Bonjour, On Wed, Sep 10, 2003 at 01:23:15PM +0200, claude wrote: > Pascal Eisele a écrit : > [...] > >Oui mais... Ca peux etre une solution, le seul truc c'est que c'est > >difficile à gerer pour les FAI. En plus, il faut etre bien certain que > >la personne est infecté et pas que ce n'est pas quelqu'un qui se fait > >passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il > >faut se servir de l'IP et non de l'adresse email de source des messages. > > > > Oui, l'idée est séduisante... Mais, comment être sûr que les champs sont > authentiques ? Parce que l'IP aussi peut être forgée (cf. les spams > dont c'est la grande spécialité). Or, perso, je ne connais aucun soft > permettant de déterminer si un champ quelconque est légitime ou forgé :(
La réponse est simple: les seuls champs auxquels on peut raisonnablement faire confiance sont ceux (et seulement ceux) qui ont été rajoutés par votre (ou vos) passerelle(s) de mail (si vous êtes dans un milieu plutôt "entreprise", ou celle de votre FAI (si vous êtes plutôt dans une config de type "particulier"). On va donc considérer pour la suite que l'adresse IP contenue dans le champ "Received:", rajouté par cette passerelle de confiance, est bien l'IP de la machine qui a émis le message. On pourrait objecter: "oui, mais, comment être certain que c'est cette machine qui est infectée, et que le message n'est pas passé par 36000 relais différents, comme c'est le cas pour le spam ?" Ben tout simplement, ce n'est pas l'intérêt d'un virus que de faire cela. Un virus cherche à se propager le plus vite et le plus efficacement possible. Avec ça à l'esprit, passer par de multiples relais de courrier est une aberration: on rallonge le trajet et donc le temps de délivrance du courrier vérolé, et on court le risque, à chaque passerelle traversée, d'être stoppé par un anti-virus à jour... :-) C'est d'ailleurs pour cela que beaucoup de virus ont désormais leur propre moteur SMTP. On peut donc raisonnablement penser que dans l'immense majorité des cas, à l'heure actuelle, l'IP citée est bien celle de la machine infectée... Les constatations faites par François (que je confirme totalement de mon côté) concernant le nombre de champs "Received:" dans ces messages, vont tout à fait dans ce sens. Reste ensuite à traiter ce message comme s'il s'agissait d'un spam: comme on ne peut connaître l'expéditeur directement, il faut avertir la personne qui lui fournit son accès réseau... Il y a des services comme SpamCop qui permettent d'automatiser les plaintes, mais ces services sont "en ligne": il faut remplir une zone de texte avec les en-têtes du message, et SpamCop fait le reste. Ce qui serait sympa, c'est d'avoir ces scripts en local et pouvoir traiter directement (et automatiquement) les mails vérolés, au lieu de bêtement renvoyer un message à l'expéditeur apparent. Si quelqu'un connaît un jeu de scripts à même d'automatiser les étapes préconisées dans le document suivant, ce serait 'achement bien :-) : http://www.iana.org/faqs/abuse-faq.htm > De plus, la plupart du temps, les IP concernées sont des IP dynamiques : > donc beaucoup plus de travail de la part le l'ISP pour déterminer leur > provenance réelle (savoir qui est connecté, à quel moment et avec quelle > IP => on en revient à la surveillance permanente et à une conservation > des logs que pour ma part, je me refuse à considérer comme une bonne > chose, que ce soit pour l'internaute - flicage - ou pour le FAI - > gestion des logs = énormes capacités de traitement ie. espace disque et > personnel). Cette gestion est déjà faite pour la facturation (il y a encore beaucoup de gens en RTC avec un forfait "x heures"), donc je ne pense pas que le boulot soit si conséquent. Quant à savoir si c'est une bonne chose, je dirais que de 2 maux il faut choisir le moindre... A chacun de voir. :-) Cordialement, Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE -- Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]