Eliminez le “spam”

Cette page s'adresse avant tout aux titulaires d'une adresse en @varax.net, mais elle intéressera aussi tout utilisateur d'un domaine géré par OVH, ou tous ceux dont le fournisseur d'accès donne suffisamment de détails sur l'adresse émettrice de leurs courriers. Cette page s'adresse aux utilisateurs de Windows ; sur les autres systèmes d'exploitation, recherchez une solution à base de SpamAssassin, en vous inspirant des filtres utilisés ici.

Encore trop de spam

Tous les fournisseurs, OVH compris, offrent un service de filtrage de spams basé généralement sur le logiciel SpamAssassin, avec des variantes de réglage. Ce filtrage concerne :

• le contenu du message lui-même, au moyen d'un savant jeu de règles régulièrement mis à jour,
• l'adresse émettrice, comparée à une ou plusieurs listes d'adresse suspectes, elles aussi régulièrement mise à jour par des organismes tels que SpamCop en fonction des signalements d'abus (je parle ici de l'adresse IP de la machine émettrice, pas de l'émetteur déclaré dans le champ From:, qui est toujours bidon dans un spam : soit c'est une adresse e-mail d'emprunt, soit elle est carrément inventée).

Ces filtrages ont toujours un temps de retard sur les envois, donc un certain nombre de spams, et même un nombre certain, arrivent à passer. Je vous propose ici une solution simple pour éliminer ces spams résiduels.

Un constat s'impose : 95% des spams qui arrivent dans mes différentes boîtes aux lettres proviennent de PC infectés par des virus. Les 5% restant proviennent de serveurs Web mal conçus détournés de leur usage – faites une recherche sur "formmail spam" pour en savoir plus.

Le spam vient des virus

Repérer les PC infectés est en théorie relativement aisé : tout courrier légitime doit être émis par le serveur mail d'un fournisseur d'accès. Or les virus spammeurs émettent directement leurs courriers sur le port 25 depuis la machine infectée. Il faut donc reconnaître l'adresse d'un PC de celle d'un serveur pour filtrer.

C'est là qu'OVH nous rend un signalé service : dans les en-têtes de chaque message reçu, il ajoute un en-tête supplémentaire pour indiquer l'adresse émettrice. Exemple réel :

X-Ovh-Remote: 218.47.255.37 (i218-47-255-37.s30.a048.ap.plala.or.jp)

nous avons donc successivement l'adresse IP : 218.47.255.37 et le nom correspondant (son reverse DNS) : i218-47-255-37.s30.a048.ap.plala.or.jp (désolé pour l'internaute du pays du Soleil Levant qui se reconnaîtra dans cette adresse).
Autrement dit, le “nom DNS” d'un PC comprend une suite de chiffres qu'on n'a aucune chance de trouver dans un nom de domaine légitime.

Malheureusement les courielleurs les plus répandus (Outlook, Thunderbird) ne permettent pas d'exprimer des filtres tels que : quatre groupes de un à trois chiffres séparés par des tirets (on appelle ça une expression régulière). Je vous propose d'utiliser à cette fin un logiciel “intermédiaire” (on parle de proxy) entre votre courielleur et votre fournisseur : SpamPal.

SpamPal : la solution ?

SpamPal est l'équivalent pour Windows de SpamAssassin. Nous allons désactiver toutes ses fonctions, qui font probablement double emploi avec celles de votre fournisseur, pour n'en retenir qu'une, le module RegExFilter. Procédez comme suit :

• Téléchargez et installez SpamPal. C'est gratuit mais vous pouvez contribuer...
• Modifiez comme suit le réglage de votre courielleur :
  • remplacez le nom du serveur de courrier entrant (qui doit ressembler à pop.votre_fournisseur.com) par localhost
  • remplacez votre nom d'utilisateur (login) par votre_login@votre_fournisseur.com ; si votre_login est déjà de la forme votre_nom@votre_fournisseur.com, ça donnera votre_nom@votre_fournisseur.com@votre_fournisseur.com, pas d'inquiétude, SpamPal s'en accommodera.
• arrêtez SpamPal (l'icône en forme de parapluie :) ; faites une copie de sauvegarde du fichier %APPDATA%\SpamPal\plugins\regexfilter\filters.dat et remplacez-le par celui-ci (afficher).
  %APPDATA% vaut typiquement C:\Documents and Settings\utilisateur\Application Data
• redémarrez SpamPal, sélectionnez Outils puis Options.
• dans le panneau Listes Noires Publiques, décochez toutes les cases
• dans Plugins, ne cochez que RegExFilter
• cliquez OK, fermez
• dans votre courrielleur, mettez en place ces filtres :
  • Si X-RegEx contient RES_IP, marquer comme lu, marquer comme indésirable, mettre à la corbeille
  • même chose si X-RegEx contient BAD_DOMAIN
  • même chose si X-RegEx contient NO_DNS
  Ou plus simplement, mettez à la corbeille tout message dont le sujet commence par ** SPAM **.
• Donnez à votre corbeille une période de rétention de 30 jours, et allez voir de temps en temps s'il n'y a pas de faux positifs.
• Revenez régulièrement sur cette page pour prendre une version à jour du fichier filters.dat  et bien sûr, signalez-moi tout faux positif ou faux négatif pour que j'améliore ces filtres.

Voici le résultat dans ma corbeille du 3 mars 2007 :

impressionnant, non ?