Architecture de filtrage
Le parcours du courriel
Règle générale, le courriel passe par les réseaux de deux ou trois (et parfois même plus) fournisseurs de service Internet avant d'être livré à votre serveur de courriel. Lorsque vous adhérez au service ZEROSPAM, le parcours du courriel est modifié et le système ZEROSPAM s'insère entre le dernier fournisseur de service Internet et votre serveur de courriel.
Le courriel traverse les nœuds de filtrage ZEROSPAM à la vitesse de l'éclair et ce bref passage suffit pour le débarrasser de tout contenu nuisible. Un flot de courriel épuré est relayé aussitôt à votre serveur de courriel. Le délai induit par le filtrage se mesure en secondes et n'est pas vraiment perceptible. Le client n'a rien changé à la configuration de son serveur et a assuré une protection efficace à son périmètre réseau.
Les techniques de filtrage
ZEROSPAM utilise une architecture de filtrage muticouche basée sur les meilleures techniques pour vous offrir un service de qualité supérieure qui évolue constamment afin de contrer les nouvelles techniques utilisées par les polluposteurs. Une seule et unique couche commerciale a été ajoutée à cette architecture : il s'agit des signatures floues fournies par Cloudmark.
___________________________________________________________________________ | _____ | | _( )__ ____________________ ____________________ | |( Internet )=> |_Vérifications SMTP_|=> |_Analyse du contenu_| | | (__ _) | - IPs | | - signatures | | | ((_) | - domaines | | - anti-virus | | | | - DNS BL | /--| - anti-phishing| | | | - usurpation | | | - heuristiques | | | | - integrité | | | - statistiques | | | | - rétro action | | --------v------- | | _____ -------v-------- | | | | / \ | | _______v_______ | | / REJET \ <------------/ | |_Mise_en_queue_|| | | \ (DSN) / <--------------------------/ ===============' | | \_____/ ___ | | | _( )_v___ | | ____ (__Internet_) | | Serveur |.--.| <================= = ==(_____)) | | client ||--|| | | |[=o]| | | |____| | | (c) ZéroSPAM.ca | ---------------------------------------------------------------------------
L'engin de filtrage qui agit à deux niveaux. Au moment même du dialogue SMTP, des vérifications d'intégrité et d'authenticité permettent de bloquer plus de 50 % des connexions importunes. C'est ce que nous appelons le « filtrage d'enveloppe ». Par exemple, les courriels envoyés par des relais SMTP ouverts (« open relay »), des zombies (postes de travail infectés par des virus relayant du spam) ou par des serveurs mandataires ouverts (« open proxy ») sont bloqués à cette étape. ZEROSPAM utilise aussi sa propre liste noire d'adresses et de domaines reconnus pour envoyer du spam afin de refuser les connexions importunes. Certaines communications sont aussi bloquées parce que l'envoyeur ne donne pas de paramètre valide à la directive HELO du protocole SMTP.
Les messages ayant passé l'étape du filtrage d'enveloppe avec succès sont ensuite relayés à l'étape de l'analyse de contenu. Là, ils sont soumis à plusieurs couches d'analyse qui, utilisées conjointement, déterminent la probabilité que le message soit un spam. Les messages avec une forte probabilité sont placés en quarantaines alors que les autres sont livrés vers la passerelle du client.
Voici les différentes couches d'analyse de contenu :
- Algorythmes heuristiques
- Le filtrage heuristique regroupe toutes les techniques qui analysent différentes caractéristiques du message. Ainsi, avant qu'une décision ne soit rendue sur la nature d'un message, plusieurs caractéristiques seront examinées et participent à la classification du message. ZEROSPAM développe et intègre des règles d'analyse sur une base régulière.
- Analyseurs statistiques (Bayes)
- Cette technique requiert la construction d'une base de plusieurs milliers de pourriels et de courriels légitimes. C'est ce qu'on appelle les corpus de SPAM et de HAM. Le contenu de chaque nouveau courriel est analysé et le texte est découpé en chaînes. Ces chaînes sont comparées avec les corpus de SPAM et de HAM et c'est la fréquence de leur apparition dans l'une ou l'autre de ces catégories qui détermine leur classement. On calcule cette fréquence en utilisant le théoreme de Bayes et on obtient alors une valeur correspondant à la probabilité que le courriel soit un pourriel. On peut alors déterminer le seuil au-delà duquel les courriels seront considérés comme du spam.
- Signatures floues (analyse génotypique)
- Au début de l'hiver 2006, les polluposteurs ont introduit une nouvelle forme de spam qui déjouait efficacement les analyseurs de contenu : le spam d'images. En effet, les mots contenus dans ces messages étaient intégrés à une image, ce qui les rendait impossibles à reconnaître. Toutes les entreprises commercialisant des solutions antispam se sont butées à ce problème et, jusqu'ici, la seule solution qui s'est avérée efficace est l'utilisation de signatures floues. La reconnaissance optique des caractères (OCR) s'est avérée coûteuse et inefficace.
Les signatures floues sont une empreinte obtenue à partir de la forme unique et caractéristique d'un spam confirmé. Les fournisseurs de signatures floues recueillent des spams qui leur sont envoyés de partout à travers le monde par des collaborateurs volontaires réputés et les utilisent pour produire une signature, qui est ensuite intégrée à l'engin de filtrage pour détecter infailliblement les messages correspondant à cette empreinte. Tout le processus est extrêmement rapide et fiable. La répartition mondiale des participants fait en sorte qu'un spam généré en Corée à 14 h 12 sera signalé au fournisseur de signatures floues à 14 h 13. À 14 h 14, une signature contrant ce spam sera ajoutée à l'engin de filtrage. Il s'agit d'une détection en temps quasi-réel.
Au début du mois de mai 2007, ZEROSPAM signait une entente avec la société Cloudmark, un fournisseur de signatures floues de réputation mondiale, et ajoutait une couche d'analyse génotypique à son architecture. Cet ajout remarquablement efficace marqua la fin du spam d'images pour les clients de ZEROSPAM. - Détection virale
- La couche antivirus permet de bloquer 99 % des virus, vers et fichiers exécutables transmis. Évidemment, ces contenus nuisibles ne sont pas mis en quarantaine; ils sont détruits. Les signatures de virus utilisées par ZEROSPAM sont mises à jour toutes les 30 minutes. La protection anti-virale fait partie intégrante du filtrage ZEROSPAM. Elle permet une réduction significative de la charge que doit gérer le serveur de réception car les virus, vers et fichiers exécutables sont détruits avant d'arriver jusqu'à lui.
- Protection anti-hameçonnage
- L'utilisation de trois techniques distinctes assure une protection très efficace contre les tentatives d'hameçonnage. D'abord, la comparaison des signatures floues associées à ces attaques avec les signatures authentiques permet de détecter les usurpations d'identité. Ensuite, la surveillance et l'analyse des campagnes d'hameçonnage actives permettent l'injection de nouvelles règles de détection qui raffinent constamment la qualité du filtrage. Enfin, des algorithmes de vérification d'intégrité contrôlent la validité des envois en provenance des grandes institutions financières.
- Rétroaction
- Comme ZEROSPAM filtre chaque jour des millions de pourriels, notre système s'enrichit de lui-même. En effet, l'analyse des corpus de spam nous permet de réinjecter de nouvelles règles pour améliorer sans cesse la qualité du filtrage.
Il est important de noter que, dans tous les cas de rejet, que les courriels aient été filtrés sur la base de l'enveloppe ou du contenu, l'envoyeur reçoit un avis de non-livraison automatisé. Si le courriel a été filtré par erreur, votre correspondant est donc avisé que son message a été bloqué et il peut dès lors communiquer avec vous pour vous en aviser. Vous pouvez alors retracer le message dans la quarantaine et le libérer.