Origine d'un mail

Le
Gloops
Bonjour tout le monde,

Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])

et donc pour le même expéditeur nous avons une adresse IP en Russie et
une en Chine, marquée unknown.
C'est tellement unknown que l'adresse mail abuse correspondante est
injoignable (time-out).

Quelqu'un saurait-il m'expliquer ce que c'est que cette histoire de
unknown ?


--
Besoin d'un autre système, pas d'un autre gouvernement.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
yamo'
Le #26518470
Salut,
Gloops a tapoté le 07/06/2019 16:49:
Bonjour tout le monde,
Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])
et donc pour le même expéditeur nous avons une adresse IP en Russie et
une en Chine, marquée unknown.
C'est tellement unknown que l'adresse mail abuse correspondante est
injoignable (time-out).
Quelqu'un saurait-il m'expliquer ce que c'est que cette histoire de
unknown ?

Probablement un problème de reverse dns.
Tant que c'est de l'ipv4, spamcop.net fonctionne bien.
--
Stéphane
Gloops
Le #26518500
Le 7 Juin 2019 à 16:59, Yamo'
Salut,
Gloops a tapoté le 07/06/2019 16:49:
Bonjour tout le monde,
Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])
et donc pour le même expéditeur nous avons une adresse IP en Russie et
une en Chine, marquée unknown.
C'est tellement unknown que l'adresse mail abuse correspondante est
injoignable (time-out).
Quelqu'un saurait-il m'expliquer ce que c'est que cette histoire de
unknown ?

Probablement un problème de reverse dns.

Mais depuis quand on passe par les reverse dns pour dire à quelle
adresse on est ?
Normalement les clauses Received, ça veut dire voilà je suis là, j'ai
transmis ce message ...
Tant que c'est de l'ipv4, spamcop.net fonctionne bien.


Ah, je regarderai.
Il y a peu j'ai découvert hashemian.com, il y a pire.

--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Olivier Miakinen
Le #26518879
Le 07/06/2019 21:25, Gloops a écrit :
Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])
[...]

Probablement un problème de reverse dns.

Mais depuis quand on passe par les reverse dns pour dire à quelle
adresse on est ?

Je crois qu'on passe par les reverse dns pour tenter de donner un nom
à l'adresse dont on a reçu quelque chose.
Normalement les clauses Received, ça veut dire voilà je suis là, j'ai
transmis ce message ...

Ce serait trop facile pour les spammeurs, non ? Il me semble qu'une
clause Received (d'où son nom qui n'est pas Sent) ça veut dire j'ai
*reçu* le message de tel expéditeur, il m'a donné tel nom, mais en
fait son adresse était celle-ci.
... mais je peux me tromper.
--
Olivier Miakinen
Gloops
Le #26519066
Le 11 Juin 2019 à 17:00, Olivier Miakinen
Le 07/06/2019 21:25, Gloops a écrit :
Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])
[...]

Probablement un problème de reverse dns.

Mais depuis quand on passe par les reverse dns pour dire à quelle
adresse on est ?

Je crois qu'on passe par les reverse dns pour tenter de donner un nom
à l'adresse dont on a reçu quelque chose.
Normalement les clauses Received, ça veut dire voilà je suis là, j'ai
transmis ce message ...

Ce serait trop facile pour les spammeurs, non ? Il me semble qu'une
clause Received (d'où son nom qui n'est pas Sent) ça veut dire j'ai
*reçu* le message de tel expéditeur, il m'a donné tel nom, mais en
fait son adresse était celle-ci.
... mais je peux me tromper.


Oui ça d'accord, mais c'est moi, le destinataire (enfin ... celui qui a
reçu le truc, même si c'est à tort) qui leur file à bouffer ce
qu'indiquent les clauses Received.
Donc qu'une clause Received soit fausse (ou contienne "unknown") par la
faute des serveurs Reverse Dns, ça me laisse perplexe.
--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Nicolas George
Le #26519070
Gloops , dans le message
Donc qu'une clause Received soit fausse (ou contienne "unknown") par la
faute des serveurs Reverse Dns, ça me laisse perplexe.

Il y a plusieurs informations utiles à mettre dans cet entête, selon les
cas :
- Le nom que le client fournit, par la commande HELO. C'est ce que le
client prétend être, sans aucune vérification, mais utile et précis
dans les cas normaux.
- L'adresse IP du client. Très difficile à falsifier, mais peu parlant.
- Le reverse-DNS associé à cette adresse IP. Plus parlant que l'adresse
IP mais plus facile à falsifier.
- Les adresses IP associées au reverse-DNS. Si aucune ne correspond à
l'adresse IP de départ, c'est qu'il y a quelque chose de suspect qui
se passe.
Gloops
Le #26519081
Le 14 Juin 2019 à 11:56, Nicolas George écrit :
Gloops , dans le message
Donc qu'une clause Received soit fausse (ou contienne "unknown") par la
faute des serveurs Reverse Dns, ça me laisse perplexe.

Il y a plusieurs informations utiles à mettre dans cet entête, selon les
cas :
- Le nom que le client fournit, par la commande HELO. C'est ce que le
client prétend être, sans aucune vérification, mais utile et précis
dans les cas normaux.
- L'adresse IP du client. Très difficile à falsifier, mais peu parlant.
- Le reverse-DNS associé à cette adresse IP. Plus parlant que l'adresse
IP mais plus facile à falsifier.
- Les adresses IP associées au reverse-DNS. Si aucune ne correspond à
l'adresse IP de départ, c'est qu'il y a quelque chose de suspect qui
se passe.


Ah, tu veux dire qu'un serveur aurait vérifié l'adresse IP d'un message
qu'il a reçu, avant de le transmettre, et que comme il n'a rien trouvé,
plutôt que de mettre une ligne Received de plus il a indiqué la
précédente en mentionnant "unknown" ?
C'est crédible ; mais ça gagnerait à être documenté quelque part.
Ah, euh ... Si c'est ça qui s'est joué, ma protestation a peu de chance
de donner lieu à une suite, alors ?
--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Nicolas George
Le #26519083
Gloops , dans le message
Ah, tu veux dire qu'un serveur aurait vérifié l'adresse IP d'un message
qu'il a reçu, avant de le transmettre, et que comme il n'a rien trouvé,
plutôt que de mettre une ligne Received de plus il a indiqué la
précédente en mentionnant "unknown" ?

Pas exactement. Normalement, chaque serveur ajoute une ligne Received et
une seule, dans laquelle il met les informations le concernant ainsi que
celles qu'il a pu obtenir du client qui vient de lui donner le mail.
Le serveur de news que j'utilise n'a pas ton message initial, donc je ne
peux pas regarder exactement les lignes concernées.
Pour comprendre les lignes Received, il faut commencer par la première
dans le mail, qui est la dernière chronologiquement, celle de ton
serveur et donc à ce titre probablement fiable. L'information qu'elle
contient te permettra de juger si la précédente est digne de confiance
ou pas. Ensuite il faut remonter pas à pas ainsi.
Gloops
Le #26519096
Le 14 Juin 2019 à 15:51, Nicolas George écrit :
Gloops , dans le message
Ah, tu veux dire qu'un serveur aurait vérifié l'adresse IP d'un message
qu'il a reçu, avant de le transmettre, et que comme il n'a rien trouvé,
plutôt que de mettre une ligne Received de plus il a indiqué la
précédente en mentionnant "unknown" ?

Pas exactement. Normalement, chaque serveur ajoute une ligne Received et
une seule, dans laquelle il met les informations le concernant ainsi que
celles qu'il a pu obtenir du client qui vient de lui donner le mail.
Le serveur de news que j'utilise n'a pas ton message initial, donc je ne
peux pas regarder exactement les lignes concernées.
Pour comprendre les lignes Received, il faut commencer par la première
dans le mail, qui est la dernière chronologiquement, celle de ton
serveur et donc à ce titre probablement fiable. L'information qu'elle
contient te permettra de juger si la précédente est digne de confiance
ou pas. Ensuite il faut remonter pas à pas ainsi.


Oui je cherche mon serveur pour aller ensuite regarder à l'autre bout de
la chaîne.
--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Publicité
Poster une réponse
Anonyme