(Courriels de diversion: <execreraient@obstruees-simplifiez.com> <mulâtre@penetrez-plafonnee.com> <babas@troublait-ecologique.com> <grimages@salis-rentreras.com> <denombrerons@grassouillets-âpretes.com> <reconvertis@prud'hommes-rênes.com> <colosse@bosse-verbaliseras.com> <recourberait@ambitionneraient-irritent.com> <respections@chagrinerez-tempêteront.com> <badigeonnages@scandaleusement-frauderais.com> )


Le  4 Nov, jdanield@dodin.net écrit :[ >> == moi ]
>>  C'est srvsina.sinassur.com qui relaye un message de 66.92.72.213. Et
>>ensuite, brinstar.nerim.net se rend complice du relayage en acceptant
>>en acceptant de transporter plus avant le message.
> 
> tu appelle ca une explication?
> 
> tu fais un traceroute, tu vois plmein de serveurs qui transportent les
> messages.

  Pas vraiment, en fait. Avec un traceroute, tu vois les routeurs qui
transportent les paquets IP qui composent les messages (pas tout à fait,
puisque le chemin suivi par les messages n'est pas nécessairement le
chemin suivi par les paquets IP que tu peux envoyer d'un serveur de
courrier à l'autre ; mais ça ira comme première approximation).

> ca ne me dit pas ce que c'est que cette histoire de multihop (et
> manifestement l'admin de nerim ne se sent pas responsable)

  Je ne sais d'où je dois partir pour expliquer. Autant commencer par un
résumé rapide de comment fonctionne le courrier.

  Il y a trois types d'intervenant dans le courrier électronique :
  - le MUA (Mail User Agent : Kmail, Microsoft Outlook Express, tkrat, etc) ;
  - le MTA (Mail Tansport Agent : postfix, sendmail, exim, Microsoft Exchange,
    etc) ;
  - le MDA (Mail Delivery Agent : mail, deliver, procmail, etc).

  Le MUA est l'interface utilisateur : il te permet de consulter le
contenu de ta boîte aux lettres, de composer des messages, etc. Il a la
bien sûr la fonction de donner le courrier que tu veux envoyer au centre
de tri le plus plus proche, ton MTA.

  Le MTA agit comme le système de distribution de courrier papier des
PTT : il joue le rôle de centre de tri, logistique d'acheminement et
centre de distribution. Comme dans le cas des PTT, il est prévu pour
être relayable : chaque MTA file le courrier au MTA dont il pense qu'il
va gérer le reste de l'acheminement du message. Chaque MTA qui a
acheminé le courrier laisse normalement une trace (un champ Received:
dans le message ; il y a un message dans le bestof linux-31 qui explique
comment interpréter ces champs et décortiquer le cheminement).

  Une fois que le courrier est arrivé au MTA de la machine qui gère ta
boîte au lettres (ton bureau de poste local), ce dernier le donne à un
MDA (facteur) qui va le poser physiquement dans ta boîte aux lettres.

  C'est bon ?

  Maintenant, les relais ouverts. Dans la description que j'ai faite,
les MTA peuvent accepter du courrier de n'importe quel MTA ou MUA et les
donner à n'importe quel autre MTA ou à leur MDA. Dans le temps, c'était
fréquent. Un MTA qui est configuré comme cela est un relai ouvert.

  Mais avec la massification du courrier électronique, des abus sont
apparus : des gens peu scrupuleux envoient en masse des courrier
commerciaux ou d'arnaque en profitant du faible coût du courrier
électronique. La parade immédiate des victimes est de bloquer les MTA
dont ces gens-là se servent. Le contournement trouvé par les spammeurs
est (entre autre) d'utiliser des relais ouverts (qui présentent en outre
l'avantage de mieux masquer leur origine).

  Donc les victimes se protègent en refusant les courriers venant de
relais ouverts.

  Tout cela est bel et bon, mais comment fermer un relai ? Un MTA
possèdait déjà la notion de domaine géré : c'est ce qui lui permettait
de décider que si le destinataire était dans le domaine géré, il fallait
passer le courrier au MDA local plutôt que le transférer au MTA suivant.
Pour fermer le relai, il suffit alors d'ajouter la notion d'émetteur
légitime. Cette dernière notion peut varier suivant le MTA : pour un FAI
ou une entreprise, l'émetteur légitime est souvent défini par « courrier
soumis par une machine du réseau interne (client pour un FAI),
identifiée par son adresse IP » ; pour smtp.laposte.net, et tous les MTA
fonctionnant suivant le principe POP avant SMTP, c'est « courrier soumis
par une machine qui a fait une identification par POP dans les X
secondes précédentes, toujours d'après l'adresse IP » (il y a d'autres
façons de s'identifier, dont une par protocole ESMTP, mais peu utilisée
à ma connaissance).

  Un relai fermé est alors un MTA qui n'accepte que les courriers dont
soit le destinataire est dans le domaine géré, soit l'émetteur est un
émetteur légitime.

  On a vu que la plupart des FAI considèrent comme émetteurs légitimes
les machines de leurs clients. C'est ce que fait Nérim. Mais avec le
développement du haut débit, et plus précisément de l'accès au forfait
temps illimité, conjugué à la possibilité d'obtenir une adresse IP fixe,
les clients se sont vus ouvrir la possibilité de monter leur propre
serveur de courrier (MTA). Comme toujours en cas de massification d'une
technologie, tout le monde n'est pas compétent pour maîtriser la chose
(soyons charitables et ne supposons pas _a priori_ que ces gens veulent
nuire ; mais gardons présent à l'esprit que c'est une éventualité).

  On retrouve donc chez les clients de Nérim des relais ouverts.

  Que se passe-t-il alors ? Quelqu'un qui veut spammer repère un relai
ouvert chez un client de Nérim (laissons de côté l'aspect pratique de la
découverte de ce genre de choses pour l'instant) ; il (elle) soumet ses
spams au relai ouvert. Si ce dernier est configuré pour transmettre les
courriers non destinés au domaine géré au MTA tournant sur
smtp.nerim.net (ce qui n'est pas une configuration idiote pour un client
de Nérim), les courriers seront acceptés par smtp.nerim.net (_puisque
qu'ils sont soumis par une machine qui est un émetteur légitime pour
Nérim_) ; smtp.nerim.net va alors soumettre lui-même le courrier au MTA
suivant, qui est normalement celui qui gère le domaine du destinataire.

  Ce dernier reçoit donc un courrier relayé du serveur smtp.nerim.net,
même si smtp.nerim.net lui-même ne relaie pas.

  C'est plus clair comme cela ?

  Les conclusions que l'on peut en tirer :
  - du courrier relayé indument peut être reçu de smtp.nerim.net ;
  - la détermination de l'émetteur légitime effectuée par
    smtp.nerim.net n'est pas adaptée au risque ;
  - il faut que les clients de Nérim lésés protestent auprès de ce FAI
    afin qu'il change sa notion d'émetteur légitime.

  Ceci dit, puisque j'ai accès au boulot au forum nerim.support, je peux
te conseiller d'aller voir le post de Thivillon sur le fil « SMTP lent
», qui rappelle que le développement du forfait illimité en temps rend
ce problème de relayage à plusieurs intervenants de plus en plus grave
(parce que de plus en plus courant) ; puis de regarder dans le fil
blacklist la description d'une des solutions possibles, mise en oeuvre
par le FAI batave xs4all (qui teste sytématiquement les machines de ses
clients contre le relai ouvert, et limite leur accès dans ce cas).

  Note qu'on peut remplacer Nérim par n'importe quel fournisseur d'accès
à temps illimité (ADSL surtout).

  Je crois que les admins de Nérim vont comprendre à la fin, malgré leur
première réaction du style « c'est pas moi, c'et injuste, mes serveurs
sont bien configurés ! » (putain ! il se croit face à son prof à
l'école, ou quoi ?) : les types semblent compétents et j'ai confiance
qu'ils vont agir dans le bon sens. J'ai moins d'espoir pour les PT^W^W
Wanadoo : je crains que nous ayons à les subir encore longtemps,
puisqu'il sont exagérément dominants : face à eux, je crains que nous
n'ayons d'autre choix que de les considérer comme une catastrophe
naturelle (ou une punition envoyée par le Très Haut pour nous faire
regretter nos péchés).

  En espérant avoir clarifié les choses.

-- 
Marc Thirion                   | Ramonville Saint-Agne, France
Projet Internet et Citoyenneté : http://www.le-pic.org/



---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>