(Courriels de diversion: <execreraient@obstruees-simplifiez.com> <mulâtre@penetrez-plafonnee.com> <babas@troublait-ecologique.com> <grimages@salis-rentreras.com> <denombrerons@grassouillets-âpretes.com> <reconvertis@prud'hommes-rênes.com> <colosse@bosse-verbaliseras.com> <recourberait@ambitionneraient-irritent.com> <respections@chagrinerez-tempêteront.com> <badigeonnages@scandaleusement-frauderais.com> )
Le 4 Nov, jdanield@dodin.net écrit :[ >> == moi ] >> C'est srvsina.sinassur.com qui relaye un message de 66.92.72.213. Et >>ensuite, brinstar.nerim.net se rend complice du relayage en acceptant >>en acceptant de transporter plus avant le message. > > tu appelle ca une explication? > > tu fais un traceroute, tu vois plmein de serveurs qui transportent les > messages. Pas vraiment, en fait. Avec un traceroute, tu vois les routeurs qui transportent les paquets IP qui composent les messages (pas tout à fait, puisque le chemin suivi par les messages n'est pas nécessairement le chemin suivi par les paquets IP que tu peux envoyer d'un serveur de courrier à l'autre ; mais ça ira comme première approximation). > ca ne me dit pas ce que c'est que cette histoire de multihop (et > manifestement l'admin de nerim ne se sent pas responsable) Je ne sais d'où je dois partir pour expliquer. Autant commencer par un résumé rapide de comment fonctionne le courrier. Il y a trois types d'intervenant dans le courrier électronique : - le MUA (Mail User Agent : Kmail, Microsoft Outlook Express, tkrat, etc) ; - le MTA (Mail Tansport Agent : postfix, sendmail, exim, Microsoft Exchange, etc) ; - le MDA (Mail Delivery Agent : mail, deliver, procmail, etc). Le MUA est l'interface utilisateur : il te permet de consulter le contenu de ta boîte aux lettres, de composer des messages, etc. Il a la bien sûr la fonction de donner le courrier que tu veux envoyer au centre de tri le plus plus proche, ton MTA. Le MTA agit comme le système de distribution de courrier papier des PTT : il joue le rôle de centre de tri, logistique d'acheminement et centre de distribution. Comme dans le cas des PTT, il est prévu pour être relayable : chaque MTA file le courrier au MTA dont il pense qu'il va gérer le reste de l'acheminement du message. Chaque MTA qui a acheminé le courrier laisse normalement une trace (un champ Received: dans le message ; il y a un message dans le bestof linux-31 qui explique comment interpréter ces champs et décortiquer le cheminement). Une fois que le courrier est arrivé au MTA de la machine qui gère ta boîte au lettres (ton bureau de poste local), ce dernier le donne à un MDA (facteur) qui va le poser physiquement dans ta boîte aux lettres. C'est bon ? Maintenant, les relais ouverts. Dans la description que j'ai faite, les MTA peuvent accepter du courrier de n'importe quel MTA ou MUA et les donner à n'importe quel autre MTA ou à leur MDA. Dans le temps, c'était fréquent. Un MTA qui est configuré comme cela est un relai ouvert. Mais avec la massification du courrier électronique, des abus sont apparus : des gens peu scrupuleux envoient en masse des courrier commerciaux ou d'arnaque en profitant du faible coût du courrier électronique. La parade immédiate des victimes est de bloquer les MTA dont ces gens-là se servent. Le contournement trouvé par les spammeurs est (entre autre) d'utiliser des relais ouverts (qui présentent en outre l'avantage de mieux masquer leur origine). Donc les victimes se protègent en refusant les courriers venant de relais ouverts. Tout cela est bel et bon, mais comment fermer un relai ? Un MTA possèdait déjà la notion de domaine géré : c'est ce qui lui permettait de décider que si le destinataire était dans le domaine géré, il fallait passer le courrier au MDA local plutôt que le transférer au MTA suivant. Pour fermer le relai, il suffit alors d'ajouter la notion d'émetteur légitime. Cette dernière notion peut varier suivant le MTA : pour un FAI ou une entreprise, l'émetteur légitime est souvent défini par « courrier soumis par une machine du réseau interne (client pour un FAI), identifiée par son adresse IP » ; pour smtp.laposte.net, et tous les MTA fonctionnant suivant le principe POP avant SMTP, c'est « courrier soumis par une machine qui a fait une identification par POP dans les X secondes précédentes, toujours d'après l'adresse IP » (il y a d'autres façons de s'identifier, dont une par protocole ESMTP, mais peu utilisée à ma connaissance). Un relai fermé est alors un MTA qui n'accepte que les courriers dont soit le destinataire est dans le domaine géré, soit l'émetteur est un émetteur légitime. On a vu que la plupart des FAI considèrent comme émetteurs légitimes les machines de leurs clients. C'est ce que fait Nérim. Mais avec le développement du haut débit, et plus précisément de l'accès au forfait temps illimité, conjugué à la possibilité d'obtenir une adresse IP fixe, les clients se sont vus ouvrir la possibilité de monter leur propre serveur de courrier (MTA). Comme toujours en cas de massification d'une technologie, tout le monde n'est pas compétent pour maîtriser la chose (soyons charitables et ne supposons pas _a priori_ que ces gens veulent nuire ; mais gardons présent à l'esprit que c'est une éventualité). On retrouve donc chez les clients de Nérim des relais ouverts. Que se passe-t-il alors ? Quelqu'un qui veut spammer repère un relai ouvert chez un client de Nérim (laissons de côté l'aspect pratique de la découverte de ce genre de choses pour l'instant) ; il (elle) soumet ses spams au relai ouvert. Si ce dernier est configuré pour transmettre les courriers non destinés au domaine géré au MTA tournant sur smtp.nerim.net (ce qui n'est pas une configuration idiote pour un client de Nérim), les courriers seront acceptés par smtp.nerim.net (_puisque qu'ils sont soumis par une machine qui est un émetteur légitime pour Nérim_) ; smtp.nerim.net va alors soumettre lui-même le courrier au MTA suivant, qui est normalement celui qui gère le domaine du destinataire. Ce dernier reçoit donc un courrier relayé du serveur smtp.nerim.net, même si smtp.nerim.net lui-même ne relaie pas. C'est plus clair comme cela ? Les conclusions que l'on peut en tirer : - du courrier relayé indument peut être reçu de smtp.nerim.net ; - la détermination de l'émetteur légitime effectuée par smtp.nerim.net n'est pas adaptée au risque ; - il faut que les clients de Nérim lésés protestent auprès de ce FAI afin qu'il change sa notion d'émetteur légitime. Ceci dit, puisque j'ai accès au boulot au forum nerim.support, je peux te conseiller d'aller voir le post de Thivillon sur le fil « SMTP lent », qui rappelle que le développement du forfait illimité en temps rend ce problème de relayage à plusieurs intervenants de plus en plus grave (parce que de plus en plus courant) ; puis de regarder dans le fil blacklist la description d'une des solutions possibles, mise en oeuvre par le FAI batave xs4all (qui teste sytématiquement les machines de ses clients contre le relai ouvert, et limite leur accès dans ce cas). Note qu'on peut remplacer Nérim par n'importe quel fournisseur d'accès à temps illimité (ADSL surtout). Je crois que les admins de Nérim vont comprendre à la fin, malgré leur première réaction du style « c'est pas moi, c'et injuste, mes serveurs sont bien configurés ! » (putain ! il se croit face à son prof à l'école, ou quoi ?) : les types semblent compétents et j'ai confiance qu'ils vont agir dans le bon sens. J'ai moins d'espoir pour les PT^W^W Wanadoo : je crains que nous ayons à les subir encore longtemps, puisqu'il sont exagérément dominants : face à eux, je crains que nous n'ayons d'autre choix que de les considérer comme une catastrophe naturelle (ou une punition envoyée par le Très Haut pour nous faire regretter nos péchés). En espérant avoir clarifié les choses. -- Marc Thirion | Ramonville Saint-Agne, France Projet Internet et Citoyenneté : http://www.le-pic.org/ --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>