13/03/2010

L’email : un vilain petit cafardeur !


geekfault inspectant un emailVotre architecture réseau ne regarde pas vos correspondants, cependant vous avez donné aux plus curieux d’entre eux quelques bribes d’information à votre insu : ip interne, dns interne, chaîne de mta

Nous allons voir un exemple récent, déterminer quels logiciels font les pies et finir par quelques réglages de ces derniers.

Quelques définitions rapides :

  • MUA : Mail User Agent, c’est l’agent coté utilisateur. Thunderbird que j’évoque dans cet article, Evolution, KMail, mutt, mail et sendEmail sont quelques exemples.
  • MTA : Mail Transfer Agent, le serveur smtp. Sendmail que j’évoque dans cet article, postfix, qmail, exim sont les plus connus, mais ssmtp et OpenSMTPd sont des alternatives montant en puissance.
  • MDA : Mail Delivery Agent, c’est le logiciel qui remet les emails dans les comptes utilisateurs. Procmail est le plus connu.
  • RFC : Request For Comment, un texte de référence. Le texte nous intéressant ici est la RFC 5321 http://tools.ietf.org/html/rfc5321

Cas concret



Décortiquons ensemble un email envoyé par un de mes fournisseurs. Il n’y a rien d’exceptionnel dans cette section qui n’ait déjà été maintes fois abordé dans la presse informatique vulgarisée.

L’email en question

From - Mon Jan 18 17:07:56 2010
(…)
Return-Path: <monsieur@correspondant.fr>
Received: from smtp20.msg.oleane.net (smtp20.mail.priv [172.17.20.138])
        by mail03.msg.oleane.net with LMTP id H7q6321w;
        Mon, 18 Jan 2010 17:07:52 +0100
Received: from smtp20.msg.oleane.net (localhost [127.0.0.1])
        by smtp20.msg.oleane.net (MX-ASAV) with ESMTP id o0IG7pk9022097;
        Mon, 18 Jan 2010 17:07:51 +0100
Received: from abc.correspondant.com (abc.correspondant.com [81.211.11.111])
        by smtp20.msg.oleane.net (MX) with ESMTP id o0IG7ndC021964;
        Mon, 18 Jan 2010 17:07:49 +0100
Received: from PC1.correspondant.fr ([192.168.69.50])
        (authenticated user monsieur@correspondant.fr)
        by abc.correspondant.com (Kerio MailServer 6.7.0 patch 1);
        Mon, 18 Jan 2010 17:10:15 +0100
Subject: RE: GeekFault
Date: Mon, 18 Jan 2010 17:07:48 +0100
Message-ID: <xxxx@correspondant.fr>
In-Reply-To: <xxxxdestinataire.fr>
From: "Monsieur CORRESPONDANT" <monsieur@correspondant.fr>
Sender: "Monsieur CORRESPONDANT" <monsieur@correspondant.fr>
To: "Monsieur DESTINATAIRE" <monsieur@destinataire.fr>
Importance: Normal
X-Priority: 3
X-MSMail-Priority: Normal
User-Agent: Kerio Outlook Connector (6.7.0.7695)
MIME-Version: 1.0
X-MimeOLE: Produced by Kerio Outlook Connector (6.7.0.7695)
Content-Type: multipart/mixed; boundary=MIXED-MIME-355913937-24773-delim
X-Spam-Flag: NO
X-PMX-Spam: Probability=13%
X-Spam-Level: X
X-PFSI-Info: PMX 5.5.5.374460, Antispam-Engine: 2.7.1.369594, Antispam-Data: 2010.1.18.155416 (no virus found)

Comment le lire ?

La RFC 5321 section 4.4 précise que le Mail Transfert Agent (mta) se DOIT, et avant toutes autres opérations de transfert, d’inclure une trace « Received » ou « timestamp ». L’ordre des « Received » se lit donc de bas en haut.

Nous apprenons que notre « correspondant » a émis son email depuis son « PC1 » 192.168.69.50 (IPV4) . On devine aisément son système d’exploitation, c’est celui qui donne des noms de machines en majuscules.

Jouons au jean-kevin

On déduit du mix « .fr »/ « .com » que notre sujet d’étude n’est pas très familier avec les dns et c’est sans doute la raison pour laquelle il n’en a pas en interne. Il n’est pas non plus familier avec ntp. Visiblement notre sujet d’étude n’est pas familier avec certains services réseaux.

Attardons nous quelques secondes sur le 3ème mta rencontré, OBS utilise un mta du nom de « localhost [127.0.0.1] », nous sommes dans une application minimaliste de la section 4.4 de la RFC 5321. Pourquoi être resté a minima, contrairement aux autres mta ? Le terme MX-ASAV nous donne un indice : AntiSpam AntiVirus … ce mta est vraisemblablement inaccessible il n’y a aucune raison de fournir plus de détails.

Que retenir de cette partie ?

Nous n’avons donc rien appris de bien intéressant car nous ne cherchons rien de particulier. Détails à priori inintéressants, mais avez-vous vraiment envie d’en faire profiter le reste de vos correspondants ?