Un pot de miel est, par définition^(1),(2), un leurre ou un piège dont le but est de détecter et d’identifier l’utilisation non autorisée afin de prévenir les atteintes.

Dans Email Security, un Honeypot est un serveur SMTP configuré pour traiter un seul domaine (ou plusieurs domaines) afin de collecter des courriels toute la journée. Examinons deux méthodes utilisées par les honeypots de courriel pour attirer et détecter les spammeurs : l’open relay⁽³⁾ et le spamtrap^(4).

Relais ouverts

Les relais ouverts ont été exploités par les spammeurs depuis les débuts du courriel. En règle générale, un serveur SMTP moderne correctement configuré n’accepte que les courriels destinés ou provenant d’utilisateurs du domaine qu’il dessert. D’autre part, un relais ouvert est un serveur de courriel qui accepte les messages électroniques de et vers toute personne sur Internet. Bien qu’il s’agisse d’un comportement normal au début de l’utilisation d’Internet (SMTP étant un mécanisme de stockage et de transfert à architecture ouverte), l’augmentation du trafic de courriel et l’exploitation massive par les spammeurs et les vers au milieu des années 1990 ont forcé les FSI à bloquer les transmissions sur le port 25 et à commencer plus tard à utiliser des DNSBL⁽⁵⁾ (listes de blocage basées sur DNS) pour interdire les courriels provenant de serveurs de relais ouverts.

De nos jours, les relais ouverts sont rares. Ou, disons, plus rare. Il s’agit d’un outil inestimable pour les polluposteurs qui peuvent transmettre leurs campagnes de pourriel sans révéler leur propre adresse IP au MTA de destination⁽⁶⁾ (Mail Transfer Agent) et éviter d’avoir cette adresse IP sur liste noire (ils peuvent également utiliser des proxys ouverts⁽⁷⁾ pour atteindre cet objectif, mais c’est une autre discussion). Il suffit de dire qu’un relais ouvert est une véritable mine d’or pour les spammeurs.

Donc, si les relais ouverts attirent les spammeurs comme les abeilles dans un pot de miel (d’où l’utilisation du terme), c’est un leurre parfait. Ce « faux » serveur de relais ouvert est visible publiquement, ne dessert pas un domaine réel et ne craint pas d’être mis sur liste noire par les RBL. Les spammeurs s’y connectent massivement, révélant à leur tour les URL et les adresses électroniques de destination qu’ils utilisent pour valider les relais ouverts (ou boîtes de dépôt), ainsi que leur(s) adresse(s) IP source. Ces informations sont ensuite utilisées par les moteurs anti-pourriel et les RBL pour permettre aux serveurs SMTP légitimes de filtrer ces auteurs incriminés (et donc les pourriels qu’ils produisent).

Pièges à pourriel

La récolte de ^courriels(8) est une autre technique utilisée par les polluposteurs depuis le début. À l’aide de moteurs d’exploration⁽⁹⁾ qui se comportent comme des moteurs de recherche, ils naviguent et inspectent des pages Web sur Internet à la recherche d’adresses électroniques. De nombreux sites Web, y compris des sites d’entreprise, des blogues, des forums de discussion et des annonces personnelles, énumèrent une ou plusieurs adresses électroniques à contacter. Toutes ces adresses sont copiées dans des bases de données et seront soit vendues à des spammeurs (ou à des services de marketing sans scrupules, ce qui est un peu la même chose), soit utilisées comme cibles dans des campagnes de pourriel. Bien que de nombreuses techniques aient été développées pour prévenir la collecte de courriels, comme l’empoisonnement de liste⁽¹⁰⁾ ou le munging d’adresse^(11), les collecteurs de courriels ont amélioré leurs moteurs et continuent d’avoir du succès.

Les pots de miel de Email Security en profitent également. Par exemple, nous prenons un nouveau domaine fictif que nous avons acheté uniquement à cette fin (superhoneytrap.net) et configurons un serveur SMTP public pour ce domaine. Nous créons ensuite quelques adresses courriel (comme gluttonous@superhoneytrap.net) et une adresse fourre-tout^(12). Nous publions ensuite ces adresses sur autant de sites Web que possible et commençons à écouter. Les polluposteurs récolteront ces adresses et enverront des pourriels destinés à ces coordonnées exactes. Parce qu’il n’y a pas d’adresse humaine réelle sur ce domaine et ce serveur SMTP, il ne peut y avoir de messages légitimes et donc chaque courriel qu’il reçoit est du pur spam. Les entreprises de lutte contre les pourriels et de sécurité des courriels peuvent alors examiner ce flot de pourriels et cataloguer les auteurs, les URL, les modèles, les pourriels d’images, les logiciels malveillants, les tentatives d’hameçonnage et d’autres activités frauduleuses en temps réel, et envoyer des mises à jour automatiques aux moteurs anti-pourriel en moins de temps qu’il n’en faut pour écrire cette phrase.

Références et outils

Toute personne intéressée à en savoir plus sur SMTP (Simple Mail Transfer Protocol), MUA (Mail User Agent), MTA (Mail Transfer Agent), Open Relays, Spamtraps, Honeypots et leur histoire associée est invitée à lire les articles de Wikipédia énumérés dans ce texte.

Les administrateurs de TI, les administrateurs de réseau et les administrateurs de système sont également encouragés à vérifier périodiquement la sécurité de leur serveur SMTP en effectuant un test de relais ouvert^(13). Dans le cas où un serveur SMTP est identifié comme un relais ouvert, il est important de vérifier s’il a été marqué comme tel dans diverses RBL^(14),(15), afin de le revalider en tant que serveur de messagerie propre avec une sécurité adéquate.

Discuter des pots de miel

Cet article présentait les pots de miel leurres de la sécurité des courriels et deux techniques éprouvées utilisées pour détecter et identifier les pourriels et les spammeurs. Avez-vous trouvé cette information utile? Connaissez-vous des méthodes plus efficaces? Prévoyez-vous des problèmes avec l’utilisation de ces techniques?

(1) Wikipédia : Honeypot (informatique) http://en.wikipedia.org/wiki/Honeypot_%28computing%29
(2) SANSInstitute : Honey Pot Systems à http://www.sans.org/security-resources/idfaq/honeypot3.php
(3) Wikipédia : Relais de courrier ouvert à http://en.wikipedia.org/wiki/Open_mail_relay
(4) Wikipédia : Spamtrap à http://en.wikipedia.org/wiki/Spamtrap
(5) Wikipédia, DNSBL à http://en.wikipedia.org/wiki/DNSBL
(6) Wikipédia, Mail agent de transfert à http://en.wikipedia.org/wiki/Mail_transfer_agent
(7) Wikipédia, Procuration ouverte à http://en.wikipedia.org/wiki/Open_proxy
(8) Wikipédia, Collecte d’adresses électroniques à http://en.wikipedia.org/wiki/Email_harvesting
(9) Wikipédia, Robot d’exploration Web à http://en.wikipedia.org/wiki/Web_crawler
(10) Wikipédia, Empoisonnement de liste à http://en.wikipedia.org/wiki/List_poisoning
(11) Wikipédia, Adresse munging à http://en.wikipedia.org/wiki/Address_munging
(12) Wikipédia, fourre-tout à http://en.wikipedia.org/wiki/Catch-all
(13) Centre d’échange d’informations sur l’abus de réseau à http://www.abuse.net/relay.html
(14) La vérification multi-RBL du Projet anti-abus à l’adresse suivante : http://www.anti-abuse.org/multi-rbl-check/
(15) Vérification multi-RBL à http://checker.msrbl.com