Bilan de la lutte anti-spam de Polytechnique.org en 2006

Par MadCoder, Sunday 31 December 2006 à 00:22 :: Actualité

Comme certains de mes lecteurs le savent peut-être, je suis co-administrateur du serveur de courier des anciens élèves de l'École Polytechnique. Notre serveur principal pèse (par an) de l'ordre de 4 millions de mails acceptés, et un peu plus du double en sortie. Sans prétendre être des acteurs majeurs du courier électronique, nous représentons donc un volume tout à fait raisonnable.

Je vous livre dans ce billet, un bilan assez noir de la lutte contre le spam…

Historique (David contre Goliath)

Je vais commencer par une petite chronologie:

Janvier 2006, notre serveur principal :
- traite autour de 20 tentatives de connexions à la minute,
- accepte autour de 12 mails à la minute,
- parmi ces 12 mails, la répartition vue par l'antispam est de 5 spams, 4 hams, et 3 non classés.

Fin février/début mars.
Les chiffres précédents croissent lentement au niveau des tentatives (20/13 environ), mais le spam commence à s'envoler, et dépasse régulièrement les 6 spams/minute, ce qui place notre ratio à environ 1 spam pour 1 ham, soit 50% du flux.
Alarmés par ces résultats, nous créons le projet whitelister, dont j'ai parlé dans le passé, et mettons en place du greylisting intelligent, qui pénalise aussi peu que possible nos utilisateurs.

Mars-Juin 2006.
Cette période est l'âge d'or de notre technique, notre serveur principal:
- reçoit de 21 à 30 tentatives de connexions, soit une progression très sensible.
- le greylisting montre son efficacité et 10, puis 15, jusqu'à presque 20 mails par minute sont pris par cette mesure. Dans le même temps le spam recule violemment et tombe autour de 2 spams à la minute.
- les mails acceptés sont autour de 9 par minute, répartition: 2 spams, 3 non triés, 4 hams.

été 2006 à décembre 2006, la débâcle:
Depuis juillet 2006 néanmoins, nous avons observé (et la tendance ne faiblit pas) une progression linéaire et très visible (!!!!!) du spam. Cette tendance m'a été confirmé par diverses sources, sur toutes les tailles de serveurs (du gros ISP au serveur de particuliers). Les chiffres que je vous donne sont ceux de décembre, alors que fin juin nous avions les chiffres les plus hauts du § précédent:
- plus de 100 tentatives de connexion par minute en journée,
- plus de 50 mails greylistés par minute en journée,
- Autour de 35 mails acceptés par minute en journée, et parmi eux, les chiffres étaient devenus inacceptables: 20 spams, 8 ham, 7 non triés. Et ces chiffres sont sans doute sous évalués, vu que je doute que le trafic mail ait miraculeusement doublé en un an, les spams sont beaucoup plus furtifs.

31 décembre 2006: sur le conseil d'une connaissance, nous nous mettons à utiliser notre antivirus avec des signatures pour pas mal de spams et de phishings à images. La mesure est en place depuis avant-hier, et sur nos serveurs secondaires qui relaient en grande majorité du spam, les résultats ont été spectaculaires (jusqu'à -80% du trafic de spam). Devant une telle réussite, nous avons mis le serveur principal sur ce principe, et le niveau de spam a l'air (il est trop tôt pour faire des statistiques poussées) de retomber à un ratio 1:1 avec le ham, comme au début de l'année, ce qui, si ça n'est toujours pas miraculeux, est bien plus acceptable et permet aux antispams classiques de moins être submergés (voir même pervertis) par les spams.

Que peut on faire ?

Au niveau de X.org, pas grand chose. À part utiliser comme nous le faisons depuis plusieurs années, les techniques les plus à la pointe de la lutte antispam, voire même en innovant sur ces techniques. Nous avons atteint sur le réseau mondial un point où faire l'éboueur soi même n'est plus une tache humaine. Il faut s'attaquer au problème à la source.

Ce que nous avons appris (en fait ce qui confirme ce que nous imaginons depuis pas mal de temps) est que le spam est essentiellement un problème de machines mal administrées (que ça soit dans les fermes de serveurs dédiés à bas prix, ou des PC de madame michu derrière sa ligne ADSL2+) qui sont piratées, détournées, et pilotées en immenses réseaux.

Je dis immenses, car j'ai surveillé pendant 12 heures les machines qui se connectaient à nous pour livrer du spam. En ne surveillant que celles ayant l'air de fonctionner sous Windows^[1], j'ai vu passer plus de 65000 machines différentes. Or sur ces 12 petites heures, moins de quelques machines se sont présentées à nos portes plusieurs fois. Ce qu'il faut comprendre, c'est que si j'avais continué l'expérience plus longtemps, un nombre incalculable de machines différentes se seraient présentées.

Nous sommes à un tel niveau de malware (on observe de notre coté un ratio de l'ordre de 1:10 entre ham et virus/spams/... en tours genres^[2]) que les particuliers vont se désintéresser du mail, moyen de communication trop pollué. Et les entreprises ne vont plus l'utiliser pour communiquer vers l'extérieur non plus. Ça serait à mon avis un retour en arrière considérable.

On risque de plus de voir pousser une monétarisation du mail (pour le faire signer par un tiers de "confiance" ou autre) qui nuirait largement à l'émancipation économique et industrielle de bien des pays d'Asie ou d'Afrique. Bref, ça serait sans doute une régression à l'échelle planétaire.

Il est urgent d'agir, car l'outil "internet" est en train de vivre une crise silencieuse majeure. Et les moyens d'endiguer le phénomène existent en fait: faire un contrôle au niveau des ISP et des hébergeurs de ce qui sort de chez eux, à destination d'un serveur de mail. Free le fait déjà pour tous ses abonnés freebox. Et la plupart des ISP peuvent le faire très facilement via leurs foo-box, sans avoir à ajouter un quelconque équipement supplémentaire. La technique est simple: la foo-box compte le nombre de connexions qui sortent à destination d'un serveur de mail, et si ce nombre est anormal, interdit la connexion et prévient l'abonné. Ainsi, il n'y a pas de perte de liberté, et le spam qui actuellement est un phénomène dont l'ampleur est grossièrement corrélée à la bande passante mondiale^[3], devient proportionnel au nombre d'abonnés soit plutôt linéaire, et en tout cas assez indépendant du temps.

Vous tous qui me lisez, si vous avez des contacts chez des ISP, des hébergeurs, des grosses sociétés (avec un gros SI), et tous les autres acteurs de l'internet, ou bien dans des institutions comme l'ART, il est urgent de faire aboutir des groupes de travail sur ce plan. Les ISP ne font pas souvent l'effort de faire ces filtrages, car peu des spams issus de leurs abonnés vont sur leurs propres serveurs, ça ne les dérange pas. Il faut donc que des tiers les "incite fortement" ^[4] à limiter leur contribution à la pollution ambiante. Il est d'ailleurs important que tout ceci se fasse à l'échelle européenne et mondiale. Il faut cesser de croire que les machines à spam sont asiatiques, c'est un mythe depuis longtemps: il y a autant de machines spammeuses en Europe, aux États-Unis qu'ailleurs, et il est temps de s'en rendre compte, et de faire le ménage à sa porte.

Et histoire de bien se rendre compte de la suite des événements, avec la montée en puissance de la téléphonie sur IP, nous allons sans doute commencer à subir dans les mois qui viennent, les débuts en Europe^[5] du spam téléphonique. Se passer du mail en espérant survivre avec du tout-skype ou autre technologie identique est illusoire, car le problème se reproduira sur tout nouveau moyen de communication numérique/informatique populaire^[6]. Or je pense que nous sommes tous conscients qu'il est déraisonnable de supposer pouvoir travailler dans le monde moderne sans outils d'échanges performants et non bruités.

Notes

[1] en utilisant p0f

[2] et encore, nous sous-estimons sans doute ce ratio d'un ordre de grandeur, puisque pas mal de spammeurs en voyant le greylisting cessent se déconnectent, et il y a fort à parier qu'ils tenteraient plusieurs livraisons sinon., le vrai ratio se situe sans doute entre 1:10 et 1:100.

[3] qui croit exponentiellement par rapport au temps d'après la loi de Moore

[4] sous la forme d'une "proposition qu'ils ne peuvent pas refuser" de préférence ;)

[5] Les états-unis ont déjà ce genre de choses, et tout le monde a sans doute subi le spam par fax.

[6] Sans parler du fait que le mail rend toute une panoplie de services qu'aucun autre vecteur de communication n'est actuellement capable de rendre

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le Tuesday 2 January 2007 à 13:25, par Eric, X93

Bonjour MadCoder,

Administrant moi-même une passerelle email, ce que tu décris ne m'étonnes pas du tout... (je reçois ~1000 spams par jour sur mes différentes adresses, taux de bon classement entre 95 et 98% selon les périodes). Le bilan est très noir malgré tout.

La pollution de spam ne cesse de croître. Les méthodes bayésiennes ont montré clairement leurs limites : la plupart des spams ont aujourd'hui des images incluses et du texte aléatoire pour compléter. Certaines images sont mêmes animées ou rayées avec du bruit aléatoire. Avec ceci, impossible de reconnaitre un spam par des outils bayésiens.

Reconnaissons néanmoins que ces spams sont de plus en plus difficiles à exploiter, puisque le lecteur doit utiliser des manoeuvres compliquées pour parvenir au site. En revanche, pour les spams à vocation de notoriété (ex: faire monter le cours d'une action), cela fonctionne très bien...

Permets-moi donc de détailler nos méthodes utilisées, dans notre cas avec postfix + spamassassin (dit "SA") + amavisd + clamav :

1/ La plupart des spams sont envoyés à partir d'adresses ip dynamiques (xxx-box notamment ou yyy-adsl). SA sait en qualifier la plupart grâce à des listes de blocages (RBL, XBL) : il suffit pour ces spams de mettre un coût très proche de la limite -> à la moindre autre incartade, crac le mail est classé en spam.

2/ D'autres proviennent de spammeurs connus ou de relays ouverts : avec spamcop.net et ordb, on peut les éliminer

3/ Beaucoup ont des liens web ou du phishing répertoriés comme tu l'as expliqué, donc là aussi ça dégage.

4/ De nombreux spams abusent du protocole SMTP, là aussi pas de quartiers, il faut une ip-cliente valable avec DNS inverse, et pas d'erreur de protocole (attention en revanche, le "helo" est souvent mauvais pour les vrais emails, lui).

5/ Enfin SPF (et son dérivé SenderID) est très prometteur car il liste les adresses ayant droit d'expédier un mail en tant que ce nom de domaine. Pour un "spf-fail" je t'incite aussi à mettre un score très proche de la limite. Malheureusement peu de sites déclarent encore un SPF, mais ça progresse... (Microsoft pousse beaucoup SenderID, il y a espoir !).

Petit encouragement, sur mon adresse perso @m4x, je trouve le taux très convenable ! Ce qui est très important en revanche, est de ne pas classer spam un mail correct, car les utilisateurs ne regardent plus leur dossier spam...

Bon courage et bonne année anti-spam !

--Eric

2. Le Tuesday 2 January 2007 à 13:36, par Alan Schmitt :: site

C'était donc cela ! Depuis 15 jours je répertorie combien de spam je reçois (sous la forme: spam non attrapé - ham attrapé par erreur / spam attrapé; j'utilise spamoracle en local) et j'ai vu quelque chose de surprenant:

2006-12-27 10 - 1 / 130
2006-12-28 14 - 1 / 118
2006-12-29 11 - 1 / 117
2006-12-30 11 - 0 / 103
2006-12-31 2 - 0 / 47
2007-01-01 3 - 0 / 23
2007-01-02 8 - 0 / 42

En tant qu'utilisateur final, cela me réjouit: division par 2 ou 3 du spam qui m'arrive. Merci beaucoup.

3. Le Tuesday 2 January 2007 à 14:36, par Gilou

En tous cas, merci beaucoup pour le boulot que vous faites et merci de nous tenir informé de la sorte. C'est vrai que les spams avaient vraiment augmenté cette année.
Bonne année.

4. Le Tuesday 2 January 2007 à 14:55, par MadCoder :: site

@Eric:

Nous utilisons le même genre de setups, mais pas SA qui est bien trop "mauvais" en ratio efficacité/CPU mais une chaine:

1/ tests UCE postfix classiques tels que ceux que tu décris. Était très efficace dans le passé, ne prend sans doute que 5% des tentatives de connexion de nos jours.

2/ { whitelister + greylist } pour faire du greylisting intelligent, la mesure dont le ration efficacité/CPU est largement inégalée: coupe le flux en deux, rien de moins, avec une possibilité de faux positifs théoriquement nulle.

3/ clamav (via clamsmtp parce que amavisd-new nous a posé beaucoup de problèmes, est lourd car en perl, et nous n'utilisons pas SA donc l'intérêt est limité), ici c'est notre seconde mesure phare grace aux hashes pris via madism.org/~madcoder/pub/...

4/ bogofilter en antispam bayesien.

Nous n'utilisons pas SPF qui a un ratio de faux positifs largement inquiétant. Par contre tous les mails que nous émettons sont SPF-compliant, histoire de. Mais je déconseille fortement d'attendre trop de SPF et SenderID ce sont des technologies mortes nées, car elles ne peuvent être efficaces que si elles sont massivement adoptées, or SPF n'est pas supporté par Microsoft et les gros acteurs du monde du logiciel, et SenderID est encombré de tellement de patents que aucun LL ne l'implémente ou ne l'intègre, et il ne faut pas se leurer, un nombre vraiment important de serveurs de couriers utilisent des postfix, qmail et autres sendmails presque non modifiés.

De toute façon, une technique qui demande de changer tout le parc des MX de manière profonde ne peut aboutir, il y a trop d'inertie. Et c'est bien pour ça que je milite pour le filtrate du port 25, car il y a beaucoup moins d'ISPs et d'hébergeurs que d'administrateurs de MX différents. Et que techniquement, les clients de ISP sont quand même les “patients 0” du spam. C'est donc à la fois une mesure qui demande un changement centralisé _et_ à la source, donc efficace/efficace (si je peux me permettre cette analogie à win/win).

5. Le Tuesday 2 January 2007 à 16:35, par tristan

la version daemon (precompilee) de spamassassin utilise beaucoup moins de CPU que le spamassassin standard. elle s'appelle 'spamd'.

6. Le Tuesday 2 January 2007 à 16:58, par Pimprenelle

Merci Madcoder pour tout ce boulot et bonne année.

7. Le Tuesday 2 January 2007 à 17:28, par MadCoder :: site

@tristan: je sais, mais même avec ça, les résultats sont bien moins bons que notre chaine actuelle, tout en restant bien plus gourmand en CPU. Nous avons tout de même bientôt 10 ans "d'expertise" anti-spam et avons eu le temps de tester bien des solutions :)

Je sais que SA a maintenant un bayésien et des tas d'autres choses qu'il n'avait pas avant (enfin ça fait maintenant sans doute plusieurs années qu'il l'a), néanmoins, ça reste vraiment un monstre en RAM et en CPU. J'ai de bien meilleures idées pour nos futurs dévels antispams que ça :) Mais ça mûrit encore un peu.

@pimp': bonne année à toi aussi !

8. Le Tuesday 2 January 2007 à 18:25, par Mot

Donc non seulement on a droit à un filtrage de qualité, mais on a aussi les explications qui vont avec... Comme c'est sympa :)

Bonne année !

9. Le Tuesday 2 January 2007 à 22:19, par Romur

Bonjour,
La débacle du 2ème semestre n'est pas spécifique à polytechnique.org, mais générale au niveau national et mondial. La situation en France est particulièrement mauvaise (3ème relayeur de SPAM après les USA et la Chine) car l'ADSL a entrainé une explosion du nombre de connexions, les français étant très mal éduqués en matière de sécurité informatique : de nombreux PC sont devenus zombies et relaient les mails.

Il y a au niveau gouvernemental une initiative en liaison avec les FAI qui s'appelle Signal Spam (www.signal-spam.fr) et devrait enfin se concrétiser au premier trimestre 2007.

Cordialement

10. Le Thursday 4 January 2007 à 11:57, par Eric

Bonjour à tous,

Merci pour l'info www.signal-spam.fr, ce peut être un bon complément à spamcop.net.

SA est en effet gourmand en CPU, même si nous utilisons comme le mentionne tristan la version daemon spamd pré-compilée.
Ceci étant, la puissance des machines actuelles permet de traiter une charge imposante d'emails sans soucis.
L'avantage majeur de SA est qu'il bénéficie de centaines de règles (hors bayésien) qui sont vraiment intéressantes.

Pour le filtrage du port 25 au niveau des ISP (comme Free le fait d'ailleurs), tout à fait d'accord, cela réduirait drastiquement la pollution spamique !

Pour le greylisting, je suis plus réservé : beaucoup de spammeurs expédient plusieurs messages consécutifs, ce qui limite l'intérêt. De plus le grey-listing a un inconvénient en terme de temps de latence pour la délivrance du premier email, et ceci n'est pas acceptable dans un contexte professionnel.

Quant à SPF et SenderID, je persiste : c'est une technologie simplissime, très facile à implémenter (une ligne dans la définition DNS du domaine), contraitement aux domainKeys et autres technologies avec certificats cryptos. Microsoft a levé dernièrement tous les obstacles juridiques (brevets) pour l'utilisation de SenderID dans les logiciels libres. Evidemment, c'est encore jeune, mais quand on a déjà @gmail et @hotmail qui l'implémentent (et yahoo aussi il me semble), cela représente un certain nombre de comptes... D'ailleurs tu remarqueras que les spams ne contiennent quasiment plus d'adresses forgées @gmail, @hotmail ou @yahoo.

Ravi en tout cas de voir l'expertise dont bénéficie polytechnique.org !

Bonne continuation et encore bravo !

11. Le Thursday 4 January 2007 à 12:17, par MadCoder :: site

@Eric:

Pour le greylisting c'est bien pour ça que le notre est conditionnel !!! nous ne faisons pas du greylisting pur et dur, mais uniquement usr des emails louches (en fait sur des connexions qui matchent des RBL). C'est efficace et n'impacte pas les utilisateurs. Cette mesure nous coupe le traffic de spam en _deux_.

et SPF c'est facile à implémenter, nous l'avons en sortie chez nous. Mais c'est inutilisable tant que 99% des gens ne l'utilisent pas. Et même en dehors de ça, il existe chez nous des gens qui bossent chez disney, émettent des mails @disney.com depuis leur ISP, or disney.com refuse dans leur record SPF que le mail provienne de l'ISP, du coup ces mails seraient rejetés, car l'ISP en question ne fait pas de sender rewrite (ce que nous faisons). Non le SPF est une mauvaise solution à l'heure actuelle.

12. Le Friday 5 January 2007 à 21:58, par clinckx francis X56

Etant sous développé en matière informatique, je n'ai pas tout compris. Je suis d'ailleurs preneur d'un mode d'emploi du type Messagerie pour les (X) Nuls .!!!! précisant en particulier ce qu'apporte le site de polytechnique aux camarades;

Bilan de la lutte anti-spam de Polytechnique.org en 2006

Historique (David contre Goliath)

Que peut on faire ?

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Catégories

Langues

Rechercher

Calendrier

Archives

Lectures et Textes

Blogs [fr]

Blogs [en]

Syndication

Post

« December 2006 »
Mon	Tue	Wed	Thu	Fri	Sat	Sun
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31