Journal l'arme ultime contre le spam

Posté par  (site web personnel, Mastodon) .
Étiquettes : aucune
0
30
juin
2005
Il me vient une petite idée pour lutter efficacement contre le spam (quoi encore!).

L'idée serait d'utiliser un système de liste blanche (whitelist), couplé à un formulaire de validation en ligne.

je m'explique :
Sur mon compte je met en place un système de liste blanche, donc seules les personnes me connaissant (et que j'aurais validée) peuvent m'envoyer des mails, c'est très contraignant.

supposons que vous vouliez m'envoyer un mail mais que vous ne me connaissiez pas. En théorie impossible !

Mais avec le système auquel je pense il suffirait d'allé sur une page internet créer par le FAI et remplir un formulaire pour pouvoir être enregistré AUTOMATIQUEMENT dans la liste blanche !

Et la j'en entend dire qu'il suffirait de créer un robot pour s'enregistrer dans toutes les listes blanches mais NON car cela fait longtemps que l'on sait contrer les robots par des images à reconnaître.

Bon OK c'est relativement contraignant mais c'est d'une efficacité redoutable, et puis il suffirait d'envoyer automatiquement un mail aux non listés pour leur expliquer la procédure !


Bon voila, c'était une idée comme ça, peut être que ça existe déjà, peut être que c'est infaisable, peut être que c'est très con,...
désolé de vous avoir dérangé si ça existe déjà.

  • # re

    Posté par  . Évalué à 10.

    ben en fait, si on en arrive a devoir faire des modifications aussi lourdes pour transporter des mails, c'est peut etre qu'il est temps de laisser tomber smtp au profit d'un protocole un peu plus evolue, tout simplement?

    • [^] # Re: re

      Posté par  . Évalué à 7.

      Je plussoie. Autant arrêter d'avoir un mail, un téléphone suffit amplement.

      Ce système existe déjà, je m'en prends régulièrement dans la figure. Et me paraît ridicule, notamment lorsque je _réponds_ au gars (il m'écrit, mais n'est pas fichu de me white-lister d'office) ; sans parler des systèmes automatisés d'envoi de mail, qui ne sont pas forcément _que_ du spam ; il y a aussi les systèmes de récupération de mot de passe, d'activation de compte en ligne, de rappel d'échéance, etc.

      Et le nombre de personnes qui ont ce genre de filtre, qui ne sont pas fichues de white-lister d'office les services auxquels elles s'abonnent (alors même qu'elles sont prévenues), c'est... instructif.

      Evidemment, avoir une boite pour vérifier les bounces, et valider manuellement, très bien, tant que ça concerne 2, 3 utilisateurs. Mais c'est aussi favoriser ce système, et en avoir, 10, 20, 50 ! "et là, moi, je dis non" (tm).

      A moins. A moins que le bonhomme sache white-lister quand il faut. C'est tout le problème.

      Note que je ne dis pas ça par attitude mercantile intéressée (loin de moi, franchement) ; mais parce qu'après, le même gars vient râler comme il ne comprends pas pourquoi son compte n'est pas activé, pourquoi il n'arrive pas à réinitialiser son mot de passe, etc. Nan merci.

      (désolé pour les affreux anglicismes)

      • [^] # Re: re

        Posté par  . Évalué à 1.

        Juste pour donner un exemple de solution utilisant déjà ce qui est décrit dans le journal: MailInBlack ( http://mailinblack.com(...) ). Visiblement c'est un service totalement externalisé, et je n'ai pas entendu de solution opensource utilisant ce système (si quelqu'un a des infos sur le sujet, je suis preneur...). L'efficacité à 100% me parait un peu présomptueuse, sans compter les problèmes que cela peut poser si le message renvoyé demandant l'inscription est considéré en retour comme du spam...
        Ca laisse quand même une impression de bidouillage pour tenter de pallier aux défauts de SMTP...

        • [^] # Re: re

          Posté par  (site web personnel) . Évalué à 0.

          La qualité de ce service laisse a désirer cependant !

          Des mails perdus, des coupures a repetition, ...

    • [^] # Re: re

      Posté par  (site web personnel) . Évalué à 3.

      >> peut etre qu'il est temps de laisser tomber smtp au profit d'un protocole un peu plus evolue

      Y'a des projets de nouveaux protocoles mail qui vont au-delà du smtp et qui prévoient nativement la lutte anti spam ?
      c'est quoi leur méthode ?

  • # "on sait contrer les robots par des images à reconnaître"

    Posté par  (site web personnel) . Évalué à 10.

    Les logiciels de reconnaissance progresse rapidement et sont parfois meilleurs que les humains : http://sam.zoy.org/pwntcha/(...)

    Ok il reste des technique fonctionnant comme ce site le montre mais....

    Mais les spammeurs utilisent une technique très ingénieuse pour contrer ces images. Le robot simule une connexion et récupère l'image à reconnaître. Il l'envoie sur un site de cul gratos mais utilisant la même technique d'image à reconnaître pour que l'utilisateur puisse entrer (en stipulant comme excuse le fait qu'un enfant n'arrivera pas à passer cette épreuve). Le pervers saisie ce qu'il voit et ceci est renvoyé vers le robot qui peut le soumettre au site de "liste blanche". On pourrait mettre un timeout pour qu'entre l'affichage de l'image et la saisie du ce qu'on y voit mais il faut savoir que les spammeurs ont des clusters de site de cul donc ils seront toujours plus rapides :)

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Il me semble que le principe existe

    Posté par  . Évalué à 3.

    C'est l'objet du projet TDMA (Tagged Message Delivery Agent)
    http://tmda.net/(...)

    Par contre, je ne sais pas si au niveau de l'étape challenge/response, il est déjà défini que cela passait par une interface Web.

    Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

  • # mouais...

    Posté par  . Évalué à 1.

    Et les mailings lists ?

  • # Encore une idée géniale

    Posté par  (site web personnel) . Évalué à 5.

    Les captchas c’est de la merde et si les spammeurs n’avaient pas les moyens de les cracker ça se saurait. Résultat, ce genre de « solution » est ultra-pénible pour les gens qui n’ont rien demandé à personne. C’est quand même affligeant que les gens qui reçoivent du spam se sentent obligés d’emmerder ceux qui n’en envoient pas !

  • # il existe...

    Posté par  . Évalué à 3.

    Il existe une méthode anti spam, c'est celui de demander un mail de confirmation.

    En gros, tu envois le premier mail, le SMTP te renvoi un mail pour te demander de répondre avec un reply assez spécifique et déjà forgé (genre un numéro, ou un truc de ce genre)

    A la reception du deuxième mail, ce dernier est droppé par le SMTP demandeur puis il laisse passer le premier mail vers la Mailbox du destinaire.

    Certaines MailingList possède ce mode là mais je sais qu'il existe une méthode pour mettre en place sur des SMTP classiques genre postfix, sendmail, etc...
    Par contre, je me souviens plus du nom de la technique en question :-\

    • [^] # Re: il existe...

      Posté par  . Évalué à 4.

      Juste au dessus: tmda :-)

      Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

    • [^] # Re: il existe...

      Posté par  (site web personnel) . Évalué à 3.

      Et voilà, comme ça je me prends plein de messages de demande de confirmation à la con lorsque des virus à la con usurpent mon adresse. À noter que puisque j’ai des filtres convenables, je reçois davantage de déchets de la part de TMDA que de la part de vrais virus ! Encore un grand merci aux gens qui me mettent à contribution pour trier leur spam, je n’ai vraiment que ça à foutre. De toute façon maintenant quand je reçois une demande de confirmation TMDA qui a été vraisemblablement déclenchée par un virus, je l’approuve. Çlflb.

  • # ML

    Posté par  (site web personnel) . Évalué à 1.

    Je veux m abonner a la ML truc@bidule.com.

    Je vais sur www.bidule.com, je m enregistre, le robot m envoi mon mot de passe par email, cet email est refuse par ton AS. Zut.

    Zut ... bon, je rentente ... j ecris au mainteneur de la ML, je lui demande de visiter ma page blanche ... il ne repond jamais ... re zut.

    J ouvre ma page web blanche pour ajouter l email du robot dans ma liste blanche, je visite toutes les pages web de la ML, et la ML etant protegee, le site ne mentionne pas l email du robot par protection AS du site, et je ne peux pas non plus acceder aux archives car je ne suis pas encore abonne. Super zut.

    ****************************************************************

    Je suis abonne a une autre ML un peu plus laxiste plop@bouf.net. Un mec de cette ML veut m ecrire un email urgent, il m ecrit, il n est pas dans la liste blanche, son email est jete. je ne receois jamais sa requette.

    ********************************************************

    sur IBM.com, je vois l unique offre d emploi de l annee. Je me jette dessus, je rempli le formulaire en ligne parce que l envoi du CV se fait par page web sur ibm.com. Ne conaissant pas l email du DRH d IBM, je ne peux pas l ajouter a ma liste blanche.

    Donc la c est trop grave. Je patch ton AS, et ej met en place une reponse automatique:

    "votre email a ete refuse car votre adresse n est pas dans mon carnet magique. Veuillez visiter chez.moi.com et enregistrer votre adresse."

    une semaine apres avoir rempli le formulaire en ligne, je recois un email qui me dit qu IBM n a pas de travail a proposer a ceux qui mettent en place des solutions ralentissant l usage de l informatique ... et necessitant de passer plus de 10mn pour juste envoyer un email.

    ********************************************************

    Au chomage depuis 1 an, je me resoud a postuler chez MS. Pareil ... formulaire en ligne ... je poste mon CV, un bot dont je ne connais l adresse m ecrit que je suis pris, l AS jette l email, y repond qu il faut aller sur chez.moi.com, mais l adresse de retour du bot etant non monitoree, la reponse automatique de ton AS passe dans le /dev/null du server de MS.

    Quelques semaines plus tard, je creve de faim.

  • # Moi je ne reçoit pas de spam...

    Posté par  . Évalué à 2.

    Ba oui, je ne comprend vraiment pas...

    Vraiment, j'ai deux adresse mail, une du type:

    mon_adresse@fournisseur.com
    mon_adresse2@fournisseur.com

    La premiere que je donne a mes relation "humaine" et la
    deuxieme, que je pensais qui serais pleine de spam en
    deux semaine car je m'en sert pour m'inscrire au forum,
    mailing list et autre, ne reçoit jamais de spam non plus...

    Vraiment, je ne comprend pas quand je vois partout
    tant de bruit autour du spam...!!!


    Que faut il faire pour etre spammer (ou ne pas faire pour
    ne pas l'être...!), car a part ne pas mettre mes addresses
    en clair partout sur les forums, je ne fais rien de special...


    ps: ça fait 5 ans que j'ai ces addresse...!

    • [^] # Re: Moi je ne reçoit pas de spam...

      Posté par  . Évalué à 2.

      Ben c'est facile, il faut choisir les bonnes listes (celles qui sont publiées sans masquage ni obfuscation des adresses) ou bien avoir une adresse publiée sur un site officiel (par exemple un labo ou une université).
      Comment ça « ça sent le vécu » ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.