gratifiant > comp.* > comp.securite

Gloops (07/06/2019, 16h49)
Bonjour tout le monde,

Voici quelque temps j'ai appris après réception d'un spam à lire les
adresses de transmission, dans les clauses Received, et en remontant la
liste à arriver sur l'adresse IP de l'expéditeur.
Or, récemment j'ai rencontré quelque chose à quoi je n'étais pas habitué :
Received: from 194.156.126.50 (unknown [61.178.29.240])

et donc pour le même expéditeur nous avons une adresse IP en Russie et
une en Chine, marquée unknown.
C'est tellement unknown que l'adresse mail abuse correspondante est
injoignable (time-out).

Quelqu'un saurait-il m'expliquer ce que c'est que cette histoire de
unknown ?
yamo' (07/06/2019, 16h59)
Salut,

Gloops a tapoté le 07/06/2019 16:49:
[..]
> injoignable (time-out).
> Quelqu'un saurait-il m'expliquer ce que c'est que cette histoire de
> unknown ?


Probablement un problème de reverse dns.

Tant que c'est de l'ipv4, spamcop.net fonctionne bien.
Gloops (07/06/2019, 21h25)
Le 7 Juin 2019 à 16:59, Yamo' <yamo> a écrit :
> Salut,
> Gloops a tapoté le 07/06/2019 16:49:
> Probablement un problème de reverse dns.


Mais depuis quand on passe par les reverse dns pour dire à quelle
adresse on est ?

Normalement les clauses Received, ça veut dire voilà je suis là, j'ai
transmis ce message ...

> Tant que c'est de l'ipv4, spamcop.net fonctionne bien.


Ah, je regarderai.
Il y a peu j'ai découvert hashemian.com, il y a pire.
Olivier Miakinen (11/06/2019, 17h00)
Le 07/06/2019 21:25, Gloops a écrit :
> Mais depuis quand on passe par les reverse dns pour dire à quelle
> adresse on est ?


Je crois qu'on passe par les reverse dns pour tenter de donner un nom
à l'adresse dont on a reçu quelque chose.

> Normalement les clauses Received, ça veut dire voilà je suis là, j'ai
> transmis ce message ...


Ce serait trop facile pour les spammeurs, non ? Il me semble qu'une
clause Received (d'où son nom qui n'est pas Sent) ça veut dire j'ai
*reçu* le message de tel expéditeur, il m'a donné tel nom, mais en
fait son adresse était celle-ci.

.... mais je peux me tromper.
Gloops (14/06/2019, 11h01)
Le 11 Juin 2019 à 17:00, Olivier Miakinen <om+news> a écrit :
> Le 07/06/2019 21:25, Gloops a écrit :
> Je crois qu'on passe par les reverse dns pour tenter de donner un nom
> à l'adresse dont on a reçu quelque chose.
> Ce serait trop facile pour les spammeurs, non ? Il me semble qu'une
> clause Received (d'où son nom qui n'est pas Sent) ça veut dire j'ai
> *reçu* le message de tel expéditeur, il m'a donné tel nom, mais en
> fait son adresse était celle-ci.
> ... mais je peux me tromper.


Oui ça d'accord, mais c'est moi, le destinataire (enfin ... celui qui a
reçu le truc, même si c'est à tort) qui leur file à bouffer ce
qu'indiquent les clauses Received.
Donc qu'une clause Received soit fausse (ou contienne "unknown") par la
faute des serveurs Reverse Dns, ça me laisse perplexe.
Nicolas George (14/06/2019, 11h56)
Gloops , dans le message <qdvnpv$21t$1>, a écrit :
> Donc qu'une clause Received soit fausse (ou contienne "unknown") par la
> faute des serveurs Reverse Dns, ça me laisse perplexe.


Il y a plusieurs informations utiles à mettre dans cet entête, selon les
cas :

- Le nom que le client fournit, par la commande HELO. C'est ce que le
client prétend être, sans aucune vérification, mais utile et précis
dans les cas normaux.

- L'adresse IP du client. Très difficile à falsifier, mais peu parlant.

- Le reverse-DNS associé à cette adresse IP. Plus parlant que l'adresse
IP mais plus facile à falsifier.

- Les adresses IP associées au reverse-DNS. Si aucune ne correspond à
l'adresse IP de départ, c'est qu'il y a quelque chose de suspect qui
se passe.
Gloops (14/06/2019, 15h23)
Le 14 Juin 2019 à 11:56, Nicolas George <nicolas$george> a
écrit :
[..]
> - Les adresses IP associées au reverse-DNS. Si aucune ne correspond à
> l'adresse IP de départ, c'est qu'il y a quelque chose de suspect qui
> se passe.


Ah, tu veux dire qu'un serveur aurait vérifié l'adresse IP d'un message
qu'il a reçu, avant de le transmettre, et que comme il n'a rien trouvé,
plutôt que de mettre une ligne Received de plus il a indiqué la
précédente en mentionnant "unknown" ?
C'est crédible ; mais ça gagnerait à être documenté quelque part.

Ah, euh ... Si c'est ça qui s'est joué, ma protestation a peu de chance
de donner lieu à une suite, alors ?
Nicolas George (14/06/2019, 15h51)
Gloops , dans le message <qe074d$gbv$1>, a écrit :
> Ah, tu veux dire qu'un serveur aurait vérifié l'adresse IP d'un message
> qu'il a reçu, avant de le transmettre, et que comme il n'a rien trouvé,
> plutôt que de mettre une ligne Received de plus il a indiqué la
> précédente en mentionnant "unknown" ?


Pas exactement. Normalement, chaque serveur ajoute une ligne Received et
une seule, dans laquelle il met les informations le concernant ainsi que
celles qu'il a pu obtenir du client qui vient de lui donner le mail.

Le serveur de news que j'utilise n'a pas ton message initial, donc je ne
peux pas regarder exactement les lignes concernées.

Pour comprendre les lignes Received, il faut commencer par la première
dans le mail, qui est la dernière chronologiquement, celle de ton
serveur et donc à ce titre probablement fiable. L'information qu'elle
contient te permettra de juger si la précédente est digne de confiance
ou pas. Ensuite il faut remonter pas à pas ainsi.
Gloops (14/06/2019, 18h53)
Le 14 Juin 2019 à 15:51, Nicolas George <nicolas$george> a
écrit :
[..]
> serveur et donc à ce titre probablement fiable. L'information qu'elle
> contient te permettra de juger si la précédente est digne de confiance
> ou pas. Ensuite il faut remonter pas à pas ainsi.


Oui je cherche mon serveur pour aller ensuite regarder à l'autre bout de
la chaîne.
Jo Engo (25/06/2019, 12h55)
Le Fri, 07 Jun 2019 16:59:41 +0200, yamo' a écrit :

> Probablement un problème de reverse dns.


Soyons précis, c'est 61.178.29.240 (unknown) qui prétend être
194.156.126.50 ou qui communique avec lui; le unknown est en effet
probablement là parce que 61 truc n'a pas de délégation.
Gloops (25/06/2019, 15h56)
Le 25 Juin 2019 à 12:55, Jo Engo <yl> a écrit :
> Le Fri, 07 Jun 2019 16:59:41 +0200, yamo' a écrit :
> Soyons précis, c'est 61.178.29.240 (unknown) qui prétend être
> 194.156.126.50 ou qui communique avec lui; le unknown est en effet
> probablement là parce que 61 truc n'a pas de délégation.


Ouch, ça c'est un truc qu'il va falloir que je relise à tête reposée.
Surtout pour comprendre qui s'est rendu compte que ce n'était pas 61
machin, et comment.
Jo Engo (28/06/2019, 18h59)
Le Tue, 25 Jun 2019 15:56:29 +0200, Gloops a écrit :

> qui s'est rendu compte que ce n'était pas 61
> machin, et comment.


61.178.29.240 n'a pas de délégation -> n'a pas de reverse DNS.
Gloops (29/06/2019, 08h59)
Le 28 Juin 2019 à 18:59, Jo Engo <yl> a écrit :
> Le Tue, 25 Jun 2019 15:56:29 +0200, Gloops a écrit :
>> qui s'est rendu compte que ce n'était pas 61
>> machin, et comment.

> 61.178.29.240 n'a pas de délégation -> n'a pas de reverse DNS.


Oui mais quelquefois est indiquée une adresse mail qui n'est pas dans le
même pays que l'adresse IP, et il n'y a pas de mention particulière pour
le signaler.
Discussions similaires