SpamTraps : un piège pour lutter contre les spammers

Les moyens disponibles pour lutter contre le fléau du spam sont multiples : Cela peut aller de mécanismes de collection de plaintes en provenance des utilisateurs, de l'analyse du contenu des messages (détection de mots clefs, ...) ou encore de la présence de l'adresse IP de l'émetteur dans une liste noire ("blacklist").

Rares sont les personnes à souhaiter passer du temps à se plaindre auprès de leur fournisseur de services des spams qui peuvent arriver dans leur BAL : Les services de relais de messagerie intégrant des fonctions de détection et de filtrage de spam sont désormais la norme.

Donc si les remontées manuelles sont minoritaires, comment une source de spam jusqu'ici inconnue peut-elle être détectée et être inscrite dans ces fameuses listes noires ?

L'une des réponses à cette question, ce sont justement les spamtraps : Un mécanisme spécialement conçu pour piéger, et donc ainsi détecter, les spammeurs.

Comment me direz-vous, j'ai été amené à creuser un peu le sujet ? J'ai été amené à me pencher sur ce mécanisme dans le cadre de mes travaux avec la cellule Abuse d'Orange Business qui gère quotidiennement les problèmes relatifs au spam. En effet, alors que je regardai les plaintes reçues, je me suis étonné de voir plus de 600 plaintes associées à une seule et même adresse IP...

Les spamtraps, c'est quoi ? Comment créer un tel piège ? Que doit faire une cellule abuse vis à vis de ces pièges ?
Dans cet article, je vous propose de rentrer de l'autre coté du miroir et de découvrir ce mécanisme assez méconnu mais très efficace.

définition d'un spamtrap

Les spamtraps sont des adresses e-mail spécialement créées dans le but d'attirer des messages non-sollicités. Elle ne sont utilisées que pour cet usage et aucun autre. Aucun message n'est émis depuis ces adresses de spamtrap. On peut donc dire que ces adresses e-mail sont "factices" dans le sens ou elles sont pas utilisées pour des communications usuelles entre personnes ou des organisations.

création du piège

L'administrateur d'un serveur de messagerie pourra créer des adresses e-mail "spamtrap" de différentes manières :

création d'adresses : la méthode "basique"

Il est aussi possible de créer des pièges moins "évidents", en utilisant des adresses e-mail pour des personnes n'existant pas dans la société :

la méthode "automatisée"

En partant sur des fichiers de noms et prénoms usuels, on génère des adresses e-mail factices du genre

"john.smith@nomdomaine.fr", "emile.durand@...".

Dans ce cas, faites attention à ne pas utiliser la même convention utilisée en interne (genre "prenom.nom@nomdomaine.fr) car il y aura surement quelques collisions...

Pour éviter toute déconvenue, préférez une convention différente de celle utilisée : pnom@nomdomaine.fr (1ere lettre du prénom suivie du nom)...

--> Avec la méthode "basique" c'est la méthode qui fait le plus de sens.

la méthode "binaire" pour les plus volontaires

Pour se simplifier la vie, utilisez un nom de domaine spécifique pour vos spamtraps : Toutes les adresses e-mail de ce domaine seront donc des pièges en puissance.

Et dans ce cas, plus de problème de collisions ou quoi que ce soit... Simple et efficace et d'un coût modéré !

la méthode de l'artisan

Beaucoup plus laborieuse mais diablement efficace : Pendant une durée donnée, on accepte tous les mails envoyés à des adresses e-mail n'existant pas : On ouvre chacun des messages (depuis un poste sécurisé et isolé de votre réseau) en chargeant le code HTML : Cela va avertir le spammeur que l'adresse email utilisée est lue...

On peut aller jusqu'à demander une désinscription (illusoire bien sûr, mais cela confirmera que l'adresse est lue). Une fois cela fait pendant quelques jours, on a une superbe base d'adresses de spamtrap à consommer sans modération. :-)

mise en place ou pose du piège

Une fois les adresses mails factices créées, il s'agit de les poser aux "bons endroits" afin que les spammeurs s'y prennent les pieds.

Les adresses spamtrap vont être publiées à des endroits ou aucun humain n'irait les trouver : Dans des zones de commentaires de pages Web, au milieu des pages web mais en utilisant une couleur "ton sur ton" (invisibles donc pour une personne), en les publiant dans un groupes de discussion, etc...

Une autre alternative est de crééer une page dédiée ne contenant que des emails de type spamtrap et de mettre en place des liens cachés vers celle-ci depuis d'autres pages de votre site web. A chacun d'être créatif ! Il reste essentiel que ces adresses ne soient vue que par les outils de ramassage/collecte utilisés par les spammers pour constituer leurs bases d'adresses : Un terme a justement été créé pour ce type d'outils : Les spambots.

Dès qu'un spambot va arriver sur une page contenant les adresses email factices, il va les collecter et les ajouter à la base d'adresses emails du spammer. Le piège commence à se refermer sur le spammer : Il ne reste plus qu'a attendre.

le cas spécial des adresses générées automatiquement

Dans le cas ou vous utiliseriez des adresses générées via un dictionnaire (de noms et prénoms à consonance anglophone de préférence), vous n'avez peut-être même pas à publier les adresses.... Pourquoi me diriez-vous ?

Parce-que, tôt ou tard vous serez la cible d'une attaque par énumération/dictionnaire : Un spammer tentera de vous envoyer des mails vers des adresses créées avec des bases de noms et de prénoms... Dans ce cas, il suffit d'attendre... Bien sûr, il reste possible de passer à la vitesse supérieure via la publication des adresses sur un site web via quelques liens cachés.

Notes : En créant des spamtraps, vous allez attirer du spam... vérifiez-bien que cela est autorisé auprès de votre prestataire ou que vos serveurs de messagerie seront en mesure de gérer cette charge supplémentaire. Il est aussi __essentiel__ que vos adresses de spamtrap restent confidentielles, idem pour le nom de domaine de spamtrap.

le piège se referme

Les adresses emails factices collectées par le spambot ont sont donc maintenant dans la base d'adresses du spammeur. Celui-ci va donc s'en servir pour envoyer ses messages non-sollicités par milliers ou plutôt par millions : Dans la masse de ces messages, certains de ses messages vont donc arriver sur nos pièges....

Et comme une adresse email de type spamtrap n'a jamais pu exprimer un consentement préalable pour quelque mail que ce soit, tout message adressé à ce type d'adresses email est donc à 99,999% du spam.... Le spammer est donc pris la main dans le sac !

envoi des notifications de plainte pour réception de spam

Derrière chacune des adresses spamtrap, on peut retrouver un programme qui pour tout mail reçu, va génèrer une plainte à destination de la cellule Abuse référencée en contact pour le bloc d'adresses IP d'où provient le spam...

Ces messages pourront suivre le format ARF (Abuse Reporting Format) qui permet d'automatiser le traitement des emails via des programmes. Pas de règle (à ma connaissance du moins) dans le domaine, après une plainte formatée aura plus de chances d'être traitée qu'une autre... :-)

L'envoi d'une plainte n'est cependant pas une obligation : Certains préféreront bloquer l'adresse IP de l'émetteur via une règle de firewalling, etc... A chacun ses préférences et ses techniques de lutte contre le spam. :-)

traitement des plaintes

La cellule Abuse va donc recevoir, quasiment en temps réel, des mails de plainte pour du spam émis depuis des adresses IP de son réseau. Ces plaintes sont reçues et traitées automatiquement pour être regroupées selon l'adresse IP d'émission. Les personnes physiques reprennent la main : L'utilisateur de l'adresse IP incriminée va être contacté.

La chasse au bot ou au serveur SMTP en open-relay peut donc commencer !

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens