Re: [FRsAG] BPCE et DKIM

2020-09-18 Par sujet Pierre DOLIDON 

Le 18/09/2020 à 11:06, Dominique Rousseau a écrit :

Le Fri, Sep 18, 2020 at 10:44:28AM +0200, Julien Escario 
[julien.esca...@altinea.fr] a écrit:

Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :

forger des spams avec une signature DKIM et des SPF valide, c'est pas
bien compliqué !

Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?

Facile : tu en publies une.

Tu enregistres un domaine, tu y mets du SPF, DKIM, tu fais tes mails
signés, tu détruis le domaine.
Avec les API des registrars et les whois anonymises, ca laissera peu de
traces faciles a suivre.


oui.
ou tu pirate une boite mail ou un site wordpress tout pourri, et tu 
envoie des mails avec la fonction php mail(). comme le serveur est bien 
configuré il va signer gentiment tes vrais spams.


j'ai pas parlé de forger un From ou sender-address hein ! j'ai juste dit 
que tu pouvais très bien envoyer des spams avec une signature DKIM et un 
SPF valide !


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-18 Par sujet Dominique Rousseau 
Le Fri, Sep 18, 2020 at 10:44:28AM +0200, Julien Escario 
[julien.esca...@altinea.fr] a écrit:
> Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
> > forger des spams avec une signature DKIM et des SPF valide, c'est pas
> > bien compliqué !
> 
> Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?

Facile : tu en publies une.

Tu enregistres un domaine, tu y mets du SPF, DKIM, tu fais tes mails
signés, tu détruis le domaine.
Avec les API des registrars et les whois anonymises, ca laissera peu de
traces faciles a suivre.



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-18 Par sujet Julien Escario 
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
> forger des spams avec une signature DKIM et des SPF valide, c'est pas
> bien compliqué !

Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?

Avec du DNS menteur ? Y'a DNSSEC pour ça normalement.

Une fois que tu as fais ça, ça commence à devenir plutôt complexe pour
le script-kiddie de forger un mail valide.

Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Archange 


Le 17 septembre 2020 19:10:34 GMT+04:00, Pierre DOLIDON  a 
écrit :
>Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
>> Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
>
>ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM 
>filtre certes de facto quelques spams, mais
>1 - c'est pas fait pour ça
>2 - c'est d'une efficacité toute relative !
>
>forger des spams avec une signature DKIM et des SPF valide, c'est pas 
>bien compliqué !

Oui et non. Tu peux faire un mail qui vient d’un domaine bidon, mais tu auras 
plus de mal à usurper le From avec un DKIM et SPF valide. Or une partie du 
problème ce sont les mails qui prétendent provenir de exemple.tld mais viennent 
en fait d’un SMTP random d’un spammeur.

D’autre part, tout ce qui demande un effort aux spammeurs fera chuter 
énormément le taux de spams reçus. Exemple, le greylisting : ça suffit à tuer 
95% du spam sur mes serveurs, les spammeurs ne retentent quasiment pas de 
renvoyer. Donc je peux comprendre que forcer DKIM, ça permet aussi de limiter 
les spams reçus. Et en forçant le From à correspondre au domaine d’expédition, 
ça rend le blacklisting plus facile.

Cela dit, forcer DKIM et SPF ça pose encore pas mal de soucis avec certaines 
mailing list et autres systèmes de redirection qui n’ont pas forcément 
implémenté ARC et SRS.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Antoine Nivard via FRsAG 
Bonsoir,

Je confirme que nous montons tous d'un cran la sécurité.
C'est de la précaution par rapports à toutes les attaques en cours.

a+,

    Antoine N.


Cordialement,

Antoine Nivard
0x0376B6D29E35A2B3

Le 17/09/2020 à 18:06, Maxime DERCHE a écrit :
> re,
>
> Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
>> Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
>>> Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
>> ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM 
>> filtre certes
>> de facto quelques spams, mais
>> 1 - c'est pas fait pour ça
>> 2 - c'est d'une efficacité toute relative !
>>
>> forger des spams avec une signature DKIM et des SPF valide, c'est pas bien 
>> compliqué !
> Cela permet de limiter les hameçonnages qui font beaucoup de dégât en ce 
> moment, à
> base d'usurpation de domaine notamment, ce qui est le but de DKIM.
>
> Qu'un grand organisme bancaire monte significativement et brutalement le 
> niveau de sa
> politique de sécurité peut être un indice de réaction à une attaque, ou 
> simplement de
> précaution dans un contexte lourd, d'où ma question.
>
>
> Bien cordialement,
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Maxime DERCHE 
re,

Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
> Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
>> Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
> 
> ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM 
> filtre certes
> de facto quelques spams, mais
> 1 - c'est pas fait pour ça
> 2 - c'est d'une efficacité toute relative !
> 
> forger des spams avec une signature DKIM et des SPF valide, c'est pas bien 
> compliqué !

Cela permet de limiter les hameçonnages qui font beaucoup de dégât en ce 
moment, à
base d'usurpation de domaine notamment, ce qui est le but de DKIM.

Qu'un grand organisme bancaire monte significativement et brutalement le niveau 
de sa
politique de sécurité peut être un indice de réaction à une attaque, ou 
simplement de
précaution dans un contexte lourd, d'où ma question.


Bien cordialement,
-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Jarod G. 
> un peu violent... qu'en pensez-vous ?

Écoute, si ça peut inciter des postmaster à déployer (correctement) pour
moi c'est une bonne initiative.
Même si on sait que ces gens vont d'abord essayer de taper un scandale
avant pour pas avoir à déployer, m'enfin bref.

Le 17/09/2020 à 16:57, Pierre DOLIDON a écrit :
> Aujourd'hui, un client me remonte un de ses mailer-deamon :
>
>
> : host
> mail-in.bpce-it.fr[91.135.189.237] said: 550
> #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this
> failure is in error, please refer to
> https://tools.ietf.org/html/rfc6376 or
> contact postmas...@bpce-it.fr for more information via alternate
> means. (in
> reply to end of DATA command)
> Reporting-MTA: dns; y
> X-Postfix-Queue-ID: 4728650C280F
> X-Postfix-Sender: rfc822; sss...@cc.com
> Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)
>
> Final-Recipient: rfc822; xx
> Original-Recipient: rfc822;x
> Action: failed
> Status: 5.0.0
> Remote-MTA: dns; mail-in.bpce-it.fr
> Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is
> prohibited. If
> you believe that this failure is in error, please refer to
> https://tools.ietf.org/html/rfc6376 or contact postmas...@bpce-it.fr for
> more information via alternate means.
>
>
>
>
> donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550
> directement ?
> un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne
> vienne pas d'un géant américain du mail en fait ^_^
>
> (oui, il y a encore des clients qui n'ont pas de signature DKIM dans
> leurs mails).
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

-- 
GPG : 71E5 89D2 ADA9 F401 56CE 4374 B11B 7C56 F111 C320

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Pierre DOLIDON 

Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :

Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.


ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM 
filtre certes de facto quelques spams, mais

1 - c'est pas fait pour ça
2 - c'est d'une efficacité toute relative !

forger des spams avec une signature DKIM et des SPF valide, c'est pas 
bien compliqué !


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Pierre DOLIDON 

Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :

Tu as vu ça juste aujourd'hui, avant les messages passaient ?


j'ai commencé mon mail par "Aujourd'hui, un client me remonte un de ses 
mailer-deamon" ;-)


sinon, je n'envoie pas des mails tous les jours a la BPCE non ;-)

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

2020-09-17 Par sujet Maxime DERCHE 
Bonjour,

Le 17/09/2020 à 16:57, Pierre DOLIDON a écrit :
> Aujourd'hui, un client me remonte un de ses mailer-deamon :
> 
> 
> : host mail-in.bpce-it.fr[91.135.189.237] 
> said: 550
> #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this
> failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or
> contact postmas...@bpce-it.fr for more information via alternate means. (in
> reply to end of DATA command)
> Reporting-MTA: dns; y
> X-Postfix-Queue-ID: 4728650C280F
> X-Postfix-Sender: rfc822; sss...@cc.com
> Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)
> 
> Final-Recipient: rfc822; xx
> Original-Recipient: rfc822;x
> Action: failed
> Status: 5.0.0
> Remote-MTA: dns; mail-in.bpce-it.fr
> Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is prohibited. If
> you believe that this failure is in error, please refer to
> https://tools.ietf.org/html/rfc6376 or contact postmas...@bpce-it.fr for
> more information via alternate means.
> 
> 
> 
> 
> donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550 
> directement ?
> un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne vienne 
> pas
> d'un géant américain du mail en fait ^_^
> 
> (oui, il y a encore des clients qui n'ont pas de signature DKIM dans leurs 
> mails).

Tu as vu ça juste aujourd'hui, avant les messages passaient ?

Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.


Bien cordialement,
-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




signature.asc
Description: OpenPGP digital signature
___
Liste de diffusion du FRsAG
http://www.frsag.org/