Internet : Technique anti-spam basée sur le « Sender ID » rejetée par Apache et Debian
Posté par Pascal Terjan (Jabber id, page perso, ). Modéré le 05 septembre 2004.
Le groupe Apache a publié les raisons de son rejet ainsi qu'une analyse de Lawrence Rosen, conseiller général de l'OSI (Open Source Initiative). Debian a suivi la position d'Apache, bien que leur annonce précise que la même position aurait été adopté indépendamment de celle de Apache.
Le groupe Apache et L. Rosen ont entamé des négociations avec Microsoft pour résoudre les points litigieux pour les logiciels OpenSource et la libre implémentation de cette spécification comme standard Internet indépendant d'une société (et d'un brevet). En vain, du moins à l'heure actuelle.
![[fr]](../images/fr.png)
Journal à l'origine de la dépêche (2759 hits)![[en]](../images/en.png)
La position d'Apache (1701 hits)-
La position de Debian (1057 hits)
-
La présentation du Sender ID sur Newsforge (1164 hits)
-
La présentation du Sender ID par Microsoft (919 hits)
> Lire la dépêche (43 commentaires, moyenne: 3,5).
Vous avez demandé le commentaire #470008.
Run by 
Cette page a été générée par Templeet en 0.0921s (dont 0.0102 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Deja inutile ?
Les spammers s'enregistrent dans les SPF et supportent SPF plus vite que tout le monde. (38 % plus vite que les mailers normaux.)
10 % du spams seraient "SPF compliant".
http://www.eweek.com/article2/0,1759,1642848,00.asp(...)
Tout ce que apporter des solutions de ce genre, c'est de sacrifier la liberté sur l'autel de la securité..
Comme je le disais dans le journal, je ne suis pas etonné... le probleme est politique, pas technologie. Quand la loi condanmera les Spammers...
Mais au vu du business engendre par le spam et l'anti-spam, c'est surtout dans les mains des electeurs/consomateurs, de faire entendre leurs voix
[^]Re: Deja inutile ?
Ne confondons pas tout. SPF n'a pas pour but d'empecher le spam, mais d'empecher le "phishing" (tu recois un mel soi-disant de ta banque, te demandant d'acceder a un site web par exemple, et c'est en fait un moyen de recuperer tes informations confidentielles).
Aussi, tu ne pourras plus recevoir de virus avec comme expediteur une personne que tu connais... moins de tentation de l'ouvrir donc.
Pour ceux qui debarquent : pour activer SPF, il faut publier un enregistrement TXT dans le DNS du domaine. Une liste (incomplète) des registrars et des services de DNS qui permettent celà est disponible ici : http://www.spf.idimo.com/(...)
[^]Re: Deja inutile ?
" easier to identify spams, worms, and viruses"
d'apres http://spf.pobox.com/(...)
"Using the Sender ID Framework to help fight spam and phishing"
http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx(...)
M'est avis qu'il faudrait surtout un framework contre les "chevaux de troie" pour lutter contre le phishing...
[^]Re: Deja inutile ?
Je suis d'accord que la description sur le site de SPF est un peu trop enthousiaste pour etre honnete (note qu'il dit : "help fight spam" - dans ce cas, SPF sert a rendre fiables les whitelists/blacklists par domaine).
Mais je regrette qu'on critique SPF pour ce qu'il ne fait pas (supprimer le spam) sans voir ce qu'il fait (empecher le spoofing d'adresse).
[^]Re: Deja inutile ?
Pour le phishing non plus, je ne suis pas convaincu.
Le sender-id se base sur authentification IP et les DNS, deux technologies maintes fois critiquees et sujet a de nombreuse attaques : spoofing IP (par ex :man-in-the-middle), DNS redirection hijack, DNS denial, etc). Ce qui me fait peur, c'est de rajouter encore plus d'oeuf dans le paniers des techno DNS/IP...
Tout ca en ne resolvant pas grand chose, vu que le phishing peut se faire tres facilement rien q'avec des chevaux de troie.
Une bonne analyse ici des divers problemes du SENDER ID: http://www.esecurityplanet.com/views/article.php/3398431(...)
si il faut vraiment une solution technique, je suis plutot pour des solutions du cote du cryptage/signature.
Pour les Mails persos :, avec clef prive dans une puce sur carte a puce, que tu utilises pour signer avec un boitier externe au PC (clef privee inexpugnable depuis le PC).
Pour les mails massif d'entreprise, pas de message critiques en mail, mais des liens vers un site securises, etc...
Reste les mailing-listes...
Pour memoire, la derniere affaire en date en france s'est faite comme par cheval de troie :
"PC windows infectes par un cheval de troie et acces au compte bancaire en ligne pour le pirate."
cf : http://www.01net.com/article/249528.html(...)
[^]Re: Deja inutile ?
de : http://www.esecurityplanet.com/views/article.php/3398431(...)
"Proponents of cryptographic solutions believe that, while IP addresses may be easy to spoof, cryptographic signatures aren't."
Il est assez amusant de voir que les solutions miracles existent toujours. L'approche cryptographique peut aider mais en rien cela ne va éviter le spam. De plus toutes les attaques de "spoofing" sont aussi valables pour la majorité des crypto-systèmes et des méthodes de signature cryptographique.
[^]Re: Deja inutile ?
Le sender-id se base sur authentification IP et les DNS, deux technologies maintes fois critiquees et sujet a de nombreuse attaques
Et vue la lenteur à laquelle DNSSEC s'implante, on rsique d'en avoir pour longtemps... Il me semble un peu optimiste de lancer des technos comme SPF, au vu de l'impact qu'elles peuvent avoir sur le fonctionnement de la messagerie (cf. forwarding et mailing lists par exemple), alors qu'elles reposent sur des technos qui ne sont pas sûres.
http://sid.rstack.org/
PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE
>> Hi! I'm your friendly neighbourhood signature virus.
>> Copy me to your signature file and help m
[^]Re: Deja inutile ?
>Le sender-id se base sur authentification IP et les DNS, deux technologies >maintes fois critiquees et sujet a de nombreuse attaques
...
> Une bonne analyse ici des divers problemes du SENDER ID:
> http://www.esecurityplanet.com/views/article.php/3398431(...)
N'exagérons rien : il n'y a rien de commun entre la facilité d'une usurpation d'identité via le protocole SMTP et la facilité d'usurpation d'une adresse IP ou même d'une réponse DNS.
Dans le premier cas, c'est trivial et déjà largement mis en oeuvre.
Dans le deuxième, c'est d'un autre ordre de grandeur ! Les gens qui, comme l'auteur de l'article cité disent que c'est trivial n'ont manifestement jamais essayé.(Certaines bogues qui rendaient ces attaques possibles ont été bouchées depuis longtemps, les noyaux Unix ont des numéros de séquence TCP difficiles à deviner, BIND n'accepte plus les réponses martiennes, etc.)
> si il faut vraiment une solution technique, je suis plutot pour des solutions du > cote du cryptage/signature.
Ces solutions sont spécifiées et implémentées depuis dix ou quinze ans. Pourquoi ne sont-elles toujours pas déployées si elles sont si miraculeuses ?
[^]Re: Deja inutile ?
c clair que les spammeurs ont toujours été les plus rapide a supporté toutes ses techno,
on ne peut strictement rien y faire, ttes ses améliorations ne sont que feu de paille,
ce n'est pas viable pour la lutte anti spam
[^]Re: Deja inutile ?
le probleme est politique, pas technologie. Quand la loi condanmera les Spammers...
Le probleme est technologique. Imaginons un instant que la loi soit bien faite, les gens arretes, etc.
Imaginons en plus que pas mal de pays fonctionnent avec cette loi. Tiens, revons un peu, que tous les pays sauf un ou deux fonctionnent avec cette loi. Resultat: les un ou deux pays restants vendraient une tonne de bande passante aux spammeurs.
Facile : il suffit de bloquer le trafic venant de ces un ou deux pays. Ca s'appelle du boycott. Bah oui, c'est politique. Mais ca reste technoloque puisque bloquer du trafic est une mesure technologique.
On recommence avec d'autres arguments. Imaginons que ce soit politique. On vote les bonnes lois. Euh, on les vote ou, les bonnes loi ? En France, en Europe. Revons un peu, on les vote meme aux etats-unis d'amerique (dans chaque etat, parce que c'est federal, c'est comme dans les etats unis d'europe ou chaque etat europeen a ses propres lois). Comment allez-vous appliquer la loi en Coree d'ou viendra tous ceux qui iront virtuellement s'y refugier pour envoyer des spams. Vous leur declarez la guerre ? Bush n'a pas ose :) Un embargo ? Comment faire cela alors que les responsables sont etrangers et que les locaux n'y sont pour rien ? C'est trop injuste (c) Calimero
C'est un probleme technologique, et la loi, comme partout, ne devrait servir qu'a encadrer les mesures technologiques, pas a les imposer ou les interdire.
Le bonjour chez vous,
Yves
[+] [^]Re: Deja inutile ?
Bonjours,
J'apprécie beaucoup vos arguments, mais je regrette votre anti-américanisme.
-1
[^]Re: Deja inutile ?
> tous ceux qui iront virtuellement s'y refugier
> pour envoyer des spams
On peut condamner des gens pour des activites qu'ils ont dans d'autre pays, et c'est le moyen de combattre la pedophilie par exemple. Et c'est une bonne chose.
Du coup faut se refugier physiquement.
> Ca s'appelle du boycott.
Les pressions diplomatiques, economiques sont la pour eviter d'en arriver la.
> C'est un probleme technologique, et la loi,
> comme partout, ne devrait servir qu'a
> encadrer les mesures technologiques
J'avoue ne pas saisir.
Je vois plutot la loi comme est LE cadre.
La technologie peut aider la loi, mais pas le contraire.
Cela dit, si on trouve une solution technologique, je ne suis pas contre. J'ai juste l'impression que toutes ces solutions vont couter plus aux utilisateurs qu'au spammeurs. Et ne finalement pas servir a grand chose... comme c'est deja le cas ici.
[^]Re: Deja inutile ?
On peut condamner des gens pour des activites qu'ils ont dans d'autre pays
C'est a mon avis le premier outil juridique de repression. Il doit etre mis en place. Mais je pense qu'il est inapplicable sauf en de rares exceptions. C'est pour ces exceptions qu'il doit etre mis en place.
Et c'est un outil de repression, qui ne marche pour la prevention qu'a condition que la peur de ce genre de repression se repande et fasse office de prevention comme c'est, je pense, le cas du tourisme sexuel.
Sauf qu'un touriste sexuel, les autorites vont se rendre compte rapidement qu'il va souvent dans des pays connus comme tel, et peut-etre lui poser quelques questions...
Comment se rendre compte qu'un spammeur de nationalite A se logue sur une machine se trouvant dans un etat B, pour spammer des gens dans un etat C ? Sachant qu'il n'existe aucune loi contre le spam dans l'etat C, empechant la victime de faire quoi que ce soit ? Et si l'admin de la machine de l'etat B verrouille sa machine, le spammeur va rapidement trouver une machine dans un etat D !
Comment identifier le spammeur qui, du fond de sa caverne, ne voyage jamais ?
> la loi, comme partout, ne devrait servir qu'a encadrer les mesures technologiques
Je vois plutot la loi comme est LE cadre.
Pour etre sur d'avoir ete bien compris (on n'est jamais trop clair), je precise qu'on est entierement d'accord sur ce point.
J'ai juste l'impression que toutes ces solutions vont couter plus aux utilisateurs qu'au spammeurs
Comme dans toute attaque (et une attaque de spams n'y echappe pas), cela coute de se defendre. Esperons que le prix a payer sera celui de la defense et qu'il n'y aura pas trop, comme c'est trop souvent le cas en informatique, des arnaques supplementaires.
Le bonjour chez vous,
Yves
[^]Re: Deja inutile ?
> Ca s'appelle du boycott.
Les pressions diplomatiques, economiques sont la pour eviter d'en arriver la.
Ne pas oublier que les pressions économiques & diplomatiques marchent dans les deux sens. Si un pays "A" est devenu un refuge pour les spammers (ou un leader dans les technologies du marketting direct pour les dépliants touristiques). Supposons que la France fasse partie d'une coalition contre le spam, le pays A peut toujours dire si vous continuez à militer contre le spam nous achetetons l'ICE de Siemens plutôt que le TGV d'Alsthom ou des F16 plutôt que des Mirages 2000, etc.
Pour s'en convaincre il suffit de voir la situation de la contrefaçon en Chine (ou plus généralement en Asie du sud-est).
[^]Re: Deja inutile ?
On peut condamner des gens pour des activites qu'ils ont dans d'autre pays, et c'est le moyen de combattre la pedophilie par exemple. Et c'est une bonne chose.
Du coup faut se refugier physiquement.
Je doute malgré tout que ce soit aussi facile dans le cas du spam. Prennons le cas d'un entrepreneur qui désire utiliser le spam pour promouvoir son activité (légale bien sûr). Cet entrepreneur étant dans un pays qui condamne le spam il va passer par un prestataire qui lui jurera la main sur le coeur que le publi-emailing sera 100% conforme avec la législation promesse qu'il ne tiendra bien sûr pas puisque son siège social est à Spamland.
S'il faut maintenant condamné quelqu'un ça va être difficile car l'expéditeur étant à Spamland il ne peut pas être poursuivit pour le spam, et le vendeur lui même ne pourra non plus être poursuivit car il aura le contrat avec le prestataire qui garantira sa bonne foi. Reste effectivement le mensonge sur le contrat mais ce contrat étant entre le vendeur & le prestataire, une victime ne pourra probablement pas s'en servir pour attaquer le prestataire.
[^]Re: Deja inutile ?
Attention à l'amalgame des 2 Corées: c'est la Corée du Sud qui est le 2e "exportateur" de spams dans le monde - loin derrière les Etats-Unis, pourtant seul pays à s'être doté de lois contre :-). Un article sur ce sujet en vogue:
http://www.linternaute.com/afp/depeche/hightech/040825155818.7sv1l0(...)
Mais c'est la Corée du Nord, terrible dictature qui détiendrait l'arme nucléaire, que G.W. Bush menace, mais n'ose pas attaquer. Les gens y meurent pourtant de faim par millions, mais y'a pas de pétrole là-bas...
Valery Beaud - GNU/Linux user
vbeaud@free.fr - http://vbeaud.free.fr/
TTFN - Total for now!
[^]Re: Deja inutile ?
En meme temps si on rapporte ça à leur superficie géographique ou même à leur population ... je crains que la corée soit au contraire loin devant.
[^]Re: Deja inutile ?
« Bah oui, c'est politique. Mais ca reste technoloque puisque bloquer du trafic est une mesure technologique. »
Une décision politique peut s'incarner de différentes manières : économie, technologie... Cela ne change pas la nature de la décision.
Bloquer un tel traffic, c'est une sanction économique motivée par des questions politiques...
[^]Re: Deja inutile ?
le probleme est politique, pas technologie. Quand la loi condanmera les Spammers...
Le crois-tu vraiment ?
Beaucoup de choses sont réprimées par la loi. Cela ne t'empêche pas :
- d'avoir une serrure sur ta porte
- d'avoir un code secret pour ta carte bancaire
...
La loi c'est bien, mais cela ne suffit pas pour prévenir les délits. Et, à moins d'avoir l'arme nucléaire (et encore), la dissuasion, ça ne marche pas.
[^]Re: Deja inutile ?
ca reste un problème politique (légal) : des gens utilisent, et de facon abusive, ta boite aux lettres. La liberté des uns s'arrête là où celle des autres commence.
Si une solution technique résoud le problème légal, bien.
Mais le problème reste légal à la base.
Le fait que les individus concernés puissent être dans des pays différents et leurs outils encore dans d'autres pays rends le problème *difficile* (voire limite impossible pour un état seul) mais n'en change pas sa nature.
Le SPAM est AMHA "l'application qui tue" de ce début de siècle. Et sans vouloir dramatiser, je vois pour conséquences éventuelles, "au choix"
- aucune conséquence, rien ne bouge, tout le monde s'abitue :/
- technologies d'identification, fin de l'anonyma sur internet :(
- création/renforcement d'une entité légale universelle \o/
[+] [^]Re: Deja inutile ?
Ben on bloque tous les mail contenant un champ Sender ID et hop le tour est joué :D
-2
[^]Re: Deja inutile ?
> http://www.eweek.com/article2/0,1759,1642848,00.asp(...)
L'article en question est entièrement bâti sur une "étude" de MXlogic, une boîte qui... vend des solutions anti-spam et qui a donc tout intérêt à débiner ses concurrents.
Les chiffres donnés ne correspondent pas à ce que l'on mesure, par exemple sur le banc de test SPF de l'AFNIC.