Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ».
La lutte antipourriel (anti-spam ou anti-spamming, ou antipollupostage) est un ensemble de comportements, de systèmes et de moyens techniques et juridiques permettant de combattre le pourriel (ou « spam », courriers électroniques publicitaires non sollicités).
L'intérêt de la lutte anti-spam
Autour de l'année 2000, le spam pouvait sembler inoffensif. En effet, la plupart des spammeurs utilisaient ce moyen afin de promouvoir des produits en tous genres (produits pharmaceutiques, faux diplômes, logiciels piratés, matériel pornographique, etc.). Or, avec le volume sans cesse croissant de spams transitant dans l’Internet (plus de 90 % des messages), et avec l’arrivée de types de spams plus pervers, tels l’hameçonnage, où la sécurité financière d’un individu est mise en péril, il est devenu très important de se prémunir contre cette nuisance.
A priori, les « spammeurs » peuvent sembler assez « sots » de passer leur temps à envoyer des millions de courriels chaque jour, jour après jour. Il n'en est rien. L'industrie du spam est très florissante, et il est facile de se faire beaucoup d'argent en peu de temps : le coût d'un courriel est pratiquement nul et un faible, même très faible, taux de retour suffit à assurer la rentabilité du projet.
Rester anonyme
Pour éviter de recevoir du spam, les internautes font souvent figurer leurs adresses email d'une manière masquée lorsqu'elle doit apparaitre dans un site web ou dans Usenet. Par exemple :
Mais cette méthode est aussi déconseillée car rien n'interdit au spammeur de faire un traitement d'enlèvement des drapeaux les plus communs (NOSPAM, AT, chez etc.).
Une autre méthode consiste à encoder son adresse avec un algorithme quelconque (par exemple, remplacer chaque lettre par la suivante dans l'alphabet), et d'insérer dans la page une fonction javascript qui décode. Ainsi rien ne change pour l'internaute qui peut toujours cliquer sur le lien « envoyer un mail », mais l'adresse n'apparaît pas en clair dans la page. Jusqu'ici, les arroseurs n'exécutent pas le code javascript avant de chercher les adresses (trop long, plus complexe, etc.).
Une autre méthode consiste à encoder son adresse en caractères hexadécimaux par exemple : &X02&X36... Cela ne sera pas détectable par les robots qui parcourent les pages web parce que la plupart n'ont pas de moteur de rendu (interprétation du code source comme un navigateur web : internet explorer, firefox, etc.), ils lisent juste des caractères alphanumériques sans les détecter en tant qu'adresse email. Il est par exemple possible de faire cela avec du JavaScript exécuté dans le navigateur (Système hexadécimal, Base64, etc.), ou bien directement en PHP qui est exécuté côté serveur.
Enfin, on peut choisir de communiquer son adresse par une image, ainsi on ne pourra pas la récupérer « facilement » par un robot. Pourvu que cette image soit étirée et maquillée afin qu'un logiciel de reconnaissance de caractères (OCR) ne puisse reconstituer votre adresse (sur le même principe qu'un captcha). Cette dernière méthode est considérée comme la plus sûre, bien qu'elle ait pour inconvénient majeur de la rendre très difficile à lire pour des personnes ayant un handicap visuel.
La méthode la plus sûre est sans doute de ne pas divulguer son adresse personnelle sur le Net, lieu public par excellence, mais de la communiquer seulement à vos amis et à vos proches, ou bien encore d'utiliser un formulaire de contact sécurisé. Et encore, certaines applications populaires utilisées par vos correspondants accèdent à leur carnet de contact et récoltent les adresses pour vous démarcher ou les partager à des partenaires. De plus, les serveurs des plateformes (messagerie, réseaux sociaux, etc.) peuvent parfois être hackés (voir la liste des fuites de données(en)).
Avoir un système à jour
Les spammeurs font en outre preuve d'ingéniosité lorsqu'il s'agit de trouver de nouvelles techniques de spam, et de déjouer les systèmes anti-spams existants. En fait, les spammeurs et leurs adversaires rivalisent d'astuce pour déjouer les techniques de l'autre partie, d'où l'importance de garder son système de protection à jour : plus souvent le système est mis à jour, plus il est efficace, et le nombre de faux-négatifs s'en trouve diminué. Pour centraliser cette démarche, certains systèmes d'exploitation et suites logicielles de sécurité intègrent une gestion des mises à jour de la plupart des logiciels présents sur la machine. Dans le cas contraire, il est recommandé d'installer un gestionnaire de paquets ou un magasin d'applications, tels que WAPT ou F-Droid.
Plusieurs techniques de lutte contre le spam sont possibles et peuvent être cumulées : filtrage par mots-clés ou par auteur, analyse statistique (méthode bayésienne), listes blanches (désignation de personnes ou de machines autorisées à publier dans certains lieux), listes noires (désignation de personnes ou de machines auxquelles il est interdit de publier dans certains lieux), interrogation en temps réel de serveurs spécialisés dans la lutte contre le spam.
Ces techniques de lutte doivent s'adapter en permanence, à la manière des logiciels antivirus, car de nouveaux types de spams apparaissent continuellement et réussissent à contourner ces défenses.
Méthodes d'analyse et de filtrage à la réception
Bien que souvent différentes en matière d'utilisation, d'implantation et de coût, les solutions de lutte anti-spam par filtrage utilisent sensiblement les mêmes techniques pour distinguer le spam du courrier légitime. Ces techniques peuvent être mises en œuvre soit au niveau des fournisseurs de service Internet qui protègent leur messagerie, soit au niveau des utilisateurs par des outils appropriés (filtres anti-spams). Le filtre est souvent implanté au niveau du MTA (Mail Transfer Agent) récepteur du courriel.
Ces techniques peuvent être préventives (marquage du courrier pour indiquer qu'il s'agit de courriers indésirables) ou curatives (blocage, voire renvoi des messages incriminés vers l'expéditeur). Cette dernière comporte des inconvénients puisque le destinataire doit pouvoir être maître des courriers qu'il souhaite recevoir. De plus renvoyer un message peut aggraver la situation en occupant un peu plus le réseau, avec de fortes probabilités que l'auteur du spam ait maquillé sa véritable adresse ou utilisé l'adresse d'un tiers (tout à fait innocent) comme adresse de retour. De plus, cette façon de faire indique au spammeur que l'adresse visée est bien active, ce qui augmente bien souvent les envois.
Ces outils peuvent être divisés en deux groupes : le filtrage d'enveloppe, et le filtrage de contenu. L'en-tête du courriel constitue les informations de base de ce dernier : expéditeur, destinataire, copie conforme, copie conforme invisible, date d'envoi, serveur source, sujet. Le contenu du message est le message en tant que tel : texte, images, code HTML, etc.
Filtrage d'enveloppe
Ce type de filtrage s'applique uniquement à l'enveloppe du message, qui contient souvent assez d'informations pour pouvoir distinguer un spam. Il ne s'attache pas au contenu du courriel.
Cette technique présente l'avantage de pouvoir bloquer les courriels avant même que leur corps ne soit envoyé, ce qui diminue grandement le trafic sur la passerelle SMTP (puisque le corps du message est envoyé après que l'en-tête a été reçu et accepté). De plus, le taux de faux positifs dans ce type de filtrage est quasiment nul : lorsqu'un filtre d'enveloppe a identifié un courriel comme du spam, il se trompe rarement.
Filtrage de contenu
Les filtres de contenu analysent le contenu des messages et détectent les spams qui ont réussi à passer à travers le filtre d'enveloppe. Le filtrage de contenu est un peu plus sensible que le filtre d'enveloppe : après tout, les informations véhiculées à travers le message sont subjectives, et ce qui peut paraître un spam selon le filtre de contenu peut être un courriel tout à fait légitime (typiquement, un médecin urologue pourra considérer comme souhaitable un message à propos de médicaments contre l'impuissance sexuelle masculine ; c'est ce que l'on appelle un faux positif), et l'inverse est aussi vrai (faux-négatif). Le filtrage de contenu peut se développer en plusieurs couches. Par exemple, le filtre peut faire appel à un logiciel antivirus, à un désarchiveur pour analyser les fichiers archivés s'il y a lieu, à un analyseur bayésien (voir plus bas), et ainsi de suite.
Au-delà de ces deux grandes catégories, il est possible d’affiner en techniques spécifiques.
Intégrité SMTP
Les courriels transitant grâce au protocole SMTP, une grande quantité de normes ont été définies pour ce protocole (RFC5321), que les spammeurs omettent souvent de respecter. Par exemple, le nom serveur qui envoie le courriel doit être, préférablement, pleinement qualifié (FQDN) (exemple : mail.domaine.com), règle que les spammeurs ne suivent pas toujours. De même, certains spammeurs usurpent le serveur d'envoi en faisant croire au filtre que le message vient d'un serveur connu (127.0.0.1, par exemple). Un bon filtre est capable de détecter ces usurpations. Autre exemple : certains spams n'émettent pas de bannière de présentation (HELO), ce qui est pourtant exigé dans les normes SMTP. Ces tests sont laissés à la discrétion du filtre et de l'administrateur système, qui décide quelles sont les règles pertinentes pour son serveur de messagerie. Les règles d'intégrité SMTP sont souvent très efficaces, car, pour les spammeurs, elles agissent comme inhibiteurs de performance (elles ralentissent les envois). Or, un spammeur a intérêt à être le plus performant possible et il peut être très payant pour lui de passer outre ces règles.
Le filtrage bayésien du spam (du mathématicien Thomas Bayes) est un système fondé sur l'apprentissage d'une grande quantité de spams et courriels légitimes afin de déterminer si un courriel est légitime ou non. Afin de bien fonctionner, le corpus de spam et le corpus de ham (courriels légitimes) doivent contenir idéalement plusieurs milliers de « spécimens ».
Le message à identifier est découpé en morceaux (souvent réduits à de simples mots) qui sont comparés à tout le corpus de courriels (spams ou non), pour déterminer la fréquence des différents morceaux dans les deux catégories. Une formule probabiliste est utilisée afin de calculer la probabilité que le message soit un spam ou non. Lorsque la probabilité est suffisamment élevée, le système bayésien catégorise le message comme du spam. Sinon, il le laisse passer. Le seuil de probabilité peut être défini par l'administrateur système : il s'agit de trouver le seuil le plus efficace.
Cette méthode est très limitée car elle se base sur le rejet ou le tri du courrier en fonction de règles de vocabulaire préalablement établies, définissant des mots comme interdits. Certains mots-clés revenant souvent dans les spams, tels que « sexe », « viagra » ou « money » pourront servir de base pour la constitution de ces règles. De même on pourra décider de bloquer tous les messages en provenance d'un expéditeur précis, d'un domaine spécifique, voire d'un pays entier.
Cette méthode engendre de forts taux d'erreur et s'avère peu efficace lorsque les spammeurs maquillent les mots utilisés (« vi@gr@ », « s3x », etc.). Elle redevient plus pertinente si elle utilise des expressions rationnelles.
Filtrage par expressions rationnelles
Une expression rationnelle (appelée souvent « expression régulière » en informatique) est un motif que l'on peut appliquer à une chaîne de caractères afin de voir si ladite chaîne correspond au motif (par exemple : un chiffre suivi de trois lettres suivi d'un d'espace, puis d'un chiffre pourrait s'écrire de cette manière : /^[0-9]{1}[A-Za-z]{3} [0-9]{1}$/). En utilisant des expressions rationnelles afin de trouver des variations de mots « sensibles », on augmente les chances de découvrir des spams. Par exemple, si un spammeur tente de déjouer un filtre de mots-clés en utilisant le mot « viiaaagraa », l'expression rationnelle /^vi+a+gra+$/i (un « v » suivi d'un ou plusieurs « i » suivi d'un ou plusieurs « a », suivi d'un « g », d'un « r », et de un ou plusieurs « a », sans se soucier de la casse) permet de retrouver le mot. Évidemment, cet exemple est très simple, mais les expressions rationnelles complexes permettent de détecter des expressions et des déclinaisons beaucoup plus subtiles et sophistiquées.
Le filtrage heuristique teste le contenu du message (par exemple, quelle proportion de code HTML, d'images, de références à la pornographie, à l'acquisition facile d'argent contient-il par rapport au reste du message ? le sujet est-il vide ? L'identificateur du message (Message-ID) contient-il des signes « dollar » (souvent utilisés par les logiciels d'envoi de spam)). Chaque test donne un nombre de points (plus le total est bas, mieux c'est ; moins le message est considéré comme du spam). Le seuil de points reste arbitraire et défini par l'administrateur système qui doit trouver le score donnant le meilleur équilibre entre le nombre de faux positifs et de faux-négatifs[1].
Analyse de virus et de pièces jointes
Les courriels possèdent souvent des pièces jointes, et celles-ci peuvent contenir des virus. Il est donc important d'avoir, dans le processus de tri des messages, un antivirus. Souvent, les filtres de contenu en ont un intégré. Par exemple, il n'est pas rare de voir associer SpamAssassin et ClamAV.
Les images
Les images sont une des difficultés majeures qu'ont à affronter les filtres de contenu. En effet, il est pratiquement impossible de déterminer si l'image est légitime ou non (souvent, les spammeurs utiliseront des images afin de camoufler du texte). Une des techniques pour déterminer, à partir d'une image, si le courriel est légitime ou non, est de regarder le nombre d'images dans le courriel et de voir comment elles sont placées dans le message. Cela peut être un bon indice de la nature du message. Par ailleurs, il est possible de générer une somme de contrôle sur l'image et de la comparer avec d'autres sommes de contrôle disponibles sur Internet (un peu à la manière des RBL). Cela permettra au système de vérifier si l'image a déjà été utilisée dans un spam et de classer le courriel en conséquence. (voir aussi Spam image)
RPD (« Recurrent Pattern Detection »)
La technologie RPD, Recurrent Pattern Detection ou « Détection des signatures récurrentes » en français, est une technologie qui se base non pas sur le contenu des courriels, mais sur leur taux de propagation sur l’ensemble du réseau Internet. Grâce à des serveurs basés un peu partout dans le monde, il est en effet possible de déterminer très rapidement si un courriel est un spam en vérifiant de manière centralisée le nombre de fois où ce même courriel aura été envoyé sur la toile. Si par exemple le même courriel a été envoyé en 100 000 exemplaires en même temps, il s’agira forcément d’un spam.
Méthodes consistant à rendre l'envoi du spam difficile
Filtrage de serveur expéditeur
Ce type de filtrage permet de bannir des adresses courriel, des domaines, ou des serveurs. Ainsi, tout message provenant d'éléments de la liste noire sera bloqué par le système anti-spam. Ces éléments de liste sont très souvent définis par un administrateur système qui, par expérience, est en mesure de déterminer les sources les plus communes de spam. Cette technique a pour caractéristique de n'être pas limitée qu'au spam dans le sens pur et dur du terme : elle peut également bloquer des sources de courriel légitime, si l'administrateur système les considère comme nuisibles. Évidemment, ce type de filtrage est hautement subjectif et dépend du bon vouloir et de l'assiduité de la personne créant la liste.
RBL
Les Realtime Blackhole List (RBL) ont comme mandat de fournir une liste de serveurs réputés comme grands envoyeurs de spams, et de lister les grands spammeurs. Il s'agit en fait d'une grande liste noire généralisée. Le principe d'utilisation est simple : lorsqu'un filtre reçoit un courriel, il vérifie si le serveur d'envoi est contenu dans un RBL. Si oui, le courriel est catégorisé comme spam.
Cette méthode contient donc son lot de controverses, car certains RBL sont réputés pour être plus efficaces que d'autres. Leur choix influence donc directement l'efficacité du système antispam. De plus, certains RBL ont des règles plus souples que d'autres quant à l'ajout d'un serveur dans leur liste, compliquant encore plus la situation. Pour pallier ce problème on peut consulter plusieurs RBL et ne bloquer une source que si elle est présente dans deux listes.
SPF (« Sender Policy Framework »)
SPF (Sender Policy Framework) se base sur la zone DNS d'un domaine pour fonctionner. Le détenteur d'un domaine ajoute, dans la zone DNS de ce domaine, un enregistrement de type TXT qui indique quelles sont les machines autorisées ou non à envoyer du courriel pour le domaine. Ainsi, si mail.domainea.com est le seul serveur autorisé à envoyer du courriel pour domainea.com, ce sera spécifié dans l'enregistrement TXT. Pour fonctionner correctement, le support SPF doit être activé sur le filtre antispam. Le système vérifie que le serveur envoyant le courriel est bien dans la liste des serveurs autorisés. Sinon, il s'agit d'un spam.
La liste grise est un terme utilisé pour décrire une technologie antispam (antispam) particulièrement efficace, qui fonctionne selon ce principe : selon les normes définies dans le RFC 5321[2], lorsqu’un serveur de réception de courriel (dans ce cas-ci, le serveur qui reçoit le courriel, sur lequel le filtre de courriel est activé) ne peut traiter la réception d’un message (par exemple, s’il est indisponible), il doit retourner un code d’erreur 421. Ce code d’erreur indique au serveur qui envoie le message d’attendre et de réessayer l’envoi un peu plus tard. Ce délai est défini dans la configuration du serveur expéditeur du message (ou Mail Transfer Agent). Tout MTA légitime respecte cette règle. Les MTA non légitimes (utilisés par les spammeurs) ne le font pas car cela leur fait perdre de l’efficacité : le MTA continue donc son envoi de courriels (il passe au prochain destinataire) sans attendre pour ré-envoyer le courriel actuel.
Les experts de la sécurité du courriel ont donc envisagé une méthode exploitant cette particularité : la liste grise. Celle-ci fonctionne avec une base de données. Chaque enregistrement de la base de données constitue un triplet composé de l’adresse IP du serveur qui envoie le courriel, de l’adresse courriel de l’expéditeur, et de l’adresse courriel du destinataire, formant ainsi une clé unique. Est aussi stockée dans la base la date de la première connexion du triplet au serveur. Lorsqu’un message est reçu par le serveur de courriel du destinataire, ce dernier vérifie dans sa base l’existence du triplet.
Si le triplet n’est pas dans sa base de données, il l’ajoute avec la date actuelle. Il renvoie ensuite le code d’erreur 421, indiquant au serveur qu’il devra ré-envoyer le message.
Si le triplet est déjà dans la base de données, le serveur vérifie le délai entre la date courante et celle stockée dans la base (la date de la première connexion). Si le délai est supérieur ou égal à un délai prédéfini (par exemple, 5 minutes), le message est accepté. Sinon, le serveur retourne un numéro d’erreur 421.
Après un certain temps (défini également dans l’enregistrement), l’enregistrement devient inactif et le serveur doit ré-envoyer un 421 (on peut supposer que l’enregistrement est détruit). Ainsi, lorsque le MTA envoyeur reçoit le 421, s’il est légitime, il attendra avant de ré-envoyer le message. Sinon, il n’attendra pas et ne le ré-enverra pas.
Cette technique permettait d’atteindre des taux d’efficacité très élevés, de l’ordre de 99 %[3] quand elle a été proposée en 2003, puisque la très grande majorité des spammeurs préfère sacrifier un courriel plutôt que d’attendre et ainsi, diminuer leur performance. Actuellement l’efficacité est moins importante (~80-90 %) à cause de l’augmentation de l’utilisation des webmails (des vrais serveurs de messagerie), par les spammeurs, pour distribuer les spams.
Cette méthode a également un effet secondaire inattendu : elle est relativement efficace pour supprimer les vers utilisant la messagerie pour se propager. C’est une qualité partagée par les méthodes de filtrage dite « protocolaires », telles la limitation de cadences, les RBL et les listes de réputation.
Cette technique a aussi l’avantage d’être très facile à mettre en place. Toutefois, un administrateur système doit se demander s’il est prêt à accepter des délais (même si ce n’est qu’une seule fois) dans la réception des courriels.
Captcha
Dans les méthodes à base de captcha, l'expéditeur d'un courriel doit prouver son « humanité » en recopiant un mot affiché sous forme d'une image, un captcha. Un robot spammeur ne saura pas recopier ce mot alors qu'un humain pourra le faire très facilement et sera alors autorisé une fois pour toutes à écrire à son correspondant.
Les sociétés distribuant des solutions à base de captcha proclament « une solution qui élimine 100 % des spams ».
L'intérêt de cette solution est contesté par des organismes officiels chargés du développement et la définition des normes d'Internet. L'ASRG (groupe de travail sur le spam de l'IRTF - Internet Research Task Force) attribue plutôt un niveau d'efficacité moyen pour un haut niveau de nuisance et considère que cette méthode présente les mêmes inconvénients des méthodes dites « Challenge-Réponse »[4]. Le consortium W3C (organisme de définition des normes WWW) ainsi que l'American Conseil for the Blind soulèvent les problèmes d'accessibilité pour les personnes avec déficiences visuelles[5],[6].
En France, la loi no 2005-102 du pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées, fait de l’accessibilité une exigence pour tous les services de communication publique en ligne de l’État, des collectivités territoriales et des établissements publics qui en dépendent. Ainsi, le Référentiel général d'accessibilité des administrations indique à propos des captchas graphiques qu'« il est nécessaire d'étudier si le problème amenant à leur utilisation ne peut être résolu autrement (détection automatique des spams, test heuristique) » et, le cas échéant, impose la présence d'alternatives en application de la norme d'accessibilité WCAG2.0[7].
Priorité des enregistrements MX
Lors de la définition de la zone DNS pour un domaine, il est possible de définir un enregistrement MX (Mail EXchanger), qui spécifie quel est le serveur responsable de la gestion du courriel pour ledit domaine. Il est possible de définir plusieurs enregistrements MX, de sorte que si l'un tombe, un autre pourra prendre le relais. À chaque enregistrement est associé un nombre indiquant une priorité (exemple, 10, 20, 30, 100, 200, etc.). Les MTA sont tenus d'envoyer leur courrier au serveur le plus prioritaire (celui qui a le nombre le plus bas). De fait, il est tout à fait normal que le serveur ayant la plus haute priorité soit le plus sollicité. Ainsi, c'est souvent lui qui sera le plus sécurisé (les autres le seront souvent moins). Les spammeurs ont vite fait de découvrir cette situation et il n'est pas rare que les spams soient envoyés au serveur ayant la plus faible priorité (le nombre le plus élevé). Ces serveurs étant souvent moins protégés, la probabilité qu'un spam passe est donc plus élevée. Pour contrer ce problème, il est fortement conseillé de protéger tous ses MX de la même manière. De plus, il est possible de déjouer les spammeurs en spécifiant dans le MX le plus élevé un serveur factice. Plus spécifiquement, ce serveur pourrait rejeter toutes les connexions, et donc, toutes les tentatives de spams se rendant au serveur seraient déjouées.
Rendre les courriels payants
Mettre un prix sur l'envoi de courriels, symbolique pour les envois légitimes mais dissuasif pour les envois massifs (à 2 centimes d'euros par courrier, celui-ci reste toutefois du même ordre de coût pour l'expéditeur qu'une publicité radio ; or elle peut être « bien mieux ciblée » selon l'endroit où a été récoltée l'adresse). Et à 20 centimes d'euros il sera nécessaire de mettre une franchise sinon c'est l'accès à l'envoi de courrier pour le particulier au budget le plus serré qui commence à s'estomper.
Dans les forums Internet et Usenet, ainsi que sur les listes de diffusion, on a souvent recours à la modération : une personne de confiance (« modérateur ») lit les messages dont la publication est proposée, et refuse éventuellement de les diffuser (modération a priori) ; ou bien cette personne lit les messages qui ont déjà été diffusés, et efface ceux qui lui semblent hors de propos (modération a posteriori). Comme cette méthode nécessite des moyens humains importants, et que de plus les modérateurs sont souvent accusés (de censure) à outrance, il existe aussi une modération par robot (généralement appelée « robot-modération ») : n'importe qui peut publier un message par l'intermédiaire du robot, même si cet article est dépourvu d'intérêt (et même s'il constitue effectivement un pollupostage), mais le robot ne laisse passer le message que s'il répond à un critère simple et connu de tous, comme la présence d'un certain mot dans son titre. Cette protection est surtout efficace contre les robots qui émettent automatiquement des messages identiques dans des dizaines de forums, et qui n'ont pas été programmés pour produire des messages conformes aux exigences spécifiques de tel ou tel forum.
Lutte judiciaire et législative
En France, le spam est réglementé, d'autant plus qu'il implique la possession, la conservation (et souvent le commerce) de listes d'adresses électroniques récupérées automatiquement (dans des forums de discussion, des sites Web), ce en contradiction avec la loi informatique et libertés.
Théoriquement, une loi impose l'accord des destinataires pour tout type d'envois comportant le nom d'une personne physique. Dans la pratique, les entreprises pratiquant ce genre de commerce ont des réponses « types » pour se déresponsabiliser : soit l'utilisateur a cliqué par erreur sur un bouton, soit il n'a pas répondu comme il le fallait à une question, voire, la liste a été louée à X ou Y.
Dans la loi française, le fait d'envoyer du spam vers une personne morale (une société par exemple) n'est pas condamnable.
Aux États-Unis, le pollupostage est réglementé depuis 2003 par un texte de loi appelé le « CAN-SPAM Act ». Elle autorise les spams, à condition que le sujet du courriel soit descriptif, que l'adresse d'expédition soit valide et qu'une méthode de désinscription (hyperlien) soit fournie.
Dans de nombreux pays, aucune réglementation spécifique au spam n'existe.
si on utilise une fausse adresse de retour et cette adresse appartient à quelqu'un d'autre, cela peut être considéré comme une usurpation d'identité ;
si on promeut une action de compagnie en bourse, on peut être accusé de pratiquer le courtage boursier sans licence ;
si on continue à utiliser un serveur après que son propriétaire ait demandé à la cour une injonction de désistement, c'est du vol de temps de processeur d'ordinateur qui peut être interdit par des lois conçues pour arrêter d'autres attaques contre les systèmes informatiques ;
si on fait la promotion de produits médicaux, on risque d'être trouvé coupable de pratique de pharmacien, médecin ou infirmière sans licence ;
l'envoi de publicités pornographiques vers des boîtes aux lettres d'enfants ne sera pas une bonne idée ;
si on commet d'autres délits, comme la fraude ou le sabotage des pages Web ou sites informatisés, on peut se retrouver en prison ;
l'envoi de spams peut être considéré comme un vol et/ou une tentative d'intrusion dans un système informatique. C'est ce qui permet aux autorités de la Chine d'appliquer théoriquement la peine de mort physique contre les spammeurs.
L'emprisonnement est rare mais cela arrive : Dave Rhodes, qui envoyait des arnaques du genre Ponzi ou « pyramide » intitulées « Make Money Fast » au début des années 1990, se retrouva en prison pour quelques années, déclaré coupable de fraude.
La république populaire de Chine a déjà condamné à mort et exécuté des personnes coupables d'envoi de spams. La base judiciaire utilisée est la requalification du délit en crime d'espionnage.
Le plus souvent, les poursuites judiciaires qui se sont déjà déroulées étaient des procès civils coûteux amorcés par les grands fournisseurs comme AOL ou Yahoo! contre les spammeurs les plus abusifs du réseau, ceux qui envoient des millions de courriels. Le site cyberpromo.com a dû fermer ses portes à cause de poursuites judiciaires de ce genre et à cause de difficultés à trouver un fournisseur d'accès à Internet prêt à donner l'accès au réseau à une telle compagnie.
Comme le problème est international, les lois nationales ont assez peu d'effet sur le volume du pollupostage.
Finalement, 2005 est une année charnière en ce que les condamnations se sont multipliées. Plusieurs spammeurs américains ont été arrêtés, condamnés et emprisonnés. Les amendes s'élèvent à plusieurs dizaines ou centaines de milliers de dollars et les peines de prison peuvent atteindre plus d'un an.
En France aussi, quelques condamnations ont eu lieu en 2005 avec plus ou moins de publicité.
En France, depuis 2007 il existe la plate-forme nationale de signalement : Signal Spam. Concernant le spam sur téléphones mobiles (par SMS), le service 33700 a été ouvert en 2008.
Certains attribuent une relative baisse du volume de pollupostage observé à ces actions sans qu'il soit possible de le confirmer encore.