FLASH INFORMATIQUE FI



Mise en place d’un anti-spam centralisé à la Haute école valaisanne




Pierre-Alain BRIGUET


Ce document décrit brièvement le système de messagerie et le produit anti-spam mis en place à la Haute école valaisanne (HEVs), puis la méthode de mise en service utilisée.

Pourquoi un anti-spam ?

Les utilisateurs du système de messagerie de la HEVs se plaignaient de plus en plus fréquemment de la réception de messages non sollicités, bien souvent à caractère douteux.

L’initiative d’implémenter un tel système est venue du service informatique et découle à la base d’une approche bien plus technique qu’organisationnelle. Notre but était clairement de diminuer le nombre de mails inutiles entrant dans le système et par là d’améliorer le confort des utilisateurs.

Par la suite, ce système a été approuvé par la direction de la HEVs et la mise en production s’est faite sous son contrôle.

Système de messagerie de la HEVs

Les systèmes informatiques de la HEVs sont principalement orientés Novell. Les serveurs de fichiers, le système d’impression ainsi que la messagerie tournent sur des OS Netware.

Le système de messagerie lui-même est aussi un système Novell : GroupWise. Il s’agit d’un Groupware qui permet l’échange de messages, qui met à disposition un système d’agenda centralisé et aussi une gestion de documents.

Sans entrer dans les détails, voici comment est structuré ce système à la HEVs :

L’environnement est constitué de 3 serveurs. Un sur lequel tournent les processus centraux (MTA, passerelle Internet, accès Web) alors que les deux autres hébergent les boîtes aux lettres des utilisateurs (Post Office).

Le MTA est le processus central du système. Il gère le flux des messages circulant entre les Post Offices et vers/depuis l’agent Internet. Par contre, un message entre deux utilisateurs du même Post Office n’en sort pas et ne passe donc pas par le MTA.

L’accès aux boîtes aux lettres peut se faire :

• via un client spécifique sur les stations de travail
• via une interface Web
• via POP ou IMAP.

Solution retenue

Dans le monde GroupWise, les solutions de type anti-spam ne sont pas nombreuses. Après comparaison de quelques produits, nous avons retenu une solution approuvée par Novell qui est GWAVA de la maison Beginfinite (http://www.beginfinite.com).

Ce produit s’installe sur le MTA et permet de contrôler le flux des messages à ce niveau. Il peut donc autant contrôler le flux vers et depuis Internet qu’entre deux Post Office.

GWAVA permet de faire des blocages de manière centralisée sur les critères suivants :

• listes RBL (Real Time Blackhole List)
• adresse expéditeur
• nom ou extension du fichier attaché
• mots contenus dans le message
• taille du message
• méthode heuristique : consiste à donner un poids à chaque mot ou expression trouvé dans le message. Le poids total est finalement comparé à une limite choisie.

Pour chaque critère, il est possible de définir des exceptions sur la base de l’adresse de l’expéditeur ou du destinataire.

Le produit permet aussi de réagir en fonction de la détection de virus à l’aide d’un anti-virus tiers.

En analysant toute une série de messages indésirables, notre choix s’est porté sur l’utilisation de RBL principalement. Cette méthode consiste à contrôler si le ou les serveurs utilisés par l’expéditeur ou relayant le message entrant sont connus dans des black list.

Le site http://rbls.org, par exemple, donne une vue globale et rapide sur le blocage d’une adresse IP particulière et donne aussi le lien vers la liste concernée.

Mise en place

La mise en place s’est faite de manière progressive sur une période de 3 mois, en trois phases décrites ci-dessous.

Phase de test (2 mois)

Le but de cette phase était de contrôler l’utilité d’un anti-spam et de trouver la bonne configuration du système.

Tout d’abord, une version d’évaluation de GWAVA a été installée. Le but premier était de mettre en place une solution et d’attendre les commentaires et remarques des utilisateurs. C’est en fonction de ces remarques ou commentaires que nous avons fait le choix d’acquérir définitivement ce produit après 2 semaines de test.

Voici les actions mises en place pour cette phase lorsqu’un message est bloqué :

Qui/quoi Actions
Expéditeur Aucun avertissement
Destinataire Message d’information contenant l’adresse expéditeur et l’objet
Postmaster HEVs Message d’information détaillé
Message bloqué Archivé à fin de contrôle et de restauration

Cette manière de faire ne diminue pas le nombre de message chez l’utilisateur, mais lui permet de contrôler le bon fonctionnement du système.

Le choix de ne pas avertir l’expéditeur est discutable :

• en cas de spam, une des règles de base est de ne pas répondre afin ne pas valider l’adresse destinataire ;
• en cas de blocage d’un message par erreur, l’expéditeur n’est pas informé que son message n’a pas abouti.

Notre choix de listes RBL s’est rapidement avéré trop restrictif et des exceptions ont dû être mises en place pour permettre de laisser entrer des messages provenant de certains providers, comme caramail, hotmail, bluewin etc. De plus, nous avons aussi dû mettre des règles de blocage sur la base d’adresses d’expéditeurs qui n’utilisaient pas des serveurs ou relais connus des listes RBL choisies.

Nous avons donc testé différentes listes en tentant de trouver un compromis entre le trop de blocages et le trop peu.

Nous avons constaté que, pour l’utilisateur standard, la non-relation entre l’adresse de l’expéditeur et le serveur ou relais de messagerie utilisé est incompréhensible et qu’il y a confusion totale.

Il s’est aussi avéré que certains utilisateurs considéraient comme spam des messages qu’ils ne désiraient plus recevoir alors qu’il s’agissait simplement de messages provenant de listes de distributions auxquelles ils s’étaient abonnés. La bonne réaction dans ce cas étant de se désinscrire.

Phase de validation (1 mois)

Après avoir ajusté la configuration et retenu 2 listes RBL, nous avons stabilisé le système durant cette phase.

Chaque utilisateur a pu constater l’efficacité et la correspondance à ses besoins des blocages mis en place. Le destinataire recevait toujours un message d’information lors d’un blocage RBL. Par contre, il avait la possibilité de se faire retirer définitivement du blocage.

Les deux listes RBL utilisées sont :
• list.dsbl.org
• sbl.spamhaus.org

Il est à noter que ces listes sont gratuites. Différentes entreprises proposent des services payants qui permettent un meilleur contrôle.

Phase de production

Il s’agit simplement de la phase finale d’exploitation.

Voici les actions définitives mises en place :

Qui/quoi Actions
Expéditeur Aucun avertissement
Destinataire Aucun avertissement
Postmaster HEVs Message d’information détaillé
Message bloqué Archivé durant 1 mois à fin de contrôle et de restauration


Résultats / conclusions

Les chiffres

Avec la méthode RBL, environ 7% des messages entrant à la HEVs sont bloqués.

Seules 4 personnes sur 325 ont demandé à se faire retirer du blocage RBL.

A notre avis

• Une approche pragmatique doit être préférée à une approche systématique qui peu s’avérer difficile.
• La méthode RBL est relativement efficace. La compléter avec une autre méthode ponctuelle ou permanente pourrait s’avérer encore bien plus efficace.
• Un contrôle est indispensable pour confirmer le bon fonctionnement du système => temps à prévoir pour l’analyse des blocages.
• L’utilisateur doit pouvoir contrôler lui-même la validité des règles mises en place et doit pouvoir avoir la possibilité de se faire sortir du système.
• Le changement de règle ou de méthode doit passer par une phase de validation.
• Un risque d’erreur (dans les deux sens) ne peut être écarté. Nous avons délibérément choisi des listes pas trop strictes afin de favoriser les messages aux dépens des spams.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.