Les filtres anti spam laissent passer les spams en image

Les spams sous forme d’image ne sont pas bloqués par les filtres anti spam. Encore peu utilisée par les spammers, cette forme de spamming pourrait devenir redoutable.

Le texte est remplacé par une image

Un spam en image

Les filtres anti spam analysent le texte dans le corps de l’email.

Cet exemple contient suffisamment de mots clés douteux pour qualifier l’email comme pourriel. Mais le texte étant contenu dans une image jointe et non dans le corps, les filtres ne peuvent pas fonctionner.

Le critère « l’email ne contient pas de texte » est trop facile à contourner.

Exclure les emails contenant une image (en pièce jointe ou dans le corps de l’email) n’est pas applicable pour tout le monde.

L’entête de l’email ne permet pas de filtrer

Les critères sur l’entête ne sont pas suffisants pour identifier ce type de pourriel. Ils sont souvent associés à d’autres éléments du corps pour calculer une somme d’indices suffisante pour la qualification.

Return-Path: <appreciates[at]ksdfeqsd.com>                                   
Delivered-To: didierm@krinetomcorpv.com
Received: (qmail 30955 invoked from network); 30 Dec 2005 16:04:02 -0000
Received: from abnh173.neoplus.adsl.tpnet.pl (83.7.253.173)
by mx10.krinetomcorpv.com with SMTP; 30 Dec 2005 16:04:02 -0000
Received: from [192.168.163.181] (port=27652 helo=lwnpjehk)
by abnh173.neoplus.adsl.tpnet.pl with esmtp
id 1EsMW7-0007Io-C0
for didierm@krinetomcorpv.com; Fri, 30 Dec 2005 13:50:08 -0200                      
Date: Fri, 30 Dec 2005 17:02:38 +0100
From: <appreciates[at]ksdfeqsd.com>
X-Mailer: The Bat! (v3.5) Professional                                     
X-Priority: 3 (Normal)                                                     
Message-ID: <170854737.2005123013508[at]abnh173.neoplus.adsl.tpnet.pl>
To: <didierm@krinetomcorpv.com>
Subject: Top News
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="=_98c40c718373395b350d7d8971267ef9"
X-Spam: Not detected                                                       

Dans l’exemple les DNSBL sont inopérantes : c’est encore un PC zombi qui a envoyé le pourriel.

Les filtres anti spam ne marchent pas

Les filtres par expressions régulières (de type Spampal ou SpamAssassin), Bayesiens et manuels laissent passer ces spams. L’analyse du contenu de l’image est assez complexe à mettre en oeuvre pour ne pas être envisageable ici.

Par contre les systèmes anti spam par authentification de l’émetteur réussissent à bloquer ces spams.

Encore peu utilisée par les spammers, cette forme de spamming pourrait mettre hors course pas mal de logiciels anti spam.