|
 |
Comment lutter contre le mailbombing (involontaire)
Prenez un virus de base.
Prenez un utilisateur de base, suffisament de base pour avoir installé une connexion adsl mais pas suffisament de base pour avoir mis son antivirus à jour.
Secouez sur la base du fait qu'il a peut-être un jour visité votre site et mis votre mail dans son carnet d'adresse.
Mettez une olive et vous avez le scénario idéal pour devenir la victime idéale d'un.....
Mailbombing...
Imaginez : entre 600 et 700 mails de 40 ko, tous vérolés, par heure !
Si vous ne faites rien, les quelques Mo (entre 3 et 10 en général) dont vous disposez sur le serveur de votre provider pour stocker vos messages non lus sont ratatinés en moins d'une heure. Tous les messages, les vrais, les personnels, les privés, les urgents, les importants, tous ces messages qui vous seront envoyés après saturation de votre espace serveur seront retournés à leur expéditeur avec la mention que vous êtes "over quota" : bref votre boîte est morte, vous n'êtes plus joignable, vous n'avez plus de mail-identité : le mailbombing vous a tué.
Il est temps de biper Benton et de faire chauffer le bloc.
Protocole d'urgence :
1) Dès qu'en relevant votre mail, vous commencez à recevoir des dizaines de messages quasi-identiques d'un même utilisateur avec des fichiers joints et que l'opération semble infinie : stoppez tout. Annulez la remise de courrier. Vous ne pourrez pas lutter efficacement contre le mailbombing à partir de votre simple mailer.
2) Si vous connaissez l'utilisateur qui vous envoie ces messages, téléphonez-lui immédiatement en lui ordonnant de déconnecter sa machine et de ne pas se reconnecter tant qu'il n'aura pas éradiqué le virus qui produit le mailbombing à son insu.
3) Si vous ne connaissez pas l'impétrant, tout se gâte. Essayez de lui envoyer un mail en lui expliquant la situation. La plupart du temps c'est inutile car vous n'êtes pas sa première victime : ce qui veut dire qu'il continue de tenter de saturer d'autres boîtes déjà "over quota" qui lui renvoient ses propres mails vérolés et donc : il est lui-même over-quota.
Il est donc impossible de le joindre par mail.
4) Transformez-vous en Colombo électronique pour tenter de découvrir l'identité du bomber :
a) Cherchez dans Google (web et newsgroups) à partir de son mail et de son nom si vous l'avez.
b) Les mails ont des en-tête qui indiquent quelle est l'adresse ip de la machine qui vous bombe. Faites un traceroute sur l'ip pour connaître le nom développé de la machine. Cette information vous indique le provider et, parfois, la ville de connexion.
c) A partir de ces informations, cherchez dans les annuaires français ou internationaux en croisant les doigts. Pour info, mon premier mailbombing provenait de la succursale bruxelloise d'un importateur de crevettes thailandaises (authentique !).
d) Envoyez un message décrivant la situation à abuse@votreprovider.com, abuse@providerdubombeur.com, abuse@nom-du-domaine-du-mail-du-bomber.com. Inutile d'espérer de ce côté : le temps de réaction est de plusieurs jours. Mais faites-le. Le bombeur étant en général un novice qui ne comprend pas la différence entre un compte pop et un serveur smtp, il y a des chances pour qu'il ne vous croie pas ou qu'il ne fasse pas l'opération de nettoyage de sa machine convenablement. Seule la menace de son provider de lui couper sa connexion peut le conduire à dépenser l'argent nécessaire pour faire venir un technicien compétent. Pour info, il m'a fallu trois semaines pour faire comprendre à mon importateur de crevettes thailandaises que ce n'est pas parce qu'il avait fait supprimer chez son provider l'adresse mail qui envoyait les messages que l'une de ses machines ne me bombait pas en se servant de cette vieille adresse.
5) Si vous n'avez pas réussi à contacter par téléphone votre bombeur, il ne vous reste plus qu'à tenter de mettre en place un système pour filtrer et détruire directement sur votre serveur pop (le serveur où sont stockés vos messages non-lus) les messages du bombeur avant qu'ils ne saturent votre compte. Si vous possédez une connexion permanente (par ex : adsl), tout va bien : il vous suffit de filtrer. Outlook express est par exemple capable de faire cette opération de filtre en réglant la vérification de mail toutes les 10 mn.
6) Mais il se peut que vous ne disposiez que d'une connexion en dial-up (par modem). Dans ce cas, quand vous irez vous coucher en maudissant le bombeur, votre boîte mail risque d'être over-quota au bout d'une heure ou deux. Pour éviter cette situation, il vous faut (respirez et prononcez à la Jean Rochefort) "un mail-checker avec fonction de filtre et d'autodial". Après en avoir testé 5, j'ai trouvé le programme idéal. Il s'agit de :
Ce programme réalise à merveille ce dont vous avez besoin :
- Il se connecte seul à internet tous les x minutes.
- Il vérifie si vous avez du courrier.
- Il filtre les mails provenant de votre bombeur, les détruit sur le serveur sans les télécharger.
- Il se déconnecte tout de suite après.
En cas d'attaque massive, réglez x sur 15 mn. Si vous êtes victime de mailbombing sur plusieurs comptes mails simultanément, jouez au loto, vous êtes dans une bonne période. Et rassurez-vous car MailShield peut vérifier tous vos comptes en même temps.
7) Il ne vous reste plus qu'à prier :
- pour que votre bombeur s'aperçoive du virus qui sature sa bande passante et fasse le nécessaire pour l'éradiquer.
- pour que les services d'abus (abuse@...) le contactent ou coupent sa connexion.
Vous ne pouvez rien faire d'autre. Si ce n'est laisser votre ordinateur allumé en permanence et peut-être, comme moi, écrire une fiche technique pour éviter à d'autre de perdre autant de temps que vous en avez perdu.
9) A noter que l'astuce MailShield vaut si vous êtes la victime d'un mailbombing intentionnel.
PS (janvier 2005) : désormais la solution c'est : utiliser l'option mfilter chez free ou bien l'antispam performant de gmail...
|
|
|
