Spamradrap (2)

Par Fabrice Bonny, le 17 septembre 2007, dans .

Voici la suite de l’article intitulé spamradrap, réflexion sur la lutte contre le spam ou pourriel.

Une solution

Avant tout, vous pouvez lire ou relire la première partie de spamradrap. Suite à certains commentaires, je rappelle l’idée générale qui est de laisser une adresse e-mail volontairement visible et cliquable. Il peut s’agir du service après-vente ou d’autres services pour lesquels l’idée d’un captcha ou d’un formulaire de contact est peu pratique et peu accessible. Pour les mêmes raisons, les solutions à base d’image sont déconseillées, ne serait-ce que pour les problèmes d’agrandissement.

Afin de tester la meilleure solution, j’ai soumis une page contenant des adresses, sacrifiées pour la cause, à une kyrielle d’outils plus ou moins recommandables. C’est d’ailleurs étonnant tout ce que l’on peut trouver, du freeware minimaliste à l’outil marketing hors de prix. De ces tests, je tire deux conclusions :

  • il est tout à fait possible de garder une adresse fonctionnelle, c’est-à-dire commençant par mailto: dans le code HTML ;
  • il est aussi possible de laisser l’adresse dans la partie visible du lien.

Voila qui tombe très bien, c’était mon cahier des charges de départ. La solution consiste, comme indiqué dans la première partie de cet article, à encoder le caractère @. Quelques outils contournent cette astuce mais il suffit d’encoder les points pour les leurrer définitivement. Pour la partie visible, il suffit d’ajouter du code HTML pour se débarrasser de quasiment tous les outils de récupération.

Une solution possible est donc d’écrire notre lien sous la forme <a href=”mailto:toto%40example%2Ecom”><span>toto</span>&#64;<span>example.com</span></a> pour obtenir toto@example.com.

Pour aller plus loin

Malheureusement, la première cause du spam reste les virus, vers et autres mouchards qui récupèrent les carnets d’adresses des internautes. Toute solution de prévention aura donc ses limites même si elle permet une bonne protection. Vous ne savez jamais qui récupère votre adresse ni ce qui en est fait, volontairement ou non.

Temesis n’échappant en rien à la règle, nous avons dû faire face à une montée en puissance du spam. En cherchant une solution simple, j’ai utilisé une liste noire en temps réel (DNSRBL), un outil qui permet de savoir si un expéditeur est connu pour être un vilain. Si c’est le cas, le serveur de courriel refuse la réception ou l’envoi. Cette mesure allège considérablement la charge du serveur en plus d’être très efficace puisque je suis passé de quelques centaines de pourriels chaque jour à quelques rares exemplaires que Thunderbird se charge de filtrer.

Une question a dès lors surgi, avec sa cohorte d’interrogations subsidiaires : pourquoi les FAI ne mettent-ils pas en place une telle solution ? Le fait que tous vendent une solution anti-spam en abonnement me semble une bonne piste à suivre pour trouver la réponse. Et peut-être est-il là le vrai problème car tout comme la grande distribution doit une plus grande partie de son chiffre d’affaires à la location de ses rayons ou de l’espace disponible sur ses prospectus qu’à la vente des produits à proprement parler, le spam génère plus de profit par la vente de solutions de défense que grâce à l’infime minorité qui va faire transiter la fortune de la femme de feu le premier ministre d’un improbable état africain sur son compte bancaire.

Quelques liens

3 commentaire(s)

  1. Par Samuel MARTIN, le 17 septembre 2007 à 20 h 55 min :

    En allant faire un tour du côté de Signal Spam, je me suis dis qu’il manquait une extension pour Firefox qui serait à mon avis simple à mettre en place et valable quelque soit le webmail utilisé. Cette extension pour l’instant imaginaire serait composée d’un champ à remplir via un copier-coller avec l’adresse email définie comme "spam".

  2. Par François-Xavier Bodin, le 18 septembre 2007 à 9 h 10 min :

    Merci Fabrice pour cette mise au point.

    Depuis belle lurette, j’encode les adresses email destinées à être affichées, avec la méthode que propose weboconcept.com : certains signes sont encodés soit en décimal, soit en hexa, soit non codés… là le harvester ne s’y retrouve pas. Mais si ta méthode suffit, c’est pas plus mal.

    Le spam tuera le mail, quand le grand public sera écoeuré. Comme ça, il n’y aura plus de problème d’accessibilité…

    En attendant, WordPress que j’utilise souvent possède une fonction intégrée pour encoder les adresses et les protéger.

    Mais comme tu dis, le principal réservoir à adresse est le carnet d’adresse outlook de tes amis et relations professionnelles, aimablement ouvert aux virus collecteurs… et alors là…

    A propos de services antispam, pour les formulaires (commentaires mais aussi messages) Askimet est formidable. Celui des opérateurs de mail, je ne sais, par contre l’autre jour, dans ma boite à spam sur gmail, sur 13 mails bloqués, il y avait 4 false negative. Je sortais d’une salve d’inscriptions, évidemment, mais, bon…
    Un dernier truc sur les antispam : j’ai plusieurs fois retrouvé mon domaine (dans différentes entreprises) blacklisté sans raison… sûrement un effet des virus /spammeurs. Les RBL ne sont pas une solution parfaite, loin de là.

  3. Par Fabrice Bonny, le 18 septembre 2007 à 10 h 01 min :

    De François-Xavier Bodin :

    > Le spam tuera le mail, quand le grand public sera écoeuré. Comme ça, il n’y aura plus de problème d’accessibilité…

    J’en doute, tout comme je doute du fait que les prospectus tuent le courrier traditionnel.

    > Un dernier truc sur les antispam : j’ai plusieurs fois retrouvé mon domaine (dans différentes entreprises) blacklisté sans raison… sûrement un effet des virus /spammeurs. Les RBL ne sont pas une solution parfaite, loin de là.

    Quelques moyens simples pour tester si une IP est en liste noire :

Les commentaires sont fermés.