Chers clients,

Devant l'augmentation constante du nombre d'emails indésirables
reçus nous avons mis en place quelques améliorations dans le
filtre antispam.

Tout d'abord, le filtre utilise une blacklist de sites web (uribl)
qui fonctionne très bien. Il n'y a plus beaucoup de spams contenant
de lien qui passent.

Malheureusement, les spammeurs ont une parade en place depuis plusieurs
mois, ils utilisent des images qui normalement ne peuvent pas être
analysées par les filtres. Pour contrer cela nous utilisons un logiciel
de reconnaissance de caractères (OCR) qui analyse les petites images
et en extrait le texte contenu. Leur nouvelle parade contre ce type
d'outils est d'utiliser des images presque illisibles (fond très sombre,
caractères déformés ...)

Ce nouveau système est en test depuis samedi et le filtre antispam qui
filtre après les blacklists montre une efficacité de 90%. Les mails qui
restent ne contiennent que du texte, sans lien et sans image, il est très
difficile de les filtrer efficacement.

Nous avons prévu de mettre en place le greylisting. Cette technique vise
à bloquer temporairement (de 1 minute à 1 heure) tout serveur de mail qui
essaye d'envoyer un message. Les serveurs normaux vont ressayer et réussir
à passer alors que ceux des spammeurs abandonneront la plupart du temps. La
technique fonctionne très bien (90% de spam en moins) mais le principal
inconvénient est que les messages arrivent souvent avec 15 à 20 minutes
de retard.

Nous allons améliorer la technique du geylisting en utilisant la
géo-localisation. Depuis vendredi, tous les messages qui arrivent sur le
serveurs sont marqué avec le code du pays d'où le message a été émis
(entête X-Country des messages). Nous faisons des statistiques pour
connaître les pays qui envoient le plus de spams et le plus de messages
légaux sur nos serveurs. Voici les résultats pour ce lundi :

   - BLACKLIST : USA     (19%), Chine (13%),    Pologne (6%), IN (5%)
   - SPAM :      Pologne (20%), Chine (17%),    France (7%),  USA (5%)
   - PROPRE :    France ( 53%), Belgique (10%), USA (10%),    GB (4%)

Au vu de ces résultats, nous pensons ne pas utiliser les greylists pour
la France et la Belgique, mettre un blocage de 1 minute pour les USA ainsi
que la Grande Bretagne et mettre un blocage plus important (20 minutes) pour
tous les autres pays. De cette façons nous pourrons bloquer beaucoup de spam
tout en évitant les effets indésirables sur la plupart des messages reçus.

Pour aller plus loin et bloquer plus de spam provenant de France nous
envisageons d'utiliser une base de données des ISP. Les mails provenant des 
accès ADSL des grands fournisseurs d'accès français (Orange, Free, 9Cegetel, 
Alice ..) seront greylistés alors que ceux provenant de serveurs hébergés ne 
le seront pas.


Pour résumer, voici la chaîne de l'antispam :
  - blacklists : filtre 75% à 80% du  SPAM  (pour tous les clients)
  - greylist : filtre 60% à 90% du SPAM  (pour tous les clients, d'ici
2/3 semaines)
  - Antivirus: filtre 99% des mails infectés  (en option)
  - Antispam : filtre 80% à 90% du SPAM  (en option)
       -> analyse des mots clés (filtres statiques et bayesiens)
       -> analyse des images (OCR)
       -> utilisation d'une blacklist d'urls

Vous pouvez voir que toutes ces techniques sont très lourdes pour
les serveurs de mail et le spam qui représente plus de 90% des messages
reçus.

Pour information, il y a quelques jours, la "justice" américaine
a donné raison à un des plus gros spammeurs au monde qui a attaqué
la société Spamhaus. Celle-ci est spécialisée dans la luttre contre
le SPAM et qui nous fournit un service gratuit très efficace de blacklists.
Spamhaus a été condamnée à autoriser les mails "commerciaux" du spammeurs,
à lui verser $11 millions et devra peut être cesser son service.




-- 
L'Equipe Planet-Work

PLANET-WORK
231 rue Saint-Honoré
75001 PARIS - FRANCE

Fax : 0143 461 199
Web : http://www.planet-work.com
Mail: support at planet-work.com

Planet-Work, vecteur de votre image sur Internet