Qu’est-ce que le Greylisting ?
Le greylisting (en français : « placer sur liste grise ») est une méthode efficace pour empêcher l’envoi de spams. Le greylisting est effectué sur le serveur de messagerie du destinataire des e-mails et ne nécessite aucune configuration de la part de l’expéditeur ou du destinataire.
En théorie, le greylisting n’exclut aucun e-mail légitime. C’est la raison pour laquelle cette technique est l’une des plus répandues pour lutter contre les spams dans le monde.
Si vous exploitez votre propre serveur de messagerie, vous devriez considérer l’utilisation du greylisting comme protection de base contre les spams.
Domaine d’application du greylisting : contre les mails frauduleux
Les filtres anti-spams sont des logiciels complexes qui essayent d’identifier les spams grâce à l’heuristique. Contrairement à ces méthodes laborieuses, le greylisting a pour objectif d’empêcher la diffusion de spams évidents. Le greylisting étant basé sur un processus simple, son exécution ne requiert pas de ressources importantes.
Le greylisting est en particulier utilisé pour lutter contre l’envoi de spams illégitimes à grande échelle. Les « Unsolicited Bulk E-Mail » (UBE) sont des e-mails non personnalisés, envoyés à grande échelle. Ce procédé utilise souvent des archives d’adresses e-mail achetées ou dérobées.
Habituellement, l’envoi est effectué par des ordinateurs détournés appartenant à des utilisateurs naïfs. Ces ordinateurs réunis en un botnet commandé à distance sont utilisés pour envoyer des spams à grande échelle. Des adresses électroniques usurpées sont généralement utilisées dans ces vagues de spams.
Le greylisting ne peut pas être utilisé pour lutter contre l’envoi d’« Unsolicited Commercial E-Mail » (UCE). Il s’agit ici d’e-mails souvent personnalisés, envoyés par des entreprises ou des professionnels réels de façon individuelle. Pour lutter contre ce type de spams, on utilise les filtres basés sur le contenu et le blacklisting.
Fonctionnement du greylisting
L’idée du greylisting consiste à trier les spams potentiels lors du processus de distribution. Regardons comment cela fonctionne précisément.
Le Simple Mail Transfer Protocol (SMTP) est utilisé pour qu’un e-mail puisse être envoyé d’un expéditeur à un destinataire. En principe, un e-mail envoyé via Internet suit le chemin suivant :
- L’expéditeur écrit un e-mail avec son Mail User Agent (MUA) ou « agent de distribution du courriel ». Il peut s’agir d’un programme de messagerie installé localement ou d’une interface de messagerie en ligne.
- Pour envoyer l’e-mail, le Mail User Agent établit une connexion SMTP avec le Mail Transfer Agent (MTA). Il s’agit ici d’un logiciel sur le serveur SMTP qui reçoit et transfère les e-mails.
- Le Mail Transfer Agent de l’expéditeur transfère l’e-mail au Mail Transfer Agent du destinataire. Lorsque cet agent reçoit l’e-mail, ce dernier est placé dans la boîte de réception du destinataire.
- Au moment où le destinataire synchronise sa boîte de réception locale via le protocole IMAP ou POP3, l’e-mail est affiché en tant que nouveau message.
Le greylisting a lieu à la troisième étape lorsque le Mail Transfer Agent du destinataire reçoit l’e-mail. Trois données sont connues du MTA récepteur avant d’accepter véritablement l’e-mail :
- l’adresse IP du serveur de messagerie à l’origine de l’envoi,
- l’adresse e-mail du destinataire, via la commande SMTP « MAIL FROM »
- la/les adresse(s) e-mail du/des destinataire(s), via la commande SMTP « RCPT TO »
Ces données étant visibles par le Mail Transfer Agent avant le message à proprement parler, elles sont également appelées « données d’enveloppe ». Le Mail Transfer Agent mentionne les données d’enveloppe de chaque e-mail entrant dans une liste appelée la « greylist ». Voici un exemple d’entrée dans la greylist :
| Adresse IP | Expéditeur | Destinataire |
|---|---|---|
| 192.0.2.3 | anne@exemple.com | louis@exemple.net |
Si une combinaison de données d’enveloppe apparaît pour la première fois, le Mail Transfer Agent refuse l’e-mail dans un premier temps. Un code d’erreur indiquant qu’un problème technique est survenu est renvoyé. Il est demandé au Mail Transfer Agent à l’origine de l’envoi de réessayer d’envoyer l’e-mail après un certain délai.
Un Mail Transfer Agent légitime et conforme satisfera à cette demande et réessayera d’envoyer l’e-mail ultérieurement. Lors de la nouvelle tentative de distribution, les données d’enveloppe auront déjà été incluses à la greylist et l’e-mail sera distribué.
A contrario, un Mail Transfer Agent illégitime ne réitérera généralement pas sa demande. Et c’est précisément à cet endroit que la fonctionnalité de protection contre les spams du greylisting entre en jeu : comme la deuxième tentative de distribution n’a pas lieu, l’e-mail de spam n’est jamais distribué. Le destinataire ayant été protégé de cette façon ne sait jamais rien de cette tentative. Il s’agit d’une méthode très élégante pour se débarrasser des spams qui peuvent s’avérer pénibles.
Le greylisting comporte cependant un inconvénient non négligeable : en raison du délai précédant la seconde distribution, certains e-mails parviennent uniquement au destinataire avec un retard notable. Dans certains cas, ce retard peut se compter en heures.
Vous avez peut-être déjà noté ce problème en utilisant la fonctionnalité de réinitialisation d’un mot de passe auprès d’un service en ligne. L’e-mail de réinitialisation n’arrive pas dans votre boîte de réception et vous réessayez à plusieurs reprises, sans succès. Après plusieurs heures, vous recevez alors plusieurs e-mails de réinitialisation en même temps. Toutefois, les liens qu’ils contiennent ont déjà expiré. Ce comportement pénible est dû au greylisting de votre adresse e-mail.
Diagramme : fonctionnement du greylisting
(a) Le Mail User Agent (MUA) transmet un e-mail au serveur de messagerie de l’expéditeur (P).
(b) Le serveur de messagerie de l’expéditeur (P) transfère l’e-mail au serveur de messagerie du destinataire (Q). Ce dernier vérifie les données d’enveloppe de l’e-mail : à savoir l’adresse IP du serveur à l’origine de l’envoi ainsi que les adresses e-mail de l’expéditeur et du destinataire. Si la combinaison de ces trois données n’est pas déjà connue du serveur de messagerie du destinataire (Q), le serveur refuse tout d’abord la réception de l’e-mail en prétextant une erreur technique. Le serveur de messagerie du destinataire (Q) liste les données d’enveloppe dans un tableau et c’est ainsi que l’e-mail est placé dans la greylist.
(c) S’il s’agit d’un e-mail légitime, le serveur de messagerie de l’expéditeur (P) essaie à nouveau d’envoyer l’e-mail après un certain délai. Les données d’enveloppe étant déjà connues du serveur de messagerie du destinataire (Q), il procède à la distribution de l’e-mail. Les données d’enveloppe peuvent éventuellement être enregistrées dans la whitelist du serveur de messagerie. Dans ce cas, les e-mails entrants disposant des mêmes données d’enveloppe seront à l’avenir distribués dans délai.
(d) S’il s’agit d'un e-mail illégitime, la seconde tentative d’envoi n’a normalement pas lieu. Dans ce cas, le greylisting remplit son rôle et lutte contre les spams ; l’e-mail illégitime n’est jamais distribué.
Le greylisting est habituellement utilisé en combinaison avec d’autres technologies de lutte contre les spams. Les normes Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC) permettent de protéger les messageries contre les formes d’abus courantes.
Le greylisting est particulièrement efficace lorsqu’il est associé avec les techniques apparentées que sont le whitelisting et le blacklisting. À titre d’exemple, regardons le déroulement chronologique des tentatives de distribution sur le serveur de messagerie du destinataire :
Les différentes tentatives de distribution des e-mails (e1 à e5) ont été classées par ordre chronologique.
e1) Un e-mail d’un expéditeur inconnu de la greylist (« Listed ? Non. ») arrive sur le serveur de messagerie. Le Mail Transfer Agent refuse la réception de l’e-mail en prétextant une erreur technique. Les données d’enveloppe sont enregistrées dans la greylist.
e2) Par la suite, un autre e-mail du même expéditeur parvient au même destinataire. Comme les données d’enveloppe sont déjà enregistrées dans la greylist, l’e-mail est distribué. Par ailleurs, les données d’enveloppe sont enregistrées dans la whitelist.
e3) Depuis la dernière correspondance entre Anne et Louis, l’adresse IP du serveur SMTP d’Anne a changé : auparavant, cette adresse était 192.0.2.3 et est à présent 192.0.2.34. Anne est alors traitée comme un expéditeur inconnu et arrive tout d’abord dans la greylist.
e4) Plus tard, Anne écrit à nouveau à Louis. Cette fois-ci, le serveur SMTP est à nouveau utilisé sous l’adresse IP initiale 192.0.2.3. Comme les données d’enveloppe se trouvent déjà dans la whitelist, l’e-mail d’Anne est immédiatement distribué.
e5) Une tentative de distribution du serveur 192.0.2.66 a lieu. Comme ce serveur est connu pour être malveillant et est listé sur la blacklist, la distribution de l’e-mail est refusée. Selon toute vraisemblance, l’adresse d’expédition anne@example.com a été usurpée.
- Adresse email à votre nom
- Fonctions d'IA pour rédiger des emails parfaits (en option)
- Messagerie sécurisée avec protection anti-spam
Avantages et inconvénients du greylisting
| Avantage | Inconvénient |
|---|---|
| Aucune configuration par l’utilisateur n’est nécessaire | L’utilisateur n’a pas conscience que le greylisting est actif |
| Normalement, les e-mails légitimes ne sont pas perdus | Des e-mails légitimes peuvent être perdus dans des cas exceptionnels |
| Le délai de réception peut aider à placer les expéditeurs malveillants sur la blacklist | Le délai peut pousser l’utilisateur à s’interroger sur la fonctionnalité du serveur de messagerie : « Il arrive que je ne reçoive pas certains e-mails. » |
| Le délai peut offrir une protection contre les nouveaux malwares non encore identifiés | Peut se révéler trop lent dans le cas de contenus d’e-mail limités dans le temps, par exemple avec des liens de réinitialisation de mot de passe, etc. |
| Contrairement à la plupart des filtres anti-spams, l’utilisation demande peu de ressources | |
| Une technologie très efficace, offre un grand soulagement aux serveurs de messagerie du monde entier |
Quels problèmes le greylisting comporte-t-il ?
Bien que les avantages du greylisting soient attractifs, cette technologie comporte également son lot de problèmes :
- L’adresse IP du serveur SMTP à l’origine de l’envoi doit rester la même. Si l’adresse IP du serveur SMTP de l’expéditeur change, l’e-mail sera considéré comme inconnu par le serveur SMTP du destinataire ; l’e-mail sera greylisted.
- Dans certaines circonstances, la distribution échoue en cas d’erreur dans l’implémentation ou la configuration du serveur de messagerie à l’origine de l’envoi. Si le Mail Transfer Agent de l’expéditeur ne répond pas à la demande de renvoi de l’e-mail, celui-ci n’est pas distribué.
- L’utilisation de ressources par les spammers peut permettre de passer à travers cette protection. En théorie, les spammers pourraient envoyer leurs e-mails à plusieurs reprises pour franchir le greylisting. Cependant, l’effort logistique nécessaire est tel qu’il n’en vaut actuellement pas la peine.
- Le délai de distribution peut rendre invalides les contenus d’e-mails limités dans le temps. Ce problème est souvent observé lors de la réinitialisation des mots de passe : l’e-mail de réinitialisation du mot de passe provient d’un expéditeur jusqu’alors inconnu et reste en attente dans le greylisting du destinataire. Le temps écoulé avant que l’expéditeur ne renvoie l’e-mail est si long que le lien de réinitialisation du mot de passe ou le code de connexion a expiré.