Spam ou pas ? Enquête avec Thunderbird

Comment s’assurer simplement qu’un e-mail est légitime ? Je présente dans cet article quelques solutions avec Thunderbird.

En effet en publiant le Courrier du hacker, la newsletter hebdomadaire résumant l’actualité francophone du Logiciel Libre et Open Source, j’ai été confronté à plusieurs problèmes de légitimité des e-mails envoyés.

Avec l’e-mail il n’est pas toujours simple de détecter un problème, les paramètres possibles sont très nombreux et donc tout autant les problèmes qu’on peut créer sans s’en rendre compte.

 



Comme je l’ai évoqué dans un précédent article à propos du service en ligne d’e-mails GMail de Google, les différents prestataires d’e-mails ont parfois des comportements surprenants et utilisent des méthodes parfois très contestables pour faire le tri en e-mails légitimes et illégitimes.

Cela m’a poussé personnellement à m’intéresser aux différentes technologies derrière l’e-mail et aux moyens de contrôler moi-même la légitimité des e-mails. J’utilise ici uniquement Thunderbird et ses plugins, que je trouve très pratique à utiliser.

Je me suis intéressé aux différents moyens de me faire mon avis sur la légitimité des e-mails reçus et quels sont les programmes qui me permettent d’automatiser cette tâche.

Les technologies assurant la légitimité

Petit rappel avant de commencer, voici quelques informations sur les différentes technologies utilisées dans le cadre du combat contre les e-mails illégitimes.

DKIM

DomainKeys Identified Email permet au serveur émetteur d’e-mails de signer un e-mail avec une clé privée. La clé publique correspondante permettra ensuite au serveur récepteur et à quiconque de vérifier que l’émetteur mentionné dans l’e-mail est bien celui qui a envoyé l’e-mail mais aussi de vérifier que le contenu de l’e-mail n’a pas été altéré.

SPF

La norme Sender Policy Framework permet de vérifier le nom de de domaine de l’expéditeur d’un courrier électronique.

Listes noires d’émetteurs de spams

Des listes noires communautaires de DNS émetteurs de spams ont été répertoriées . Elles peuvent fournir un indice sur l’illégimité des e-mails envoyés par un émetteur compromis, par exemple DNSBL.

Listes noires de liens dangereux

De la même façon, les liens détectés auparavant dans des spams ou scams sont répertoriés dans des listes noires communautaires, par exemple SURBL.

Ces différents outils permettent dans le domaine de l’e-mail de faire le tri entre le bon grain et l’ivraie

Outil de détection d’e-mails illégitimes intégré à Thunderbird

Le client Thunderbird propose un outil d’identification des e-mails illégitimes (scam).

Via les réseaux sociaux, @crowd42 m’a remonté le fait qu’en utilisant cette option, ma newsletter lui était signalée comme un scam. Je me suis donc renseigné sur le fonctionnement interne de cette option. Voici ce que j’ai trouvé sur le site du support de Mozilla :

Why does Thunderbird tell me that a legitimate message is a scam?

Thunderbird’s detection algorithm isn’t perfect and, unlike its spam filter, does not learn or adapt based on your email flags.

Le manque d’apprentissage de cette fonctionnalité prouve d’emblée de jeu sa simplicité, surtout à notre époque et vu la sophistication des techniques de spams et scams aujourd’hui.

J’ai également trouvé ceci :

Thunderbird has a rather simplistic scam detection system. If it sees links to “other” sites in an email message it reports it as a possible scam. This affects many legitimate mails that quite reasonably offer links to other sites.

Et cela correspond bien sûr à mon cas. J’en conclus donc que l’outil intégré à Thunderbird est très voire trop simple et devrait être utilisé qu’en connaissance de cause. Je trouve d’ailleurs que Thunderbird devrait améliorer son message d’information, en précisant qu’il s’agit d’une option très simple et qui peut indiquer assez fréquemment des faux positifs.

Plugins de Thunderbird

DKIM Verifier

Plusieurs plugins sont disponibles pour Thunderbird afin d’aider à détecter les e-mails illégitimes. Mon premier essai a été avec le plugin DKIM Verifier. Cet outil est très simple : il présente sous l’adresse de l’émetteur de l’e-mail le statut DKIM.

L’absence de signature DKIM dans un e-mail est aujourd’hui un signe important d’illégitimité d’un e-mail. Avoir des informations au sujet de la signature DKIM permet donc d’avoir une première idée de la qualité de l’e-mail. Mais un autre plugin Thunderbird va nous offrir une vue plus globale sur cette qualité.

ThunderSec

Thundersec est un outil plus poussé proposant de vérifier plusieurs paramètres de l’e-mail : le champ SPF, la signature DKIM, la présence de l’émetteur dans la liste NSBL, une liste d’émetteur de spam ainsi que la présence de liens appartenant à la liste SURBL, consistant en une liste de liens que l’on trouve habituellement dans les e-mails illégitimes.

Ici ThunderSec nous informe que l’émetteur de cet e-mail apparaît dans plusieurs listes noires d’e-mails ayant transmis du spam. Un clic sur le bouton Détails nous informe des IPs des serveurs en question.

Autre exemple avec la newsletter du Courrier du hacker qui est transmise par Mailchimp. ThunderSec nous informe d’un problème.

On voit que la présence d’une url eepurl.com, un service de raccourcissement d’url appartenant à MailChimp, fait réagir ThunderSec.

Après investigation, il s’agit en effet d’un outil de tracking mais qui ne remplit un rôle que lors de l’utilisation de la campagne Mailchimp via les flux RSS ou les réseaux sociaux si on souhaite cliquer sur le titre. Un tracking dont j’ignorais la présence et que je vais supprimer à l’avenir. Merci ThunderSec !

Conclusion

J’ai présenté ici quelques outils qui m’ont permis rapidement (ou non) en étudiant mes e-mails de détecter des problèmes dans les différents e-mails que je reçois et envoie. Il en existe sûrement bien d’autres, mais Thunderbird et ses plugins présentent l’avantage de pouvoir étudier vos e-mails directement depuis votre client de courriels, un avantage non négligeable. Et bien sûr, c’est du logiciel libre.

N’hésitez pas à nous dire quels outils vous utilisez dans les commentaires. Tant que c’est du logiciel libre, cela intéressera tout le monde 🙂

One thought on “Spam ou pas ? Enquête avec Thunderbird

  1. ThunderSec ne semble pas compatible avec la dernière version de Thunderbird (52.6.0), bien dommage… DKIM Verifier lui semble l’être.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *