Spam et Microsoft Caller-ID

Caller-ID ou Sender-ID (CallerID - SenderID) - Caller-ID for email de Microsoft

Contient des extraits de Norman Girard publié le 06.03.2004 sur isecurelabs
Lire aussi http://www.zdnet.fr/actualites/internet/0,39020774,39143004,00.htm

Caller-ID (ou Sender-ID)

Présenté en 2004, l'anti-spam Sender ID (Caller-ID) a été rejeté tant par les organismes d'homologation du réseau que par la communauté des serveurs Apache à qui Microsoft imposait une modification. De plus, sa solution laissait passer 16% des spams simplement parce que les éditeurs de spams s'identifiaient auprès de Sender ID et étaient ensuite vus par le système comme des expéditeurs authentifiés. Au-delà des problèmes technologiques, les gros éditeurs ont tendance à faire des annonces importantes dans le seul but de geler le développement des petites entreprises. Tout le monde s'accorde à dire qu'il n'y aura pas de solution globale avant 2008.

La sécurité n'avait jamais été une préoccupation pour Microsoft, bien au contraire. Le développement de sa société passait par la boîte à aspirer les initiatives qu'est Windows, toutes les initiatives, saines et malsaines. Il fallait faire un système attrape-tout et c'est réussi. Nous sommes dépendants, accros à Windows parce qu'on peut y faire tourner des millions de gadgets que nous recherchons fébrilement pour personnaliser notre machine et faire du « fine tuning » en toute insécurité tandis que les maffias et les gangs sont satisfaits et nous inondent de millions de gadgets attrape-nigauds gratuits et inutiles bourrés d'explosifs appelés spywares, adwares, backdoor, hijack, etc.

Voilà que courant 2003 Microsoft se réveille. Il est obligé de provisionner des milliards de dollars de peur de perdre de très grands procès. Il sent monter des concurrents, surtout dans le domaine incontrôlable de l'open source, qui joue la transparence, la sécurité et le respect des standards, les vrais, pas ceux de Redmond. Il est temps, depuis le Windows SR-2 de l'été 2004, de parler sécurité. Et Microsoft y va tous azimuts, y compris dans l'anti-spam.

Caller-ID (Sender-ID) est la solution avancée par Microsoft dans le cadre de son initiative, pompeusement appelée "Croisade contre le Spam", et formellement appelée « Initiative Coordonnée de Réduction du Spam » (CSRI - Coordinated Spam Reduction Initiative) et qui intègre la mise en place d'un système d'authentification de l'origine du courrier électronique (" Caller ID for email "), qui vient s'ajouter à la technologie de filtrage des courriers indésirables de Microsoft, SmartScreen.

Contrairement à SmartScreen qui est 100% maison, Caller-ID (Sender-ID) est le système signé Microsoft, mais développé en partenariat avec Sendmail, Amazon.com ou encore Brightmail. Bill Gates a profité de la "RSA Conference 2004" pour annoncer sa solution destinée à authentifier l'émetteur du message. La particularité est que Caller-ID (Sender-ID) suppose que l'ensemble des serveurs de messagerie "valides" du domaine doivent être définis dans un champ TXT au format XML sur les DNS autoritaires sur la zone. Ainsi, le MTA (ou serveur de messagerie) récepteur doit extraire l'adresse IP du serveur émetteur, présent dans l'en-tête de l'email, et inexploitée jusqu'alors, puis valider au travers de requêtes DNS l'autorité du serveur e-mail sur la zone au travers des champs TXT.

La solution technique consiste donc à créer une liste d'adresses IP des sociétés autorisées à envoyer des courriers en masse et à donner aux filtres des clients de messageries et des serveurs de messageries accès à cette liste. Ils pourront ainsi bannir une grande partie des spammeurs « sauvages ». L'inscription à ces listes sera payante, bien sûr, aussi bien pour les émetteurs de courriers en masse désireux de passer le barrage que du côté des outils serveur. On peut dire qu'il s'agit de créer une « White List » par opposition à toutes les solutions anti-spam actuelles qui se base sur l'inverse, des "Black List" d'adresses IP souvent sujettes à « faux positifs », car basées sur la délation par les internautes, donc sensibles à la dénonciation calomnieuse, etc.

Le système a été lancé en phase de test sur Hotmail, le portail webmail de l'éditeur. L'objectif de ce prototype est double : tout d'abord valider le fonctionnement de la solution Caller-ID (Sender-ID) sur l'une des plus importantes plates-formes de messagerie ; ensuite, combattre dès à présent le plus gros fléau que rencontre Hotmail à ce jour. Selon Hotmail, 83% des e-mails reçus chaque jour sur les boîtes utilisateur seraient non voulus. Essayez d'imaginer un instant les ressources consommées pour l'acheminement, le traitement et le stockage de cette quantité d'information...