Les logiciels anti-spam remontent au milieu des années 1990, lorsque deux ingénieurs en logiciel ont commencé à dresser une liste des adresses IP à partir desquelles ils avaient reçu des courriers électroniques non sollicités et non désirés. Cette liste a été distribuée sous forme de protocole Border Gateway aux abonnés du « Mail Abuse Prevention System » (« MAPS » ou « SPAM » orthographié à l’envers), qui est devenu par la suite la liste des trous noirs des serveurs de noms de domaine.
Plus de vingt ans plus tard, la liste noire des serveurs de noms de domaine (souvent appelée liste noire en temps réel ou « RBL ») est toujours le principal mécanisme utilisé par les logiciels anti-spam pour détecter les courriers électroniques non sollicités et non désirés. Malheureusement, en raison de la sophistication croissante des spammeurs, les filtres RBL ne constituent pas à eux seuls des défenses adéquates contre les menaces par courrier électronique telles que les logiciels malveillants, les ransomwares et le phishing.
De quoi se composent les solutions anti-spam modernes ?
Les solutions anti-spam modernes utilisent une approche multicouche pour détecter le spam. Les mécanismes inclus dans l’approche multicouche varient en fonction de chaque service de messagerie ou fournisseur de logiciel, mais consistent généralement en une liste de trous noirs en temps réel, un protocole de vérification des destinataires, un cadre de politique d’envoi et un outil d’analyse du contenu. Les fonctions de chaque mécanisme sont décrites ci-dessous :
Listes de trous noirs en temps réel Comme mentionné ci-dessus, une liste de trous noirs en temps réel est une liste d’adresses IP dont on sait que le spam provient. Si une correspondance est trouvée entre un courriel entrant et une adresse IP figurant sur la liste, le courriel peut être rejeté en fonction de sa « réputation IP » (voir la note ci-dessous concernant la réputation IP).
Protocole de vérification des destinataires Le protocole de vérification des destinataires vérifie les adresses des destinataires pour s’assurer qu’elles sont valides. Si l’entreprise ne dispose pas d’une adresse de destinataire (par exemple) info@xyz.com, l’e-mail est rejeté, placé dans un dossier de quarantaine ou signalé, en fonction de la configuration du filtre anti-spam de l’entreprise.
Sender Policy Framework
Le mécanisme Sender Policy Framework vérifie que le courrier entrant d’un domaine (par exemple info@xyz.com) provient d’un hôte autorisé par les administrateurs de ce domaine. Il s’agit d’un moyen efficace d’éliminer les « courriers électroniques usurpés », dans lesquels l’adresse électronique de l’expéditeur est déguisée pour avoir l’air d’être légitime. DMARC est également utilisé pour vérifier qu’un expéditeur est autorisé à envoyer des messages depuis un domaine particulier.
Outil d’analyse du contenu La plupart des solutions anti-spam disposent d’un outil d’analyse du contenu qui inspecte les en-têtes et le contenu de chaque courriel et le note en conséquence. Ces mécanismes « apprennent » la probabilité qu’un courriel soit légitime ou non à partir des actions de l’utilisateur, généralement par une technique connue sous le nom d' »analyse bayésienne ».
Depuis le milieu des années 1990, les listes de trous noirs en temps réel ont évolué de façon significative. Cela est dû au fait que les agences RBL attribuent un « score de réputation IP » aux adresses IP en fonction de facteurs tels que le taux d’ouverture des e-mails, le taux de clics, les plaintes pour spam et les « hard bounces » (e-mails renvoyés à leurs expéditeurs parce que le nom de domaine n’existe pas ou que le destinataire est inconnu).
Les solutions anti-spam modernes prennent en compte les scores de réputation IP ainsi que les évaluations calculées par les outils d’analyse de contenu afin d’attribuer un « score de spam ». Les administrateurs système peuvent définir un « seuil d’acceptation du spam » et, si le score de spam dépasse ce seuil, le courriel est rejeté, mis en quarantaine ou signalé, selon la configuration du filtre anti-spam de l’entreprise.
Ces mécanismes sont-ils des défenses efficaces contre toutes les menaces par courrier électronique ?
Malheureusement, non. Bien que les services de messagerie et les fournisseurs de logiciels mettent régulièrement à jour leurs listes de trous noirs en temps réel (Real-time Blackhole Lists), les RBL ne capturent que les courriers indésirables provenant de sources de spam connues ou d’adresses IP de mauvaise réputation. En général, les RBL détectent environ 97 % à 98 % des spams. Les spammeurs changent fréquemment d’adresse IP et de domaine, et compromettent souvent des comptes de messagerie légitimes de bonne réputation pour les utiliser à des fins de spam. Les RBL ne sont pas efficaces pour bloquer ces nouvelles sources de spam, et les solutions anti-spam qui ne disposent pas de fonctionnalités plus avancées laissent passer entre 1 et 3 % des courriels non sollicités.
Un grand nombre de spams sont désormais envoyés par des botnets à partir d’adresses IP ayant une bonne réputation. Cela se produit lorsqu’un spammeur a obtenu l’accès à un appareil et à sa connexion Internet, et qu’il peut envoyer des courriers indésirables à partir de l’appareil « zombie » compromis en utilisant un logiciel malveillant de commande et de contrôle. Selon le dernier rapport de Symantec sur les menaces liées à la sécurité Internet, il existerait plus de 98,6 millions de dispositifs zombies infestés de robots.
Bien que les mécanismes du Sender Policy Framework puissent détecter certains courriels envoyés à partir de comptes compromis, ils ne peuvent pas tous les détecter, ce qui expose souvent les entreprises aux attaques de BEC et de phishing. Par conséquent, pour défendre efficacement leurs réseaux contre les menaces liées aux courriers électroniques, les entreprises doivent utiliser un logiciel anti-spam avancé proposé par un fournisseur de logiciels spécialisés et ne pas se contenter du logiciel anti-spam de base mis en place par leur fournisseur de services de messagerie.
Voir https://evok.com/fr un site spécialiste en dépoiement d’antispam Microsoft 365.
