Selon plusieurs études récentes, le spam représenterait aujourd'hui entre 50 et 90 % du courrier échangé sur Internet. Face à ces e-mails non sollicités, l'entreprise se retrouve à la fois victime et bourreau.

Victime, car le courrier électronique non désiré consomme des ressources réseau. Ce qui peut entraîner de changer les serveurs de messagerie ou les passerelles SMTP saturés. Car ces dernières, aujourd'hui en fin d'amortissement, ont parfois été dimensionnées à une époque où le spam n'était pas encore une pandémie. Mais l'entreprise se transforme aussi en bourreau. Si sa passerelle SMTP n'est pas correctement configurée, les spammeurs s'en servent de relais pour envoyer des millions d'e-mails. Le courrier destiné à l'entreprise ne lui parvient alors quasiment plus tant les ressources de son serveur SMTP sont consacrées à servir les spammeurs.

A en croire de nombreux intégrateurs, cet exemple n'est pas un cas isolé. Ainsi, ils reconnaissent intervenir souvent sur les serveurs de messagerie de clients dont la file d'attente de livraison des messages est congestionnée par du spam en souffrance !

A ce stade, il ne s'agit plus d'une simple nuisance. C'est une véritable attaque, dont les symptômes sont similaires à ceux d'un déni de service. Face à ce détournement de messagerie, la parade consiste à configurer sa passerelle SMTP pour qu'elle ne relaie que le courrier émis soit par des utilisateurs authentifiés sur le serveur SMTP - pour les télétravailleurs, par exemple -, soit par le serveur de messagerie, situé sur le réseau local de l'entreprise. Un simple audit de la configuration des passerelles SMTP suffit à identifier celles susceptibles d'être abusées par les spammeurs et à corriger leur configuration.

La lutte contre le spam entrant constitue un tout autre problème. Si l'architecture de messagerie de l'entreprise est entièrement signée Microsoft, l'éditeur offre gratuitement un programme add on antispam à Exchange Server 2003 (seulement pour cette version). Intelligent Message Filtering (IMF) s'installe sur la passerelle SMTP et met en oeuvre la technologie Smartscreen de Microsoft, qui s'appuie sur l'étude de centaines de milliers de spams repérés par les utilisateurs du service Hotmail. Les caractéristiques de chaque e-mail entrant sont comparées à celles du corpus de spams étudié par l'éditeur, puis une note est attribuée à l'e-mail. Celle-ci détermine la probabilité qu'il soit du pourriel. La passerelle peut alors prendre une première décision en fonction de cette note. Et si le message est malgré tout acheminé vers son destinataire, Outlook 2003 saura, lui aussi, tirer parti de cette information selon les préférences de l'utilisateur.

Hélas, IMF n'est vraiment intéressant que dans les architectures entièrement Microsoft (passerelle SMTP et serveur de messagerie). Si le serveur SMTP relève d'un environnement différent - ce qui est souvent le cas -, il faut alors installer une passerelle Exchange entre le serveur SMTP et la messagerie sur le réseau local. Il s'avère alors plus rentable de mettre en oeuvre un autre produit antispam. Soit au sein d'une appliance, soit sous forme d'un logiciel installé sur le serveur SMTP existant.

Du côté de l'offre, le catalogue de logiciels antispam est particulièrement riche. Du point de vue de l'architecture, les produits se placent au même endroit que les antivirus. A savoir dans la zone démilitarisée (ou DMZ) sur la passerelle SMTP (voire en relais pour les appliances), ou dans le réseau local sur le serveur de messagerie. Il est rare de trouver un antispam installé sur les deux. Le plus souvent, il n'est placé que sur la passerelle SMTP. « On identifie trois grandes familles de techniques de détection des spams, résume Philippe Dufour, responsable avant-vente chez l'éditeur Sophos. Elles répondent aux questions suivantes : d'où vient le message et où va-t-il ? Comment est-il structuré ? Quel est son contenu ? »

Chaque famille comprend de nombreux tests différents. Les plus populaires se retrouvent dans la quasi-totalité des produits du marché. La technique des listes noires est ainsi très utilisée. Elle détermine si le serveur qui propose l'e-mail est connu pour avoir déjà envoyé du spam. Ces listes noires - ndépendantes - sont mises à jour en temps réel et interrogées par le produit antispam à chaque e-mail reçu. Mais elles peuvent aussi être rendues inaccessibles par les spammeurs via une attaque par déni de service. Elles ralentissent ainsi la livraison du courrier lorsque les produits antispam attendent leur réponse. Pire : un expéditeur légitime peut très bien se retrouver indûment sur une telle liste. Dans ce cas, l'entreprise ne reçoit tout simplement plus de courrier de sa part.

Corollaire des listes noires, les listes blanches pallient ce problème. Elles forcent l'outil antispam à accepter le courrier en provenance de certains domaines ou correspondants jugés de confiance. Mais les créer et les maintenir demande du temps.

Viennent ensuite les tests sur le message lui-même, sa structure ou son contenu. Sur les passerelles, ils sont généralement effectués par des expressions régulières. Celles-ci servent à repérer des mots-clés spécifiques et à identifier des techniques de dissimulation du contenu : par exemple, des balises HTML modifiées, des commentaires HTML habilement déposés au milieu du texte, de l'écriture ton sur ton, une malformation des en-têtes, etc. Les expressions régulières extraient du message les URL auxquelles il fait référence et les soumettent à une liste noire. Bref, ce sont elles qui autorisent à passer outre les différents scénarios mis en oeuvre par les spammeurs. Il semblerait que les performances de cette technique - longtemps son point noir - soient désormais à la hauteur.

Autre outil utilisé, le filtrage bayésien. Il s'appuie sur une analyse statistique des mots composant chaque message. En indiquant au système quels e-mails sont du spam, il est capable d'apprendre à les reconnaître seul. Mais cette phase d'apprentissage est plus adaptée à une utilisation sur le poste de travail, où il devient très populaire, que sur une passerelle. En combinant ces techniques, les solutions antispam actuelles peuvent immédiatement faire chuter le volume de spam de 90 %.