Accueil

Filtrages antispam/antivirus des courriers électroniques

Cette page explicite les moyens techniques mis en oeuvre sur les serveurs Awele pour combattre le spam et les virus.

Ce qui suit s'applique pour tous les messages reçus qu'ils soient à destination d'une liste de diffusion ou pas. Chaque message passe par 4 filtres qui peuvent chacun refuser éventuellement le message, s'il est détecté comme indésirable selon des critères spécifiques.

Voici ci-dessous un aperçu des vérifications effectuées par chaque filtre, dans l'ordre de passage (un message peut ne pas arriver jusqu'au dernier filtre, s'il a déjà été refusé par un filtre en amont).

En cas de problèmes, il faut toujours bien penser à transmettre le message en entier, y compris (surtout !) les en-têtes, afin de pouvoir diagnostiquer le couac.

Eliminations triviales

A cette étape on refuse les messages :

  • provenant d'émetteurs qui violent grossiérement le standard d'émissions de courrier électronique (ce qui est uniquement le cas des spammeurs)
  • contenant un fichier attaché avec un nom dans une extension non sûre (liste donnée par Microsoft, avec notamment dedans .bat .exe .pif .reg .url)
  • contenant un fichier attaché et adressé à une liste de diffusion
  • essayant de se faire passer pour un message légitime envoyé depuis Outlook
  • contenant plus de 15 caractères accentués/non français et symboles divers dans le sujet (spams asiatiques et autres)
  • plus un certain nombre d'autres cas de figure spécifiques à tel ou tel spam ou vers (worm)

Si un message tombe dans un de ces tests, il n'est pas accepté du tout par le système, et l'émetteur recevra donc un message d'erreur.

Liste grise

Ce filtre met en oeuvre une technologie très efficace contre les spammeurs, qui s'adaptent cependant progressivement pour la contourner.
Quand quelqu'un essaye de transmettre un message au serveur Awele, il est initialement refusé avec une réponse qui, si l'émetteur respecte le standard, fait que le message sera envoyé de nouveau plus tard.
Les spammeurs eux en général ne respectent pas les standards et s'ils n'arrivent pas à transmettre le message la première fois ils n'essayeront pas de le transmettre ultérieurement.
L'inconvénient est qu'on génère donc un délai supplémentaires pour les messages désirables.

Le système prend en compte l'adresse email de l'émetteur, l'adresse email du destinataire et l'adresse IP du serveur qui essaye de transmette le message. Cela forme donc un triplet d'informations. A chaque nouveau triplet on refuse donc initialement le message pour une durée d'une heure. Puis, quand ce délai est dépassé, le message sera accepté, et le triplet en question sera automatiquement accepté pour les messages suivants pendant 3 jours.

On peut régler les délais, et mettre en liste blanche certains émetteurs/récepteurs/adresse IP pour accélérer la transmission.

Pour un émetteur normal (pas un spammeur), ce filtre est complètement transparent, si ce n'est le délai initial supplémentaire pour la bonne réception du message. Quand un message passe avec succès ce filtre, un en-tête X-Greylist: est ajouté qui permet de voir combien de temps le message a été retardé.

Spamassassin

Le troisième filtre utilise le logiciel spamassassin qui fait de nombreuses vérifications sur le message, tant de fond que de forme.

Il vérifie par exemple :

  • que le message ne vient pas d'une adresse IP connue comme étant celle d'un spammeur
  • que le message ne contient pas certains mots/phrases/adresses de site Web connus pour être dans les spams
  • que le message n'est pas similaire à un message déjà considéré comme étant du spam auprès de serveurs externes
  • si le message est purement du HTML (plus souvent utilisé par les spammeurs)
  • etc...

Au final, Spamassassin attribue un score, qui est une moyenne pondérée des centaines de test effectués. Il est considéré qu'un score supérieur à 5 est très probablement un spam, mais il peut toujours y avoir des erreurs.

Ce filtre refuse un message à partir d'un score de 15 (et l'émetteur en est averti), mais en-dessous il laisse le message passer en ajoutant les en-têtes X-Spam-Status, X-Spam-Level, X-Spam-Checker-Version, X-Spam-Flag, X-Spam-Report. Ainsi il est possible, dans les logiciels de courrier et les webmails de mettre en place des filtres qui vont déplacer les emails ayant X-Spam-Flag: YES vers une boîte spéciale, voire même les détruire. Cela reste cependant la responsabilité de chaque destinataire, c'est pour quoi le serveur ne fait qu'ajouter ces en-têtes et ne détruit pas lui-même les messages (sauf si le score est supérieur à 15 car il n'y alors plus de doute).

Il est à noter que Spamassassin gère le filtrage bayésien, mais ce dernier est désactivé sur le serveur car il n'est efficace qu'au niveau de chaque utilisateur pris séparément et non pas globalement. Les logiciels de courrier récents, comme Thunderbird, incorpore cette technologie, et nous vous recommandons de l'activer donc dans votre logiciel de courrier.

Antivirus

Ce filtre fait passer le message, les fichiers attachés et éventuels contenus d'archives dans les fichiers attachés dans un antivirus (clamav), mis à jour toutes les heures.

En cas de détection d'un virus, le message est refusé, l'émetteur sera informé (dans le cas très improbable où c'est un émetteur légitime).

Les messages qui passent avec succès se voient ajouter les en-têtes X-Virus-Scanned et X-Virus-Status

Indépendamment de ce filtrage, il est recommandé de toujours avoir un anti-virus à jour sur sa machine.