Comment un spam est détecté ?

par Stephane
Image-Par-Défaut-Site-Actualités

Procédés d'analyse et détection d'un spam

Nuisance pour les utilisateurs et casse-tête  pour les administrateurs, le spam est une vraie problématique. Pour  éliminer ces emails indésirables, plusieurs techniques sont disponibles.

Le spam constitue plus de deux tiers du trafic mail et pose un sérieux problème pour tous les responsables de systèmes d’informations. Les nuisances apportées par les spams ne se limitent pas à l’afflux de mails indésirables ou la perte de mails légitimes. Le spam est lié à l’hameçonnage (phishing), aux virus et autres logiciels malveillants, et aux scams. Dans cet article, nous présentons les méthodes actuelles de contrôle de spams.
Une grande quantité de celles-ci cherche à développer une détection de spam la plus précise possible par des techniques d’apprentissage et des techniques probabilistes, dont la classification bayésienne, les réseaux neuronaux artificiels et la compression de texte. Parmi ceux-ci, l’usage des filtres bayésiens est sans doute la pratique la plus répandue sous plusieurs formes, avec ou sans pre-processing, avec ou sans apprentissage, en tant que partie d’un ensemble de classification ou opérant isolément.

Parmi les techniques proposées à l’heure actuelle, on peut citer :
– un contrôle sur les routeurs : le flux SMTP est redirigé vers une passerelle spécifique qui applique une détection par empreinte et par classification bayésienne, résultant en une précision des détections de l’ordre de près de 97%. Le traitement des spams dès les routeurs d’accès au réseau permet en outre de fermer les connexions SMTP dès cette étape et donc d’économiser les ressources du réseau.
– une détection basée sur un proxy, qui permet de limiter le flux de spams et protéger les serveurs de courriers électroniques par l’utilisation de listes noires et de techniques de tris basés sur le contenu. Les mails sont traités à la couche 7 par un proxy MTA, ce qui réduit les flux de spams en refusant les requêtes de transfert d’e-mails pendant les périodes de charge intense, isolant et privilégiant ainsi les vrais MTA de la surcharge et des attaques de spam.
– une détection des spams sur les e-mails une fois assemblés en fonction d’une classification du contenu et de l’utilisation d’empreintes. Parce que cette technique ne traite les e-mails qu’une fois qu’ils sont assemblés, elle repose obligatoirement sur une implémentation logicielle. L’assemblage est également de plus en plus coûteux en termes de mémoire et de capacité de traitement au fur et à mesure que les vitesses et la capacité de transport des réseaux augmentent.

Il convient de noter que les détections basées sur l’origine et l’acheminement d’un e-mail (liste noire, historique de l’expéditeur, …) se heurtent à un problème important : le manque d’information préalable. Le MTA qui reçoit le mail ne dispose pas en effet d’informations lui permettant de lancer le processus de distinction pendant la réception de l’e-mail ou pendant les sessions SMTP afin de pouvoir différencier les transferts d’e-mails. La raison en est que les contrôles des spams sortants ne sont quasiment jamais mis en œuvre, que ce soit à l’émission ou sur les MTAs relais. La charge de l’analyse revient donc uniquement au MTA destinataire final. Cette caractéristique fait que les techniques de détection basées sur l’analyse de contenu sont pour l’instant plus efficaces que celles basées sur une liste noire ou un historique.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …