DEPLOIEMENT D'OUTILS POUR LA LUTTE ANTI-SPAM 21 Mars 2006
MAROC CONNECT en bref _ Maroc Connect est depuis septembre dernier opérateur de télécommunications au Maroc _A la base, Maroc Connect est un fournisseur d accès internet avec la marque Wanadoo _Maroc Connect est aujourd hui filiale à 100% du Groupe ONA _L activité fournisseur d accès existe depuis 2000 _Les services web traitent beaucoup d aspects liées à l activité ISP dont la lutte anti-spam 2
LE SPAM EST TOXIQUE _ Encombrement des files d'attentes des serveurs mail _ Pollution des boites aux lettres _ Utilisation de liste d'expéditeurs non qualifiée _ Envoi massif et continu dirigé contre des noms de domaines (nimportequoi@nom_de_domaine) sur des noms de domaines _ Caractère commercial intrusif, harcèlement publicitaires, escroqueries _ Contenus au goût douteux _ Malveillance _ La Technologie spam en évolution constante: distribuée, évolution constante des parades d'infiltrations _ Développement des PC Zombie qui consiste à transformer le PC windows d'un internaute en machine serveur de spam _ Environ les 2/3 de mails reçus sont du spam 3
LE SPAM EST TOXIQUE D'où la nécessité de: Maîtriser les flux smtp entrants et sortants Protéger les clients contre les spams en réception de mail Contrôler et réguler les clients spammeurs volontaires ou involontaires, en émission de mail 4
SOLUTIONS TECHNIQUES DEPLOYEES CHEZ MAROC CONNECT La protection contre le spam doit passer par plusieurs niveaux : Au niveau de la configuration des serveurs Au niveau de la mise en place d'outils de filtrage 5
SOLUTIONS TECHNIQUES DEPLOYEES CHEZ MAROC CONNECT CONFIGURATION DES SERVEURS Configuration de tous les serveurs messagerie pour n'accepter que des noms de domaines possédant de la messagerie (contrôle de l'enregistrement MX) Paramétrage d'un seuil limite de mail émis simultanément par adresse IP Séparation des flux smtp entrant et sortant Filtrages manuels (procmail, regex, blackliste interne en émission et réception) Mise en place d'access liste chez certains clients LS pour n'autoriser le service smtp qu'à partir de source fiable. Seuls les clients Maroc Connect sont autorisés à utiliser les serveurs d'émission (filtrage par adresse IP) Seuls les noms de domaines gérés chez Maroc Connect sont relayés sur les serveurs d'émission 6
SOLUTIONS TECHNIQUES DEPLOYEES CHEZ MAROC CONNECT MISE EN PLACE DES OUTILS DE FILTRAGE Greylist Amavisd-new & Spamassassin 7
8
ANATOMIE D'UN MAIL Return-Path: <ricci@globalprocurementsystems.com> Received: from -1210078328 ([218.3.95.118]) by adsl.wanadoopro.ma () with SMTP id k2ghgneh001629 for <contact@...>; Thu, 16 Mar 2006 17:17:12 GMT by ggs.netwiseshpper.com (Qmailv1) with ESMTP id EE447FA8B8 From: "Measuring H. Decrescendo" <ricci@globalprocurementsystems.com> To: Contact <contact@nom_de_domaine> Subject: The Ultimate Online Pharmaceutical Vliragra $3.3 Levitfra $3.3 Cialkis $3.7 VaIieum - $0.97 Xanxax $1.09 Soama $3 Meriadia $2.2 Best regards, Online Pharmaceuticals If the cap fits wear it. After winter spring will come. Better to give that to receive. Soon learn soon forgotten 9
SOLUTIONS TECHNIQUES DEPLOYEES: Greylist - Greylist ou Liste grise: à mi-chemin entre liste noire et liste blanche -Le GreyListing repose sur le fait que la majorité des spammeurs font du Fire and Forget -Le principe consiste à rejeter provisoirement le mail la première fois qu'il se présente et à conserver le triplet: adresse de l'expéditeur / adresse destinataire / adresse IP du serveur expéditeur -Tout mail rejeté avec une erreur temporaire doit être réémis (en respect du standard smtp RFC 821) -Lorsqu'il se représente, le triplet est whitelisté (liste blanche) et le mail sera définitivement accepté. -Il est possible de whitelister des serveurs de confiance 10
SOLUTIONS TECHNIQUES DEPLOYEES: Greylist Inconvénients: Au déploiement, quelques retards de livraison de mail peuvent être enregistrés en fonction de la durée de retention avant réémission.. Le délai de réémission d'un mail est variable de 5 minutes à 4 heures Avantages: Une réduction de 90% du nombre de spam reçu (ce taux est, hélas en cours de baisse) Une réduction de 80% du nombre de virus reçu Solution Open source en constante évolution, impliquant une importante communauté de développeurs et de contributions. Pas de faux positifs Optimisation de l'utilisation des ressources serveurs: moins de temps passé au traitement des nombreux mails entrants spam ou infectés de virus 11
AMAVISD-NEW Couche logicielle qui applique du filtrage de contenu en utilisant Spamassasin Ajoute une entête au mail, le met en quarantaine ou le rejette Conserve dans le cache les derniers résultats 12
SOLUTIONS TECHNIQUES DEPLOYEES: spamassassin Le principe est l'analyse contextuelle du mail en utilisant un ensemble de mécanismes: - Analyse de texte et d'entête des messages - Techniques de filtrage Bayéssien (calcul de probailité par occurrence) - Comparaison avec une base de modèle prédéfini - Apprentissage - Score des mails en fonction de la spamicité - Consultation des DNSBLs (Base de données des blacklisté) 13
Exemple de mail «spamassassiné» Subject: Dear Friend, From: <jeweltayloor2020@worldmedic.com> Reply-To: jeweltayloor202@yahoo.com X-Mailer: SquirrelMail (version ) MIME-Version: 1.0 Content-Type: text/plain; charset=tis-620 Content-Transfer-Encoding: 8bit (tensift.wanadoo.net.ma Tue, 28 Feb 2006 14:33:43 +0000 (WET) X-Spam-Status: Yes, score=15.326 tag=-10 tag2=6.31 kill=6.31 tests=[bayes_50=0.001, DEAR_FRIEND=0.07, MILLION_USD=2.796, NA_DOLLARS=2.611, NIGERIAN_BODY1=3.4, NIGERIAN_BODY2=0.599, NIGERIAN_BODY3=0.058, NIGERIAN_BODY4=2.663, NO_REAL_NAME=0.007, RCVD_IN_BL_SPAMCOP_NET=1.216, TO_EMPTY=0.097, URG_BIZ=1.808] X-Spam-Score: 15.326 X-Spam-Level: *************** X-Spam-Flag: YES 14
SOLUTIONS TECHNIQUES DEPLOYEES: spamassassin Avantages Réduction importante de réception spam Les mails sont filtrés au niveau serveur et pas au niveau client Mise à jour régulière des modèles de spam Multilingue: filtrage des spams chinois, russe Solution Open source en constante évolution, impliquant une importante communauté de développeurs et de contributions. Inconvénients Présence (minime) de faux positifs et faux négatifs impliquant une observation régulière des rejets et un ajustement régulier des réglages Forte consommation de ressource, mais, greylist en amont permet de parer à cet incovénient 15
Quelques chiffres Economie + de 20% de la consomation de la bande passante Calcul sur l'activité mail des 5 derniers jours: Greylist: 954 000 mails reçus 614 376 Greylistés 314 820 Whitelistés Amavis & Spamassasin 314 820 reçus dont 15 000 spams, 10 800 virus = 289 020 Sur 954 000 mails reçus 289 020 mails livrés --> 30,29 % du traffic mail est légitime 16
Quelques chiffres 1,131,57 33 GreyList WhiteList Spam Virus 64,4 17
Références Milter-greylist (sendmail) Auteur: Emmanuel Dreyfus http://hcpnet.free.fr/milter-greylist Postgrey (postfix) http://isg.ee.ethz.ch/tools/postgrey Spamassasin http://spamassassin.apache.org 18
IL RESTE A FAIRE.. Il faut continuer à sensibiliser les gens sur les règles du bon usage de la messagerie oeuvrer pour le traitement systématique des mails de retour (certains fournisseur de mail rejette mailer-daemon ) Le spam doit être une préocupation continue de TOUS les administrateurs des services messagerie Tous les serveurs mails devraient comporter un anti-virus et une solution anti-spam Mettre en place des mesures nationales à l'encontre des spammeurs Obtenir de tous les fournisseurs d'accés, un traitement efficace des mails destinés à abuse@ 19
MERCI QUESTIONS/REPONSES 20