Bonjour !
Je reçois parfois sur ma messagerie de La Poste, des messages dont l'expéditeur apparent est .... moi-même. Il s'agit en fait de spams que La Poste laisse passer, mais le phénomène est étonnant. L'ouverture intégrale de l'entête montre bien : from (ici mon adresse réelle). C'est inquiétant, car à la limite on doit pouvoir envoyer des messages à qui on veut en se faisant passer pour un autre. Bonjour les dégâts... Comment cela est-il possible ?
On trouve des chercheurs qui cherchent ; on cherche des chercheurs qui trouvent !
Pour les modérateurs : j'aurais dû mettre ce débat en Internet-Réseau-sécurité. Pouvez vous le déplacer ? Merci !
C'est fait.
yoda1234.
Dernière modification par yoda1234 ; 26/02/2008 à 20h24.
On trouve des chercheurs qui cherchent ; on cherche des chercheurs qui trouvent !
Hello!!
Première chose à faire : changer ton mot de passe!
Veuillez contacter l'administrateur si votre date de naissance a changé
(Futura Sciences)
C'est le protocole de messagerie qui veut ca. Il faut savoir que la plupart des protocoles utilisés sur Internet sont des protocoles "bisounours" où l'on considère que tout le monde est beau et gentil
Donc le protocole prévoit que n'importe qui puisse envoyer un message au nom de quelqu'un d'autre, aucune vérification n'étant effectuée. C'est d'ailleurs ce que font pas mal de spam ou autres vers, pour faire penser à un message légitime.
Bonsoir,
Bien que n'étant pas du tout "technicien", je peux t'apporter une petite expérience personnelle à ton "problème".
D'abord, Towl a raison, et c'est probablement l'origine du "problème" : soit un vers (chez un de tes correspondant ou chez toi), soit un plaisantin qui connaît ton adresse (tu peux mettre ce que tu veux comme adreese d'expéditeur dans Outlook et autres).
Mais il y a un premier moyen de contrôle dans l'en-tête du mail : c'est l'IP d'origine du message :
- si c'est la tienne, probablement tu as un vers ou autre truc "malfaisant",
- sinon, tu peux en essayer d'en trouver l'origine sur un "whois", et, éventuellement, "poursuivre les démarches de ce côté".
La seule solution qui éviterait ce genre de "problème" est une identification de l'emetteur. Ca ce pratique sur certaine messagerie ... mais c'est payant !
Perso, je préfèrerait que les mails restent gratuits, même au prix de quelques mésaventures dans ce genre : si quelqu'un se plaint auprès de toi de mails que tu n'aurais pas envoyer, il est facile de prouver que tu n'en n'est pas l'origine (en lisant / faisant lire l'en-tête complète).
Bon, j'espère ne pas avoir raconté trop de bêtises ...
Cordialement,
PM
Il existe plein de solution pour identifier l'émetteur d'un email, notamment la signature numérique (avec GPG par exemple). C'est généralement ce que l'on utilise dès que l'on a des données importantes à communiquer (en plus de sa capacité à chiffrer).
Quand aux IP contenues dans l'entêtes, celles-ci font références aux serveurs parcourus par l'email, en aucun cas ils n'identifient l'émetteur.
Pour l'identifier, la seule solution c'est de contacter le gérant du premier serveur listé (en dernier dans les entêtes), pour lui demander de faire la correspondance pour qu'il fournisse l'adresse de l'émetteur. Mais cela ne peut se faire que par la voie de la justice, ce qui peut être assez lourd, surtout pour un simple email
Bonsoir,Je ne voulais pas dire qu'on peut diretement isdentifier l'emetteur, mais qu'on peut y trouver l'adresse IP de l'émetteur, ce qui permet de vérifier, dans un premier temps, que l'expéditeur n'est pas soi-même. Je viens de faire un petit essai :Envoyé par Towl
J'ai crée une adresse dans Outlook (6) : Toto@orange.fr
Je me suis envoyé avec Outlook un message à mon adresse normale (Yahoo!)
Et voici l'en-tête du message que me montre Yahoo! (j'ai remplacé ma vraie adresse par XXXXXXXXXX et remplacé un chiffre de mon IP par un W) et mis en rouge gras ce qui permet de tracer l'expéditeur réel :
From Toto Coco Tue Feb 26 13:59:45 2008
X-Apparently-To: XXXXXXXXXXX@yahoo.com via 209.191.85.105; Tue, 26 Feb 2008 14:00:13 -0800
X-Originating-IP: [80.12.242.1W]
Return-Path: <toto@orange.fr>
Authentication-Results: mta127.mail.re4.yahoo.com from=orange.fr; domainkeys=neutral (no sig)
Received: from 80.12.242.1W (EHLO smtp19.orange.fr) (80.12.242.1W) by mta127.mail.re4.yahoo.com with SMTP; Tue, 26 Feb 2008 14:00:12 -0800
Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf1907.orange.fr (SMTP Server) with ESMTP id BD6F01C0009F for <XXXXXXXXXX@yahoo.com>; Tue, 26 Feb 2008 23:00:11 +0100 (CET)
Received: from userb2dc4c81f5 (AClermont-Ferrand-256-1-151-16W.w90-10.abo.wanadoo.fr [90.10.222.16W]) by mwinf1907.orange.fr (SMTP Server) with SMTP id D4D841C00097 for <XXXXXXXXXX@yahoo.com>; Tue, 26 Feb 2008 23:00:10 +0100 (CET)
X-ME-UUID: 20080226220010871.D4D841C00097 @mwinf1907.orange.fr
Message-ID: <001e01c878c2$e63942c0$a6de0a5 a@userb2dc4c81f5>
From: "Toto Coco" <Toto@orange.fr> Add Mobile Alert
To: XXXXXXXXXX@yahoo.com
Subject: Essai messagerie
Date: Tue, 26 Feb 2008 22:59:45 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_001B_01C878CB.4 7B3A970"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Content-Length: 725
Message d'essai
Cet en-tête contient bien mon adresse IP actuelle (90.10.222.16W) telle que me l'indique Comodo (mon firewall) ou un site comme Delcampe (en bas de la page d'accueil) de manière encore plus explicite : Votre adresse IP: AClermont-Ferrand-256-1-151-16W.w90-10.abo.wanadoo.fr
Il n'y a aucun doute que je suis absolument identifiable. Et que s'il s'agit d'un spam répétitif, un petit coup de Whois sur 90.10.222.16W et sur 80.12.242.1W me permet de transmettre "à qui de droit" que le titulaire de cet abonnement me spame : "for hacking, spamming or security problems send mail to postmaster@wanadoo.fr AND abuse@wanadoo.fr" (résultat sur 90.10.222.16W)en se faisant passer pour un abonné orange ("for hacking, spamming or security problems send mail to abuse@orange.fr" avec 80.12.242.1W).
PS : pour les petits malins, dès ce message envoyé, je me déconnecte pour changer d'IP.
Je suis étonné que l'on trouve encore des serveur mail configurés comme ça. En général, ils ont tendence à virer le premier Received From, justement pour être un peu plus anonymisé.
C'est du moins la configuration par défaut que j'ai sur mon sendmail et mon postfix, sans rien touché, et c'est ce qui est souvent recommandé (d'ailleurs les antispam ont tendance à virer aussi ces entêtes en cours de route (spamassassin par exemple)
Edit: apparement, celui de Free indique aussi l'IP :s
Merci de cette analyse pertinente Le petit coup de whois m'a permis de savoir que le site émetteur (airtelbroadband.in) est aux Indes. C'est pas gagné !
On trouve des chercheurs qui cherchent ; on cherche des chercheurs qui trouvent !
Ce n'est pas le vrai problème ! Ma messagerie n'est pas piratée, mais on utilise mon adresse (connue par x centaines de personnes) pour se faire passer pour moi.
On trouve des chercheurs qui cherchent ; on cherche des chercheurs qui trouvent !
Bonjour,Je vais quand même y aller des miens ...Il y a, à mon avis, plusieurs origine possibles :
Quelqu'un chez airtelbroadband.in a ton adresse dans son carnet ET est infecté par un "malware de mail". Donc, si tu connais une personne chez airtelbroadband.in (fais une recherche en mode texte dans ton carnet d'adresses), tu lui envoies un mail demandant de faire un peu de nettoyage ... J'ai eu ce "problème" (c'est pour ça que j'ai consulté ce topic sur Futura), et c'était dû à ça. Le problème n'a été résolu que quand on a été plusieurs à "râler" et par intervention de l'admin, qui s'est aperçu que plusieurs personnes avaient désactivé les anti-virus sur leurs postes pour diverses raisons ...(c'est une fac).
Quelqu'un a donné ton adresse sur un site "pas sérieux" qui l'a transmise à un "publicitaire" peu scrupuleux. Tu te retrouves sur une liste de spamés via airtelbroadband.in (j'ai l'impression que le site donne dans la pub : il y a un lien Telemarketer Registration en bas de la page ...). Inutile d'écrire ... (d'autant que le site n'a pas l'air de très bien fonctionner), mais ça passera : ces listes sont régulièrement renouvelées (je crois).
C'est un plaisantin qui est à l'origine du truc : tu peux peut-être deviner de qui il s'agit ?
Il y a quelqu'un qui veux te nuire. Ce serait le plus "grave" : en envoyant des mer*es à des gens de ta sphère de boulot, tu vas te retrouver avec une adresse qui sera refusée ou mise automatiquement au panier. Je crois qu'il n'y a qu'une solution : envoyer un mail à tes contacts les plus importants en demandant une réponse du genre : "J'ai eu ces jours-ci un problème avec mon serveur de mails, pourriez-vous me confirmer que vous recevez bien ce message en me répondant. Merci d'avance." ("Serveur", ça fait sérieux, et inutile d'expliquer le problème, c'est trop compliqué).
A propos de ce dernier cas, j'ai constaté qu'il ne faut pas indiquer au serveur que les spams sont des spams : ça ne fait qu'augmenter leur fréquence. En effet, quand on indique ça au serveur, il se met à refuser ce qui provient de l'adresse du spam. Ça paraît bien, MAIS : cela permet à l'envoyeur de savoir que l'adresse est active, car au suivant il reçoit en réponse un refus : il est donc possible, par ce biais, d'automatiser un test sur l'activité des adresses.
Enfin, un petit "défoulement" sur ces spams : j'ai quand même du mal à admettre que quelqu'un puisse croire aux "millions de dollars sur un compte africain", à l'opportunité d'acheter du Viagra/Cialis sur pascher.boutdumonde.com ou que Photoshop, OfficePro ou Xpress soit soldés pour presque rien ... Est-ce que le but de ces mails serait seulement d'avoir une réponse ("Votre produit de m'intéresse pas", "Arrêtez de m'envoyer cela", ...) pour constituer une liste de benêts potentiels ? Cela vaut-il le coup de répondre avec une fausse adresse "qui craint" (truc @ cnil.fr ou @ fbi.gov ...) pour qu'ils soient emmerdés en l'utilisant comme le suggèrent certains ?
Cordialement,
PM
Merci PMDEC pour tes informations. Le problème, c'est que, contrairement à ce que je préconise depuis des lustres, les gens envoient des messages "en chaîne" à des foules de personnes, qui eux-mêmes font suivre etc. sans masquer l'ensemble des destinataires.
Des gens plus ou moins bien intentionnés sont un jour ou l'autre destinataires des adresses de gens qu'ils ne connaissent pas, les récupèrent et en font profiter ???
Perso, je ne fais jamais suivre les envois en nombre, et je n'ouvre pas les pièces jointes d'origine inconnue. Pire encore, on trouve dans le texte des machins qui s'appellent par exemple toto.jpg, qui ne sont pas des photos, mais bien des liens vers ?????? Il suffit de cliquer pour exécuter on ne sait pas quoi.
On trouve des chercheurs qui cherchent ; on cherche des chercheurs qui trouvent !
C'est hélas vrai que peu de gens connaissent le champ BBC (ou CCI en français). Et puis globalement le protocole SMTP est une relique catastrophique datant de la préhistoire d'Internet.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
