Bonjour à tous,
Je viens de lire avec grand intérêt tout cet échange.
La question initiale de Michel Blanc était : ""suis-je en droit de balayer les cochonneries à ma porte d'entrée ?". Je vous rassure Michel, tout le monde se la pose.
Voici comment de mon coté je me la pose : Nous ne sommes pas au far-west même si c'est encore bien trop souvent le cas sur le net. Il existe des RFC, des recommandations et bonnes pratiques et enfin des lois.
Pour les RFC (Request For Comment à ne pas confondre avec le Request for Change d'ITIL), toutes celles qui concernent le transport et le traitement des flux SMTP sont suffisantes et permettent de bien comprendre à quoi servent les fameux entêtes qui font bien parti du message dans son ensemble. Une RFC très intéressante, même si elle n'est pas toute jeune, est la RFC 2635. Référence : http://www.ietf.org/rfc/rfc2635.txt
Après il y a les lois, au niveau européen il y a celle-ci datant du 12 juillet 2002 sur la protection de la vie privée et qui indique que le "spam" doit être basé sur le principe d'Opt-in pour être autorisé. C'est à dire que le destinataire doit avoir accepté de recevoir des "spams" en provenance de l'émeteur. Les fameuses cases à cocher ou décocher quand vous faites des courses sur le net :-)
Référence : http://fr.wikipedia.org/wiki/Directive_du_12_juillet_2002_sur_la_protection_...
Au niveau national, nous avons aussi une loi qui traite du spam, c'est la fameuse loi de 2004 pour la confiance dans l'économie numérique. Même si certains aspects, comme la reconnaissance des mails comme étant des correspondances privées, n'ont pas été clairement définis et reposent sur la jurisprudence, le "spam" dont on parle ici, lui est bien défini. La loi indique donc que lorsque le "spam" est diffusé vers une personne physique, on applique le principe de la loi européenne de 2002 (l'opt-in) et si c'est une personne morale (institution publique, entreprise, association, etc.), le principe de l'opt-out est toléré. Ce principe de l'Opt-Out autorise le "spammeur" a envoyé son "spam" mais le "spammeur" doit permettre au destinataire de se désinscrire d'une manière simple et définitive.
Référence : http://fr.wikipedia.org/wiki/Loi_du_21_juin_2004_pour_la_confiance_dans_l%E2...
Vous remarquerez que j'ai mis "spam" et "spammeur" entre guillemets car franchement je trouve qu'il est difficile de faire la différence entre un mail envoyé à 500 000 membres d'une association pour les tenir informés de la prochaine date de réunion et un pur spam (vi@gr et autres cochonneries type hameçonnage) envoyé à 500 000 pigeons. Je dirai qu'au niveau admin systèmes, le premier sera plus facilement identifiable car son entête est sensé être conforme aux RFC, si il est émis par un serveur administré par des pros bien entendu. Le second émetteur aura tout fait pour que ça se voit le moins possible, le pur spam étant généralement envoyé de nos jours par des botnet de plusieurs milliers voire dizaine de milliers de postes vérolés avec des entêtes SMTP très légers. Cette légèreté dans le respect des RFC étant d'ailleurs un moyen de détection utilisé par des produits comme SpamAssassin.
Ma conclusion est donc : Si je veux filtrer les spams et en accord avec les lois actuelles, je dois vraiment faire attention à la qualité de mes filtres afin de travailler sur des éléments fiables, je vise le 100% de succès pour éviter les plaintes, des deux cotés d'ailleurs. Il est même préférable de ne rien supprimer et de simplement taguer voire classer en fonction des technos employées. Google avec son GMAIL en est un bon exemple. Ils ne détruisent rien mais se contentent de classer dans le spam du destinataire avec un taux de fiabilité proche des 100%. Facile avec leur infra et les analyses bayésiennes qu'ils peuvent faire !
Si je suis sur un système de destination (qui héberge un ou plusieurs domaines de messagerie), soit j'ai mis en place des conditions contractuelles d'utilisation qui m'autorisent à rejeter des messages en fonction des critères que je considère comme non conformes à ma stratégie de lutte anti-spam (voir les AOL, Yahoo et autres Microsoft qui le font). Soit je n'ai pas mis ces conditions dans mon contrat et donc je ne peux que rejeter ce qui me semble comme étant vraiment anormal (virus) tout en m'assurant qu'il n'y a pas un taux de faux positif trop important. Dans les deux cas, il me faudra mettre en place un système de traitement des plaintes digne de ce nom (se reporter aux RFC dont je parle en début de ce message).
Voilà pour ma petite participation à cet intéressant débat en ce samedi après-midi, pluvieux sur Paris...
Olivier