GuardPuppy surveille chaque domaine créé sur Internet et identifie une opération malveillante — phishing, boutique frauduleuse, usurpation de marque — alors qu'elle est encore en cours d'assemblage. rspamd reçoit un verdict exploitable immédiatement. Dissimulé ou non.
Aucun contenu de message ne quitte votre réseau. L'intelligence arrive sous forme de symboles et de scores que rspamd sait déjà exploiter.
Un domaine malveillant est enregistré, construit et récolte des victimes en moins d'une heure. Les flux de réputation et les listes noires sont réactifs par nature : ils apprennent qu'un domaine est malveillant après que quelqu'un a déjà été touché. Face aux campagnes éclair — phishing, fausses boutiques, usurpation de marque — la fenêtre entre le premier email et le premier signalement est précisément là où les pertes se produisent.
Les opérations les plus sophistiquées vont plus loin : elles dissimulent. Le site affiche une page propre aux crawlers et scanners, et ne montre la charge utile qu'aux victimes sélectionnées — choisies par réseau source, appareil, locale, referrer et empreinte TLS. L'analyse de contenu seule ne peut même pas voir le problème qu'elle est censée détecter.
Le timing rend la situation critique : remplacer un filtre commercial de niveau opérateur par rspamd, c'est adopter un excellent moteur de scoring — mais rspamd n'est pas, en soi, un réseau mondial de renseignement anti-abus. La migration crée un trou de détection exactement là où ces attaques opèrent.
Chaque site malveillant — kit de phishing, fausse boutique, marque usurpée, dissimulé ou non — doit être construit. Domaines acquis, certificats émis, DNS configuré, emails préchauffés, redirecteurs déployés, infrastructure pivotée au fur et à mesure que la réputation brûle. Ce travail laisse une séquence d'événements observables dans le DNS, Certificate Transparency, SPF, l'hébergement et le comportement web — et il commence des heures avant que la première victime ne soit ciblée.
Le signal qui compte n'est pas « ce domaine semble inhabituel » — l'inhabituel est l'état normal de tout nouveau domaine SaaS, CDN ou marketing. Le signal qui compte est :
« La séquence de configuration de ce domaine ressemble à la séquence de pré-lancement d'opérations que nous avons déjà confirmées comme malveillantes. »
Un exemple concret de la séquence d'événements que nous observons et scorons, tiré d'un comportement de campagne confirmé.
Et quand l'opération dissimule — une page propre pour les scanners, la charge utile pour les victimes — nous rendons la page exactement comme la victime la verrait, et capturons la différence :
Observation des nouveaux domaines dès la première détection — chaque enregistrement, chaque modification, dès l'instant où le domaine existe.
Variations SPF, DNS, certificats et hébergement — modélisées comme indicateur avancé en corrélation avec les événements de liste noire.
Vérification adaptative multi-points de vue : rendre la page comme la victime la verrait, et comparer avec la vue crawler.
Le graphe de mémoire de campagnes : chaque opération confirmée, corrélée, pour que la suivante soit reconnue par sa séquence de mise en place.
Surveillance des marques protégées, chronologies d'attaques et preuves de retrait à valeur juridique pour les propriétaires de marques.
Le plugin ouvert : symboles, maps et consommation de flux. Ennuyeux à opérer — c'est précisément l'objectif.
Un opérateur peut changer d'autorité de certification, d'ASN ou de CDN en quelques minutes. Il est beaucoup plus difficile de changer l'ensemble du workflow opérationnel tout en maintenant l'échelle. Le workflow est l'empreinte.
Les kits de dissimulation séparent bots et victimes en se basant sur le handshake TLS client. Nous vérifions avec des piles TLS correspondant aux vrais navigateurs mobiles et desktop japonais — déjouant une classe d'évasion que les scanners par usurpation de User-Agent n'atteignent jamais.
Nous consommons le flux de logs CT en temps réel et croisons les nouvelles émissions avec le flux de nouveaux domaines, la détection de sosies et d'homoglyphes — capturant fréquemment un certificat d'usurpation de marque quelques minutes avant le lancement de la campagne.
Les opérateurs malveillants préparent en lots — même heure, même registrar, même chorégraphie de serveurs de noms, même timing de certificats. Nous scorons le groupe, pas seulement le domaine isolé, de sorte qu'une campagne illumine des dizaines de domaines apparentés d'un coup.
Quand la réputation brûle, les attaquants sont forcés de bouger — et cette agitation fuit à travers les éditions SPF, les changements de graphe d'includes et les déplacements d'hébergement. La vélocité de variation corrélée aux événements de liste noire est un signal que l'adversaire ne peut pas cesser de produire.
Les verdicts rspamd, les signalements de phishing des utilisateurs et les données de rebond alimentent le graphe de mémoire de campagnes. Plus de déploiements, plus de labels confirmés ; plus de labels, un meilleur modèle ; un meilleur modèle, un gain mesurable plus important. L'actif se compose plutôt que de se déprécier.
La première chose utile à faire n'est pas une démo générique. Envoyez-nous un échantillon de domaines malveillants qui ont ciblé vos clients récemment — phishing dissimulé inclus — et nous vous montrerons ce que les signaux d'historique d'infrastructure, de cohorte et de CT auraient rapporté avant que chaque campagne ne se déclenche, accompagné du taux de faux positifs mesuré sur un ensemble apparié de domaines légitimes.
Un gain mesurable par rapport au fournisseur sortant, démontré côte à côte via le scoring en shadow.
Un taux de faux positifs borné et audité sur les nouveaux domaines SaaS, CDN et marketing légitimes — traité comme la métrique de succès principale, pas comme une réflexion après coup.
Un dossier de preuves pour chaque verdict à haute confiance, adapté à la revue par un analyste et au retrait (takedown).
Des décennies de travail en sécurité email, lutte contre les abus et infrastructure Internet — exploitation continue de systèmes d'identité depuis 2006. Le pipeline de collecte, corrélation et vérification adaptative fonctionne sur une infrastructure existante : pas une feuille de route, un déploiement.
Ce site lui-même a été monté rapidement, délibérément. C'est un échantillon de la vitesse à laquelle des choses utiles peuvent être livrées.
Votre flux de nouveaux domaines est la première observation. rspamd est l'application — le premier point d'application, pas le seul. La couche manquante est la mémoire — et elle peut être testée sur vos propres données avant tout engagement.
