Mirapoint invente l’anti-spam en temps réel

Mirapoint se doit d’être optimiste: il ne faut pas baisser les bras. Les ‘spams’ (messages à caractère publicitaire, non sollicités) nous envahissent mais il existe des méthodes pour les repérer et les neutraliser. Explication: Mirapoint, firme basée à Sunnyvale (Californie) est, depuis sa création en 1997, un spécialiste en serveurs de messagerie, qui a, à son actif, l’installation de plus de 60 millions de boîtes aux lettres sur Internet. En 2003, elle a proposé une première ‘appliance’ sur la sécurisation des e-mails: RazorGate, une passerelle qui s’installe en amont du serveur de messagerie, apportant donc des fonctionnalités de filtrage avant la gestion des boîtes.

Parmi ses développements, on retient également sa technologie MailHurdle, qui permet de bloquer des messages « en bordure du réseau »: c’est à dire que le mécanisme de filtrage intervient, en amont, à hauteur de la couche de messagerie SMTP, avant que les messages n’entrent sur le réseau de l’entreprise: selon l’éditeur, plus de 60% du trafic non souhaité serait ainsi écarté avant même d’entrer sur les serveurs. En parallèle, Mirapoint, qui, pour la partie anti-virus, puise chez Sophos, a développé une technique de filtrage des ‘spams’, Rapid Anti-Spam, en empruntant le savoir-faire de la société Commtouch, qui lui a cédé sous licence: la technnique utilisée s’appelle RPD pour ‘Recurrent pattern detection’. Le dispositif exploite les informations collectées par des sondes réseau qui identifient en temps réel les courriers non sollicités. Il ne repose pas sur l’analyse du contenu des messages individuels mais sur des informations qu’il reçoit en temps réel concernant les ‘épidémies’ ou attaques en cours (il n’y a pratiquement pas de production de « faux positifs »). Le système fait ainsi la différence entre des envois en nombre et des vrais ‘spams’ (e-mails non sollicités). Le taux de capture serait supérieur à 97% (contre 95% en général chez d’autres éditeurs). Le mariage de deux techniques L’innovation a consisté à associer et marier les deux approches: le résultat, c’est « une protection en temps réel contre le courrier non sollicité et de nombreuses menaces virales sans besoin de mises à jour« . « C’est le meilleur des deux mondes« , ponctue Jacques Montibert, directeur de Mirapoint France /Europe du Sud. L’offre ainsi constituée, baptisée ‘Full spectrum‘, permet donc d’analyser les quelque 20% à 40% du trafic qui ont pu passer à travers le filtrage MailHurdle. Cette nouvelle approche a déjà été adoptée par de grands groupes, comme BT, Cisco, Ford, Volkswagen… L’offre est disponible en France depuis novembre, à travers un réseau d’intégrateurs tels qu’Arche, Cyber Networks, Steria, ainsi qu’un distributeur, Risc Technology. L’avis de l’expert

Ce que propose Mirapoint, notamment à travers la technologie « MailHurdle », relève de l’analyse protocolaire de chaque transmission SMTP: c’est une procédure que pratiquent déjà d’autres éditeurs d’antispam). Cette méthode, qui s’apparente au « grey listing », part du principe qu’un « spammer » n’est pas très regardant quant au respect de la RFC 821 (https://www.faqs.org/rfcs/rfc821.html). Il s’agit d’une norme qui décrit les standard des communications SMTP. Et cela d’autant plus vrai que la plupart des serveurs utilisés pour « spammer » sont des serveurs bricolés ou des moteurs développés à la va-vite qui ne respectent pas tous les standards SMTP. Il y a aussi les moteurs SMTP des virus, ces serveurs SMTP embarqués qui, eux non plus, ne respectent pas les normes (pour épargner des lignes de codes et gagner en rapidité d’exécution). En clair, ce que fait la méthode de Mirapoint c’est analyser chaque message en se basant sur le protocole, donc bien avant l’analyse du corps même du message (analyse sémantique, regex, filtres Bayésiens, etc). Ce sont des méthodes d’analyses plutôt lourdes, qui consomment beaucoup de ressources CPU. Pour chaque message reçu par le serveur Mirapoint, celui ci génère un code d’erreur temporaire (4xx) qui est envoyé au serveur émetteur. Ce code, conforme aux normes SMTP, invite le serveur émetteur à renvoyer le message quelques minutes plus tard. Etant donné que, dans la majorité des cas, le serveur en face n’est pas conforme avec la RFC, il ne comprend pas ce message d’erreur et donc le mail n’est jamais renvoyé. Par conséquent, le ‘spam’ n’arrive jamais à destination. C’est la technique du  »

grey listing« , qui existe depuis un certain temps déjà. Plus d’informations sur le « Grey Listing »: https://www.vulnerabilite.com/dossier/?id=5>