Créer un raccourcisseur d’url : protégez-vous des spammeurs

Il y’a quelques années j’ai développé un raccourcisseur d’url et j’ai pu constater qu’ouvrir ce type de service au public demande de vous armer (sérieusement) contre le spam au risque de vous faire blacklister par http://www.spamhaus.org/.

Ici, le spam consiste à créer des dizaines (des milliers en fait) d’url courtes menant toutes sur des sites de vente de produits plus ou moins licites.

Tout d’abord, il faut savoir que les spammeurs les plus « professionnels » utilisent des techniques très pointues pour vous berner comme par exemple l’usage de Botnets (des milliers de pc zombis du monde entier dirigés à distance par des pirates), l’utilisation de milliers de noms de domaines (ainsi que des milliers de sous domaines aléatoires), l’utilisation du Cloaking (dans le but de passer les vérifications automatiques de contenu)… Ect… La liste étant relativement longue.

Voici donc une petite liste non exhaustive des actions que j’ai pu tester / garder.

Vous pouvez donc, par exemple :

• Loguer toutes les demandes de raccourcissement (dans le but de détecter les comportements répétitifs, frauduleux ect) à posteriori.
• Développer un système de blacklisting « manuel » sur plusieurs niveaux (ip, nom de domaine, extension / tld). Notez bien que les adresses ip des spammeurs changent à chaque fois, en partie grâce à l’utilisation des Botnets.
• Développer un système de blacklisting automatique. D’une manière générale, bloquez les utilisateurs des pays de l’est si c’est possible (cette solution est très efficace).
• Permettre à vos utilisateurs de pouvoir vous alerter s’ils trouvent un lien « spammique ».
• Contrôler le contenu des pages ciblées / détecter certains mots (en utilisant cUrl et un parser de texte par exemple).
• Créer un système de licences d’utilisation (un code secret ou une authentification de type OAuth) pour un éventuel API.

Et vos ? Quelles techniques utiliseriez-vous ?