Qu’est-ce que l’inspection profonde des linteaux?
Certains outils anti-pourriel examinent la réputation des adresses IP dans chacun des en-têtes reçus d’un courriel. Les mécanismes de réputation font généralement appel à de multiples sources, p. ex., les DNSBL et les services de réputation axés sur Honeypot.
Voici un exemple d’en-tête :
Livré à : address@gmail.com
Reçu : au plus tard 1.1.1.1 avec l’ID SMTP e5cs33412ibd;
Fri, 16 Apr 2010 08:38:08 -0700 (PDT)
Reçu : par 1.2.2.2 avec l’ID SMTP e9mr1978437rvi.51.1271432287560;
Fri, 16 Apr 2010 08:38:07 -0700 (PDT)
Chemin de retour : me@mydomain.com
Reçu : de SERVER.somedomain.com (mail.somedomain.com [ 3.3.3.3])
par mx.google.com avec l’ID ESMTP 11si4715430qyk.0.2010.04.16.08.38.06;
Fri, 16 Apr 2010 08:38:07 -0700 (PDT)
Reçu : de myserver.mydomain.com (non vérifié [ 4.4.4.4]) par SERVER.somedomain.com
(MTA XYZ) avec identifiant ESMTP <B0001262286@SERVER.somedomain.com> pour <address@gmail.com>;
Fri, 16 Apr 2010 11:38:08 -0400
En gras : adresses IP qui seront vérifiées.
Problème
Étant donné que certains des systèmes de réputation IP utilisés sont des DNSBL, certains administrateurs peuvent involontairement utiliser des listes d’adresses IP qui couvrent des plages d’adresses IP dynamiques utilisées par les FSI. Ces adresses IP ne sont pas censées être utilisées pour envoyer des courriels directement (comme celles utilisées par un DSL ou un modem câble), mais qui devraient pouvoir envoyer des courriels indirectement (par exemple par l’intermédiaire de leur FAI). Exemples : pbl.spamhaus.org et dul.dnsbl.sorbs.net.
Que se passe-t-il?
Les messages envoyés par les utilisateurs finaux des FAI seront rejetés ou mis en quarantaine parce que l’administrateur utilise (incorrectement) des DNSBL qui couvrent des plages IP dynamiques.
En fait, les gens qui tiennent à jour la liste Spamhaus1 PBL mettent explicitement en garde contre l’utilisation de telles mesures :
Mise en garde : Étant donné que le PBL répertorie l’espace IP normal du client, n’utilisez pas PBL sur les smarthosts ou les serveurs sortants SMTP AUTH pour vos propres clients (ou vous risquez de bloquer vos propres clients si leurs IP dynamiques sont dans le PBL). N’utilisez pas PBL dans les filtres qui effectuent une « analyse approfondie » des en-têtes reçus, ou pour d’autres raisons que de vérifier les adresses IP qui sont transférées à vos serveurs de messagerie.
Ce qu’il faut faire
Assurez-vous de rechercher soigneusement les DNSBL que vous prévoyez utiliser avec une inspection approfondie des en-têtes avant de les mettre en service. Sinon, vous risquez de vous tirer une balle dans le pied!
Référence :
pbl.spamhaus.org