puzzle)Puzzle)
ConclusionLes techniques de spam évoluent de manière constante.Les techniques de spam évoluent de manière constante.
La motivation des créateurs de spam est grande. La motivation des créateurs de spam est grande.
Par conséquent, la lutte n’est pas finie....Par conséquent, la lutte n’est pas finie....
Les seules alternatives :Les seules alternatives :
Suivre les recommandations simples / faire preuve de Suivre les recommandations simples / faire preuve de bon sensbon sens
Mettre en place une Mettre en place une solutionsolution anti-spam pour anti-spam pour minimiser l’impact du spam dans l’entreprise et minimiser l’impact du spam dans l’entreprise et surtout, la mettre à jour. surtout, la mettre à jour.
Un autre aspect à prendre en compte : l’aspect légal !
Questions / Réponses
Merci de votre attention
