Résumons nous...
- Code: Tout sélectionner
Reseau FAI
LAN----- IPCOP ---- Passerelle FAI-----------------Passerelle FAI ------ Internet ------ webmail (hotmail.com)
Supposons qu'un client de ton lan se connecte en https sur hotmail.com pour envoyer un mail.
Il va etablir une session ssl via ton ipcop, le reseau de ton fai, internet...
Il envoie le mail à toto at ixus.net
La mail arrive au destinataire provenant de "mail.hotmail.Com" (le smtp, protocole des maisl, en sait pas qu'il y a eu une session http avant !). Il est facile de modifier les champs from, to etc, mais les entetes received from des serveurs demail devraient permettre de remonter jusqu'à mail.hotmail.com
Fin de l'analyse du mail...
On peut analyser maintenant la connexion entre le client et le serveur
www.hotmail.com.
Entre eux, il y a :
IPCop
Une passerelle de ton FAI
Le reseau de ton FAI
Plein d'autres réseaux
La passerelle de microsoft
Le reseau de microsoft dédié à hotmail
Tout ce beau monde est donc capable de garder en log la chose suivante :
à l'heure x, l'ip "ip publique ipcop" a etabli une session ssl vers ip "ip hotmail.com"
Mais impossible de dire ce qui'l y a dans la session... Donc pour faire le lien avec un mail, dur dur !
En fait, vu que les horloges ne sont probablement pas synchronisées, le seul qui puisse faire le lien entre les 2 est probablement le serveur hotmail lui-même.
En effet, le client a du s'authentifier, il y a une correspondance entre l'ip qu'il a présenté et le mail envoyé.
Donc en réseumé :
- SI tu veux identifier après coup qui a envoyé u nmail à caractère légalement repréhensible, et que tu soupçonnes qu'il a été envoyé de ton reseau, la procédure prendra quelques mois (moins si l'urgence est urgente
), à condition que tu agisses avec l'appui legislatif qui va faire que microsoft acceptera de passer du temps à travailler pour toi.
Au final, tu sauras juste qu'un client sur ton réseau se sera connecté à hotmail et aura envoyé le mail en question.
Tu pouras alors (si tu as de la chance, de la patience et suffisamment de logs) essayer de determeiner qui a établi la connexion (logs du proxy si tu en as un en particulier !)
- Si tu veux tracer TOUS les mails que peuvent envoyer les clients depuis ton réseau, aucune chance.
Dans ce cas là, il faut que tu bloques l'acces https vers interenet, que tu informes tes clients que tout ce qu'ils font peut être loggué, et que tu enregistres toutes les sessions http vers les webmails.
Ca va te prendre beaucoup de place, beaucoup de temps et pour un reseultat aléatoire.
Il te reste la solution d'interdir complètement les accès aux webmails, et de monter un serveur de mails (qui lui va garder efficacement trace de tous les mails envoyés) et d'obliger les gens qui veulent envoyer du courrier à passer par celui-ci.
Espérant t'avoir eclairci les choses,
T.
One hundred thousand lemmings can't be wrong...
