Question:
Comment expliquer à un client que les filtres anti-spam ne détectent pas tout
Ulkoma
2014-10-14 17:03:53 UTC
view on stackexchange narkive permalink

J'avais l'habitude de travailler dans un petit bureau qui fournissait un support bureautique de base aux utilisateurs.

Un jour, j'ai dû répondre à un appel d'un client très en colère et il a demandé mon patron. Il voulait savoir comment un e-mail pouvait passer à travers son filtre anti-spam / logiciel antivirus basé sur le réseau (s'il existe une telle chose, c'est ce qu'il prétendait), et la pièce jointe a été filtrée / interceptée par l'antivirus logiciel sur son bureau.

Jusqu'à ce que je puisse atteindre mon patron, je devais lui dire qu'un filtre anti-spam n'est pas parfait / parfait et parfois un email à passer.

Aussi pour étayer mes affirmations, je lui ai expliqué que Gmail lui-même autorisait cet e-mail en pièce jointe alors que son logiciel antivirus l'avait détecté et supprimé.

Mon explication était-elle correcte? Comment un expert en sécurité traiterait-il cette situation?

Le filtre anti-spam et l'antivirus sont à peine meilleurs que de jeter une pièce de monnaie.
Je ne peux pas dire ça à un client!
Pouvez-vous expliquer quel service vous offrez à ce client? Ont-ils reçu un e-mail contenant une pièce jointe de virus de votre entreprise? Si oui, vous devez contacter votre responsable de la sécurité (ou si vous n'en avez pas, faites un audit de sécurité de vos serveurs).
Nous avons fourni un support de bureau de base, mon responsable leur a fourni un filtre anti-spam (je suppose). J'ai répondu à l'appel et personnellement, je ne pense pas que ce soit un gros problème, nous recevons tous du spam avec des pièces jointes malveillantes de temps en temps. L'e-mail ne provient pas de notre société. Le client était en colère car UN e-mail malveillant a réussi à glisser
Utilisez un filtre anti-spam basé sur CAPTCHA comme http://spamarrest.com ou http://boxbe.com. Il attrape 100% des robots!
"Le seul filtre qui ne laisse passer aucun spam ne laisse passer aucun bon courrier non plus."
Certains filtres anti-spam sont exceptionnellement bons. Le filtre du service de transfert de courrier ieee.org laisse passer remarquablement peu de spam, mais il n'a semblé que très rarement rejeter le courrier légitime. D'autres que j'ai expérimentés sont pratiquement sans valeur - rejetant plus de courrier légitime que le spam.
@HotLicks: J'ai trouvé que mon installation de SpamAssassin était efficace à près de 100% depuis environ six ans. Dans les deux sens. Peut-être avez-vous mal configuré vos outils? Ou peut-être que votre activité quotidienne de courrier électronique apparaît elle-même comme du spam. :)
Dix réponses:
SPRBRN
2014-10-14 17:43:03 UTC
view on stackexchange narkive permalink

Votre réponse est plutôt correcte, mais vous pourriez expliquer un peu plus le "jeu" en cours entre les spammeurs et les filtres anti-spam. Cela permet de comprendre pourquoi certains spams trouveront toujours leur chemin vers le client.

Les filtres anti-spam tentent de détecter tous les e-mails qui sont du spam.

Les spammeurs essaient de créer des e-mails dont on ne sait pas spam - à la fois par des filtres anti-spam et par des humains.

Pour les spammeurs, cela revient à créer des e-mails qui ...

  1. peuvent passer les filtres anti-spam;
  2. une fois arrivé dans la boîte de réception, il ressemble à un e-mail légitime pour que l'utilisateur l'ouvre;
  3. et est alors suffisamment intéressant pour que les utilisateurs cliquent sur le lien à l'intérieur pour acheter quelque chose ou installer un logiciel malveillant.
    4. ol>

    Les spammeurs achètent des filtres anti-spam et testent leurs nouvelles tactiques anti-spam pour voir si leur courrier passe le filtre. Si le courrier passe, ils ont une longueur d'avance. Ensuite, ils sortent dans la nature, envoient des millions de mails, montrant efficacement leur nouvelle tactique. Les fabricants de filtres anti-spam le remarquent et mettent à jour leur filtre. C'est un jeu en cours. C'est similaire dans l'industrie des virus.

    Lorsque vous voyez du spam qui n'a pas de liens ou de pièces jointes, c'est probablement du spam pour empoisonner les filtres, pour confondre les filtres, pour qu'il soit plus facile de les tromper plus tard.

Je pense que votre suggestion de lui expliquer que les spammeurs achètent le même produit afin de trouver un moyen de le contourner est une réponse très convaincante! Je suis confronté à la même question depuis des années: pourquoi mon antivirus ne détecte-t-il pas le virus X?
+1 pour votre dernier paragraphe - Je vois pas mal de ces types de spam dans nos filtres, et je me suis toujours demandé à quoi cela servait.
Pourriez-vous inclure des preuves que les spammeurs empoisonnent les filtres afin qu'ils soient vulnérables aux futurs spams? J'ai supposé qu'ils devaient tester les filtres cibles ou obtenir une réponse directe.
@aitchnyu, il fait probablement référence à un courrier qui est formulé comme d'autres courriels légitimes - les gens cliquent sur le bouton de spam, et maintenant certains courriels légitimes sont captés par le filtre. Maintenant, si vous vous attendez à quelque chose d'important, vous ne pouvez pas adopter l'approche de suppression du spam détecté et obliger les gens à vérifier le dossier spam ...
Question Overflow
2014-10-14 19:08:56 UTC
view on stackexchange narkive permalink

La fonction principale d'un filtre SPAM est de bloquer tout ce qui ressemble à un SPAM. L’objectif d’un logiciel antivirus est de détecter et de supprimer tout ce qui possède la signature d’un virus (vers inclus) en fonction de la définition du virus installée. Les deux programmes fonctionnent différemment en fonction de heuristiques différentes.

Un e-mail qui ne ressemble pas à un SPAM peut contenir un virus. Vous ne pouvez pas raisonnablement vous attendre à ce qu'un filtre anti-spam effectue le travail d'un antivirus car ce n'est pas sa tâche principale. Et même avec un logiciel antivirus installé, ce n'est jamais une méthode infaillible pour éliminer toutes sortes de virus.

Si votre filtre anti-spam tient un journal des e-mails qui ont été bloqué, vous pourrez peut-être apaiser un peu votre client en montrant le bon travail invisible qu’il a accompli.

+1 pour cette dernière notion. Je reviens au client avec: "Désolé que l'un d'entre eux ait réussi, mais gardez à l'esprit que 2 567 983 ont été bloqués au cours des six dernières semaines; comme pour tout ce qui est humain, la prévention du spam est imparfaite et parfois un ordinateur ne peut pas raisonnablement déterminer quand quelque chose est un e-mail que vous voulez et lorsque quelque chose est du spam. Veuillez également noter que les filtres anti-spam sur le serveur ne sont pas des vérificateurs de virus: c'est le travail de l'AV sur votre ordinateur et, comme en témoigne, qui a effectué son travail comme prévu. Veuillez me laisser sachez si vous avez d'autres questions. "
GdD
2014-10-14 18:14:45 UTC
view on stackexchange narkive permalink

J'aime utiliser l'analogie d'une course aux armements car c'est un thème familier que les gens non techniques comprennent. Les analogies sont utiles pour expliquer des concepts comme celui-ci. Jetez également des statistiques. Enfin, utilisez des trucs pseudo-personnels pour leur donner l'impression que vous êtes dans le même bateau. Quelque chose comme celui-ci peut fonctionner:

Je comprends parfaitement votre frustration face au spam, je reçois moi-même au moins 30 spams par jour, et bien que presque tous soient capturés par les filtres anti-spam, il arrive que des spams passent et salissent ma boîte de réception. Le spam est une course aux armements où les spammeurs inventent de nouvelles façons de contourner les filtres créés par les entreprises de sécurité. Lorsqu'un filtre est mis à jour pour bloquer les derniers stratagèmes, les spammeurs se remettent au travail pour trouver un autre moyen de le contourner. Bien que les sociétés de sécurité soient intelligentes, les spammeurs le sont aussi, donc peu importe la qualité des filtres, certains spams vont passer. 130 milliards de spams sont envoyés chaque jour en utilisant des centaines de façons différentes pour tromper les filtres et même avec la meilleure technologie de certains des meilleurs esprits du secteur, certains y parviendront.

MoonPoint
2014-10-14 20:54:40 UTC
view on stackexchange narkive permalink

Un filtre anti-spam peut être créé pour bloquer tous les spams; on pourrait simplement avoir le filtre bloquer tous les e-mails entrants. Cependant, la plupart des utilisateurs trouveraient un tel filtre inacceptable, le défi est donc de trouver un équilibre entre le blocage des e-mails que les utilisateurs ne veulent pas recevoir, mais en même temps autorisant tous les e-mails qu'ils souhaitent recevoir. Si le filtre est très strict, il y aura probablement de faux positifs et les e-mails qu'ils considéreraient comme légitimes seront bloqués. Si un parent ou un ami de l'utilisateur envoie un e-mail présentant certaines caractéristiques typiques des messages de spam, un filtre strict peut le bloquer, tandis qu'un filtre avec des paramètres plus lâches peut le permettre.

Le filtre devrait-il donc être très strict ou moins strict? Différents utilisateurs peuvent avoir des opinions différentes sur la question. Certains peuvent préférer avoir des paramètres moins stricts afin qu'aucun e-mail légitime ne soit bloqué, mais cela signifie que plus de spam passe. Certains peuvent détester tellement le spam qu'ils sont prêts à échanger la possibilité que les e-mails légitimes soient bloqués en échange de moins de spam. Une entreprise traitant un grand nombre d'utilisateurs de messagerie peut avoir à choisir un niveau de filtrage modéré qui s'applique à tous les utilisateurs afin que certains spams passent, mais, espérons-le, entraînent peu de faux positifs. Mais il y a toujours un compromis entre le blocage du spam et les faux positifs qui bloquent les e-mails légitimes.

Et comme d'autres l'ont mentionné, les fournisseurs de spam essaient constamment de déjouer les filtres anti-spam. Par exemple, une méthode de détection de spam consiste à bloquer les e-mails qui correspondent exactement aux messages de spam connus. Après que les fournisseurs de services de messagerie aient commencé à comparer les e-mails entrants aux spams connus et à bloquer tous les e-mails dont le contenu correspondait au spam connu, les fournisseurs de spam ont juste commencé à insérer des mots aléatoires dans le corps de leur e-mail de spam, souvent dans un texte invisible aux utilisateurs en ayant la couleur le texte correspond à la couleur de l'arrière-plan du message, par exemple, du texte blanc sur fond blanc, de sorte que les filtres anti-spam ne puissent plus compter sur des correspondances exactes avec les messages de spam connus.

Et les utilisateurs doivent comprendre que le logiciel antivirus n'attrapera pas tous les virus dès leur publication par les développeurs de virus. Les développeurs de virus s'efforcent également constamment de déjouer les logiciels antivirus. Dans un communiqué de presse de décembre 2013, Kaspersky Lab, un fournisseur d'antivirus, a signalé que Kaspersky Lab détectait chaque jour 315 000 nouveaux fichiers malveillants. Ils ont indiqué que le nombre de l'année précédente était de 200 000. Si un utilisateur a la malchance d'être parmi les premiers à recevoir un fichier contenant un virus nouvellement développé, tous les fournisseurs d'antivirus peuvent ne pas être au courant de ce virus particulier au moment où il le reçoit et peuvent donc ne pas avoir de signature pour le virus dans leur Logiciel. Supposons que deux nouveaux virus soient publiés, x et y, le fournisseur d'antivirus A peut être conscient du virus x, mais pas y, tandis que le fournisseur d'antivirus B peut connaître y mais pas x. Si quelqu'un utilise le logiciel antivirus du fournisseur B, il peut être protégé du virus y, mais x peut passer et infecter son système, s'il n'est pas prudent et ouvre un fichier le contenant.

Si les réponses à propos de la «course aux armements» sont certainement valables, la réalité est, comme vous l’avez souligné, que le filtrage du spam est équilibré entre les faux positifs et les faux négatifs. Demandez au client: * "Ce que vous préférez traiter - un courrier indésirable passant de temps en temps ou un courrier professionnel important qui ne passe pas occasionnellement?" * La réponse sera presque toujours que tout le monde veut la perfection à 100%, car nous ne peut pas avoir cela, nous nous trompons du côté de laisser passer les choses afin de ne pas manquer les e-mails importants.
Sabre
2014-10-14 19:55:51 UTC
view on stackexchange narkive permalink

L'explication que j'ai toujours utilisée est l'analogie de "Pourquoi mon gilet pare-balles n'a pas arrêté cette balle?" C'est parce que pare-balles est un abus de langage, et que quelqu'un a simplement utilisé une balle conçue pour vaincre votre gilet pare-balles ;) La plupart des gens semblent comprendre que c'est un équilibre trop serré (faux positifs limitant le flux de messagerie) et trop lâche (flux de spam sur les ressources commerciales en circulation) et au mieux, il s'agit d'une cible MOVING.

Aucun paramètre ne détectera quelque chose lorsque quelqu'un peut automatiser le test de vos défenses au même rythme ou potentiellement plus rapidement que vos défenses ne peuvent s'adapter.

Ce sont des méthodes ultra strictes pour faire des choses comme supprimer toutes les pièces jointes, les mettre en file d'attente et les garder en quarantaine pendant x jours, mais elles sont plus PIA pour gérer que juste une bonne gestion du courrier et l'éducation des utilisateurs finaux ... C'EST la seule défense contre les tactiques d'escroquerie qui est même une défense décente, l'éducation des utilisateurs finaux.

Hugo
2014-10-14 17:30:21 UTC
view on stackexchange narkive permalink

Je pense que votre réponse est correcte.

Rien n'est à 100% à l'épreuve des balles. C'est pourquoi l'utilisateur doit avoir une certaine conscience et certaines connaissances pour comprendre quand et comment les choses semblent étranges et que faire ensuite. (cette dernière partie est oubliée et les gens ont tendance à trop faire confiance aux applications) C'est pourquoi ces situations se produisent, les gens découvrent que les applications ne sont pas efficaces à 100%. :)

Paraplastic2
2014-10-14 18:01:06 UTC
view on stackexchange narkive permalink

Vous aviez raison dans votre explication. En essayant de relayer la question, j'essaierais d'expliquer en termes moins techniques. Les non-techniciens n'aiment pas et auront du mal à comprendre les explications techniques. Alors essayez de les éviter. Surtout quand ils sont déjà bouleversés.

J'aime utiliser des voitures. Dans ce cas, les filtres anti-spam sont comme regarder une voiture. Un regard sur la voiture révélera la marque et le modèle. Donc quelque chose comme «ne pas autoriser les voitures GM» semble facile. Et si un mécanicien prenait la carrosserie d'une Ford et la mettait sur une voiture GM? La voiture GM ressemblerait à une voiture Ford et visuellement, elle serait autorisée. Des regards plus détaillés pourraient être faits par exemple en regardant le moteur ou l'intérieur. Cependant, le moteur et l'intérieur peuvent être personnalisés. Comment identifiez-vous un MJ alors que la plupart de ce qui pourrait être utilisé pour l'identifier pourrait être falsifié par un bon mécanicien?

Je suis assez nouveau ici, est-ce que voter sans raison est une chose courante? Je suis d'accord avec les gens qui votent mais j'aimerais savoir pourquoi afin de pouvoir améliorer les publications à l'avenir.
Sur cet échange de pile particulier? C'est assez rare, mais cela peut arriver. Peut-être que quelqu'un n'était pas d'accord avec l'analogie.
@LateralFractal C'est ce que je pensais. Oh bien. J'ai trouvé que les explications non technologiques étaient excellentes avec les ex seniors en particulier. Ils veulent que vous parliez leur langue. Habituellement, ils ne parlent pas de technologie.
Dropout
2014-10-15 17:47:09 UTC
view on stackexchange narkive permalink

Les filtres anti-spam ne sont pas efficaces à 100%, c'est un fait et vous l'avez dit correctement. Comme leur nom l'indique, ce sont des filtres , si quelque chose ne correspond pas au filtre, cela passe, mais c'est pourquoi plusieurs niveaux de sécurité sont utilisés lors de la réception d'un e-mail . Par conséquent, en cas d'échec, d'autres vérifications sont effectuées. Cette fois, il a été attrapé par le logiciel antivirus. Les gens aiment entendre parler de plusieurs niveaux de protection. En plus de cela, si le client comprend maintenant comment fonctionnent les filtres , vous pouvez lui dire que grâce au fait qu'il / elle a signalé le problème, vous pourrez ajuster les filtres afin qu'ils ne laissent plus via des e-mails similaires, rendant ainsi le système encore plus sécurisé.

user41341
2014-10-15 23:24:59 UTC
view on stackexchange narkive permalink

OH MAN, je suis content de ne plus avoir à gérer ces problèmes.

Je vous expliquerais comment fonctionne réellement un filtre anti-spam. En général, les filtres anti-spam ont un système de "notation" (celui fourni à notre société par Google fonctionnait de cette façon).

  • La note augmenterait si elle correspondait à des modèles connus
  • La note augmenterait si elle correspondait à des mots clés connus (de nombreux mots clés liés à la drogue, à la pornographie et aux programmes de phishing connus)
  • La note augmenterait si de nombreux e-mails présentant un modèle similaire ou identique étaient reçus système dans un court laps de temps
  • La note augmenterait si les pièces jointes correspondaient à des types de fichiers «à risque»
  • La note atteindrait immédiatement 100 si elle correspondait à une liste noire définie par l'entreprise ou par l'utilisateur

Les mises en garde importantes:

  • Il n'y a généralement pas d'anti-virus intégré à un filtre anti-spam
  • Si un filtre a un antivirus, aucun antivirus dans le monde n'a un taux de capture proche de 100%
  • Les filtres anti-spam fonctionnent en dehors de l'évaluation des risques, généralement un message n'est considéré comme du spam que si le risque est au-dessus d'un certain seuil. Le seuil de notre organisation était de 70/100.
  • Les filtres anti-spam construisent généralement des définitions par répétition, plus le message reçu est unique, plus le «risque» évalué est faible
  • Plus un message est «personnalisé» e-mail, plus il est unique, et donc moins le risque évalué

Les mises en garde VRAIMENT importantes (qui, espérons-le, s'appliquent):

  • Les filtres anti-spam ne sont pas 100% et jamais garanti
  • Votre entreprise fournit un filtrage anti-spam pour plus de commodité et rien de plus
  • Vos utilisateurs sont responsables du maintien de leur propre sécurité
Luc
2014-10-16 03:12:52 UTC
view on stackexchange narkive permalink

Tout le monde essaie d'expliquer la course aux armements, ce qui est vrai, mais il y a la logique très simple que si les filtres anti-spam étaient parfaits, alors le spam n'existerait plus car il n'est plus rentable. Et un spambox n'existerait pas parce que nous sommes sûrs à 100% de ce qui est du spam et de ce qui ne l'est pas, donc il pourrait aller directement à la poubelle sans atterrir d'abord dans un spambox.

Puisque même Gmail a un spambox et reçoit spam, il devrait être assez clair que, apparemment, même Google ne peut pas empêcher tout spam. Comment le client pourrait-il s'attendre à ce que vous fassiez mieux que cette entreprise de plusieurs milliards de dollars?

S'ils le demandent pour des raisons techniques, vous pouvez l'expliquer comme ceci (une autre alternative à la course aux armements): les gens sont spammés , le système détecte le modèle et le courrier indésirable sera bloqué. Mais lorsque le premier spam de ce type est arrivé (avant un million de messages identiques), le filtre anti-spam ne sait pas encore que celui-ci est du spam.

Il y a bien plus que cela bien sûr, mais c'est quelque chose à peu près tout le monde comprendrait.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...