Blackliste Archives - DeliverNow

Quelles sont les blacklists les plus importantes et comment savoir si vous êtes listé ?

Si la plupart des lecteurs de DeliverNow savent probablement ce qu’est une blacklist, il peut être intéressant de faire un rappel de l’importance de celles-ci dans l’écosystème de l’email et dans la gestion de votre délivrabilité.

Tout d’abord, plusieurs abréviations sont utilisées afin de parler de blacklists. On rencontre souvent RBL pour « Real-time Blackhole List » ou encore DNSBL pour « DNS blacklist ». Ces termes désignent tous la même chose, une liste d’adresses IP ou de noms de domaine qui recensent les mauvais acteurs de l’email marketing : les spammeurs.

Ces listes, lorsqu’elles sont publiques (ce qui n’est pas toujours le cas) sont utilisées par toute une série d’acteurs en tant qu’indicateur de la réputation d’un adresse IP ou d’un nom de domaine. Dans les « acteurs », on retrouve tout organisme ayant besoin de filtrer des emails. Ce sont bien évidemment les FAI, les administrateurs systèmes en entreprise ou dans le secteur public, mais aussi toute une série de revendeurs de solutions de filtrage d’emails.

Quelles sont les blacklists les plus importantes ?

Deux blacklists historiques sortent clairement du lot et sont utilisées par la plupart des FAI dans le monde, ce sont Spamhaus et Spamcop. Si vos adresses IP sont listées par celles-ci vous devriez prendre des mesures très rapides sous peine de voir une grande partie de votre traffic email bloqué.

Comment savoir si mes adresses IP sont listées ?

Important à savoir aussi, les blacklists s’échangent des informations. Il n’est pas rare qu’après avoir été listé par Spamhaus ou Spamcop, vos adresses IP soient aussi bloquées par des dizaines d’autres blacklists.

Quelles sont les blacklists importantes en matière de nom de domaine ?

Avant toute chose, on peut distinguer deux grandes catégories de blacklist de noms de domaine. Celles dont vous entendez le plus souvent parler sont celles qui analysent les adresses (URI) des sites web cités dans les spams. L’autre catégorie s’attache à référencer l’ensemble des noms de domaine présents dans un email, y compris (et surtout) dans le header technique de l’email, la plus connue dans cette catégorie est à nouveau Spamhaus.

Les deux blacklists de type URI les plus importantes sont (avec les liens permettant de vérifier si vos domaines sont listés) :

Comment être retiré d’une blacklist ?

Pour ne plus figurer dans une blacklist, le plus important est d’essayer de détecter quelles sont les raisons du listing et de mettre en place des actions correctrices avant de faire une demande de delisting. Cette étape est cruciale dans la mesure où la plupart des blacklists vous demanderont des explications sur votre présence dans la liste noire et quelles ont été les actions correctrices qui justifient un déblocage. N’essayez pas de vous faire débloquer sans avoir mené ce travail au préalable.

Si vous avez trouvé la raison du listing et que vous avez fait le nécessaire pour que cela ne se reproduise plus, vous pouvez tenter une demande de « delisting ». En général, la procédure est expliquée sur les pages de « lookup » (voir les liens présentés plus haut) et consiste à remplir un formulaire ou à envoyer un email. Si votre explication est détaillée et justifiée, il est possible que votre IP ou votre nom de domaine soit rapidement supprimé de la liste. Par contre, si votre explication est imprécise (être précis ne nécessite pas 10 pages d’analyse) ou injustifiée, vous vous exposez à un refus ou à une demande de précision.

Evolution du concept de réputation en delivrabilité

SpamHaus DBLSpamHaus met aujourd’hui en service une nouvelle blackliste de domaines : DNSBL. De la même façon que URIBL et SURBL, cette blackliste liste les domaines expéditeur, hostname et site web détecté dans les spams.

SpamHaus recommande l’utilisation de cette blackliste aux systèmes de protection capables de scanner le contenu des  emails comme SpamAssassin afin de vérifier qu’ils ne contiennent pas de domaines listés. Cette blackliste peut être utilisée à plusieurs niveaux : domaine du HELO, domaine du reverse DNS de l’IP expéditrice, domaines utilisés par l’adresse From et Reply-To,  domaine utilisé pour le Message-ID et je pense aussi pour le champ Return-Path.

C’est une évolution importante dans le domaine de la delivrabilité en Email Marketing car elle contribue fortement à l’évolution du concept de réputation de l’IP expéditrice à un concept de réputation globale de l’expéditeur. D’autre part, ceci s’inscrit dans une démarche qui consiste à identifier au mieux les expéditeurs des campagnes à risque  en évitant au maximum les faux positifs.

Concrètement, cela veut dire que la delivrabilité d’une campagne pourra être altérée par d’autres facteurs comme : les domaines présents lors de la transaction SMTP (ceci dépend de la technologie utilisée pour router les campagnes) mais aussi des domaines présents à l’intérieur du message : domaine de tracking, domaine de la plateforme d’affiliation et domaine de l’annonceur.

Pour les campagnes d’acquisition, cette évolution va obliger plus fortement les annonceurs à être plus vigilants sur les bases de données qu’ils vont utiliser pour envoyer leurs offres car en cas d’envoi sur une base qui contiendrait des spamtraps, les dommages ne seront plus uniquement sur l’IP expéditrice (bien souvent celle du routeur) mais pourront s’étendre aux domaines présents dans le mail incluant leur propre site web.

La blackliste Sorbs cherche un repreneur

sorbsLa blackliste SORBS est une blackliste particulière.
Elle a toujours suscité beaucoup de discussion dans le monde de la delivrabilité a cause de ces pratiques : en cas de listage d’une IP, une contribution financière est demandé pour pouvoir sortir de la liste.

Utilisé par certains boitier de filtrage du spam, cette blackliste cherche aujourd’hui un repreneur à cause d’un différent avec son hébergeur, l’université de Queensland en Australie.

Voici l’annonce récente de SORBS sur son site web :

ANNOUNCEMENT: Possible SORBS Closure…

It comes with great sadness that I have to announce the imminent closure of SORBS. The University of Queensland have decided not to honor their agreement with myself and SORBS and terminate the hosting contract.

I have been involved with institutions such as Griffith University trying to arrange alternative hosting for SORBS, but as of 12 noon, 22nd June 2009 no hosting has been acquired and therefore I have been forced in to this announcement. SORBS is officially « For Sale » should anyone wish to purchase it as a going concern, but failing that and failing to find alternative hosting for a 42RU rack in the Brisbane area of Queensland Australia SORBS will be shutting down permanently in 28 days, on 20th July 2009 at 12 noon.

This announcement will be replicated on the main SORBS website at the earliest opportunity.

For information about the possible purchase of SORBS, the source code, data, hosts etc, I maybe contacted at michelle@sorbs.net, telephone +61 414 861 744.

For any hosting suggestions/provision, please be aware that the 42RU space is a requirement at the moment, and the service cannot be made into a smaller rackspace without a lot of new hardware, virtual hosting is just not possible. The SORBS service services over 30 billion DNS queries per day, and has a number of database servers with fast disk to cope with the requirements.

Thank you for all your support over the years,

Michelle Sullivan (Previously known as Matthew Sullivan)

Blacklistage, Affiliation : la réputation des sites web change la donne

gmailLe 7 mai 2009, Google à mis à jour sa page d’aide aux expéditeurs d’emails vers gmail avec une information intéressante pour les annonceurs à propos des programmes d’affiliations.

En effet, Google indique que ces programmes attirent les spammeurs et que leur utilisation peut parfois apporter plus de mal que de bien à l’annonceur, sous entendu un blacklistage du propre domaine de celui-ci !

Google précise 2 choses  :

– Si une marque est associé à un programme envoyant du spam, cela pourra avoir un impact sur les routages de la marque, sous entendu même en fidélisation.
– Les marques sont responsables de l’utilisation de leur image par ces programmes.

Cliquez ici pour voir la recommandation de Gmail à propos des programmes d’affiliation.

Depuis le début de l’année, je suis de plus en plus amené à travailler sur des problèmes de délivrabilité lié à un blacklistage des URLs contenu dans les emails. En effet, la réputation des liens présents dans le message et de plus en plus importante pour la deliverabilité.
On a beau avoir une IP expéditrice qui a une bonne réputation, envoyer un email qui contient un lien blacklisté empechera le message d’être livré correctement sur les serveurs de mail protégés par SpamAssassin, par exemple.

Cliquez ici pour voir l’impact sur le score SpamAssassin d’un email contenant des URL blacklistées.

On notera qu’au dela d’un score de 3 points, le message est consideré comme suspect.

Alors annonceurs, attention de bien poser les bonnes questions avant d’associer votre marque à un programme d’affiliation ou à annoncer sur une liste d’email de mauvaise qualité car du coté de l’opérateur qui reçoit, vous êtes aussi responsable du spam.

Sur le même sujet :
Délivrabilité des emails : annonceur, prenez garde !

Lire les recommendations de gmail aux expediteurs d’emails :
http://mail.google.com/support/bin/answer.py?hl=en&answer=81126

BorderWare : the reputation authority

borderware BorderWare Technologies est une société Canadienne spécialisée dans dans la sécurité web et email fondée  en 1994. Elle fabrique des boitiers de filtrage du spam basés sur la réputation pour équiper les entreprises.

BorderWare protège 2,5 milliards d’adresses emails dans le monde, principalement des sociétés de taille moyenne, parmi lesquelles on peut trouver l’opérateur Telus, des filiales du groupe Virgin, l’industriel énergétique Eaton, les brasseries anglaises greeneking et bien d’autres.

En fin d’année dernière BorderWare a lancé une plateforme web nommé ReputationAuthority permettant de connaitre la réputation des serveurs de mails. Les expéditeurs d’emails ont la possibilité de se créer un compte sur l’outil web afin de remettre à zéro une réputation et de paramétrer des alertes de franchissement de seuil des IP par emails.

Pour visiter le site de BorderWare :
http://www.borderware.com

Pour visiter le site de ReputationAuthority :
http://www.reputationauthority.org

Backscatterer.org

BackscattererBackscatterer est une liste noire gérée par UCEprotect. Il ne s’agit pas d’une liste noire de spammeur mais d’ une liste de serveur mail mal configuré.
En effet, elle répertorie les serveurs de mail qui renvoient des messages de non-délivré (bounce) à des utilisateurs tiers et pouvant de ce fait participer à une attaque par Déni de service (DDOS).

Prenons un exemple classique :

Un spammeur envoie un email en utilisant en expéditeur un domaine qu’il souhaite attaquer, ce qui est un cas très classique.
Le spammeur envoie une campagne de 15 millions d’emails via des PC zombie. Que va-t-il se passer si le serveur de mail qui reçoit le spam renvoit un bounce à l’expéditeur ?

Un serveur de mail bien configuré répondra :

HELO forged.domain.name
MAIL FROM: victim@victimdomain.tld
RCPT TO: NoSuchUser@yourcompany.tld
550 User unknown

Dans ce cas là, votre serveur de mail est inoffensif.

Mais si votre serveur de mail n’est pas bien configuré, accepte le message et qu’un peu plus tard il renvoie un message de bounce à l’expéditeur, il s’agit d’une utilisation abusive du serveur de mail de la victime dans la mesure où celui ci n’a rien envoyé à votre serveur.

Et que ce passerait il si des millions de serveur faisait la même chose ?
Le serveur victime pourrait être rapidement surchargé et serait susceptible de tomber avec tout les désagréments qui s’en suivent…

On notera que les listages chez BackScatterer.org sont de 30 jours et qu’un délistage anticipé après résolution du problème peut être envisagé moyennant un don paypal de 50€ !

Le site de Backscatterer :
http://www.backscatterer.org/

Tester l’ip de votre serveur de mail :
http://www.backscatterer.org/?target=test

N’ignorez pas les RFC

RFC IgnorantOu comme le dit le célèbre adage :
« Nul n’est sensé ignorer la loi »

Si vous souhaitez expédier des emails légitimes, n’ignorez pas les RFC.

Sinon rfc-ignorant.org sera la pour vous les rappeler.

En effet, cette blackliste se défini comme « la blackliste de ceux qui pensent que les règles de l’internet ne s’applique pas à eux ».

Elle contient 5 blacklistes qui listeront vos domaines expéditeurs dans différents cas :

dsn.rfc-ignorant.org :
Si votre domaine indique des serveurs MX qui n’acceptent pas la commande MAIL FROM:<> comme le préconise la RFC 821

abuse.rfc-ignorant.org :
Si vous n’avez pas déclaré d’adresse abuse comme l’indique la RFC 2142 pour recevoir (et traiter) les plaintes de vos campagnes.

postmaster.rfc-ignorant.org :
Si comme l’adresse abuse, vous n’avez pas déclaré d’adresse postmaster comme l’indique la RFC 2821.

whois.rfc-ignorant.org :
Si l’enregistrement WHOIS de votre domaine expéditeur ne contient pas suffisamment d’informations ou que ces informations sont erronés.
Ces préconisations sont indiqués dans la RFC 1032.

bogusmx.rfc-ignorant.org :
Si les enregistrement MX de votre nom de domaine pointent sur de fausses ou invalides adresses IP.

Il est toujours difficile de mesurer précisément l’impact d’une blackliste lors d’une campagne d’emailing tellement il existe une grande disparité entre les technique de filtrage et leur paramétrage.

Certains serveurs email renverront des messages SMTP très clair et refuseront vos messages.

SpamAssassin pourra aussi considérer votre message comme suspect de façon plus ou moins importante en activant les filtrage suivants :

DNS_FROM_RFC_ABUSE : Envelope sender in abuse.rfc-ignorant.org
DNS_FROM_RFC_BOGUSMX : Envelope sender in bogusmx.rfc-ignorant.org
DNS_FROM_RFC_DSN : Envelope sender in dsn.rfc-ignorant.org
DNS_FROM_RFC_POST : Envelope sender in postmaster.rfc-ignorant.org
DNS_FROM_RFC_WHOIS : Envelope sender in whois.rfc-ignorant.org

Plus de détail sur les scores spamassassin attribué par filtre en fonction du type d’installation ici