Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

SpamTraps : un piège pour lutter contre les spammers

SpamTraps : un piège pour lutter contre les spammers
2009-11-122013-04-11sécurité des réseauxfr
Les moyens disponibles pour lutter contre le fléau du spam sont multiples : Cela peut aller de mécanismes de collection de plaintes en provenance des utilisateurs, de l'analyse du contenu des messages (détection de mots clefs, ...) ou encore de la présence de l'adresse IP de l'émetteur...
Publié le 12 Novembre 2009 par Jean-François Audenard dans sécurité des réseaux

Les moyens disponibles pour lutter contre le fléau du spam sont multiples : Cela peut aller de mécanismes de collection de plaintes en provenance des utilisateurs, de l'analyse du contenu des messages (détection de mots clefs, ...) ou encore de la présence de l'adresse IP de l'émetteur dans une liste noire ("blacklist").

Rares sont les personnes à souhaiter passer du temps à se plaindre auprès de leur fournisseur de services des spams qui peuvent arriver dans leur BAL : Les services de relais de messagerie intégrant des fonctions de détection et de filtrage de spam sont désormais la norme.

Donc si les remontées manuelles sont minoritaires, comment une source de spam jusqu'ici inconnue peut-elle être détectée et être inscrite dans ces fameuses listes noires ?

L'une des réponses à cette question, ce sont justement les spamtraps : Un mécanisme spécialement conçu pour piéger, et donc ainsi détecter, les spammeurs.

Comment me direz-vous, j'ai été amené à creuser un peu le sujet ? J'ai été amené à me pencher sur ce mécanisme dans le cadre de mes travaux avec la cellule Abuse d'Orange Business Services qui gère quotidiennement les problèmes relatifs au spam. En effet, alors que je regardai les plaintes reçues, je me suis étonné de voir plus de 600 plaintes associées à une seule et même adresse IP...

Les spamtraps, c'est quoi ? Comment créer un tel piège ? Que doit faire une cellule abuse vis à vis de ces pièges ?
Dans cet article, je vous propose de rentrer de l'autre coté du miroir et de découvrir ce mécanisme assez méconnu mais très efficace.

définition d'un spamtrap

Les spamtraps sont des adresses e-mail spécialement créées dans le but d'attirer des messages non-sollicités. Elle ne sont utilisées que pour cet usage et aucun autre. Aucun message n'est émis depuis ces adresses de spamtrap. On peut donc dire que ces adresses e-mail sont "factices" dans le sens ou elles sont pas utilisées pour des communications usuelles entre personnes ou des organisations.

création du piège

L'administrateur d'un serveur de messagerie pourra créer des adresses e-mail "spamtrap" de différentes manières :

création d'adresses : la méthode "basique"

Il est aussi possible de créer des pièges moins "évidents", en utilisant des adresses e-mail pour des personnes n'existant pas dans la société :

la méthode "automatisée"

En partant sur des fichiers de noms et prénoms usuels, on génère des adresses e-mail factices du genre

"john.smith@nomdomaine.fr", "emile.durand@...".

Dans ce cas, faites attention à ne pas utiliser la même convention utilisée en interne (genre "prenom.nom@nomdomaine.fr) car il y aura surement quelques collisions...

Pour éviter toute déconvenue, préférez une convention différente de celle utilisée : pnom@nomdomaine.fr (1ere lettre du prénom suivie du nom)...

--> Avec la méthode "basique" c'est la méthode qui fait le plus de sens.

la méthode "binaire" pour les plus volontaires

Pour se simplifier la vie, utilisez un nom de domaine spécifique pour vos spamtraps : Toutes les adresses e-mail de ce domaine seront donc des pièges en puissance.

Et dans ce cas, plus de problème de collisions ou quoi que ce soit... Simple et efficace et d'un coût modéré !

la méthode de l'artisan

Beaucoup plus laborieuse mais diablement efficace : Pendant une durée donnée, on accepte tous les mails envoyés à des adresses e-mail n'existant pas : On ouvre chacun des messages (depuis un poste sécurisé et isolé de votre réseau) en chargeant le code HTML : Cela va avertir le spammeur que l'adresse email utilisée est lue...

On peut aller jusqu'à demander une désinscription (illusoire bien sûr, mais cela confirmera que l'adresse est lue). Une fois cela fait pendant quelques jours, on a une superbe base d'adresses de spamtrap à consommer sans modération. :-)

mise en place ou pose du piège

Une fois les adresses mails factices créées, il s'agit de les poser aux "bons endroits" afin que les spammeurs s'y prennent les pieds.

Les adresses spamtrap vont être publiées à des endroits ou aucun humain n'irait les trouver : Dans des zones de commentaires de pages Web, au milieu des pages web mais en utilisant une couleur "ton sur ton" (invisibles donc pour une personne), en les publiant dans un groupes de discussion, etc...

Une autre alternative est de crééer une page dédiée ne contenant que des emails de type spamtrap et de mettre en place des liens cachés vers celle-ci depuis d'autres pages de votre site web. A chacun d'être créatif ! Il reste essentiel que ces adresses ne soient vue que par les outils de ramassage/collecte utilisés par les spammers pour constituer leurs bases d'adresses : Un terme a justement été créé pour ce type d'outils : Les spambots.

Dès qu'un spambot va arriver sur une page contenant les adresses email factices, il va les collecter et les ajouter à la base d'adresses emails du spammer. Le piège commence à se refermer sur le spammer : Il ne reste plus qu'a attendre.

le cas spécial des adresses générées automatiquement

Dans le cas ou vous utiliseriez des adresses générées via un dictionnaire (de noms et prénoms à consonance anglophone de préférence), vous n'avez peut-être même pas à publier les adresses.... Pourquoi me diriez-vous ?

Parce-que, tôt ou tard vous serez la cible d'une attaque par énumération/dictionnaire : Un spammer tentera de vous envoyer des mails vers des adresses créées avec des bases de noms et de prénoms... Dans ce cas, il suffit d'attendre... Bien sûr, il reste possible de passer à la vitesse supérieure via la publication des adresses sur un site web via quelques liens cachés.

Notes : En créant des spamtraps, vous allez attirer du spam... vérifiez-bien que cela est autorisé auprès de votre prestataire ou que vos serveurs de messagerie seront en mesure de gérer cette charge supplémentaire. Il est aussi __essentiel__ que vos adresses de spamtrap restent confidentielles, idem pour le nom de domaine de spamtrap.

le piège se referme

Les adresses emails factices collectées par le spambot ont sont donc maintenant dans la base d'adresses du spammeur. Celui-ci va donc s'en servir pour envoyer ses messages non-sollicités par milliers ou plutôt par millions : Dans la masse de ces messages, certains de ses messages vont donc arriver sur nos pièges....

Et comme une adresse email de type spamtrap n'a jamais pu exprimer un consentement préalable pour quelque mail que ce soit, tout message adressé à ce type d'adresses email est donc à 99,999% du spam.... Le spammer est donc pris la main dans le sac !

envoi des notifications de plainte pour réception de spam

Derrière chacune des adresses spamtrap, on peut retrouver un programme qui pour tout mail reçu, va génèrer une plainte à destination de la cellule Abuse référencée en contact pour le bloc d'adresses IP d'où provient le spam...

Ces messages pourront suivre le format ARF (Abuse Reporting Format) qui permet d'automatiser le traitement des emails via des programmes. Pas de règle (à ma connaissance du moins) dans le domaine, après une plainte formatée aura plus de chances d'être traitée qu'une autre... :-)

L'envoi d'une plainte n'est cependant pas une obligation : Certains préféreront bloquer l'adresse IP de l'émetteur via une règle de firewalling, etc... A chacun ses préférences et ses techniques de lutte contre le spam. :-)

traitement des plaintes

La cellule Abuse va donc recevoir, quasiment en temps réel, des mails de plainte pour du spam émis depuis des adresses IP de son réseau. Ces plaintes sont reçues et traitées automatiquement pour être regroupées selon l'adresse IP d'émission. Les personnes physiques reprennent la main : L'utilisateur de l'adresse IP incriminée va être contacté.

La chasse au bot ou au serveur SMTP en open-relay peut donc commencer !

15 Commentaires

  • 12 Janvier 2010
    2010-01-12
    par
    Bonjour. La communication entre professionnels est effectivement essentielle afin de gérer mieux ce fléau qu'est le spam, surtout dans le cas d'une activité comme la votre.
    Un partage des bases de spamtraps entre acteurs pourrait effectivement être intéressant mais le risque est que celle-ci soit compromise par une brebis galeuse travaillant pour le compte des spammers... Dans de cas, c'est mort : En ayant connaissance des spamtraps, les spammers les éviteront tout naturellement. Peu de chances que cela puisse être mis en place.
    Une autre façon de mettre en oeuvre ce partage de spamtraps tout en assurant la confidentialité des adresses reste possible : Cf l'exemple de l'intégration du filtrage anti-phishing intégré dans Firefox qui s'appuie sur les listes de Google : Le hascode est notre amis dans ce cas. Ainsi il serait possible de tester si une adresse est un spamtrap ou non tout en conservant ladite liste secrète.
    Par contre, un guide de bonnes pratiques ou "code de bonne conduite" est effectivement une bonne idée. Des initiatives dans ce ont pu être mises en place dans le cadre de l'AFA mais aussi de groupes de travail plus spécialisés comme le MAAWG : C'est l'occasion de rencontrer les personnes impliquées au quotidien et donc de tisser des relations permettant de travailler de façon plus coordonnée.
  • 10 Janvier 2010
    2010-01-12
    par
    Bonjour,

    Je me permets de réagir à votre article.

    Nous sommes editeur de la plate forme de routage emailing Pro Mail.

    A ce titre nous avons mis en place une gestion drastique de la liste des contacts avec un taggage en temps réel sur l'ensemble des bases de nos clients en cas de plaintes de demande de radiation de domaines incorects ou de mails incorects. Nous nous assurons de la provenance de la base.

    Maintenant nous ne sommes pas à l'abri qu'un client insère une mauvaise adresse une mauvaise base ou ne travaille pas sur de l'optin .

    Pour cela je préconise une charte entre professionnels du routage, afin que nous ayons tous, les spamtrap et pieges et que nous puissions refuser une envoi client dont nous avons trouvés un spamtrap ou autre . Bien evidemment sans leur redonner notre source de détection.

    Ainsi les grands acteurs emailing, emailvision, pro mail, do list, emailstratégie, np6 et autres pourraient réduire leurs envois sur des bases non optin, gagner du temps sur les déblacklistages et surtout cela reduirait considérablement l'envoi de mauvaises campagnes.

    A vous lire,

    cordialement,
  • 9 Décembre 2009
    2010-01-12
    par
    Je suis aussi un utilisateur de SpamGourmet depuis de longues années... et je dois dire que la simplicité d'utilisation du service est l'un de ses atouts ! Simple, efficace et ne change rien aux habitudes : On reçoit ses mails comme à l'habitude... Tout en sachant d'ou ils proviennent et en limitant le nombre.
  • 8 Décembre 2009
    2010-01-12
    par
    À Yopmail je préfère Spamgourmet, qui ne dévoile pas les messages, ce qui le rend utilisable lorsque l'on s'inscrit sur un site web qui expédie par mail un URL secret ou mot de passe.
  • 8 Décembre 2009
    2010-01-12
    par
    Un bon débat est effectivement enrichissant tant pour les parties en "prise" que pour ceux qui regardent.
    Je viens de prendre connaissance de votre réponse sur Snipemail. Je suis en phase avec vous sur les difficultés que peuvent rencontrer des petites sociétés dans la sécurisation de leurs systèmes.
    Les impacts d'un blacklistage, surtout dans le contexte économique actuel, peuvent effectivement avoir de graves conséquences comme vous l'évoquez dans votre réponse sur Snipemail.
    Certaines de ces "listes noires" ont des pratiques des plus discutables comme monétiser une désinscription plus rapide...
    Quelques recommandations pour ceux qui regardent l'échange (cordial) de balles :
    1) Ne pas "jouer" avec les spamtraps si vous ne comprenez pas de quoi il retourne. Ce n'est pas un jeu, c'est du sérieux !
    2) Si vous êtes blacklistés, le mieux est de solliciter l'aide d'un professionnel, que ce soit votre prestataire informatique, votre hébergeur ou votre fournisseur d'accès Internet.
    3) Si vous le pouvez (et le souhaitez), profitez des serveurs de relais sortants de votre prestataire/FAI/hébergeur : Si il advenait que l'une de vos machines étaient infectée pas un bot, cela simplifierait la résolution du pb. En effet, vaut mieux négocier avec votre prestataire qu'avec l'adresse email anonyme d'une liste noire en anglais et qui se contrefout (c'est malheureux à dire mais c'est très souvent le cas) de vos difficultés ou problèmes et qui restera inflexible.
    En vous souhaitant bonne continuation !
    JF

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage