Identification de la source d'un virus mail

Herend wrote:

Bonjour,

J'aimerai savoir si l'on peut faire confiance à l'entête d'un mail pour
déterminer l'origine d'un virus.
L'enveloppe oui (et encore) l'entête certainement pas !

Cela appartient au données au sens SMTP ce sont donc des informations ...
aisément falsifiables.

db

Merci pour votre précieuse aide! ;-)

Plus en détails, si je trouve l'entête suivante, puis-je être sûr que la
personne infectée est abonnée chez Free.fr(=proxad.net)?

Return-Path: <XYZ@serveur.com>
Delivered-To: online.fr-moi@free.fr
Received: (qmail 6067 invoked from network); 7 Jun 2004 20:36:46 -0000
Received: from lns-vlq-23-82-255-99-63.adsl.proxad.net (HELO free.fr)
(82.255.99.63) by mrelay3-2.free.fr with SMTP; 7 Jun 2004 20:36:46 -0000
From: XYZ@cgey.com
To: moi@free.fr
Subject: that's not the truth?
Date: Mon, 7 Jun 2004 22:36:43 +0200
MIME-Version: 1.0
Content-Type:
multipart/mixed;boundary="----=_NextPart_000_0012_00003D00.00006E88"
X-Priority: 3
X-MSMail-Priority: Normal

--
email : usenet blas net

Au risque de paraître idiot...
1) Quelle est la différence entre enveloppe et entête?
2) Si celles-ci sont plus fiables, comment afficher les informations de
l'enveloppe?

Merci!

Pou info, je suis abonné chez Noos mais mon compte mail est chez Free (accès
web + Outlook Express).

"db" <nospam@spam.int> a écrit dans le message de
news:40c64133$0$26911$626a14ce@news.free.fr...

Herend wrote:

Bonjour,

J'aimerai savoir si l'on peut faire confiance à l'entête d'un mail pour
déterminer l'origine d'un virus.
L'enveloppe oui (et encore) l'entête certainement pas !

Cela appartient au données au sens SMTP ce sont donc des informations ...
aisément falsifiables.

db

Merci pour votre précieuse aide! ;-)

Plus en détails, si je trouve l'entête suivante, puis-je être sûr que la
personne infectée est abonnée chez Free.fr(=proxad.net)?

Return-Path: <XYZ@serveur.com>
Delivered-To: online.fr-moi@free.fr
Received: (qmail 6067 invoked from network); 7 Jun 2004 20:36:46 -0000
Received: from lns-vlq-23-82-255-99-63.adsl.proxad.net (HELO free.fr)
(82.255.99.63) by mrelay3-2.free.fr with SMTP; 7 Jun 2004 20:36:46 -0000
From: XYZ@cgey.com
To: moi@free.fr
Subject: that's not the truth?
Date: Mon, 7 Jun 2004 22:36:43 +0200
MIME-Version: 1.0
Content-Type:
multipart/mixed;boundary="----=_NextPart_000_0012_00003D00.00006E88"
X-Priority: 3
X-MSMail-Priority: Normal

--
email : usenet blas net

db, in <40c64133$0$26911$626a14ce@news.free.fr> :

Merci pour votre précieuse aide! ;-)

Plus en détails, si je trouve l'entête suivante, puis-je être sûr que la
personne infectée est abonnée chez Free.fr(=proxad.net)?

Return-Path: <XYZ@serveur.com>
Delivered-To: online.fr-moi@free.fr
Received: (qmail 6067 invoked from network); 7 Jun 2004 20:36:46 -0000
Received: from lns-vlq-23-82-255-99-63.adsl.proxad.net (HELO free.fr)
(82.255.99.63) by mrelay3-2.free.fr with SMTP; 7 Jun 2004 20:36:46 -0000
[...]

L'enveloppe oui (et encore) l'entête certainement pas !
Cela appartient au données au sens SMTP ce sont donc des informations ...
aisément falsifiables.

Taratata ! Et tu la trouves où l'enveloppe ? Les IP dans les en-têtes
restent des informations fiables (pas les noms DNS ni HELO ou EHLO),
tant qu'on vérifie l'enchaînement des serveurs dans les champs
Received. Ici il n'y a qu'un Received contenant une IP (c'est le cas
avec tous les virus que j'ai vu jusqu'à aujourd'hui), donc pas de
problème. L'IP d'origine est bien 82.255.99.63, il faut juste vérifier
qu'elle appartient bien à Free par un nslookup ou un whois (voir
www.samspade.org).

Merci de répondre en-dessous des citations et de les réduire au
minimium nécessaire.

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)

Stephane Faure, in <MPG.1b3bc9ca7814ae5898a96c@news.free.fr> :

Ici il n'y a qu'un Received contenant une IP (c'est le cas
avec tous les virus que j'ai vu jusqu'à aujourd'hui),

Ma parole, y'a quelqu'un qui me lit sur ce forum et qui me répond par
virus interposé ! Je viens de recevoir un bounce m'indiquant un
mail-loop, avec ces en-têtes dans le message rejeté :

============================================================== Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 16:06:29 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HF6PF00630;
Thu, 17 Jun 2004 16:06:26 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:55:31 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HEtSF12032;
Thu, 17 Jun 2004 15:55:28 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:44:28 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HEiRF23913;
Thu, 17 Jun 2004 15:44:27 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:33:27 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HEXPF03463;
Thu, 17 Jun 2004 15:33:25 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:22:24 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HEMMF14365;
Thu, 17 Jun 2004 15:22:23 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:12:18 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HECHF28554;
Thu, 17 Jun 2004 15:12:17 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:12:16 +0100
Received: from cds01.CIRCDATA.COM (cir002-19104-net-adsl-
02.altohiway.com [213.83.124.98] (may be forged))
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HECEF28450;
Thu, 17 Jun 2004 15:12:15 +0100
Received: from spool.altohiway.com ([195.12.4.244]) by
cds01.CIRCDATA.COM with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 17 Jun 2004 15:12:13 +0100
Received: from mailsrv.hiway.co.uk (root@mailsrv.hiway.co.uk
[195.12.1.3])
by spool.altohiway.com (8.11.6/8.11.6) with ESMTP id
i5HECCF28373;
Thu, 17 Jun 2004 15:12:13 +0100
Received: from rvqgee.fr (AGrenoble-203-1-17-225.w81-
248.abo.wanadoo.fr [81.248.35.225])
by mailsrv.hiway.co.uk (8.12.10/8.12.10) with SMTP id
i5HEC714015449;
Thu, 17 Jun 2004 15:12:07 +0100
From: Mon_adresse@free.fr
To: #######@circdata.com
Date: Thu, 17 Jun 2004 13:26:06 GMT
MIME-Version: 1.0
Subject: Mehr fuer Auslaender als fuer Deutsche tun!
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <496c4de42513ee.ad973.qmail@free.fr>
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="us-ascii"
X-OriginalArrivalTime: 17 Jun 2004 14:12:13.0822 (UTC)
FILETIME=[167A09E0:01C45475]
Return-Path: Mon_adresse@free.fr
==============================================================
Est-ce que c'est dû au virus ou à une mauvaise configuration des
serveurs de mail ?

[Crosspost sur fr.comp.securite.virus et fr.comp.mail.serveurs. Si le
thème du fil venait à dévier en faveur de l'un ou l'autre forum, merci
de l'y rediriger.]

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)