Attaques courantes des spammeurs

Cette partie détaille quelques-unes des techniques les plus utilisées par les spammeurs, d'après nos observations pendant la période de tests du Greylisting. Nous y présentons aussi comment notre méthode y fait face.

• passage par un MX secondaire
• attaque par dictionnaire
• distribution massive et répartie
• relayage par un serveur Web

Méthode 1 : passage par un MX secondaire

Un nombre non négligeable de pourriels visent spécifiquement les MX secondaires des domaines destinataires. La raison en est simple : souvent, ces serveurs de secours acceptent tous les messages et les ré-envoient vers le serveur primaire sans les contrôler. Cette technique diminue les contraintes sur les systèmes du spammeur, ne nécessite pratiquement pas de travail de gestion de messages rejetés, et autorise des transactions nettement plus rapides, le système destinataire (MX secondaire) étant généralement peu chargé.

Le Greylisting contre très bien cette attaque, dont le seul objectif est de minimiser les rejets et les délais.

Méthode 2 : attaque par dictionnaire ou rouleau compresseur

De nombreux spammeurs utilisent aujourd'hui une technique de "rouleau compresseur", c'est-à-dire qu'ils envoient des messages à des noms usuels sur un certain domaine (pierre@, jean@, webmaster@; on parle aussi d'attaque par dictionnaire), ou à des adresses calculées à partir de noms collectés sur diverses sources. Il semblerait qu'ils utilisent plus souvent un dictionnaire de noms et prénoms communs, mais la technique des adresses "générées" peut prendre plus d'importance dans l'avenir.

Les spammeurs utilisent probablement cette méthode afin de joindre des personnes qui ont

• soit pris les mesures nécessaires pour éviter que leur adresse électronique ne puisse être collectée sur la toile,
• soit sont plutôt des novices et n'ont pas les ressources ou l'envie de créer leurs propres pages Web.

Le second cas semble le plus probable, les utilisateurs novices étant plus enclins à acheter un produit dont la publicité se fait via le pourriel.

Ce style d'attaque est très souvent combiné à l'utilisation des MX secondaires, puisque la majorité des messages émis provoqueront un rejet, surtout si le domaine ciblé ne comporte que peu d'utilisateurs. En conséquence, les spammeurs utilisent les MX secondaires, qui gèreront les rejets et les erreurs à leur place.

Le Greylisting contre bien cette attaque, puisque ces messages proviennent souvent d'adresses IP dynamiques. La majorité des messages devant, statistiquement, être refusée, il serait trop onéreux pour les spammeurs de gérer eux-même les rejets. De plus, cette attaque étant facile à détecter (une grande quantité de rejets provenant d'une adresse IP ou d'un groupe identifié d'adresses IP), le Greylisting donne le temps nécessaire pour ajouter des adresses dans d'autres listes noires.

Méthode 3 : distribution massive et répartie

Beaucoup d'attaques de spammeurs semblent utiliser les mêmes schémas que les dénis de services distribués (DDoS, distributed denial of service). Sur les systèmes sur lesquels nous avons évalué les méthodes des spammeurs, nous avons observé qu'il était assez courant de recevoir, dans un intervalle réduit, des pourriels provenant de nombreuses adresses IP différentes et sans lien entre elles. Et pourtant, toutes les adresses d'émission de ces messages étaient identiques ou très proches, et les destinataires étaient relativement ordonnés.

Le Greylisting, tel que nous l'avons défini ici, gère très bien ces attaques. Toutefois, lorsque les spammeurs s'y seront adaptés et réémettront leurs messages, l'efficacité devrait diminuer.

Cela dit, il reste possible d'adapter notre technique afin de limiter les possibilités de contournement. Par exemple, il devrait être possible, sans que cela ne nécessite trop de puissance de calcul, d'examiner les demandes d'acheminement reçues récemment et, si l'on détecte ce type de rafales, de mettre d'autres listes noires à jour.

Méthode 4 : attaque par relais sur un serveur Web

Une part signficative des pourriels semble provenir de relais de type CacheFlow ou autres. Il est souvent facile de les identifier car ils renvoient l'identifiant CacheFlowServer à une requête ident.

Le Greylisting bloque totalement ces attaque, puisqu'il ne s'agit pas de véritables agents d'acheminement, et ils ne tenteront jamais une seconde émission des messages.