Re: 82.67.74.6

Top Page

Reply to this message
Author: Edgar Bonet
Date:  
To: Liste Guilde
Subject: Re: 82.67.74.6
Le mercredi 11 février, Jerome KIEFFER a écrit :
> ce serait plus simples de faire comme si les messages avaient deja
> passé par 1 ou 2 autres serveurs SMTP en ajoutant ca dans les entêtes.


Exact. C'est pour ça qu'il est intéressant de lire les champs Received
de haut en bas (c.-à-d. dans l'ordre chronologique inverse) en se
demandant à chaque fois si le serveur en question est un serveur en
lequel tu peux avoir confiance.

Typiquement, le MX associé à ton adresse e-mail a dû recevoir l'e-mail
soit directement de l'expéditeur initial (typique pour les virus) soit
d'un serveur mail d'un ISP (vérifiable par DNS inverse + DNS direct).

Si par exemple tu as :

    Received: from ton_mx [IP_de_ton_MX] by ta_machine
    Received: from serveur_gros_ISP [xx.yy.zz.tt] by ton_mx
    Received: from pere_noel [IP_pere_noel] by serveur_gros_ISP


Alors tu fais un reverse DNS sur xx.yy.zz.tt. Si ça ne reverse pas,
méfiance + whois + DNS direct de serveur_gros_ISP. Si xx.yy.zz.tt
n'appartient pas à gros_ISP, ou si c'est dans ses plages clients, alors
c'est probablement lui l'envoyeur et le troisième Received est spoofé.
Si le helo name est innocent, alors c'est probablement un open-relay et
le troisième received est correct. Mais ce pourrait aussi être
l'expéditeur original voulant se faire passer pour un open-relay. Dans
les deux cas, xx.yy.zz.tt ne peut pas complètement cacher qu'il est au
moins en partie responsable de ce qui se passe.

-- 
Edgar Bonet           Maison : 04 76 21 29 16    Bureau : 04 76 88 10 96
3 rue Jean Prévost    Mobile : 06 77 19 79 39    Fax    : 04 76 88 11 91
38000 Grenoble        guilde@???     www.edgar-bonet.org