>> Michel Py a écrit :
>> Attends toi à ce que ce genre de pratique devienne systématique; à $job[0]
>> on fait pire que çà, non seulement le lien est scanné au moment de la
>> reception du message, mais en plus il est remplacé par un lien qui sert de
>> proxy quand tu cliques dessus; quand l'utilisateur clique sur le lien dans
>> le message, c'est un serveur qui envoie la requête et qui vérifie qu'il n'y
>> a pas de contenu malicieux (une plaie, ça casse plusieurs choses).
> l...@51514.fr a écrit :
> On faisait cela aussi. On a arrêté pour deux raisons :
> - Les liens de vérification sans clic qui validé donc des comptes ou autre
> actions sans avoir de besoins de cliquer quelques part sur la page du lien.
> - Les liens véreux qui faisait que le mailer était pris pour un bot ou autres
> nuisibles pour sites web. Le mailer se retrouve donc dans des blacklists pour
> sites web. Mais ces blacklistes sont aussi utilisées sur d'autres mailers.
> On se retrouve donc bloqué sur certains MX parce qu'on avait vérifié un lien.
C'est pour ça qu'on l'a sous-traité. :-(
> Damien BROCHARD a écrit :
> Je prends la conversation en cours mais c'est effectivement la réflexion que
> je
> me faisais, rien n'empêche de servir ce range d'IP avec des photos de loutres
> (ça change des chats) et de servir les autres avec le malware souhaité ?
La bataille éternelle du glaive contre le bouclier.
Ceci étant dit, je pense quand même que, contrairement à ce que j'ai écrit plus
tôt, la remarque de Vincent Bernat est tout a fait pertinente et qu'il est en
effet nécessaire de dissimuler l'origine de la requête de visite du lien. Ca ne
va pas empêcher les auteurs de merdiciel sérieux de regarder l'adresse
d'origine et de servir une photo de loutre à l'antivirus de GAFA, mais ça peut
encore aider contre les scripts-kiddies qui n'ont pas l'infrastructure de
déployer leur merdiciel avec une liste de préfixes à jour.
> Laurent Barme a écrit :
> En tout cas, je sais maintenant ce qui a supprimé le document que j'avais
> partagé sur cette liste (voir mon message du 23/07/2021 09:40 sur le fil
> "Re: [FRnOG] [MISC] CDN Akamai et attaque DNS"). A noter que la suppression
> nécessite un clic sur un bouton qui lance une fonction JavaScript qui comporte
> un confirm("Supprimer ?"). Donc le robot qui scanne les mails ne se contente
> pas de suivre les liens mais "clique" sur tout ce qui se présente...
Laurent, l'Internet c'est pas pour les bisounours. Tous les jours, je râle à
propos des conneries que Microchiotte, Gougleu et Junisco chi^L^L^Lpondent sans
arrêt, mais ça fait partie du paysage dans lequel on vit.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
