Demandez à n’importe quel administrateur système ce qu’il pense des systèmes de vérification de l’expéditeur et il y a fort à parier qu’il considère aujourd’hui la solution comme étant au moins aussi ennuyeuse que le problème.

L’idée n’était pourtant pas mauvaise sur le papier : la toute première fois qu’un correspondant envoie un courrier à une boîte protégée par une solution antispam dite de « challenge / response » (C/R), le système lui renvoie d’abord un email automatisé afin de s’assurer qu’il s’agit bien d’un être humain et non d’un courrier envoyé en masse. Il lui faut pour cela passer un rapide test de Turing , tel que par exemple recopier des symboles affichés dans une image. Une fois authentifié son courrier et tous les suivants arriveront à leur destinataire.

Cette technique existe depuis plusieurs années et elle a été notamment popularisée en France par l’éditeur Mail In Black . Et il faut reconnaître qu’à petite échelle elle fonctionne plutôt bien. Au détriment bien entendu des correspondants qui doivent remplir leur petit questionnaire avant d’être autorisés à écrire aux utilisateurs du système. C’est d’ailleurs ce qui a valu à de nombreux puristes, dès 2003, de refuser tout simplement d’écrire aux adeptes de ce système. C’est de bonne guerre.

Mais voilà, aujourd’hui de nombreux fournisseurs d’accès majeurs mettent la technique en oeuvre pour leur clients.

Et là où les quelques abonnés d’un éditeur hexagonal pouvaient encore se noyer dans la masse, les millions d’abonnés à Earthlink, par exemple, génèrent eux des millions de mails de confirmation chaque jour. Pour un administrateur dont le nom de domaine a été « emprunté » par un spammeur, cela signifie l’arrivée quotidienne de centaines, voire de milliers, de courriers non sollicités émanants de serveurs SMTP tout à fait légitimes et donc difficiles à bloquer.

Ce nouveau type de spam s’ajoute donc aux notifications d’échec que certains serveurs persistent à envoyer lorsqu’un courrier est adressé à un utilisateur inconnu. Sauf qu’ici, le courrier est envoyé même lorsque le spam est adressé à un utilisateur existant, une pratique rétrogade que les pires antispams ont pourtant abandonnés depuis longtemps.

Et si cela ne suffit pas, de très nombreux fournisseurs d’accès, du minuscule FAI local jusqu’à des géants tel le très ennuyeux Verizon, mettent depuis peu en oeuvre une technique légèrement différente mais tout aussi gênante : ils bloquent chaque courrier adressé à un abonné le temps d’ouvrir une connexion vers le serveur de mail censé appartenir au domaine de l’expéditeur. Ils initient alors un dialogue standard, comme s’ils voulaient envoyer un email, afin de vérifier si l’expéditeur existe réellement. Si ce n’est pas le cas, ils abandonnent en cours de route et oublient le courrier initial destiné à leur abonné.

Là aussi, cela signifie pour le serveur du domaine dont l’identité est usurpée un afflux de connexions inutiles assimilables à du spam (pour les administrateurs curieux, recherchez dans vos logs des clients tels que sv18pub.verizon.net ou des expéditeurs tels antispam151430@west.verizon.net). Même si vous n’avez échangé de mail avec aucu abonné à Verizon, il y a de bonnes chances que vous ayez déjà de telles entrées.

A titre d’exemple ces deux types de trafic représentent entre 15 et 30% du volume de spam rejeté chaque jour par le serveur des Nouvelles.net. Et parmi les fournisseurs d’accès ayant opté pour ces choix technologiques douteux on retrouve aussi bien des grands noms tels Earthlink, Verizon, Orange (Pays-Bas et Grande-Bretagne) que (littéralement) des centaines de petits FAI locaux.

Il n’y a malheureusement aucune solution efficace contre ce « spam légitime ». Ce n’est qu’un nouvel exemple de ces éternelles fausses bonnes idées dont est jonchée l’histoire de l’informatique…