piratage de serveur SMTP ?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar jibe » 24 Déc 2003 11:47

Bonjour, <BR> <BR>Je suis loin d'être un spécialiste de ce genre de choses, alors j'aimerais avoir votre avis sur un e-mail que je viens de recevoir (ci-après). C'est en fait un retour (undelivered mail) d'un mail que je suis sûr de ne jamais avoir envoyé ! Quelqu'un abuserait-il de mon serveur SMTP ? Je pensais pourtant être assez protégé contre ce genre de choses. Brièvement (si vous avez besoin de plus de détails, je les donnerai, mais pour faire court ce post déjà bien long...) ma config est la suivante : <BR> <BR>Serveur e-smith version 4.12 (ben oui, elle est vieille, mais elle marche bien !) connecté à internet ADSL. J'ai tout bloqué au niveau des accès WAN (pas besoin du FTP à distance et autres), mais assez ouvert au niveau du LAN (telnet, ftp etc...). <BR> <BR>Poste client sous Mandrake 9.1. Client Mail : Sylpheed. J'accède directement au serveur POP de mon FAI, ayant plusieurs BAL et la e-smith 4.12 ne sachant d'origine en gérer qu'une. J'envoie les mails à travers le SMTP de la e-smith. <BR> <BR>Dans l'e-mail ci-dessous (avec tous les détails d'entêtes), j'ai remplacé l'adresse utilisée par <<mon_adresse@alias.ok>>. Curieusement, l'e-mail contenait partout un alias du nom de domaine de mon fai, alias qui fonctionne très bien mais que je ne crois pas avoir jamais utilisé, et que je n'ai en tous cas jamais diffusée... <BR> <BR>Alors, comment ai-je pu recevoir ce retour de mail, et quelles seraient les éventuelles mesures à prendre ? (a noter que, depuis que j'utilise cette config, je reçois beaucoup de spam sans bien comprendre pourquoi... j'en avais parlé <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php? <BR>op=modload&name=Forum&file=viewtopic&topic=9011&forum=6" TARGET="_blank">là</A><!-- BBCode u2 End -->. <BR> <BR>------------------------------------------------------------------------------------- <BR>Return-Path: <> <BR>Delivered-To: <!-- BBcode auto-mailto start --><a href="mailto:alias.ok-mon_adresse@alias.ok">alias.ok-mon_adresse@alias.ok</a><!-- BBCode auto-mailto end --> <BR>Received: (qmail 14974 invoked from network); 23 Dec 2003 01:55:07 -0000 <BR>Received: from mbg.sphere.ne.jp (210.150.254.179) <BR> by mrelay4-1.free.fr with SMTP; 23 Dec 2003 01:55:07 -0000 <BR>Received: by mbg.sphere.ne.jp (Postfix) <BR> id 6F4DE3BB30; Tue, 23 Dec 2003 10:55:06 +0900 (JST) <BR>Date: Tue, 23 Dec 2003 10:55:06 +0900 (JST) <BR>From: <!-- BBcode auto-mailto start --><a href="mailto:MAILER-DAEMON@mbg.sphere.ne.jp">MAILER-DAEMON@mbg.sphere.ne.jp</a><!-- BBCode auto-mailto end --> (Mail Delivery System) <BR>Subject: Undelivered Mail Returned to Sender <BR>To: <!-- BBcode auto-mailto start --><a href="mailto:mon_adresse@alias.ok">mon_adresse@alias.ok</a><!-- BBCode auto-mailto end --> <BR>MIME-Version: 1.0 <BR>Content-Type: multipart/report; report-type=delivery-status; <BR> boundary="BB6613BAAB.1072144506/mbg.sphere.ne.jp" <BR>Message-Id: <20031223015506.6F4DE3BB30@mbg.sphere.ne.jp> <BR> <BR>This is a MIME-encapsulated message. <BR> <BR>--BB6613BAAB.1072144506/mbg.sphere.ne.jp <BR>Content-Description: Notification <BR>Content-Type: text/plain <BR> <BR>This is the Postfix program at host mbg.sphere.ne.jp. <BR> <BR>I'm sorry to have to inform you that the message returned <BR>below could not be delivered to one or more destinations. <BR> <BR>For further assistance, please send mail to <postmaster> <BR> <BR>If you do so, please include this problem report. You can <BR>delete your own text from the message returned below. <BR> <BR> The Postfix program <BR> <BR><mikek@mbg.sphere.ne.jp>: unknown user: "mikek" <BR> <BR>--BB6613BAAB.1072144506/mbg.sphere.ne.jp <BR>Content-Description: Delivery error report <BR>Content-Type: message/delivery-status <BR> <BR>Reporting-MTA: dns; mbg.sphere.ne.jp <BR>Arrival-Date: Tue, 23 Dec 2003 10:55:00 +0900 (JST) <BR> <BR>Final-Recipient: rfc822; <!-- BBcode auto-mailto start --><a href="mailto:mikek@mbg.sphere.ne.jp">mikek@mbg.sphere.ne.jp</a><!-- BBCode auto-mailto end --> <BR>Action: failed <BR>Status: 5.0.0 <BR>Diagnostic-Code: X-Postfix; unknown user: "mikek" <BR> <BR>--BB6613BAAB.1072144506/mbg.sphere.ne.jp <BR>Content-Description: Undelivered Message <BR>Content-Type: message/rfc822 <BR> <BR>Received: from worldonline.de (68-233-199-242.pittpa.adelphia.net [68.233.199.242]) <BR> by mbg.sphere.ne.jp (Postfix) with ESMTP id BB6613BAAB <BR> for <mikek@mbg.sphere.ne.jp>; Tue, 23 Dec 2003 10:55:00 +0900 (JST) <BR>Date: Tue, 23 Dec 2003 01:51:11 +0000 <BR>Message-ID: <b2bc01c3c8f7$b84ceadd$18c02080@pnkyuv3> <BR>MIME-Version: 1.0 <BR>Subject: =?iso-8859-1?B?c3RyZW5ndGhlbiB5b3VyIGltbXVuZSBzeXN0ZW0=?= <BR>From: "Mattie Joseph" <mon_adresse@alias.ok> <BR>To: <!-- BBcode auto-mailto start --><a href="mailto:mikek@mbg.sphere.ne.jp">mikek@mbg.sphere.ne.jp</a><!-- BBCode auto-mailto end --> <BR>Content-Type: multipart/alternative; <BR> boundary="----=_NextPart_000_05C9_2C069EE6.C68A6638" <BR> <BR>This is a multi-part message in MIME format. <BR> <BR>------=_NextPart_000_05C9_2C069EE6.C68A6638 <BR>Content-Type: text/plain; <BR> charset="us-ascii" <BR>Content-Transfer-Encoding: 8bit <BR> <BR> <BR> <BR> <BR>------=_NextPart_000_05C9_2C069EE6.C68A6638 <BR>Content-Type: text/html; <BR> charset="us-ascii" <BR>Content-Transfer-Encoding: 8bit <BR> <BR><html><body> <BR><center><!--2ctrjphb97of37--><a href="http://www.youcando9.com/ghr/?aff=2&cac=mas3"><!--sruQGNAikYFg--><img src="http://www.inside444.com/g9.gif" border=0></a></center> <BR></html></body> <BR> <BR> <BR> <BR>------=_NextPart_000_05C9_2C069EE6.C68A6638-- <BR> <BR> <BR>--BB6613BAAB.1072144506/mbg.sphere.ne.jp-- <BR> <BR>
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar OMNIDIM » 24 Déc 2003 11:50

C simple j'en recois des 10aine par jour ... <BR> <BR>Enfaite la personne utilise un autre serveur SMTP <BR>Elle spécifie ton adresse dans le MAIL FROM: <BR>Et comme l'adresse de destination est fausse l'erreur te revien a toi : logik... <BR> <BR>ou il trouve aussi un serveur MX ouvert. c a dire un serveur qui relay les courriers des domaines non-locaux...
Avatar de l’utilisateur
OMNIDIM
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 09 Nov 2002 01:00
Localisation: Colombes - HAUTS DE SEINE

Messagepar Destroy_Dav » 24 Déc 2003 11:53

une question : sais tu si ton relai sur ton serveur est ouvert au net, je m'explique : <BR>Normalement le relai de mail venant de l'extérieur NE DOIT PAS ETRE ACTIVE sauf avec nue authentification , serait ce cela ton problème
Administrateur réseau des lan QUADPARTY
Utilise à fond FreeBSD ;)
http://www.quadparty.com/image/forum/avatars/dd.gif
Avatar de l’utilisateur
Destroy_Dav
Major
Major
 
Messages: 98
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Etienne

Messagepar jibe » 24 Déc 2003 12:14

Je pensais que le relayage était inhibé d'office avec e-smith... <IMG SRC="images/smiles/icon_confused.gif"> Tout ce que je trouve dans e-smith manager concernant SMTP est : <BR> <BR>The e-smith server can deliver outgoing messages directly to their destination (recommended in most cases) or can deliver them via your Internet provider's SMTP server (recommended if you have an unreliable Internet connection or are using a residential Internet service). If using your Internet provider's SMTP server, specify its hostname or IP address below. Otherwise leave this field blank. <BR>Internet provider's SMTP server: <BR> <BR>J'ai laissé à blanc ce champ, et n'ai rien touché d'autre concernant SMTP dans les templates... <BR> <BR>Désolé, OMNIDIM, je ne comprends pas bien ta réponse ? Oui, le mail me revient parce que l'adresse est erronnée, et c'est normal. Ce qui l'est moins, c'est que je n'ai jamais envoyé le mail d'origine !?!? <BR>
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Destroy_Dav » 24 Déc 2003 12:19

le relais c'est que quelqu'un envoi des emails en relai à partir de ton serveur smtp <BR> <BR>Si le relais est activé, il faut vite l'enlever car tu risque de voir ton domaine email en liste noire et là ben faut attendre minimum 1 mois et c'est franchement la $%#&!
Administrateur réseau des lan QUADPARTY
Utilise à fond FreeBSD ;)
http://www.quadparty.com/image/forum/avatars/dd.gif
Avatar de l’utilisateur
Destroy_Dav
Major
Major
 
Messages: 98
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Etienne

Messagepar jibe » 24 Déc 2003 12:34

Oui, je sais ce qu'est le relayage. Faut que je m'assure qu'il ne soit pas autorisé par la e-smith, alors ? Ca m'étonne que ce ne soit pas fait d'origine : le but de cette distrib est quand même la sécurité... <BR> <BR>Bon, je vais regarder si je trouve quelque chose sur le relayage par e-smith et comment le prévenir, à moins que quelqu'un sache me dire quoi faire sur ma vieille 4.12 ? <BR> <BR>Est-ce bien protégé sur les versions modernes (5.6 ou 6) ou sur free EOS ? Ai-je avantage à changer ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar tomtom » 24 Déc 2003 12:55

Je pesne que ca n'a rien à voir avec un relayage (mais ca coute rien de regarder totu de même....). <BR> <BR>En fait, c'est assez simple de te faire avoir ce genre de retour en connaissant simplement ton adresse mail : <BR> <BR>imagine que ton adresse mail est : <!-- BBcode auto-mailto start --><a href="mailto:monmail@monfai.com">monmail@monfai.com</a><!-- BBCode auto-mailto end --> <BR> <BR>je me connecte à un smtp... <BR>disons smtp.free.fr pour l'example. <BR> <BR>et là, j'envoie un mail comme ceci : <BR> <BR>to :adressebidonquiecistepas@free.fr <BR>from :monmail@monfai.com <BR> <BR>il est probable que le smtp va accepter le message avant de verifier l'existence du compte (test sur le domaine uniquement). <BR> <BR>ensuite, le traiteemtn va se faire, le smtp va se rendre compte que le compte n'existe pas et renvoyer naturellement un message d'erreur vers ton adresse. <BR> <BR>Il n'y a aucun piratage là dedans ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jibe » 24 Déc 2003 13:01

Bon, une première recherche sommaire sur e-smith semble confirmer mon impression que le relayage n'est pas autorisé. Quelqu'un pourrait confirmer SVP ? <BR> <BR>Par contre, n'étant pas spécialiste de la question, je n'avais pas fait très attention au début, mais je ne vois dans les entêtes aucune référence au qmail de ma e-smith... J'avais pas fait gaffe, en plus, parce que je sais par expérience que free.fr (mon fai) rejette toute tentative de relayage. Mais il semblerait que seul free.fr soit cité dans les entêtes... Comment interpréter tout cela ? <BR> <BR>Si ma e-smith était en cause, ne figurerait-elle pas ? Si ce n'est pas elle, comment cela a-t-il pu se passer ? C'est free.fr qui est en cause ? <BR>
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar carbone » 24 Déc 2003 13:02

Salut, <BR>Il y a plusieurs possibilités: <BR> <BR>* Soit on utilise ton serveur SMTP pour envoyer des mails, alors il faut le sécuriser, demander un login/pass, ... pour envoyer (ou n'accepter des mails que de l'ontérieur de ton réseau) <BR> <BR>* Soit c'est tout simplement du spoofing, plusieurs virus, ... font ça, ils envoien un mail à partir d'une machine contaminée en se faisant passer pour un de leur contact. Par exemple Mr X (X@Y.COM) est contaminé et possède dans son carnet (ou un mail reçu) l'adresse <!-- BBcode auto-mailto start --><a href="mailto:info@toto.com">info@toto.com</a><!-- BBCode auto-mailto end --> et bien le virus enverra des mails au nom de <!-- BBcode auto-mailto start --><a href="mailto:info@toto.com.">info@toto.com.</a><!-- BBCode auto-mailto end --> J'ai eu le coup ici, on me renvoyais des messages disant que j'envoyais des mails contaminés mais c'était du spoof! <BR> <BR>* Soit une de tes machines est contaminée par un virus et envoie des mails <BR>
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar jibe » 24 Déc 2003 13:03

Merci tomtom, nos posts se sont croisés. <BR> <BR>La réponse est limpide, j'aurais dû y penser.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar jibe » 24 Déc 2003 13:12

Décidément, les posts se croisent beaucoup ce matin (so, you're not alone, tomtom !). <BR> <BR>Ce que tu me dis, carbone, m'inquiète un peu... Je n'ai jamais diffusé <!-- BBcode auto-mailto start --><a href="mailto:monadresse@online.fr">monadresse@online.fr</a><!-- BBCode auto-mailto end -->, je diffuse très peu <!-- BBcode auto-mailto start --><a href="mailto:monadresse@free.fr">monadresse@free.fr</a><!-- BBCode auto-mailto end --> parce que je passe par un alias (monadresse@undomainegratuit.fr). Alors, oui, un virus pourrait envoyer des mails, mais pourquoi en utilisant ce domaine que je ne diffuse jamais ? C'est vrai qu'il est connu... <BR> <BR>Bon, on va voir si ça se reproduit... En tous cas, merci à tous pour vos réponses.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar carbone » 24 Déc 2003 13:24

Tu sais, il suffit d'un mail envoyé à une personne infectée et ton adresse est utilisée. De plus certains virus vont chercher dles adresses aussi dans des pages web, ... <BR>Ici, j'ai cherché un bon moment sur plusieurs cas de virus utilisant le spoof, quand on te dis que ton réseau est ionfecté, tu recherche le virus en question et puis tu te dis ben c'est peut être pas chez moi! Ce qui était le cas. <BR>Utiliser un alias ne change pas grand chose, en fait l'alias prend l'adresse de réponse, mais ton adresse reste dans l'en-tête du message donc est récupérable je pense. <BR>N'as tu pas des logs de ton serveur smtp pour vérifier si oui ou non il a envoyé un mail à cette heure la? sinon, c'est surement du spoof! Et là rien à faire <IMG SRC="images/smiles/icon_frown.gif"> on utilise ton adresse soit pour du simple spam soit pour transférer un virus. Mais tu ne peux rien y faire.
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar jo8 » 24 Déc 2003 13:47

c'est quoi du spoof ? <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-12-24 12:02, carbone a écrit: <BR>Salut, <BR>Il y a plusieurs possibilités: <BR> <BR>* Soit on utilise ton serveur SMTP pour envoyer des mails, alors il faut le sécuriser, demander un login/pass, ... pour envoyer (ou n'accepter des mails que de l'ontérieur de ton réseau) <BR> <BR>* Soit c'est tout simplement du spoofing, plusieurs virus, ... font ça, ils envoien un mail à partir d'une machine contaminée en se faisant passer pour un de leur contact. Par exemple Mr X (X@Y.COM) est contaminé et possède dans son carnet (ou un mail reçu) l'adresse <!-- BBcode auto-mailto start --><a href="mailto:info@toto.com">info@toto.com</a><!-- BBCode auto-mailto end --> et bien le virus enverra des mails au nom de <!-- BBcode auto-mailto start --><a href="mailto:info@toto.com.">info@toto.com.</a><!-- BBCode auto-mailto end --> J'ai eu le coup ici, on me renvoyais des messages disant que j'envoyais des mails contaminés mais c'était du spoof! <BR> <BR>* Soit une de tes machines est contaminée par un virus et envoie des mails <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
jo8
Matelot
Matelot
 
Messages: 1
Inscrit le: 24 Déc 2003 01:00

Messagepar carbone » 24 Déc 2003 14:29

Le spoofing consiste à se faire passer pour un autre. <BR>Il y en a de plusieurs type, tu peux faire du spoofing d'adresse ip, c'est un technique classique pour pénétrer un réseau, tu modifies les paquets tcp pour faire croire que tu appartient au réseau. PAr exemple, tu tente de faire croire à un firewall que même si il vient de l'extérieur ton ip est dans son réseau authorisé et donc peux passer sans problèmes. <BR>Pour un mail, le spoof, c'est envoyer un mail en se faisant passer pour un autre. Par exemple un virus récent qui se faisait passer pour <!-- BBcode auto-mailto start --><a href="mailto:support@microsoft.com">support@microsoft.com</a><!-- BBCode auto-mailto end -->
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar jibe » 25 Déc 2003 22:32

Merci pour tes réponses, carbonne. <BR> <BR>Non, ça ne peut pas venir d'une page web, l'adresse utilisée n'a jamais été mentionnée nulle part. Probablement un spoof un peu savant, car je n'utilise généralement que l'adresse d'alias. Il faut donc soit connaitre, soit retrouver mon adresse chez free.fr, puis l'utiliser en changeant @free.fr en @online.fr. Donc, parfaitement possible, et donc probablement un spammeur qui cherche un max à se dissimuler... <BR> <BR>Pour l'alias, ce n'est pas pour des raisons de sécurité, simplement pour avoir une adresse permanante quel que soit mon hébergeur. Avant d'avoir free.fr, j'en ai eu plusieurs dont je n'étais pas satisfait, l'alias était pratique pour ne pas avoir à écrire à l'ensemble de mon carnet d'adresses pour les informer du changement. <BR> <BR>Allez, c'est encore d'actualité pour quelques heures, alors Joeyux Noël ! <BR>
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité