[Définition] DHA – Directory Harvest Attack

 “Directory Harvest Attack” ou “DHA” est une technique utilisée par les spammeurs dans le but de trouver – et/ou de valider – les adresses valides d’un domaine en utilisant des techniques de “brute force”.

L’attaque est réalisée en employant une liste d’adresses e-mail (le “dictionnaire” de “dictionary attack”), contenant les adresses à utiliser.

Il y à deux techniques principales pour générer les adresses mails et créer les dictionnaires utilisés dans le cadre de attaque DHA :

Dans la première, le spammeur va créer une liste d’adresses en générant une combinaison aléatoire de chiffres et de lettres qu’il va associer ensuite au nom de domaine à attaquer. C’est l’attaque de type “brute force” la plus basique, elle est peu efficace car le nombre de combinaisons possibles va croitre drastiquement en fonction du nombre de caractères composant l’adresse (par exemple 3 milliards de combinaisons possibles pour une adresse de 8 caractères) et il va donc falloir tester un nombre important d’adresses avant d’en trouver une qui sera valide.

La seconde, plus “intelligente”, va consister à créer une liste d’adresses email en combinant les prénoms, surnoms ou encore pseudo les plus répandu et en les combinant au domaine cible de l’attaque DHA.

Le serveur mail, cible de l’attaque DHA,  va  devoir gérer un nombre conséquent de transactions SMTP, si il n’est pas calibré pour cela va entrainer au mieux des ralentissements dans l’acheminement des mails et au pire une indisponibilité du service mail.

En utilisant nos services vous bénéficierez d’une protection contre les attaques de type DHA.

[Définition] SPF : Sender Policy Framework

SPF

Sender Policy Framework (SPF) est un système de validation d’e-mail conçu pour limiter le spam et principalement l’usurpation d’identité en vérifiant l’adresse IP de l’expéditeur (du relais qui transmet l’email).

SPF permet à l’administrateur d’un domaine de déclarer les serveurs mail (par leurs IP ou par leurs noms d’hôte) autorisés à envoyer (ou relayer) des mails pour le nom de domaine concerné. Pour cela l’administrateur du domaine va créer un champs DNS (TXT) dans lequel il spécifie les serveurs mails autorisés.

A la réception d’un mail, le serveur de destination va faire une requête DNS pour récupérer les enregistrements SPF associés au domaine de l’expéditeur et vérifier si le relai qui lui transmet le mail est autorisé à le faire.

De part son principe SPF n’est pas un système de lutte contre le spam (même si les informations recueillies peuvent êtres utiles) car un spam peut avoir des enregistrements SPF valides.

SPF, Sender Policy Framework, est définie par l’ietf dans la  RFC 4408.

Quels sont les domaines les plus utilisés dans les spams ?

Domaines les plus utilisés dans les spams

Spam : principaux domaines

AVG à sorti un classement des noms de domaine les plus utilisés dans les spams.

On aurait pu s’attendre à voir en tête de liste les domaines liés aux webmails les plus populaires, mais ce n’est pas le cas. Les domaines qui trustent les deux premieres places du classement sont facebook.com avec 7,3% suivi de twitter.com avec 4,2%.

En fait ce n’est pas si surprenant que ça  puisque ces deux domaines correspondent aux deux réseaux sociaux les plus utilisés. On ne peut pas estimer l’impact de Google+ car le service n’a pas de nom de domaine propre.

Un service de Webmail arrive en troisième position, gmail.com avec 3.1% de présence dans les spams.
yahoo.com et  hotmail.com, sont présent à le 5 et 6 ieme place avec 2.4 % chacun.

On notera la présence de chtah.com en 7ieme position avec 1,7% de présence dans les message non sollicités. Ce domaine appartient à CheetahMail, un service spécialisé dans “l’e-mail marketing”.  Vous avez du remarquez  depuis quelques mois maintenant que le volume de mails issus de campagnes de marketing direct à explosé. La perception de ce type de mails est trés variable, mais pour beaucoup d’usagers ils sont considérés comme des spams. Si vous souhaitez filtrer ces mails, notre service de protection de messagerie propose une option permettant de classifier les mails issus de campagne de marketing direct.

 

Le créateur du botnet Kelihos démasqué

Kelihos botnet auteur

Quatre mois après avoir démantelé le botnet Kelihos Microsoft annonce avoir identifié son auteur.

Le botnet Kelihos, utilisé pour envoyer des spams et voler des données personelles, aurait été codé par Andrey N. Sabelnikov, un Russe résidant à Saint-Pétersbourg.

Sabelnikov, travaille officiellement comme freelance en tant que développeur et consultant, il à précédemment travaillé en tant qu’ingénieur pour une “compagnie qui développe des antivirus“.