Dépannage et directives en matière de pollupostage (envoi de pourriels)

Qu’est-ce qu’un pourriel?

Un envoi massif consiste à envoyer un lot de courriels tous identiques. Un courriel est dit commercial s’il concerne un produit commercial ou un service commercial. Un courriel non sollicité, c’est-à-dire envoyé sans l’autorisation du destinataire ou sans qu’il l’ait sollicité, qui est à la fois commercial et envoyé en masse est un pourriel.

Courriel non sollicité + en masse + commercial = POURRIEL

Bien qu’un courriel commercial envoyé en masse ne constitue pas généralement du pollupostage s’il est sollicité, il y a une exception à cette règle. Au Canada, il est illégal d’envoyer un courriel commercial sans autorisation du destinataire, même lorsqu’il ne s’agit pas d’un envoi en masse. Si vous agissez pour le compte d’une entreprise canadienne, veuillez consulter le guide du gouvernement du Canada en la matière à l’adresse fightspam.gc.ca pour obtenir de plus amples renseignements à ce sujet.

Sources de pollupostage

Il incombe aux administrateurs de serveurs de veiller à ce que leur infrastructure ne soit pas utilisée pour envoyer des pourriels. On trouve sur Internet plusieurs sources répandues de pollupostage (par courriel ou par d’autres moyens) directement liées à l’administration d’un serveur.

Les réseaux de zombies — Certains types de maliciels infectant un ordinateur peuvent l’enrôler dans un réseau de zombies. L’ordinateur devenu zombie est alors contrôlé à distance par une personne malveillante. Rustock et Cutwail font notamment partie des réseaux de zombies responsables d’attaques massives de pollupostage dans le monde entier.

Relais ouverts — Un serveur mal configuré pourrait relayer des courriels pour le compte d’un tiers sans vérifier si cette personne est autorisée à utiliser le serveur pour envoyer des courriels.

Serveur ou comptes compromis — Les polluposteurs parcourent des réseaux entiers pour en analyser les services de courriel et essayent des milliers de combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils trouvent des comptes protégés par des mots de passe faibles qu’ils peuvent utiliser pour envoyer du pollupostage. Les systèmes qui fournissent également des services de courrielleur sur le Web sont particulièrement vulnérables. En effet, si les polluposteurs choisissent d’envoyer leurs pourriels en utilisant une interface de ce type, cette dernière peut entièrement masquer leur adresse IP, rendant plus difficile une remontée jusqu’à la source.

Rétrodiffusion — La plupart des pourriels sont envoyés à partir d’une ou plusieurs adresses usurpées (fausses adresses); dans ce cas, si le pourriel rebondit suite à un échec de remise, la notification d’échec de remise est renvoyée à une ou plusieurs fausses adresses. Des systèmes ou des serveurs de messagerie mal configurés en matière d’échec de remise peuvent renvoyer le courriel vers la source usurpée; cependant, si cette dernière correspond à l’adresse courriel d’une véritable personne, c’est elle qui recevra le message de rebond. Étant donné que les systèmes anti-pourriel ne se montrent pas très efficaces pour bloquer le pollupostage par rétrodiffusion, cette méthode est parfois utilisée volontairement par les polluposteurs pour envoyer des pourriels, car malgré l’inconvénient résultant du fait que les messages ressemblent à des notifications d’échec de livraison, ils peuvent tous de même être lus par les destinataires.

Réseaux non sécurisés — Un polluposteur pourrait agir à partir d’un endroit lui permettant d’accéder à un réseau sans fil non sécurisé ou à un port de données doté d’une connectivité Internet afin d’envoyer des tonnes de pourriels à partir de ce réseau, et ce, en utilisant son propre ordinateur. Il pourrait physiquement quitter la zone d’accès à ce réseau local, puis revenir de nombreuses fois afin de continuer à envoyer ses pourriels de la même manière. Une variante de cette formule consisterait à envoyer des pourriels à partir d’un ordinateur distant en passant par un RPV, en exploitant le fait que le fournisseur dudit RPV ne conserve pas la trace des différentes adresses IP utilisées par les utilisateurs de son réseau privé à tout moment. Dans ce cas, il est difficile, voire impossible, de retracer l’utilisateur responsable.

Marketing par courriel — Tous les courriels envoyés à des fins de marketing ne constituent pas du pollupostage. Des entreprises ayant pignon sur rue envoient des courriels de masse de nature marketing en observant des pratiques d’affaires adéquates qui sont non seulement respectueuses de la législation applicable, mais également des meilleures pratiques en matière de gestion de listes de diffusion. Certaines sociétés spécialisées dans le marketing par courriel estiment, à tort, qu’elles font un bon travail dans ce domaine. Il est possible qu’un destinataire ait oublié de bonne foi de donner son autorisation pour recevoir un courriel de nature marketing et le considère comme un pourriel. Il appartient à l’entreprise spécialisée en marketing de veiller à ce que ses listes de diffusion soient gérées correctement. Elle se doit d’avoir la permission explicite du destinataire, et ce, dès le premier envoi, de supprimer un abonné lorsque la remise du courriel échoue et de désabonner un utilisateur qui en fait la demande, sans délai et de façon permanente. De façon générale, il ne faut jamais acheter une liste de diffusion à un tiers, même s’il prétend que les adresses de sa liste ont fait l’objet d’un consentement préalable (opt-in) ou même d’un double, voire d’un triple, consentement de ce type (quelle que soit la signification que l’on donne à ces concepts).

Messagerie instantanée — Ce canal, généralement considéré comme digne de confiance pour l’envoi de messages, peut s’avérer très efficace pour l’envoi de pourriels par des polluposteurs. Les gens communiquent souvent par messagerie instantanée avec des personnes qu’elles n’ont jamais rencontrées lorsqu’il s’agit de communications d’affaires. Les polluposteurs qui utilisent la messagerie instantanée tentent généralement d’envoyer en rafale un aussi grand nombre de messages que possible jusqu’à ce qu’ils soient bloqués par les fournisseurs concernés.

Marketing par courriel et listes de diffusion correctement gérés

Les autorisations jouent un rôle essentiel pour gérer adéquatement une liste de diffusion et accroître sa valeur commerciale pour l’entreprise, tout en minimisant le gaspillage de ressources lors de l’envoi. Une liste de diffusion bien gérée est construite en utilisant la méthode du consentement préalable confirmé (en anglais Confirmed Opt In ou COI). Lors de l’ajout d’un nouvel abonné, son autorisation est obtenue dans le cadre d’un processus utilisant l’adresse courriel qu’il a fournie afin de lui envoyer un lien de confirmation.

Le processus COI fonctionne de la façon suivante :

  • L’abonné fournit son adresse courriel sur un formulaire ou lorsqu’il commande un produit ou un service.
  • Le système de liste de diffusion voit cette nouvelle adresse d’abonné et envoie un courriel à ce dernier contenant un lien spécial qui estampillera l’adresse comme étant la bonne adresse pour des envois futurs.
  • L’abonné reçoit le courriel et clique sur le lien.
  • L’adresse est alors estampillée comme ayant été confirmée par l’abonné pour la réception de futurs courriels à propos des produits et des services pour lesquels il a donné son accord.

C’est l’obtention de la permission directement auprès de l’utilisateur qui fait la différence entre le marketing par courriel et le pollupostage.

De plus amples renseignements sur ce processus et sur ses avantages sont disponibles sur le site en anglais du projet Spamhaus.

Suggestions pour la résolution du problème

  1. Déterminez le MTA (agent de transfert de courriel) (Exim, Postfix natif ou Plesk postfix, qmail, Mailenable, etc.)
  2. Déterminez la source du pollupostage en inspectant les journaux du MTA et le contenu de la file d’attente des courriels. Dans certains cas peu fréquents, le pollupostage peut être envoyé par l’entremise d’un autre composant (comme un proxy malveillant, un rootkit ou une porte dérobée sur un serveur compromis, ou un compte RPV compromis) de sorte que le MTA n’en conserve aucune trace dans ses journaux.
  3. Supprimez la cause du pollupostage en corrigeant le problème ayant permis l’envoi de pourriels :
    1. En cas de compte utilisateur ou de compte courriel compromis, changez le mot de passe du compte.
    2. En cas de site Web compromis exploité pour exercer une activité de pollupostage, veuillez consulter notre procédure Dépannage et directives en matière URL malveillantes.
    3. En cas de mauvaise configuration à l’origine d’activités de pollupostage, le paramétrage doit être revu.
  4. Supprimez les pourriels restants de la file d’attente des courriels.
  5. Radiez les adresses IP des listes noires.
  6. Évitez d’autres problèmes similaires en sécurisant les sites Web, les comptes et le serveur, et en en accroissant la résistance.

Trouver la source du pollupostage

Déterminer les sources de pollupostage sous Linux

  1. Analysez les en-têtes :
    1. Récupérez une ou plusieurs plaintes de personnes ayant reçu des pourriels et analysez les en-têtes de ces messages.
    2. Regardez les adresses IP utilisées dans chacune des lignes d’en-tête « Received: ». Elles sont classées par ordre chronologique inverse. Si l’adresse IP de votre serveur n’est pas l’en-tête « Received: » le plus ancien (c’est-à-dire celui qui apparaît en dernier dans la liste), cela signifie que quelqu’un utilise probablement votre serveur de messagerie avec un nom d’utilisateur et un mot de passe comme un relais de courriels.
    3. Regardez l’un des en-têtes X- (comme X-Spam) au cas où il comprendrait des informations quelconques ayant pu être ajoutées par votre serveur au moment de l’envoi du courriel comme le nom d’utilisateur authentifié ou éventuellement un domaine de site Web.
    4. Vérifiez l’en-tête « From » par déterminer s’il s’agirait d’une adresse réelle valide sur votre serveur; si tel était le cas, ce serait une indication que le courriel a été envoyé par l’entremise d’un courrielleur sur le Web.
  2. Vérifiez votre file d’attente des courriels :
    1. Certains courriels sont envoyés par l’entremise d’un processus de type « direct to MX » (directement par Mail eXchanger), c’est-à-dire un processus n’utilisant pas le MTA (agent de transfert de courriel). Un message qui utilise bien votre MTA sera journalisé et un pourriel sera placé dans une file d’attente en sortie dans la file d’attente des courriels du MTA.
  3. LINUX : Vérifiez, à l’aide de l’utilitaire « lsof », les processus en cours d’exécution ayant des connexions sortantes vers d’autres machines à partir du port 25 ou du port 587 :
    1. lsof -Pni tcp:25
    2. lsof -Pni tcp:587
    3. Notez l’ID de processus (pid) ainsi que le nom de l’utilisateur propriétaire du processus lorsque la commande (colonne « COMMAND ») semble suspecte et que l’adresse IP de destination n’est pas la vôtre. Vous êtes à la recherche de connexions sortantes à partir de votre serveur.
    4. N’ignorez pas nécessairement des processus portant des noms comme « smtpd » ou « sendmail », le polluposteur pouvant leur avoir intentionnellement donné des noms aussi répandus pour qu’ils soient plus difficiles de les repérer comme relevant du pollupostage. N’oubliez pas de vérifier également ces processus, tout en faisant preuve de prudence avant de les tuer.
    5. Bien que cela soit rare, de telles connexions pourraient être le signe d’une activité entrante sur le port TCP 25 ou sur le port TCP 287 émanant du polluposteur qui se sert de votre service SMTP pour relayer des courriels en utilisant un compte utilisateur légitime quoique compromis.
  4. Inspectez les renseignements détaillés des processus suspects avec « lsof » :
    1. lsof -Pnp <PID>
    2. Portez une attention particulière à toutes les lignes comprenant « cwd » (répertoire de travail courant) ou « txt » dans la colonne FD. Elles peuvent contenir des indices sur l’emplacement des scripts responsables.
    3. Vous pourriez souhaiter tuer le processus dès qu’il a été trouvé ou dès que des fichiers qui lui sont liés ont été examinés de façon plus approfondie; toutefois, faites preuve de prudence et n’arrêtez pas des processus qui sont des éléments logiciels légitimes jouant un rôle dans l’envoi de véritables courriels.

Autres informations pertinentes

Comprendre la Loi canadienne anti-pourriel (LCAP)

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk