Manuel de SpamPal : Guide des entêtes

Lorsque votre email a été traité par SpamPal, ce dernier a ajouté des entêtes supplémentaires, qui peuvent être très utiles pour comprendre sur quels critères SpamPal (ou ses plugins) ont marqué votre message.

Index

1. Afficher les entêtes de SpamPal

1.1 Entêtes normales de SpamPal : PASS
1.2 Entêtes normales de SpamPal : Blacklisté par une DNSBL
1.3 Entêtes normales de SpamPal : Blacklisté sur une adresse Email / IP
1.4 Entêtes normales de SpamPal : adresse email en liste blanche

2. Entêtes normales des plugins de SpamPal

3. Autres informations disponibles dans les entêtes

3.1. Autres entêtes
3.2. Entêtes falsifiées
3.3. Dénoncer un spam à SpamCop
3.4. Liens utiles de DNSBL ou de vérification d'adresses IP

Pour afficher l'entête ajoutée par SpamPal (X-SpamPal:), dans votre programme email, ouvrez un message que vous avez reçu depuis que vous utilisez SpamPal et affichez les entêtes complets du message.

La manière de le faire diffère selon les programmes, voici la procédure pour les plus courants. Pour des informations plus détaillées, vous pouvez vous reporter à la FAQ de Spamcop : Viewing the Full, Unmodified Email (afficher le message complet non modifié).

Outlook Express 5, 6 et XP	Outlook 98, 2000, XP
Ouvrir le message Cliquez sur Fichier Cliquez sur Propriétés Cliquez sur l'onglet Détails	Ouvrir le message Cliquez sur Afficher Cliquez sur Options
Outlook 97	Pegasus
Ouvrir le message Cliquez sur Fichier Cliquez sur Propriétés Cliquez sur l'onglet Internet	Sélectionnez le message Appuyez sur Ctrl-H
The Bat	Incredimail
Sélectionnez le message Cliquez sur Afficher Cliquez sur entêtes RFC-822	Ouvrir le message Cliquez sur Fichier Cliquez sur Propriétés Cliquez sur l'onglet Détails
Netscape 7	Mail Warrior
Ouvrir le message Cliquez sur Afficher Cliquez sur Entêtes Cliquez sur Tous	Sélectionnez le message Appuyez sur Alt+Enter
Becky	Foxmaill
Sélectionnez le message Cliquez sur Afficher Validez l'option Voir les entêtes	Sélectionnez le message Appuyez sur Ctrl-I
Forte Agent	Thunderbird
Sélectionnez le message Appuyez sur la touche H pour valider l'affiche des entêtes	Sélectionnez le message Appuyez sur Ctrl-U

Les entêtes du message sont d'une certaine manière comme l'enveloppe d'une lettre : on y trouve l'adresse de l'expéditeur et du destinataire, le tampon des bureaux de poste par lesquels est passé l'enveloppe. Dans l'entête, on trouvera donc : l'adresse email de l'émetteur et du destinataire, les serveurs par lesquels le message est passé, la date, le sujet ainsi que d'autres informations techniques.

Elles sont la plupart du temps placées avant le message lui même, séparées par une ligne blanche.

L'entête X-SpamPal: est généralement l'un des derniers.

Il respecte le format suivant :

X-SpamPal: SPAM <code DNSBL> <adresse I.P.>

Le code DNSBL est un code de 5 lettres qui indique quelle liste DNSBL a identifiée l'adresse qui a entraîné le marquage. La correspondance code <-> liste apparaît dans l'onglet DNSBL des listes listes noires dans le dialogue Options.

Vient ensuite l'adresse I.P. qui a été trouvée dans cette liste; généralement vous retrouverez cette adresse en regardant dans les lignes de l'entête commençant par Received.

::Début::

Exemple 1: Message non marqué Spam

From: my_mate@youisp.co.uk
To: yourname@yourisp.co.uk
Subject: holiday
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: PASS

Cet entête indique que le message n'a pas été marqué comme spam

Exemple 2: Message non marqué Spam : Time-Out

From: anyone@isp.com
To: yourname@yourisp.co.uk
Subject: free
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: PASS TIME-OUT 29

Lorsque SpamPal recherche si une adresse IP est en liste noire, il envoie une demande à une liste DNSBL. Ces listes sont situées sur des ordinateurs distants qui, de temps en temps, peuvent ne pas être disponibles.

Le message TIME-OUT 29 signifie que 29 demandes à des DNSBL n'ont pas eu de réponses, ce qui peut indiquer que vous devriez réduire le nombre de DNSBL que vous utilisez.

Générallement, il suffit de 3 ou 4 DNSBL pour obtenir de bons résultats avec SpamPal. Vous pouvez trouver sur le forum une liste à jour des listes les plus performantes.

Attendez quelques jours (3 ou 4) avant de vérifier que vous n'utilisez pas de listes inutiles (taux = 0 dans la fenêtre Status).

::Début::

Exemple 1: Message marqué Spam : Pays Chine / Corée

From: i_am_a@spammer.co.uk
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM CHI-KOR 211.115.216.226

Cet entête indique que le message a été marqué puisqu'il provient d'un pays que vous avez mis en liste noire.

Exemple 2: Message marqué Spam : SpamCop

From: i_am_a@spammer.co.uk
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM SPCOP 216.74.167.134

Cet entête indique que le message a été marqué parce que l'adresse 216.74.167.134 (qui apparaît dans les lignes Received: non reproduites ici) est positive pour la DNSBL SPAMCOP.

::Début::

Exemple 1: Message marqué Spam : en liste noire

From: test_spam@aol.com
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: PASS BLIST EMAIL
X-Wlist-Pattern: test_spam@aol.com

Cet entête indique que le message a été marqué parce que l'adresse test_spam@aol.com est en liste noire.

Exemple 2: Message marqué Spam : en liste noire

From: test_spam@aol.com
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM BLIST 200.149.176.3
X-Blist-Pattern: 200.149.176.0 - 200.149.176.255

Cet entête indique que le message a été marqué parce qu'il provient de l'adresse 200.149.176.3 et que le bloc d'adresses IP 200.149.176.0 - 200.149.176.255 est en liste noire.

::Début::

Exemple 1: Message non marqué Spam : liste blanche

From: my_mate@aol.com
To: yourname@yourisp.co.uk
Subject: holiday again
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: PASS WLIST EMAIL
X-Wlist-Pattern: my_mate@aol.com

Cet entête indique que le message n'a pas été marqué parce que l'adresse my_mate@aol.com est en liste blanche.

Exemple 2: Message non marqué Spam : liste blanche automatique

From: my_mate@aol.com
To: yourname@yourisp.co.uk
Subject: holidays
Date: Tue, 24 Jun 2003 13:31:40 +0100
X-SpamPal: PASS A_WLIST EMAIL
X-Wlist-Pattern:my_mate@aol.com

Cet entête indique que le message n'a pas été marqué parce que l'adresse my_mate@aol.com est en liste blanche automatique.

::Début::

Voici quelques exemples d'entêtes provenant de l'utilisation de plugins de SpamPal :

Exemple 1: Message marqué Spam : plugin RegEx

From: i_am_a@spammer.co.uk
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM REGEX ID#177202125-01

Cet entête indique que le plugin RegEx a provoqué le marquage du message. Afin de déterminer la règle de RegEx utilisée, vérifiez dans le fichier log de RegEx l' ID#. (Consultez cette FAQ pour plus de détails).

Exemple 2: Message marqué Spam : plugin Bayesien

From: i_am_a@spammer.co.uk
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM BAYESIAN_PLUGIN BODY

Cet entête indique que le plugin Bayesien a provoqué le marquage du message.

Exemple 3: Message marqué Spam : plugin HTMLModify

From: i_am_a@spammer.co.uk
To: yourname@yourisp.co.uk
Subject: **SPAM** FREE $ FOR YOU !!!
Date: Tue, 24 Jun 2003 13:30:40 +0100
X-SpamPal: SPAM HTMLM webbug(s) BODY

Cet entête indique que le plugin HTMLModify a provoqué le marquage du message.

::Début::

D'autres informations contenues dans les entêtes peuvent être très utiles :

Note: Entêtes auxquelles les adresses de la liste blanche sont comparées

La fonction "Liste blanche" ne recherche des adresses email que dans certaines entêtes du message.
Actuellement, il s'agit de : From:, Reply-To:, Sender:, Mailing-List: et Return-Path:

Lorsque vous recevez un message sui est clairement un spam, mais qui n'a pas été marqué par SpamPal ou ses plugins, voici la procédure à suivre pour déterminer si d'autres listes DNSBL auraient pu le détecter.

Récupérez les entêtes complètes du message. La procédure est indiquée plus haut pour la plupart des programmes courants.

Vous aurez en particulier besoin des lignes commençant par Received: from , par exemple :

Return-Path: <Pamela5J@hotmail.com>
Received: from sender244 (clarksville-24-159-56-139.midtn.chartertn.net [24.159.56.139])
by xxx.xxxxx.co.uk (8.11.6/8.11.6) with ESMTP id h6888HN06418
for <xxxxx@xxxxx.co.uk>; Tue, 8 Jul 2003 09:08:18 +0100
Message-Id: <200307080808.h6888HN06418@xxxxx.xx.xx>

Attention : il peut y en avoir plusieurs. Comme il est très facile de les truquées, ne prenez en compte que la première (celle qui a été ajoutée par votre serveur de messagerie : elle n'a pas pu être modifiée).

Allez sur le site http://openrbl.org/ et faites une recherche sur l'adresse IP qui apparaît dans la partie From (ici 24.159.56.139). La partie by est normalement l'un des noms de votre serveur de messagerie.

Attendez que l'adresse soit traitée puis regardez la ligne :

Results: Positive=9, Negative=23

Il ne sert à rien d'ajouter à l'infini des listes DNSBL : vous ne feriez que ralentir le traitement de vos messages par SpamPal. Mais si, lorsque vous faites cette recherche, la même liste revient régulièrement, il pourrait être intéressant de la sélectionner pour essayer d'améliorer la performance des vérifications des messages. Il n'est pas souhaitable d'utiliser plus de 4 listes DNSBL.

Vous pouvez aussi tester les adresses IP non détectées sur le site http://moensted.dk/spam/ ou www.dnsstuff.com

::Début::

De nombreux spammeurs utilisent de fausses adresses email pour envoyer leurs messages (c'est la raison pour laquelle envoyer un message de refus [bounce] est une perte de temps et de bande passante).

Voici un extrait des entêtes de deux messages, semblant venir d'un utilisateur de Yahoo :

Le premier message a effectivement été envoyé par un utilisateur de Yahoo... pas le second.

Exemple 1: Message envoyé par un utilisateur de Yahoo

From: a_user@yahoo.com
Received: from smtp014.mail.yahoo.com (smtp014.mail.yahoo.com [xxxx])

Exemple 2: Message ne venant pas d'un utilisateur de Yahoo

From: a_user@yahoo.com
Received: from host192-24.pool50205.interbusiness.it (unknown [xxxx])

De la même manière, le reste des entêtes (et c'est souvent le cas pour Received : sauf la première) peuvent être falsifiées et, dans un spam, elles le sont.

::Début::

Utiliser SpamCop est très facile.

Rendez-vous sur cette page et créez un compte gratuit en indiquant votre adresse email dans la case Verify Email Address. SpamCop va envoyer à cette adresse un message de confirmation contenant un code d'autorisation et un lien.

Vous pourrez alors signaler les messages soit en les faisant suivre à l'adresse email fournie dans le message de confirmation (vous recevrez alors un message contenant un lien permettant de terminer le traitement. Attention, cela ne fonctionne pas avec certains programmes comme Outlook), soit en copiant le message complet y compris les entêtes sur la page de signalement. Après analyse, SpamCop vous demandera de confirmer que le message est bien un spam.

N'utilisez SpamCop que pour signaler de véritables spam, et n'en abusez pas.

::Début::

Si vous avez besoin de vérifier quelles DNSBL pourraient vous aider à mieux détecter le spam ou si vous voulez juste en savoir plus sur une adresse qui vous a envoyé un message, les liens suivants peuvent vous aider.

Exemple de message :

Return-Path: <Pamelaxxxx5J@hotmail.com>
Received: from sender244 (clarksville-24-159-56-139.midtn.chartertn.net [24.159.56.139])
by xxx.xxxxx.co.uk (8.11.6/8.11.6) with ESMTP id h6888HN06418
for <xxxxx@xxxxx.co.uk>; Tue, 8 Jul 2003 09:08:18 +0100
Message-Id: <200307080808.h6888HN06418@xxxxx.xx.xx>

Voici quelques liens de sites d'information ou de vérification d'adresses (en utilisant l'adresse 24.159.56.139) :-)

http://www.senderbase.org/
http://www.dnsstuff.com/
http://openrbl.org/
http://www.moensted.dk/spam/

Ce site compare la plupart des DNSBL entre elles.

::Début::