Savoir analyser les en-têtes d’un mail de type SPAM
2nd cas : les entêtes d’un message identifié comme SPAM
Dans le cas présent, vous trouverez d’autres éléments dans les entêtes du mail.
Prenons l’exemple d’un spam comportant en objet “AAA Top Quality, Designer Rep1icaWatches, 100% exact as original. from $180, Buy 2 get 15% OFF duj c9r”
Return-Path: <mireille_mamie_gx@glenmartin.com>
Delivered-To: o….@….net
X-Virus-Scanned: nomduserveur.net
X-Spam-Flag: YES
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
Received: from zrvusrv (coltel-gw-vpdn-p868.coltel.ru [83.167.75.109])
by toto.net (Postfix) with ESMTP id 89E7153C343;
Wed, 13 May 2009 16:48:36 +0200 (CEST)
From: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
Subject: AAA Top Quality, Designer Rep1icaWatches, 100% exact as original. from $180, Buy 2 get 15% OFF duj c9r
X-Sender: <mireille_mamie_gx@glenmartin.com>
To: <beeckman.hugo@perso.be>
Reply-To: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
In-Reply-To: <adc501c9cf5c$65cc3409$49c161ed@byuxmo1>
Sender: <mireille_mamie_gx@glenmartin.com>
Date: Wed, 13 May 2009 06:55:17 -0700
Message-ID: <1242222917.4201@glenmartin.com>
Content-Type: text/plain;
charset=”iso-8859-2″
Content-Transfer-Encoding: 8bit
X-SOCIETE-Spam: YES (21.361/5)
Delivered-To: o….@….net
X-Virus-Scanned: nomduserveur.net
X-Spam-Flag: YES
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
Received: from zrvusrv (coltel-gw-vpdn-p868.coltel.ru [83.167.75.109])
by toto.net (Postfix) with ESMTP id 89E7153C343;
Wed, 13 May 2009 16:48:36 +0200 (CEST)
From: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
Subject: AAA Top Quality, Designer Rep1icaWatches, 100% exact as original. from $180, Buy 2 get 15% OFF duj c9r
X-Sender: <mireille_mamie_gx@glenmartin.com>
To: <beeckman.hugo@perso.be>
Reply-To: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
In-Reply-To: <adc501c9cf5c$65cc3409$49c161ed@byuxmo1>
Sender: <mireille_mamie_gx@glenmartin.com>
Date: Wed, 13 May 2009 06:55:17 -0700
Message-ID: <1242222917.4201@glenmartin.com>
Content-Type: text/plain;
charset=”iso-8859-2″
Content-Transfer-Encoding: 8bit
X-SOCIETE-Spam: YES (21.361/5)
Chaque mail qui traverse un relais SMTP est contrôlé afin d’être noté par l’antispam. Plusieurs tests sont effectués sur le contenu entier du mail (les entêtes).
Les tests peuvent être les suivants : mots clés référencés dans une base de données mondiale, présence de MAJUSCULES dans le sujet, format du mail…
Chacun de ces tests possède un poids donné. Une note est ensuite affectée au mail. Elle est la somme du poids de tous les tests qui se sont révélés positifs. Le traitement dépend ensuite de la note globale obtenue par le mail.
| Note | Traitement |
| Inférieure à 2 | Le mail est traité normalement sans modification |
| Entre 2 (compris) et 5 | Ajout d’entêtes au mail indiquant son niveau de spam. La partie visible (sujet et corps) du mail n’est pas modifiée. |
| Entre 5 (compris) et 10 | Ajout d’entêtes au mail, et modification du sujet (il est précédé par “***SPAM*** “). |
| Supérieure à 10 | Le mail est ignoré et n’est pas traité. |
Si la note dépasse celle prévue (en général 5 ou 6) le mail est déclaré comme SPAM. Sinon, il ne l’est pas.
Utilisation des entêtes des mails contrôlés positifs.
Quand la note affectée au mail est comprise entre 2 et 10, les entêtes suivantes sont ajoutées au message :
- X-Spam-Status
- X-Spam-Level
- X-Spam-Score
-
X-Spam-Flag
X-Virus-Scanned: le message est passé dans les griffes de l’anti-virus.
X-Spam-Flag: YES:
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
| Entête | Signification |
| X-Spam-Status | Permet de résumer l’état du mail. On y retrouve sa note, les tests qui se sont révélés positifs ainsi que leur poids. |
| X-Spam-Level | Contient n caractère(s) ‘*’, n étant la partie entière de la note obtenue par le mail. |
| X-Spam-Score | contient la note obtenue par le mail |
| X-Spam-Flag | Indication binaire (YES ou NO) concernant l’état SPAM du mail. |
Outils intéressants
Vous pouvez retrouver l’origine d’une adresse IP gràce à certains sites internet. Attention cependant, certains utilisateurs arrivent à tricher et à falsifier leur IP.
Liens
La liste des tests est disponible à l’adresse ci-dessous, si votre antispam est SpamAssassin. http://spamassassin.apache.org/tests_3_2_x.html
bon article, simple, et très pratique, merci!