Gr. Olson, Sendmail: identifier pour combattre le SPAM

Comment se blinder face au ‘spam’. Entretien de notre partenaire iSecurelabs avec Greg Olson, co-fondateur de Sendmail

Le ‘spam’ fait désormais partie de notre quotidien. Que ce soit dans le cadre d’offres promotionnelles ou de messages a caractère pornographique, il pollue nos boites e-mail et les solutions existantes aujourd’hui sont essentiellement basées sur l’analyse lexicale et génèrent beaucoup de faux positifs et négatifs.

Greg nous précise que l’on est désormais arrive a un point de non retour et que la modification doit intervenir au niveau du protocole : « Le protocole doit évoluer. L’idée de proposer aujourd’hui un système de messagerie non authentifiée ne peut pas fonctionner. Tout le monde est fatigué de recevoir l’ensemble de ces messages non désirés ». Une initiative commune a été lancée sous le nom de ASTA pour « Anti-Spam Technical Alliance ». Les membres sont actuellement Microsoft, AOL, Earthlink, Yahoo!, Comcast et British Telecom. Le but est de proposer des solutions techniques permettant de combattre de façon efficace le Spam. Qu’ils s’appellent Caller-ID ou SPF (Sender Policy Framework), ils reposent sur un principe simple qui consiste à exploiter le protocole DNS pour valider ou non les messages entrants. Les implémentations différent mais nécessitent cependant une définition des serveurs de messagerie « valides » cote émetteur, et une mise a jour du serveur de messagerie sous la forme d’un plug-in, cote récepteur, de manière a ce qu’il effectue automatiquement la validation des e-mails reçus. Caller-ID de Microsoft Caller-ID est le système signé Microsoft et développé en partenariat avec Sendmail, Amazon.com ou encore Brightmail. Bill Gates a profite la semaine dernière de la RSA Conference pour annoncer sa solution destinée a authentifier l’émetteur du message. La particularité est que Caller-ID suppose que l’ensemble des serveurs de messagerie « valides » du domaine doivent être définis dans un champs TXT au format XML sur les DNS autoritaires sur la zone. Ainsi, le MTA (ou serveur de messagerie) récepteur doit extraire l’adresse IP du serveur émetteur, présent dans l’en-tête de l’email, et inexploitée jusqu’alors, puis valider au travers de requêtes DNS l’autorité du serveur e-mail sur la zone au travers des champs TXT. Le système a été lance une phase de test sur Hotmail, le portail webmail de l’éditeur. L’objectif de ce prototype est double : tout d’abord valider le fonctionnement de la solution Caller-ID sur l’une des plus importantes plate-forme de messagerie ; ensuite combattre des a présent le plus gros fléau que rencontre Hotmail a ce jour. Selon Hotmail, 83% des e-mails reçus chaque jour sur les boites utilisateur seraient non voulus. Essayez d’imaginer un instant les ressources consommées pour l’acheminement, le traitement et le stockage de cette quantité d’information… SPF la solution « opensource » La deuxième solution, SPF, a été essentiellement développée par deux individus : Meng Weng Wong et Mark Lentczner. L’essentiel à retenir est que cette solution est opensource et que SPF a été soutenu par de nombreux éditeurs. Il s’agit aujourd’hui de la solution la plus aboutie, de nombreux plugins pour les principaux MTA sont dors et déjà disponible. La simplicité, la portabilité et le coût d’implémentation sont donc les avantages majeurs de cette solution. En revanche, en considérant que SPF n’authentifie pas l’en-tête du message, il ne permet pas de prévenir la fraude (quelques fois appelée « phishing »). DomainKeys plus difficile à déployer Enfin une autre solution bien moins connue, DomainKeys, adopte un principe totalement différent. Il s’agit de la solution développée essentiellement sous l’initiative de Yahoo. La différence majeure est qu’elle repose sur l’utilisation de clés publiques. Les certificats x509 ont spécifiquement été bannis du fait de leur coût prohibitif et de la difficulté d’administrer des CA (Autorités de Certification). La conclusion directe est que cette solution propose un niveau de sécurité bien plus élevé mais de nombreuses contraintes de déploiement sont a considérer. Greg Olson nous informe également que ces solutions sont bien évidemment soutenues par Sendmail : « Nous allons fournir les outils et les mécanismes qui permettent de supporter de façon automatique l’ensemble de ces processus ». C’est sans doute l’initiative la plus importante, considérant que l’éditeur au travers de ses solutions commerciales et opensource détient 60% du marché des MTA. Toujours selon Greg Olson, la mise en place d’une telle initiative doit résulter d’un effort commun : « Personnellement, je ne pense pas qu’un tel système puisse aboutir sous l’influence d’un seul acteur. Tous doivent supporter et implémenter ces nouveaux mécanismes. » Le gros avantage repose sur le fait que l’organisation qui reçoit les messages a le choix ou non d’accepter les e-mail non authentifiés. Parallèlement elle peut des à présent publier dans son DNS la liste de ses serveurs valides. L’ensemble du processus permet ainsi d’effectuer une transition en douceur pour une adoption massive. Sendmail a par ailleurs récemment annoncé le lancement d’une solution commerciale destinée à combattre le SPAM via des techniques avancées. Un communique de presse est disponible sur iSecureLabs.com : à cette adresse. Par Norman Girard, ISECURELABS.COM