Les listes grises - Paramétrage
Principaux paramètres de configuration
Dans l'idée de donner autant de souplesse que possible au gestionnaire de la messagerie qui déciderait d'utiliser le Greylisting, plusieurs options doivent être facilement modifiables pour adapter, au cas par cas, le comportement du système. Nous détaillons ci-dessous ces options, ainsi que certains détails à garder à l'esprit s'il est jugé nécessaire de changer les valeurs par défaut.
Il peut être intéressant que chaque site modifie ces paramètres, ce qui obligera les spammeurs à s'adapter sans cesse.
- Délai d'attente d'un triplet inconnu : une heure.
- Durée de vie d'un triplet n'ayant pas encore validé un message : quatre heures.
- Durée de vie d'un triplet ayant autorisé le passage d'un message : 36 jours.
Le délai initial d'attente d'une heure a été choisi pour les raisons suivantes :
- Il est suffisamment court pour que, dans la plupart des cas, les utilisateurs ne se rendent même pas compte du délai.
- Il est suffisamment long pour que les administrateurs d'un serveur de messagerie compromis ou détourné puissent détecter et, peut-être, corriger le problème avant que les pourriels ne soient réémis.
- Il est assez long pour avoir une bonne chance que l'adresse IP de l'émetteur, s'il s'agit bien d'un spammeur, soit insérée dans une liste noire d'adresses IP utilisée conjointement avec le Greylisting. Même si le spammeur tente une réémission ultérieure, qui sera acceptée par le Greylisting, la liste noire le bloquera.
- Il est aussi suffisamment long pour que d'autres types d'analyses de trafic puissent être envisagées et mises en oeuvre afin d'identifier et bloquer les adresses IP des spammeurs, sans que les premiers destinataires du pourriel (avant que l'analyse de trafic ne sache identifier ces messages comme tels) n'aient à recevoir le message.
Les données collectées durant les tests montrent que plus de 99% des messages bloqués par le délai d'une heure auraient aussi été bloqués par un délai d'une minute. Cependant, nous pensons que les spammeurs vont progressivement prendre cette méthode de blocage en compte et modifier leurs outils afin de réémettre les messages rejetés temporairement. Un délai initial assez long sera alors très utile, car il donnera le temps à d'autres systèmes de se déclencher. C'est pour cette raison que nous conseillons de conserver le délai initial d'une heure, puisque les spammeurs s'adapteront dès que cette méthode sera utilisée fréquemment.
Il est nécessaire de maintenir ce délai en-dessous d'un seuil à partir duquel un nombre important d'agents d'acheminement abandonnent l'émission et rejettent le message. Ce seuil est généralement de plusieurs jours. Toutefois, dans des cas particuliers, il peut avoir été abaissé à quelques heures tout au plus. Même dans ces cas, le délai de rejet temporaire du Greylisting devrait être d'une heure ou plus.
Il semble probable qu'à terme, une analyse de trafic utilisant les données issues du Greylisting émergera, afin d'identifier de manière automatique les adresses IP des systèmes qui tentent d'expédier du pourriel.
Bien que ce type de fonctionnalité ne soit pas inclus dans ma version d'exemple, je suis très intéressé par son avènement, les schémas de fonctionnement des spammeurs étant souvent faciles à identifier après quelques minutes d'activité. Il s'agit souvent de très nombreuses tentatives d'acheminement, provenant d'une même adresse IP ou groupe d'adresses IP à partir desquelles (presque) aucun trafic de ce type n'avait été observé, vers une grande quantité de destinataires différents.
Il est regrettable que ces analyses, pour être utiles et précises, nécessitent un volume élevé de trafic. Les petits systèmes n'apporteront pas beaucoup d'aide, sauf si l'analyse est distribuée, ce qui s'avère difficile lorsqu'on ne peut pas systématiquement faire confiance aux collaborateurs potentiels.
La durée de vie initiale de quatre heures a été choisie pour les raisons suivantes :
- Pratiquement tous les serveurs de messagerie légitimes ont un délai de réémission inférieur à 4 heures.
- Une faible durée de vie permet de limiter le nombre d'enregistrements à gérer pour des sites très actifs, qui peuvent recevoir des volumes élevés de messages et des centaines de milliers de requêtes par seconde. Une courte durée de vie est importante lorsque le volume de pourriel s'accroit, puisque chaque pourriel reçu provoque la création d'un nouvel enregistrement.
- La courte durée de vie permet aussi de limiter la fenêtre temporelle durant laquelle un spammeur peut décider de réémettre le message à toute sa liste.
Nous soulignerons que, dans la version d'exemple, ce délai de quatre heures recouvre le délai initial d'une heure, ce qui signifie que la fenêtre durant laquelle le message sera accepté est de trois heures.
La durée de la fenêtre d'acceptation devrait être aussi brève que possible pour une seconde raison. Si un spammeur découvre et exploite un relais mal géré ou mal configuré, les performances de ce relais vont peut-être s'écrouler. Ce ralentissement augmente la probabilité que le serveur ne pourra pas traiter l'ensemble de la file d'attente durant la fenêtre d'acceptation.
La durée de vie des enregistrements en liste blanche est mise à jour à chaque message accepté. Nous avons choisi une durée de 36 jours pour les raisons suivantes :
- Cela permet de minimiser la taille de la base de données, en provoquant l'élimination des triplets obsolètes (sur le plan de l'émetteur, du relais ou du destinataire).
- Toutefois, la durée est suffisamment longue pour que des messages émis sur une base mensuelle (par exemple les notifications de certaines listes de diffusion) puissent être transmis sans délais.
- Dans la même idée, les messages mensuels émis un certain jour de la semaine peuvent être acheminés sans délais (ainsi, le premier lundi des mois de juin et juillet 2003 sont distants de 35 jours).