Je suis =E0 la recherche de quelqu'un qui puisse m'expliquer comment
rep=E9rer un email forg=E9 (modifi=E9). J'ai certaines questions =E0 poser
concernant les ent=EAtes du messages.
Je suis preneur de toute info, lien url ou groupes sur le sujet.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
Kryserugo wrote:
Je suis à la recherche de quelqu'un qui puisse m'expliquer comment repérer un email forgé (modifié). J'ai certaines questions à poser concernant les entêtes du messages.
Il n'y a pas de règles précises pour détecter des en têtes forgés. La seule hypothèse depuis laquelle on peut partir, c'est qu'une seule information est à priori fiable: l'adresse IP de réception du mail de la part de votre serveur (ou celui de votre prestataire)
Je prend deux exemples sur la détection de spams reçus récemment ; mais c'est appliquable à d'autres cas
Premier spam:
Return-Path: Received: from penknifepress.com (adsl-70-224-134-158.dsl.chcgil.ameritech.net [70.224.134.158]) by mondomaine.net (8.13.5/8.13.5/Debian-3) with ESMTP id jBDKDUwX004036 for ; Tue, 13 Dec 2005 21:13:48 +0100 (..autres en têtes)
La seule info valable est l'IP entre [] (70.224.134.158) ; le reste (penknifepress.com) est potentiellement pipeauté.
$ host -tA penknifepress.com penknifepress.com has address 70.224.134.157
L'IP est sur le même bloc ; il est possible que le domaine soit effectivement celui du spammeur
Attention, parfois on peut avoir des choses comme:
Deuxième spam:
Received: from 10.67.92.4 ([61.43.107.193]) by mondomaine.net (8.13.5/8.13.5/check_local4.1) with SMTP id jB54b4X4001119; Mon, 5 Dec 2005 05:37:12 +0100
Dans ce cas aussi, la seule info valable est celle indiquée par votre serveur (ici entre [], càd 61.43.107.193) ; l'IP avant est celle donnée par le serveur en face, qui est ici falsifiée (10.67.92.4)
Après, il faut estimer le degrè de confiance du serveur en question, en jettant un oeil au whois, en essayant de trouver la résolution inverse etc.
Dans les deux exemples précédents:
Premier spam
$ host -tA 70.224.134.158 158.134.224.70.in-addr.arpa domain name pointer adsl-70-224-134-158.dsl.chcgil.ameritech.net.
Cela provient de ameritech, gros FAI américain, connu pour ne pas être très regardant sur les abus commis par ses utilisateurs (..) Le spammeur a son propre domaine qui se résoud en direct vers une IP dynamique. Probablement un dialup réservé au spam ; qui sautera d'ici quelques jours.
L'ensemble des en têtes a été falsifié, que ce soit le from, le to, la date, le x-mailer et j'en passe..
Deusième exemple:
$ host -tA 61.43.107.193 Host 193.107.43.61.in-addr.arpa not found: 3(NXDOMAIN)
Cela vient de Corée, paradis du spam, là ou les gangs ont une partie de leurs installations (avec la Chine et les US) (inutile de dire qu'une plainte n'a aucune chance d'aboutir vers ce genre de prestataires)
Là aussi les autres en-têtes sont totalement forgés.
Dans le cas où l'IP est fiable, on peut tenter de continuer a lire les en têtes pour y piocher des infos. Mais même là, le from: peut être falsifié, donc ..
Kryserugo wrote:
Je suis à la recherche de quelqu'un qui puisse m'expliquer comment
repérer un email forgé (modifié). J'ai certaines questions à poser
concernant les entêtes du messages.
Il n'y a pas de règles précises pour détecter des en têtes forgés. La
seule hypothèse depuis laquelle on peut partir, c'est qu'une seule
information est à priori fiable: l'adresse IP de réception du mail de la
part de votre serveur (ou celui de votre prestataire)
Je prend deux exemples sur la détection de spams reçus récemment ; mais
c'est appliquable à d'autres cas
Premier spam:
Return-Path: <fans@penknifepress.com>
Received: from penknifepress.com
(adsl-70-224-134-158.dsl.chcgil.ameritech.net [70.224.134.158])
by mondomaine.net (8.13.5/8.13.5/Debian-3) with ESMTP id jBDKDUwX004036
for <moi@mondomaine.com>; Tue, 13 Dec 2005 21:13:48 +0100
(..autres en têtes)
La seule info valable est l'IP entre [] (70.224.134.158) ; le reste
(penknifepress.com) est potentiellement pipeauté.
$ host -tA penknifepress.com
penknifepress.com has address 70.224.134.157
L'IP est sur le même bloc ; il est possible que le domaine soit
effectivement celui du spammeur
Attention, parfois on peut avoir des choses comme:
Deuxième spam:
Received: from 10.67.92.4 ([61.43.107.193])
by mondomaine.net (8.13.5/8.13.5/check_local4.1) with SMTP id
jB54b4X4001119;
Mon, 5 Dec 2005 05:37:12 +0100
Dans ce cas aussi, la seule info valable est celle indiquée par votre
serveur (ici entre [], càd 61.43.107.193) ; l'IP avant est celle donnée
par le serveur en face, qui est ici falsifiée (10.67.92.4)
Après, il faut estimer le degrè de confiance du serveur en question, en
jettant un oeil au whois, en essayant de trouver la résolution inverse etc.
Dans les deux exemples précédents:
Premier spam
$ host -tA 70.224.134.158
158.134.224.70.in-addr.arpa domain name pointer
adsl-70-224-134-158.dsl.chcgil.ameritech.net.
Cela provient de ameritech, gros FAI américain, connu pour ne pas être
très regardant sur les abus commis par ses utilisateurs (..)
Le spammeur a son propre domaine qui se résoud en direct vers une IP
dynamique. Probablement un dialup réservé au spam ; qui sautera d'ici
quelques jours.
L'ensemble des en têtes a été falsifié, que ce soit le from, le to, la
date, le x-mailer et j'en passe..
Deusième exemple:
$ host -tA 61.43.107.193
Host 193.107.43.61.in-addr.arpa not found: 3(NXDOMAIN)
Cela vient de Corée, paradis du spam, là ou les gangs ont une partie de
leurs installations (avec la Chine et les US) (inutile de dire qu'une
plainte n'a aucune chance d'aboutir vers ce genre de prestataires)
Là aussi les autres en-têtes sont totalement forgés.
Dans le cas où l'IP est fiable, on peut tenter de continuer a lire les
en têtes pour y piocher des infos. Mais même là, le from: peut être
falsifié, donc ..
Je suis à la recherche de quelqu'un qui puisse m'expliquer comment repérer un email forgé (modifié). J'ai certaines questions à poser concernant les entêtes du messages.
Il n'y a pas de règles précises pour détecter des en têtes forgés. La seule hypothèse depuis laquelle on peut partir, c'est qu'une seule information est à priori fiable: l'adresse IP de réception du mail de la part de votre serveur (ou celui de votre prestataire)
Je prend deux exemples sur la détection de spams reçus récemment ; mais c'est appliquable à d'autres cas
Premier spam:
Return-Path: Received: from penknifepress.com (adsl-70-224-134-158.dsl.chcgil.ameritech.net [70.224.134.158]) by mondomaine.net (8.13.5/8.13.5/Debian-3) with ESMTP id jBDKDUwX004036 for ; Tue, 13 Dec 2005 21:13:48 +0100 (..autres en têtes)
La seule info valable est l'IP entre [] (70.224.134.158) ; le reste (penknifepress.com) est potentiellement pipeauté.
$ host -tA penknifepress.com penknifepress.com has address 70.224.134.157
L'IP est sur le même bloc ; il est possible que le domaine soit effectivement celui du spammeur
Attention, parfois on peut avoir des choses comme:
Deuxième spam:
Received: from 10.67.92.4 ([61.43.107.193]) by mondomaine.net (8.13.5/8.13.5/check_local4.1) with SMTP id jB54b4X4001119; Mon, 5 Dec 2005 05:37:12 +0100
Dans ce cas aussi, la seule info valable est celle indiquée par votre serveur (ici entre [], càd 61.43.107.193) ; l'IP avant est celle donnée par le serveur en face, qui est ici falsifiée (10.67.92.4)
Après, il faut estimer le degrè de confiance du serveur en question, en jettant un oeil au whois, en essayant de trouver la résolution inverse etc.
Dans les deux exemples précédents:
Premier spam
$ host -tA 70.224.134.158 158.134.224.70.in-addr.arpa domain name pointer adsl-70-224-134-158.dsl.chcgil.ameritech.net.
Cela provient de ameritech, gros FAI américain, connu pour ne pas être très regardant sur les abus commis par ses utilisateurs (..) Le spammeur a son propre domaine qui se résoud en direct vers une IP dynamique. Probablement un dialup réservé au spam ; qui sautera d'ici quelques jours.
L'ensemble des en têtes a été falsifié, que ce soit le from, le to, la date, le x-mailer et j'en passe..
Deusième exemple:
$ host -tA 61.43.107.193 Host 193.107.43.61.in-addr.arpa not found: 3(NXDOMAIN)
Cela vient de Corée, paradis du spam, là ou les gangs ont une partie de leurs installations (avec la Chine et les US) (inutile de dire qu'une plainte n'a aucune chance d'aboutir vers ce genre de prestataires)
Là aussi les autres en-têtes sont totalement forgés.
Dans le cas où l'IP est fiable, on peut tenter de continuer a lire les en têtes pour y piocher des infos. Mais même là, le from: peut être falsifié, donc ..
R12y
On Sun, 18 Dec 2005 01:33:20 -0800, Kryserugo wrote:
Je suis preneur de toute info, lien url ou groupes sur le sujet.
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook. J'ignore quel est leur algorithme, tu peux leur demander sur la Mailing List de spamassassin...
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
On Sun, 18 Dec 2005 01:33:20 -0800, Kryserugo wrote:
Je suis preneur de toute info, lien url ou groupes sur le sujet.
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook.
J'ignore quel est leur algorithme, tu peux leur demander sur la Mailing
List de spamassassin...
--
Telephone portable "intelligent" (SmartPhone) GSM, GPRS,...
Il est sous Linux, ne coute pas trop cher,...
http://www.it2l.com/product_info.php?cPath&products_idE6
On Sun, 18 Dec 2005 01:33:20 -0800, Kryserugo wrote:
Je suis preneur de toute info, lien url ou groupes sur le sujet.
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook. J'ignore quel est leur algorithme, tu peux leur demander sur la Mailing List de spamassassin...
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
Xavier Roche
R12y wrote:
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook. J'ignore quel est leur algorithme
Tout simplement des règles à base d'expressions rationnelles ; comme par exemple:
header RATWARE_OE_MALFORMED X-Mailer =~ /^Microsoft Outlook Express d(?:.d+){3} w+$/ describe RATWARE_OE_MALFORMED X-Mailer has malformed Outlook Express version
R12y wrote:
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook.
J'ignore quel est leur algorithme
Tout simplement des règles à base d'expressions rationnelles ; comme par
exemple:
header RATWARE_OE_MALFORMED X-Mailer =~ /^Microsoft Outlook Express
d(?:.d+){3} w+$/
describe RATWARE_OE_MALFORMED X-Mailer has malformed Outlook Express
version
Spamassassin sait reconnaitre un faux email fabriqué avec Outlook. J'ignore quel est leur algorithme
Tout simplement des règles à base d'expressions rationnelles ; comme par exemple:
header RATWARE_OE_MALFORMED X-Mailer =~ /^Microsoft Outlook Express d(?:.d+){3} w+$/ describe RATWARE_OE_MALFORMED X-Mailer has malformed Outlook Express version
Kryserugo
Salut et merci de vos réponses.
Dans mon cas, il s'agit d'un email adressé à un freenaute et dont l'adresse de l'expéditeur est sur yahoo.com, adresse que je suppose fausse ou usurpée. Un ingénieur de chez Yahoo France m'a expliqué rapidement que le champ message ID doit comporter la même date que sur le mail (sous la forme année/mois... c'est à dire 200512... pour un mail adressé ce mois ci).
Salut et merci de vos réponses.
Dans mon cas, il s'agit d'un email adressé à un freenaute et dont
l'adresse de l'expéditeur est sur yahoo.com, adresse que je suppose
fausse ou usurpée.
Un ingénieur de chez Yahoo France m'a expliqué rapidement que le
champ message ID doit comporter la même date que sur le mail (sous la
forme année/mois... c'est à dire 200512... pour un mail adressé ce
mois ci).
Dans mon cas, il s'agit d'un email adressé à un freenaute et dont l'adresse de l'expéditeur est sur yahoo.com, adresse que je suppose fausse ou usurpée. Un ingénieur de chez Yahoo France m'a expliqué rapidement que le champ message ID doit comporter la même date que sur le mail (sous la forme année/mois... c'est à dire 200512... pour un mail adressé ce mois ci).
Xavier Roche
Kryserugo wrote:
Un ingénieur de chez Yahoo France m'a expliqué rapidement que le champ message ID doit comporter la même date que sur le mail (sous la forme année/mois... c'est à dire 200512... pour un mail adressé ce mois ci).
Condition nécessaire, mais pas suffisante - les en têtes peuvent être trafiqués de manière correcte. La seule solution ici, c'est de vérifier que l'IP entrante fait bien partie du bloc appartenant à yahoo.
Kryserugo wrote:
Un ingénieur de chez Yahoo France m'a expliqué rapidement que le
champ message ID doit comporter la même date que sur le mail (sous la
forme année/mois... c'est à dire 200512... pour un mail adressé ce
mois ci).
Condition nécessaire, mais pas suffisante - les en têtes peuvent être
trafiqués de manière correcte. La seule solution ici, c'est de vérifier
que l'IP entrante fait bien partie du bloc appartenant à yahoo.
Un ingénieur de chez Yahoo France m'a expliqué rapidement que le champ message ID doit comporter la même date que sur le mail (sous la forme année/mois... c'est à dire 200512... pour un mail adressé ce mois ci).
Condition nécessaire, mais pas suffisante - les en têtes peuvent être trafiqués de manière correcte. La seule solution ici, c'est de vérifier que l'IP entrante fait bien partie du bloc appartenant à yahoo.
ts
"X" == Xavier Roche writes:
X> Condition nécessaire, mais pas suffisante - les en têtes peuvent être X> trafiqués de manière correcte. La seule solution ici, c'est de vérifier X> que l'IP entrante fait bien partie du bloc appartenant à yahoo.
yahoo signe aussi les messages ave DomainKey, non ?
--
Guy Decoux
"X" == Xavier Roche <xroche@free.fr.NOSPAM.invalid> writes:
X> Condition nécessaire, mais pas suffisante - les en têtes peuvent être
X> trafiqués de manière correcte. La seule solution ici, c'est de vérifier
X> que l'IP entrante fait bien partie du bloc appartenant à yahoo.
yahoo signe aussi les messages ave DomainKey, non ?
X> Condition nécessaire, mais pas suffisante - les en têtes peuvent être X> trafiqués de manière correcte. La seule solution ici, c'est de vérifier X> que l'IP entrante fait bien partie du bloc appartenant à yahoo.
yahoo signe aussi les messages ave DomainKey, non ?
--
Guy Decoux
Kryserugo
Dans cet email, voilà ce que j'ai dans le champ received (deuxième champ received car il y en a un avant ) : from unknow (HELO 211.244.221.100)(211.244.221.110) by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000
La commande HELO n'était pas une façon de saluer le serveur ??
Dans cet email, voilà ce que j'ai dans le champ received (deuxième
champ received car il y en a un avant ) :
from unknow (HELO 211.244.221.100)(211.244.221.110)
by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000
La commande HELO n'était pas une façon de saluer le serveur ??
Dans cet email, voilà ce que j'ai dans le champ received (deuxième champ received car il y en a un avant ) : from unknow (HELO 211.244.221.100)(211.244.221.110) by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000
La commande HELO n'était pas une façon de saluer le serveur ??
Kryserugo
J'ai oublié de dire que j'ai fait une recherche sur ripe.net avec l'IP 211.244.221.110.
Elle sort au nom du IANA avec la mention ALLOCATED UNSPECIFIED.
Qui peut m'expliquer ??
J'ai oublié de dire que j'ai fait une recherche sur ripe.net avec l'IP
211.244.221.110.
Elle sort au nom du IANA avec la mention ALLOCATED UNSPECIFIED.
J'ai oublié de dire que j'ai fait une recherche sur ripe.net avec l'IP 211.244.221.110.
Elle sort au nom du IANA avec la mention ALLOCATED UNSPECIFIED.
Qui peut m'expliquer ??
Xavier Roche
Kryserugo wrote:
from unknow (HELO 211.244.221.100)(211.244.221.110) by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000 La commande HELO n'était pas une façon de saluer le serveur ??
Elle annonce l'identité du serveur entrant (qui peut être falsifiée). Le deuxième contenu est celui indiqué par le serveur (qui est à priori fiable)
L'IP est située en Corée
$ whois 211.244.221.110
IPv4 Address : 211.244.221.0-211.244.221.255 Network Name : THRUNET-INFRA Connect ISP Name : THRUNET Connect Date : 20001123 Registration Date : 20040922 Publishes : Y
[ Organization Information ] Organization ID : ORG35266 Org Name : Thrunet Co., Ltd. Address : Seocho2-dong, Seocho-gu, Seoul Detail address : 1338-5DurunetIDC Bldg. Zip Code : 137-072 ..
Kryserugo wrote:
from unknow (HELO 211.244.221.100)(211.244.221.110)
by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000
La commande HELO n'était pas une façon de saluer le serveur ??
Elle annonce l'identité du serveur entrant (qui peut être falsifiée).
Le deuxième contenu est celui indiqué par le serveur (qui est à priori
fiable)
L'IP est située en Corée
$ whois 211.244.221.110
IPv4 Address : 211.244.221.0-211.244.221.255
Network Name : THRUNET-INFRA
Connect ISP Name : THRUNET
Connect Date : 20001123
Registration Date : 20040922
Publishes : Y
[ Organization Information ]
Organization ID : ORG35266
Org Name : Thrunet Co., Ltd.
Address : Seocho2-dong, Seocho-gu, Seoul
Detail address : 1338-5DurunetIDC Bldg.
Zip Code : 137-072
..
from unknow (HELO 211.244.221.100)(211.244.221.110) by mrelay2-2.free.fr with smt; 15 Jun 2004. 14:52:25 -000 La commande HELO n'était pas une façon de saluer le serveur ??
Elle annonce l'identité du serveur entrant (qui peut être falsifiée). Le deuxième contenu est celui indiqué par le serveur (qui est à priori fiable)
L'IP est située en Corée
$ whois 211.244.221.110
IPv4 Address : 211.244.221.0-211.244.221.255 Network Name : THRUNET-INFRA Connect ISP Name : THRUNET Connect Date : 20001123 Registration Date : 20040922 Publishes : Y
[ Organization Information ] Organization ID : ORG35266 Org Name : Thrunet Co., Ltd. Address : Seocho2-dong, Seocho-gu, Seoul Detail address : 1338-5DurunetIDC Bldg. Zip Code : 137-072 ..
