mercredi, février 22, 2006

Spam encore...

Suite à l'affaire Ecolife, je me suis penché un peu plus profondément sur le problème, en attendant que Gandi me réponde concernant l'attribution des noms de domaines...
En fait, je me suis amusé à décortiquer les en-têtes de chaque message transmis par le spammeur pour essayer de comprendre comment il agissait. Pour faire simple, en suivant les adresses indiquées dans les champs "Received", on s'aperçoit que la majorité d'entre eux proviennent, à l'origine, d'un serveur Hotmail.
Un extrait :

  • Received: from 158.208.1.84 by law4-ly45.law4.hotmail.com with DAV;
  • Received: from 112.4.0.171 by law3-sf73.law3.hotmail.com with DAV;
  • Received: from 176.240.94.130 by law2-aa07.law3.hotmail.com with DAV;
  • Received: from 4.226.239.8 by law8-om82.law7.hotmail.com with DAV;
  • Received: from 192.22.80.10 by law9-el94.law4.hotmail.com with DAV;


    Je me suis alors demandé ce que signifiait ce DAV... avant de trouver la réponse sur Google. Il s'agit en fait du protocole WebDAV, qui simplifie l'importation, la publication et la synchronisation de fichiers avec un serveur distant. Normalement, ce protocole (qui est une extension de HTTP) est utilisé uniquement pour les sites Web, et non pour les messageries... Mais surtout, il est connu pour être une véritable porte ouverte aux spammeurs qui peuvent ainsi faire transiter leurs messages via Hotmail ! Et en dépit des affirmations de Microsoft (propriétaire de Hotmail), la faille n'a pas été comblée... La preuve ! On trouve même des sites qui expliquent comment en profiter. Un véritable mode d'emploi pour les spammeurs...
    Bref, si on ignore encore qui se cache derrière Ecolife Company, on sait au moins comment ils transmettent leur spam.
    L'enquête continue.
  • 2 Commentaires:

    Anonymous Anonyme a écrit...

    Bonjour,

    Je viens de regarder les sites cités, si l'on peut envoyer des mails en masse d'une facon ou d'une autre, il faut quand même bien indiquer une adresse d'arrivée dans le champs "To:" ou "Copy:"

    Or ce qui me gène dans ce genre de spam, c'est que je ne suis pas le destinataire indiqué dans le champs "To:"!
    J'en reviens donc à mes premiers commentaires.
    Puisque je récupère ces mails sur ma boite pop.wanadoo.fr, c'est bien que wanadoo les y a mis!
    Si wanadoo a mis ces mails dans ma boite pop:
    soit c'est involontaire et dans ce cas, la faille est chez wanadoo!
    soit c'est volontaire et on peut, dans ce cas, se poser la question de savoir si ce ne serait pas pour vendre l'option antispam!
    cordialement

    23 février, 2006 11:56  
    Blogger DS a écrit...

    Si Wanadoo place ces messages dans la boîte d'un de ses abonnés, c'est qu'il en a reçu l'instruction en examinant leur enveloppe : la solution la plus évidente, c'est que le spammeur indique n'importe quelle adresse dans le champs "To:", puis inscrive une liste d'adresses, dont la vôtre, dans le champs "Bcc:". Du coup, aucun destinataire ne peut savoir a qui a été adressé le message, puisque les adresses sont masquées.
    On peut en savoir plus sur les en-têtes des messages en consultant:
    - Le protocole SMTP (en français).
    - L'interview de Laurent Charveriat au Journal du Net (en français).
    - Un très bon tutorial pour analyser les spams (en anglais, descendre au 2e paragraphe).
    - Une explication des manipulations que peuvent pratiquer les spammeurs sur les en-têtes (en anglais).

    25 février, 2006 11:32  

    Réagir | Masquer les commentaires


    Archives|

    |Accueil
    Google