piratage de serveur SMTP ?

par **jibe** » 24 Déc 2003 11:47

Bonjour, Je suis loin d'être un spécialiste de ce genre de choses, alors j'aimerais avoir votre avis sur un e-mail que je viens de recevoir (ci-après). C'est en fait un retour (undelivered mail) d'un mail que je suis sûr de ne jamais avoir envoyé ! Quelqu'un abuserait-il de mon serveur SMTP ? Je pensais pourtant être assez protégé contre ce genre de choses. Brièvement (si vous avez besoin de plus de détails, je les donnerai, mais pour faire court ce post déjà bien long...) ma config est la suivante : Serveur e-smith version 4.12 (ben oui, elle est vieille, mais elle marche bien !) connecté à internet ADSL. J'ai tout bloqué au niveau des accès WAN (pas besoin du FTP à distance et autres), mais assez ouvert au niveau du LAN (telnet, ftp etc...). Poste client sous Mandrake 9.1. Client Mail : Sylpheed. J'accède directement au serveur POP de mon FAI, ayant plusieurs BAL et la e-smith 4.12 ne sachant d'origine en gérer qu'une. J'envoie les mails à travers le SMTP de la e-smith. Dans l'e-mail ci-dessous (avec tous les détails d'entêtes), j'ai remplacé l'adresse utilisée par <<mon_adresse@alias.ok>>. Curieusement, l'e-mail contenait partout un alias du nom de domaine de mon fai, alias qui fonctionne très bien mais que je ne crois pas avoir jamais utilisé, et que je n'ai en tous cas jamais diffusée... Alors, comment ai-je pu recevoir ce retour de mail, et quelles seraient les éventuelles mesures à prendre ? (a noter que, depuis que j'utilise cette config, je reçois beaucoup de spam sans bien comprendre pourquoi... j'en avais parlé <A HREF="http://www.ixus.net/modules.php? op=modload&name=Forum&file=viewtopic&topic=9011&forum=6" TARGET="_blank">là</A>. ------------------------------------------------------------------------------------- Return-Path: <> Delivered-To: <a href="mailto:alias.ok-mon_adresse@alias.ok">alias.ok-mon_adresse@alias.ok</a> Received: (qmail 14974 invoked from network); 23 Dec 2003 01:55:07 -0000 Received: from mbg.sphere.ne.jp (210.150.254.179) by mrelay4-1.free.fr with SMTP; 23 Dec 2003 01:55:07 -0000 Received: by mbg.sphere.ne.jp (Postfix) id 6F4DE3BB30; Tue, 23 Dec 2003 10:55:06 +0900 (JST) Date: Tue, 23 Dec 2003 10:55:06 +0900 (JST) From: <a href="mailto:MAILER-DAEMON@mbg.sphere.ne.jp">MAILER-DAEMON@mbg.sphere.ne.jp</a> (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: <a href="mailto:mon_adresse@alias.ok">mon_adresse@alias.ok</a> MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="BB6613BAAB.1072144506/mbg.sphere.ne.jp" Message-Id: <20031223015506.6F4DE3BB30@mbg.sphere.ne.jp> This is a MIME-encapsulated message. --BB6613BAAB.1072144506/mbg.sphere.ne.jp Content-Description: Notification Content-Type: text/plain This is the Postfix program at host mbg.sphere.ne.jp. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <mikek@mbg.sphere.ne.jp>: unknown user: "mikek" --BB6613BAAB.1072144506/mbg.sphere.ne.jp Content-Description: Delivery error report Content-Type: message/delivery-status Reporting-MTA: dns; mbg.sphere.ne.jp Arrival-Date: Tue, 23 Dec 2003 10:55:00 +0900 (JST) Final-Recipient: rfc822; <a href="mailto:mikek@mbg.sphere.ne.jp">mikek@mbg.sphere.ne.jp</a> Action: failed Status: 5.0.0 Diagnostic-Code: X-Postfix; unknown user: "mikek" --BB6613BAAB.1072144506/mbg.sphere.ne.jp Content-Description: Undelivered Message Content-Type: message/rfc822 Received: from worldonline.de (68-233-199-242.pittpa.adelphia.net [68.233.199.242]) by mbg.sphere.ne.jp (Postfix) with ESMTP id BB6613BAAB for <mikek@mbg.sphere.ne.jp>; Tue, 23 Dec 2003 10:55:00 +0900 (JST) Date: Tue, 23 Dec 2003 01:51:11 +0000 Message-ID: <b2bc01c3c8f7$b84ceadd$18c02080@pnkyuv3> MIME-Version: 1.0 Subject: =?iso-8859-1?B?c3RyZW5ndGhlbiB5b3VyIGltbXVuZSBzeXN0ZW0=?= From: "Mattie Joseph" <mon_adresse@alias.ok> To: <a href="mailto:mikek@mbg.sphere.ne.jp">mikek@mbg.sphere.ne.jp</a> Content-Type: multipart/alternative; boundary="----=_NextPart_000_05C9_2C069EE6.C68A6638" This is a multi-part message in MIME format. ------=_NextPart_000_05C9_2C069EE6.C68A6638 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 8bit ------=_NextPart_000_05C9_2C069EE6.C68A6638 Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 8bit <html><body> <center><a href="http://www.youcando9.com/ghr/?aff=2&cac=mas3"><img src="http://www.inside444.com/g9.gif" border=0></a></center> </html></body> ------=_NextPart_000_05C9_2C069EE6.C68A6638-- --BB6613BAAB.1072144506/mbg.sphere.ne.jp--

par **OMNIDIM** » 24 Déc 2003 11:50

C simple j'en recois des 10aine par jour ... Enfaite la personne utilise un autre serveur SMTP Elle spécifie ton adresse dans le MAIL FROM: Et comme l'adresse de destination est fausse l'erreur te revien a toi : logik... ou il trouve aussi un serveur MX ouvert. c a dire un serveur qui relay les courriers des domaines non-locaux...

par **Destroy_Dav** » 24 Déc 2003 11:53

une question : sais tu si ton relai sur ton serveur est ouvert au net, je m'explique : Normalement le relai de mail venant de l'extérieur NE DOIT PAS ETRE ACTIVE sauf avec nue authentification , serait ce cela ton problème

par **jibe** » 24 Déc 2003 12:14

Je pensais que le relayage était inhibé d'office avec e-smith... <IMG SRC="images/smiles/icon_confused.gif"> Tout ce que je trouve dans e-smith manager concernant SMTP est : The e-smith server can deliver outgoing messages directly to their destination (recommended in most cases) or can deliver them via your Internet provider's SMTP server (recommended if you have an unreliable Internet connection or are using a residential Internet service). If using your Internet provider's SMTP server, specify its hostname or IP address below. Otherwise leave this field blank. Internet provider's SMTP server: J'ai laissé à blanc ce champ, et n'ai rien touché d'autre concernant SMTP dans les templates... Désolé, OMNIDIM, je ne comprends pas bien ta réponse ? Oui, le mail me revient parce que l'adresse est erronnée, et c'est normal. Ce qui l'est moins, c'est que je n'ai jamais envoyé le mail d'origine !?!?

par **Destroy_Dav** » 24 Déc 2003 12:19

le relais c'est que quelqu'un envoi des emails en relai à partir de ton serveur smtp Si le relais est activé, il faut vite l'enlever car tu risque de voir ton domaine email en liste noire et là ben faut attendre minimum 1 mois et c'est franchement la $%#&!

par **jibe** » 24 Déc 2003 12:34

Oui, je sais ce qu'est le relayage. Faut que je m'assure qu'il ne soit pas autorisé par la e-smith, alors ? Ca m'étonne que ce ne soit pas fait d'origine : le but de cette distrib est quand même la sécurité... Bon, je vais regarder si je trouve quelque chose sur le relayage par e-smith et comment le prévenir, à moins que quelqu'un sache me dire quoi faire sur ma vieille 4.12 ? Est-ce bien protégé sur les versions modernes (5.6 ou 6) ou sur free EOS ? Ai-je avantage à changer ?

par **tomtom** » 24 Déc 2003 12:55

Je pesne que ca n'a rien à voir avec un relayage (mais ca coute rien de regarder totu de même....). En fait, c'est assez simple de te faire avoir ce genre de retour en connaissant simplement ton adresse mail : imagine que ton adresse mail est : <a href="mailto:monmail@monfai.com">monmail@monfai.com</a> je me connecte à un smtp... disons smtp.free.fr pour l'example. et là, j'envoie un mail comme ceci : to :adressebidonquiecistepas@free.fr from :monmail@monfai.com il est probable que le smtp va accepter le message avant de verifier l'existence du compte (test sur le domaine uniquement). ensuite, le traiteemtn va se faire, le smtp va se rendre compte que le compte n'existe pas et renvoyer naturellement un message d'erreur vers ton adresse. Il n'y a aucun piratage là dedans ! t.

par **jibe** » 24 Déc 2003 13:01

Bon, une première recherche sommaire sur e-smith semble confirmer mon impression que le relayage n'est pas autorisé. Quelqu'un pourrait confirmer SVP ? Par contre, n'étant pas spécialiste de la question, je n'avais pas fait très attention au début, mais je ne vois dans les entêtes aucune référence au qmail de ma e-smith... J'avais pas fait gaffe, en plus, parce que je sais par expérience que free.fr (mon fai) rejette toute tentative de relayage. Mais il semblerait que seul free.fr soit cité dans les entêtes... Comment interpréter tout cela ? Si ma e-smith était en cause, ne figurerait-elle pas ? Si ce n'est pas elle, comment cela a-t-il pu se passer ? C'est free.fr qui est en cause ?

par **carbone** » 24 Déc 2003 13:02

Salut, Il y a plusieurs possibilités: * Soit on utilise ton serveur SMTP pour envoyer des mails, alors il faut le sécuriser, demander un login/pass, ... pour envoyer (ou n'accepter des mails que de l'ontérieur de ton réseau) * Soit c'est tout simplement du spoofing, plusieurs virus, ... font ça, ils envoien un mail à partir d'une machine contaminée en se faisant passer pour un de leur contact. Par exemple Mr X (X@Y.COM) est contaminé et possède dans son carnet (ou un mail reçu) l'adresse <a href="mailto:info@toto.com">info@toto.com</a> et bien le virus enverra des mails au nom de <a href="mailto:info@toto.com.">info@toto.com.</a> J'ai eu le coup ici, on me renvoyais des messages disant que j'envoyais des mails contaminés mais c'était du spoof! * Soit une de tes machines est contaminée par un virus et envoie des mails

par **jibe** » 24 Déc 2003 13:03

Merci tomtom, nos posts se sont croisés. La réponse est limpide, j'aurais dû y penser.

par **jibe** » 24 Déc 2003 13:12

Décidément, les posts se croisent beaucoup ce matin (so, you're not alone, tomtom !). Ce que tu me dis, carbone, m'inquiète un peu... Je n'ai jamais diffusé <a href="mailto:monadresse@online.fr">monadresse@online.fr</a>, je diffuse très peu <a href="mailto:monadresse@free.fr">monadresse@free.fr</a> parce que je passe par un alias (monadresse@undomainegratuit.fr). Alors, oui, un virus pourrait envoyer des mails, mais pourquoi en utilisant ce domaine que je ne diffuse jamais ? C'est vrai qu'il est connu... Bon, on va voir si ça se reproduit... En tous cas, merci à tous pour vos réponses.

par **carbone** » 24 Déc 2003 13:24

Tu sais, il suffit d'un mail envoyé à une personne infectée et ton adresse est utilisée. De plus certains virus vont chercher dles adresses aussi dans des pages web, ... Ici, j'ai cherché un bon moment sur plusieurs cas de virus utilisant le spoof, quand on te dis que ton réseau est ionfecté, tu recherche le virus en question et puis tu te dis ben c'est peut être pas chez moi! Ce qui était le cas. Utiliser un alias ne change pas grand chose, en fait l'alias prend l'adresse de réponse, mais ton adresse reste dans l'en-tête du message donc est récupérable je pense. N'as tu pas des logs de ton serveur smtp pour vérifier si oui ou non il a envoyé un mail à cette heure la? sinon, c'est surement du spoof! Et là rien à faire <IMG SRC="images/smiles/icon_frown.gif"> on utilise ton adresse soit pour du simple spam soit pour transférer un virus. Mais tu ne peux rien y faire.

par **jo8** » 24 Déc 2003 13:47

c'est quoi du spoof ? <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-12-24 12:02, carbone a écrit: Salut, Il y a plusieurs possibilités: * Soit on utilise ton serveur SMTP pour envoyer des mails, alors il faut le sécuriser, demander un login/pass, ... pour envoyer (ou n'accepter des mails que de l'ontérieur de ton réseau) * Soit c'est tout simplement du spoofing, plusieurs virus, ... font ça, ils envoien un mail à partir d'une machine contaminée en se faisant passer pour un de leur contact. Par exemple Mr X (X@Y.COM) est contaminé et possède dans son carnet (ou un mail reçu) l'adresse <a href="mailto:info@toto.com">info@toto.com</a> et bien le virus enverra des mails au nom de <a href="mailto:info@toto.com.">info@toto.com.</a> J'ai eu le coup ici, on me renvoyais des messages disant que j'envoyais des mails contaminés mais c'était du spoof! * Soit une de tes machines est contaminée par un virus et envoie des mails </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> <IMG SRC="images/smiles/icon_confused.gif">

par **carbone** » 24 Déc 2003 14:29

Le spoofing consiste à se faire passer pour un autre. Il y en a de plusieurs type, tu peux faire du spoofing d'adresse ip, c'est un technique classique pour pénétrer un réseau, tu modifies les paquets tcp pour faire croire que tu appartient au réseau. PAr exemple, tu tente de faire croire à un firewall que même si il vient de l'extérieur ton ip est dans son réseau authorisé et donc peux passer sans problèmes. Pour un mail, le spoof, c'est envoyer un mail en se faisant passer pour un autre. Par exemple un virus récent qui se faisait passer pour <a href="mailto:support@microsoft.com">support@microsoft.com</a>

par **jibe** » 25 Déc 2003 22:32

Merci pour tes réponses, carbonne. Non, ça ne peut pas venir d'une page web, l'adresse utilisée n'a jamais été mentionnée nulle part. Probablement un spoof un peu savant, car je n'utilise généralement que l'adresse d'alias. Il faut donc soit connaitre, soit retrouver mon adresse chez free.fr, puis l'utiliser en changeant @free.fr en @online.fr. Donc, parfaitement possible, et donc probablement un spammeur qui cherche un max à se dissimuler... Pour l'alias, ce n'est pas pour des raisons de sécurité, simplement pour avoir une adresse permanante quel que soit mon hébergeur. Avant d'avoir free.fr, j'en ai eu plusieurs dont je n'étais pas satisfait, l'alias était pratique pour ne pas avoir à écrire à l'ensemble de mon carnet d'adresses pour les informer du changement. Allez, c'est encore d'actualité pour quelques heures, alors Joeyux Noël !

piratage de serveur SMTP ?

Qui est en ligne ?