Discussion :

[germaino_0]

Bonjour,

Je m'explique.

J'ai un dédié avec un serveur mail.

Un spammeur envoie son spam à mon adresse machin@machin.be ( c'est un example ).

Dans le champ "from", il met aussi "machin@machin.be" !

Mon serveur mail recoit çà, et le transfère gentiment en local ( il ne sert pas de relay vers l'extérieur, donc ca passe ), en le signant en plus avec dkim/domain keys, puisque le "from" correspond !

Au final, je recois un spam, prétendument venant de moi, et auto-signé par dkim sur mon serveur.

Est-ce possible d'éviter çà ?
Est-ce grave, docteur ?

Merci


Headers:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Return-Path: <machin@machin.be>
X-Original-To: machin@ksxxx.kimsufi.com
Delivered-To: machin@ksxxx.kimsufi.com
Received: from ksxxx.kimsufi.com (localhost.localdomain [127.0.0.1])
	by ksxxx.kimsufi.com (Postfix) with ESMTP id 54EAB45ED
	for <machin@ksxxx.kimsufi.com>; Sun,  4 Jul 2010 13:19:29 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=machin.be; h=from:to:date
	:subject:reply-to:mime-version:content-type:message-id:
	content-transfer-encoding; s=2011; bh=T/H39EouoX6BMmFC9E5ZaoHNYs
	U=; b=t1kDc2fetZ65ILWD/jSXXip5suus65K6njqOFRJqcxuxNY31aJJJBX4lwa
	HEXuKVujJAmYvar8rOsvrjjMuLfTFXlD5UG0OpAwNOOI5OYccsuDRMHNOKndoj01
	ZLF+2EocLvBNgI0HibevSu+91Dxwdl+KE/ZOh+p7XYJjuN0dQ=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=machin.be; h=from:to:date:subject
	:reply-to:mime-version:content-type:message-id:
	content-transfer-encoding; q=dns; s=2011; b=ckqw4ARk/91OooTm4tzs
	MEyyfxR5dg0ORwB2X714wt/cUitr/L4GjFdy9yRi1BkO0JHegXydrDSfP2IR7Yc9
	mM4t3myLlJ8JuAIWOQBcPqcEFACLQZ3+1my6ERAOecOlfVhovFB8PPDO1lvAde2q
	zim5CgNcSo8po4xpBLndc7k=
Received: from [123.27.10.225] (unknown [123.27.10.225])
	by ksxxx.kimsufi.com (Postfix) with ESMTP id 5472245E6
	for <machin@machin.be>; Sun,  4 Jul 2010 13:19:27 +0200 (CEST)
From: <machin@machin.be>
To: machin@machin.be
Date: Sun, 4 Jul 2010 18:19:56 +0700
Subject: Branded sex meds
Reply-To: <machin@machin.be>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Message-Id: <20100704111928.5472245E6@ksxxx.kimsufi.com>
Content-Transfer-Encoding: quoted-printable

[germaino_0]

Y-a-t-il une rubrique plus appropriée pour ma question ?

Est-ce que je suis complètement à l'ouest ?

[JeitEmgie]

Y-a-t-il une rubrique plus appropriée pour ma question ?

Est-ce que je suis complètement à l'ouest ?

votre SMTP accepte les connections sans authentification… ?

un utilisateur extérieur ne devrait pas pouvoir envoyer de mails via votre SMTP sans fournir de login…

[germaino_0]

votre SMTP accepte les connections sans authentification… ?

un utilisateur extérieur ne devrait pas pouvoir envoyer de mails via votre SMTP sans fournir de login…

En fait, il ne se sert pas de mon SMTP. Il m'envoie un mail, tout simplement.

Vous voyez ?

[JeitEmgie]

En fait, il ne se sert pas de mon SMTP. Il m'envoie un mail, tout simplement.

Vous voyez ?

de ce que je lis dans vos headers, il vous envoit un mail en se connectant à votre propre SMTP… (il vous demande à vous-même de vous envoyer un mail…)

ce qui expliquerait pourquoi la signature DKIM est présente…

mais c'est facile à vérifier :

envoyez-vous un mail de l'extérieur via le relay de votre FAI…
envoyez-vous un mail de l'extérieur via votre SMTP (si votre FAI ne bloque pas son port…)
envoyez-vous un mail en ligne de commande sur votre propre serveur (mail -s "test" yourname@yourdomain)

et comparez les 3 entêtes… et la présence ou non du DKIM avec ceux du spam…

[germaino_0]

Oops, excusez-moi, j'ai faut un petite erreur en "masquant" le nom du domaine dans les headers. Re-voilà les headers. Le changement : machin@machin.be est en fait contact@machin.be

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Return-Path: <contact@machin.be>
X-Original-To: machin@ksxxx.kimsufi.com
Delivered-To: machin@ksxxx.kimsufi.com
Received: from ksxxx.kimsufi.com (localhost.localdomain [127.0.0.1])
	by ksxxx.kimsufi.com (Postfix) with ESMTP id 8AC4745EF
	for <machin@ksxxx.kimsufi.com>; Thu,  8 Jul 2010 20:54:01 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=machin.be; h=from:to:date
	:subject:reply-to:mime-version:content-type:message-id:
	content-transfer-encoding; s=2011; bh=rwTIUkxwDrovZCXCuk6fYUBVS1
	E=; b=oVmzZEJ74wqs7Mjco7VKXHlw7kTiFhx9kKY0gFUTapER/8cL+vwxINqEg1
	7m559sSXxqnYCcg4JQtWyY4wa6P2fZCjkKiv+NmqUW4N1wZL3ub0Ijhipq+pTjDp
	vyYbfXOZlaMwSNGZnP0eIwUtm4sSdLBcc/AfRM+C/fmbsHCmA=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=machin.be; h=from:to:date:subject
	:reply-to:mime-version:content-type:message-id:
	content-transfer-encoding; q=dns; s=2011; b=R906uJQlcn8s5FoVVQw8
	BoOetku8uqh6dSn/DXOnUhWS4meSCRPoj9GVHK78KkvWULDk+emfZBW4pi6flFa6
	3xtBaPiFfQajI2VTntvu+cm4KIrwR8kIrGU2n8ahC20Zvcv923St1Ki8n7NIv0Hh
	Gb2sQJnAnNkuaoTiMbVoOEc=
Received: from [41.191.29.38] (unknown [41.191.29.38])
	by ksxxx.kimsufi.com (Postfix) with ESMTP id C7DB04519
	for <contact@machin.be>; Thu,  8 Jul 2010 20:54:00 +0200 (CEST)
From: <contact@machin.be>
To: contact@machin.be
Date: Thu, 8 Jul 2010 21:55:13 +0300
Subject: Shop erection boosters via Internet
Reply-To: <contact@machin.be>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Message-Id: <20100708185400.C7DB04519@ksxxx.kimsufi.com>
Content-Transfer-Encoding: quoted-printable

Voici en comparaison les headers d'un mail que j'ai envoyé de mon compte gmail, vers mon adresse contact@machin.be .
Dans le 2 headers, on retrouve la même redirection en interne (ci-dessous). Pour moi, ce n'est pas une connection au smtp , mais un redirection en interne assez normale - une histoire d'alias ou simplement de redirection vers la bonne boite.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Received: from ksxxx.kimsufi.com (localhost.localdomain [127.0.0.1])
	by ksxxx.kimsufi.com (Postfix) with ESMTP id 4525D45F0
	for <machin@ksxxx.kimsufi.com>; Mon, 12 Jul 2010 14:23:32 +0200 (CEST)

Ici, vu que le "from" n'est pas falsifié, il n'est pas signé par dkim en interne (par contre, il est signé par dkim à l'origine chez gmail )

Headers ( mail envoyé de gmail vers contact@machin.be ):

Return-Path: <monadresse@gmail.com>
X-Original-To: machin@ksxxx.kimsufi.com
Delivered-To: machin@ksxxx.kimsufi.com
Received: from ksxxx.kimsufi.com (localhost.localdomain [127.0.0.1])
by ksxxx.kimsufi.com (Postfix) with ESMTP id 4525D45F0
for <machin@ksxxx.kimsufi.com>; Mon, 12 Jul 2010 14:23:32 +0200 (CEST)
Received: from mail-fx0-f41.google.com (mail-fx0-f41.google.com [209.85.161.41])
by ksxxx.kimsufi.com (Postfix) with ESMTP id 3959745ED
for <contact@machin.be>; Mon, 12 Jul 2010 14:23:32 +0200 (CEST)
Received: by fxm20 with SMTP id 20so2414916fxm.28
for <contact@machin.be>; Mon, 12 Jul 2010 05:25:04 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=gamma;
h=domainkey-signature:mime-version:received:received:date:message-id
:subject:from:to:content-type;
bh=wCYPSeEsWnL2QHka+ir5KMrO/e48j9hH6saBT3Rzvt0=;
b=nthLC0s/tTZdfkzDRSmF8G/zfotxHkelir4v9QO7GObznxrBQrR6dWsKL+ICEzee7w
Jgb/BfB+dWGHpM/RkUDe8/mzSoLmXraG9DGM4U3UeoYWJ4XGdwuIFdRF7z0oYYH7qYsa
UxgTWCE0gzOwAEBiDZHPJzXArEnLepYtCB+FQ=
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=gmail.com; s=gamma;
h=mime-version:date:message-id:subject:from:to:content-type;
b=ZamndUjGKN7xyDPt6TlkvIf/04pNXgX8TvrmPW3ptBopgYrw6QnFRYLAdpblca8G1P
4Mp1pWrOphdsbXk9+37knt2AYO6WPOhbA5KIKV6Gw8vn8EzUXDotNMk02Gf5cIHjCa3V
jqV7vH413LX3NvWia5BSOsfNJ/LQWhON1LPNQ=
MIME-Version: 1.0
Received: by 10.239.188.202 with SMTP id q10mr1251001hbh.138.1278937504737;
Mon, 12 Jul 2010 05:25:04 -0700 (PDT)
Received: by 10.239.185.133 with HTTP; Mon, 12 Jul 2010 05:25:04 -0700 (PDT)
Date: Mon, 12 Jul 2010 14:25:04 +0200
Message-ID: <AANLkTinElOMx6annmngp4p8MyUoKqBhBbn8cgm4a7l_V@mail.gmail.com>
Subject: test de gmail
From: moi <monadresse@gmail.com>
To: contact@machin.be
Content-Type: multipart/alternative; boundary=001485f7cb50a8ecf3048b2fd70b

--001485f7cb50a8ecf3048b2fd70b
Content-Type: text/plain; charset=ISO-8859-1

test de gmail

--001485f7cb50a8ecf3048b2fd70b
Content-Type: text/html; charset=ISO-8859-1

test de gmail<br>

--001485f7cb50a8ecf3048b2fd70b--

Corrigez-moi si je me trompe, mais je ne pense donc pas que le spam d'origine se connecte à mon smtp pour envoyer le mail.

[JeitEmgie]

Corrigez-moi si je me trompe, mais je ne pense donc pas que le spam d'origine se connecte à mon smtp pour envoyer le mail.

non, on dirait que c'est votre config Postfix qui joue au ping-pong avec les mails reçus ce qui provoque leur signature par DKIM quand la signature est forgée…