[Postfix - SIEVE] filtrer le FROM et X-Sender

Support Debian
#1

Bonjour,

J’ai reçu un message de tentative d’hameçonnage.

Mon Thunderbird affiche en From: mon@adresse.mail mais quand je regarde le header, je vois bien que l’usurpateur est passé par une autre adresse en utilisant un serveur légitime.

J’ai un SPF sur mon domaine, l’usurpateur n’a pas utilisé mon domaine ou mon compte pour envoyer son message, il n’a fait que modifier le champs From. Le X-Sender dans l’entête m’affiche bien la vraie adresse de l’expéditeur.

Je présume qu’un simple ehlo From a pu suffir à faire ça ?? (si quelqu’un peut m’éclairer la dessus :slight_smile: )

Voici le header :

Return-Path: <asup@remss.by>
Delivered-To: <lemien@adresse.mail>
Received: from mon.serveur.mail
	by mon.serveur.mail (Dovecot) with LMTP id y/JZJcbnalxbYAAAs480NA
	for <lemien@adresse.mail>; Mon, 18 Feb 2019 18:13:42 +0100
Received: by mon.serveur.mail (Postfix, from userid 114)
	id 8F8BFCC2; Mon, 18 Feb 2019 18:13:42 +0100 (CET)
X-Spam-Report: 
	*  0.7 LOCALPART_IN_SUBJECT Local part of To: address appears in Subject
	* -0.0 SPF_HELO_PASS SPF: HELO matches SPF record
X-Spam-Status: No, score=0.7 required=5.0 tests=LOCALPART_IN_SUBJECT,
	SPF_HELO_PASS autolearn=no autolearn_force=no version=3.4.0
X-Spam-Level: 
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on mon.serveur.mail
Received-SPF: permerror (remss.by: Unknown mechanism type 'ipv4' in 'v=spf1' record) receiver=mon.serveur.mail; identity=mailfrom; envelope-from="asup@remss.by"; helo=mailbe03.hoster.by; client-ip=93.125.31.228
Received: from mailbe03.hoster.by (mailbe03.hoster.by [93.125.31.228])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mon.serveur.mail (Postfix) with ESMTPS id 3B6A4CB5
	for <lemien@adresse.mail>; Mon, 18 Feb 2019 18:13:40 +0100 (CET)
Received: from [93.125.30.168] (account asup@remss.by HELO gw.mail.hoster.by)
  by mailbe03.hoster.by (CommuniGate Pro SMTP 6.2.12)
  with ESMTPA id 215593556 for lemien@adresse.mail; Mon, 18 Feb 2019 20:13:39 +0300
Message-ID: <nj9uej.mv7w5b8in54h49j@mail.remss.by>
Abuse-Reports-To: <abuse@mail.remss.by>
Errors-To: "gapp" <no-reply@remss.by>
From: <lemien@adresse.mail>
X-Priority: 5 (Lowest)
X-Sender: asup@remss.by
List-ID:
 m04v8s2gv7h7w692vazk3wfxxu0lg3iu.rj9d0v4mmq0sd470iws16g4yzvwpb3ozkejln38hsb5ks4
Date: Mon, 18 Feb 2019 18:13:38 +0100
List-Subscribe: subscribe@remss.by
X-CSA-Complaints: complaints@remss.by
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
To: lemien@adresse.mail
X-Sender-Info: <asup@remss.by>
Subject: lemien

Que dois-je faire pour m’y prémunir ?
J’avais pensé faire un filtre à base de SIEVE pour faire en sorte que s’il y a un X-Sender, il faut que celui-ci soit équivalent au From, sinon -> spam.

Mais je ne suis pas persuadé que ça fonctionne vraiment…

Si quelqu’un a une idée :confused:
Merci à vous !

#2

Oui.
Tu peux obtenir le même type d’ofuscation en configurant ton logiciel d’envoi de mail pour envoyer avec les headers que tu veux, ce n’est même pas une question d’aller pirater un serveur où autre, ces headers là sont indicatifs et servent à l’acheminement de la réponse.

Rien, tu ne peux pas.
Les mails que le type essaye d’envoyer en ton nom et pour lesquels tu reçois des message d’erreur ne passent pas par tes machines, tu n’as pas de controle dessus, tu ne reçois que les traces de l’usurpation de ton identité quand il y a une erreur.
Aprés, oui, ton idée de filtrer ce type de message d’erreur est possible.
Mais c’est pas facile d’éviter les faux positifs:
parmi les messages d’erreur, quel que soit le filtre que j’ai essayé de faire, je ramassais aussi des messages d’erreur légitimes sur des problémes à moi.

Aprés, peut être que ton histoire de faire correspondre X-Sender avec From: va marcher mieux, je ne sais pas.

#3

Je veux dire qu’il faut quand même trouver un serveur qui t’autorise à envoyer tes headers pourris, mais le fait d’envoyer des headers pourris ne nécessite pas une intrusion.

#4

Merci pour ta réponse, c’est bien ce que je pensais :confused:

Je vais essayer de voir comment afficher au niveau du From le x-sender.
Je m’explique :
Si le x-sender est usurpateur@du.mail et le From mon@adresse.mail, que mon thunderbird, ou du moins Dovecot n’affiche pas le From du header mais le x-sender. L’information sera ainsi beaucoup plus viable.
Je sais que le x-sender n’est pas obligatoire, s’il n’y en a pas, ce sera le return … à voir comment enrayer ce type de message…

Je ne sais pas, à l’heure actuel comment le faire, j’essaierai de creuser… si tu as une idée, je suis preneur :slight_smile:
Merci !

#5

Salut,

J’ai en parti résolu mon affaire.

C’est bien avec les filtres Sieve qu’on peut éditer les headers.
J’ai donc chargé le plugin editheader et fait une réécriture du From avec le Return-Path.

Le hic, c’est que ça ne fonctions QUE si le From est écrit comme suit :
From : usurpateur@du.mail

si j’écris dans le data :
From: usurpateur@du.mail

ça ne fonctionne pas :’(

je creuse encore…