Le mercredi 11 février, Jerome KIEFFER a écrit :
> ce serait plus simples de faire comme si les messages avaient deja
> passé par 1 ou 2 autres serveurs SMTP en ajoutant ca dans les entêtes.
Exact. C'est pour ça qu'il est intéressant de lire les champs Received
de haut en bas (c.-à-d. dans l'ordre chronologique inverse) en se
demandant à chaque fois si le serveur en question est un serveur en
lequel tu peux avoir confiance.
Typiquement, le MX associé à ton adresse e-mail a dû recevoir l'e-mail
soit directement de l'expéditeur initial (typique pour les virus) soit
d'un serveur mail d'un ISP (vérifiable par DNS inverse + DNS direct).
Si par exemple tu as :
Received: from ton_mx [IP_de_ton_MX] by ta_machine
Received: from serveur_gros_ISP [xx.yy.zz.tt] by ton_mx
Received: from pere_noel [IP_pere_noel] by serveur_gros_ISP
Alors tu fais un reverse DNS sur xx.yy.zz.tt. Si ça ne reverse pas,
méfiance + whois + DNS direct de serveur_gros_ISP. Si xx.yy.zz.tt
n'appartient pas à gros_ISP, ou si c'est dans ses plages clients, alors
c'est probablement lui l'envoyeur et le troisième Received est spoofé.
Si le helo name est innocent, alors c'est probablement un open-relay et
le troisième received est correct. Mais ce pourrait aussi être
l'expéditeur original voulant se faire passer pour un open-relay. Dans
les deux cas, xx.yy.zz.tt ne peut pas complètement cacher qu'il est au
moins en partie responsable de ce qui se passe.
--
Edgar Bonet Maison : 04 76 21 29 16 Bureau : 04 76 88 10 96
3 rue Jean Prévost Mobile : 06 77 19 79 39 Fax : 04 76 88 11 91
38000 Grenoble guilde@??? www.edgar-bonet.org