Re: sven (pour changer)

[Nicolas Rueff]

le Fri, 10 Oct 2003 23:35:44 +0200, Jacques L'helgoualc'h
[EMAIL PROTECTED] s'exprima en ces termes:

 Nicolas Rueff a écrit, vendredi 10 octobre 2003, à 22:27 :
  Salut
 
 bonsoir.
 
  après analyse de quelques tirs de sven, j'ai vu le champs suivant
  revenir souvent ces derniers temps:
  
  Date-warning: Date header was inserted by {machin-truc.com}
  
  J'ai greppé un peu dans mes archives (environ 26000 mails, je sais,
  je devrais faire le ménage),
 
 mais non, c'est pratique pour les statistiques et les tests (les
 headers devraient suffire, mais bon).
 
  et je n'ai vu ce header que 9 fois (donc
  0.03%) sur la totalité de mon pool, et apparaissant toujours soit
  dans des spams, soit dans des vrais mails publicitaires _presque_
  spam(Borland par exemple, chez qui je suis inscrit).
 
 J'en ai un comme ça :
 
 ,
 | Received: from owekim ([207.144.223.112])
 |  by SMTP00.InfoAve.Net (PMDF V6.1-1IA5 #30771)
 |  with SMTP id [EMAIL PROTECTED]; Fri,
 |  19 Sep 2003 04:55:57 -0400 (EDT)
 | Date: Fri, 19 Sep 2003 04:55:54 -0400 (EDT)
 | Date-warning: Date header was inserted by SMTP00.InfoAve.Net
 `
 
 et six iPlanet :
 
 ,
 | Received: from liuol ([148.110.94.233])
 |  by mail.etat.lu (iPlanet Messaging Server 5.2 HotFix 1.14\
 |  (built Mar 18 2003))
 |  with SMTP id [EMAIL PROTECTED]; Thu,
 |  18 Sep 2003 23:43:23 +0200 (MEST)
 | Date: Thu, 18 Sep 2003 23:43:13 +0200 (MEST)
 | Date-warning: Date header was inserted by mail.etat.lu
 `
 
 Tous des swens, ou son petit frère de 14K.
 
  Après invocation de Google, pas moyen de savoir si cet entête est
  farfelu ou non. Le champ Date: inséré semble lui parfaitement
  valide.
 
 Le champ Date: manque assez souvent  dans les spams ...  On trouve
 aussi des  « Message-ID: [EMAIL PROTECTED]  added by  », tous  des spams,  
 sauf
 exception. Dans ma boîte à spams, il y a 17% de message-id manquant.
 
  Je me posais la question de la fiabilité de l'ajout d'un règle style
  DENY=^Date-warning: Date header was inserted by au fichier de conf
  de ce bon vieux mailfilter. Si quelqu'un pouvait me rassurer ...
 
 9 exemplaires seulement, c'est encore faible ... et peu rentable.

Nan, je me suis mal exprimé: _hors sven_, je n'ai que 9 mails sur 26000
comportant ce champ. Par contre une bonne partie des sven que je n'ai
pu éliminer (i.e environ 10/jour encore) par
DENY_CASE=^(FROM|TO|SUBJECT): contenaient ce champ.

/N 
__
Nicolas Rueff [EMAIL PROTECTED]
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
It would be illogical to assume that all conditions remain stable.
-- Spock, The Enterprise Incident, stardate 5027.3
__



pgp7vYBUF4Ns6.pgp
Description: PGP signature

sven (pour changer)

[Nicolas Rueff]

Salut

après analyse de quelques tirs de sven, j'ai vu le champs suivant
revenir souvent ces derniers temps:

Date-warning: Date header was inserted by {machin-truc.com}

J'ai greppé un peu dans mes archives (environ 26000 mails, je sais, je
devrais faire le ménage), et je n'ai vu ce header que 9 fois (donc
0.03%) sur la totalité de mon pool, et apparaissant toujours soit dans
des spams, soit dans des vrais mails publicitaires _presque_ spam
(Borland par exemple, chez qui je suis inscrit).

Après invocation de Google, pas moyen de savoir si cet entête est
farfelu ou non. Le champ Date: inséré semble lui parfaitement valide.

Je me posais la question de la fiabilité de l'ajout d'un règle style
DENY=^Date-warning: Date header was inserted by au fichier de conf de
ce bon vieux mailfilter. Si quelqu'un pouvait me rassurer ...

/N qui a peur du gros sven
__
Nicolas Rueff [EMAIL PROTECTED]
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
Over the shoulder supervision is more a need of the manager than the
programming task.
__



pgp2JOQ8K7R9R.pgp
Description: PGP signature

Re: sven (pour changer)

[Jacques L'helgoualc'h]

Nicolas Rueff a écrit, vendredi 10 octobre 2003, à 22:27 :
 Salut

bonsoir.

 après analyse de quelques tirs de sven, j'ai vu le champs suivant
 revenir souvent ces derniers temps:
 
 Date-warning: Date header was inserted by {machin-truc.com}
 
 J'ai greppé un peu dans mes archives (environ 26000 mails, je sais, je
 devrais faire le ménage),

mais non, c'est pratique pour les statistiques et les tests (les headers
devraient suffire, mais bon).

 et je n'ai vu ce header que 9 fois (donc
 0.03%) sur la totalité de mon pool, et apparaissant toujours soit dans
 des spams, soit dans des vrais mails publicitaires _presque_ spam
 (Borland par exemple, chez qui je suis inscrit).

J'en ai un comme ça :

,
| Received: from owekim ([207.144.223.112])
|  by SMTP00.InfoAve.Net (PMDF V6.1-1IA5 #30771)
|  with SMTP id [EMAIL PROTECTED]; Fri,
|  19 Sep 2003 04:55:57 -0400 (EDT)
| Date: Fri, 19 Sep 2003 04:55:54 -0400 (EDT)
| Date-warning: Date header was inserted by SMTP00.InfoAve.Net
`

et six iPlanet :

,
| Received: from liuol ([148.110.94.233])
|  by mail.etat.lu (iPlanet Messaging Server 5.2 HotFix 1.14\
|  (built Mar 18 2003))
|  with SMTP id [EMAIL PROTECTED]; Thu,
|  18 Sep 2003 23:43:23 +0200 (MEST)
| Date: Thu, 18 Sep 2003 23:43:13 +0200 (MEST)
| Date-warning: Date header was inserted by mail.etat.lu
`

Tous des swens, ou son petit frère de 14K.

 Après invocation de Google, pas moyen de savoir si cet entête est
 farfelu ou non. Le champ Date: inséré semble lui parfaitement valide.

Le champ Date: manque assez souvent  dans les spams ...  On trouve aussi
des  « Message-ID: [EMAIL PROTECTED]  added by  », tous  des spams,  sauf 
exception.
Dans ma boîte à spams, il y a 17% de message-id manquant.

 Je me posais la question de la fiabilité de l'ajout d'un règle style
 DENY=^Date-warning: Date header was inserted by au fichier de conf de
 ce bon vieux mailfilter. Si quelqu'un pouvait me rassurer ...

9 exemplaires seulement, c'est encore faible ... et peu rentable.

Mon swendeleter bricolé détecte tous  les swens sur From:, To:, Subject:
et Content-Type:

 /N qui a peur du gros sven

Ah, dans quelques années, on spammera avec des images iso de DVD :-/
-- 
Jacques L'helgoualc'h

Re: sven (pour changer)

[Ultimateclem]

Le Vendredi 10 Octobre 2003 22:27, Nicolas Rueff a écrit :
 Salut

 après analyse de quelques tirs de sven, j'ai vu le champs suivant
 revenir souvent ces derniers temps:

 Date-warning: Date header was inserted by {machin-truc.com}

 J'ai greppé un peu dans mes archives (environ 26000 mails, je sais, je
 devrais faire le ménage), et je n'ai vu ce header que 9 fois (donc
 0.03%) sur la totalité de mon pool, et apparaissant toujours soit dans
 des spams, soit dans des vrais mails publicitaires _presque_ spam
 (Borland par exemple, chez qui je suis inscrit).

 Après invocation de Google, pas moyen de savoir si cet entête est
 farfelu ou non. Le champ Date: inséré semble lui parfaitement valide.

Je crois comprendre que c'est une indication ajoutée par le serveur smtp 
suivant dans la chaine.
En fait, le protocol utilisé pour distribuer le courrier (smtp) est assez 
restrictif et chaque serveur smtp est obligé d'indiqué de où vient le message 
(adresse IP), qui l'a reçu (adresse IP du serveur) et à quelle heure.
C'est comme ça que les champs Received from... by... permettent de tracer 
l'itinéraire du mail.
Sauf que certains serveurs smtp sont bidouillés à ce niveau là (fausses 
adresse IP et/ou date erronée/manquante) pour brouiller les pistes lors de 
l'envoi de courriers anormaux : spams, virus et pub. Mais en général, c'est 
le premier serveur smtp, du coup, le second serveur de la chaine ajoute 
l'heure et/ou les adresses.

Y a-t-il des spécialistes pour confirmer ou infirmer ce que je viens d'écrire 
?


 Je me posais la question de la fiabilité de l'ajout d'un règle style
 DENY=^Date-warning: Date header was inserted by au fichier de conf de
 ce bon vieux mailfilter. Si quelqu'un pouvait me rassurer ...

 /N qui a peur du gros sven
 __
 Nicolas Rueff [EMAIL PROTECTED]
 http://rueff.tuxfamily.org
 +33 6 77 64 44 80
-- 
ultimateclem
Debian user

Re: sven (pour changer)

[Bruno Treguier]

Bonsoir,

On Sat, Oct 11, 2003 at 12:14:55AM +0200, Ultimateclem wrote:

[ à propos du champ Date: ]
 Je crois comprendre que c'est une indication ajoutée par le serveur smtp 
 suivant dans la chaine.

En toute rigueur il doit être présent dès le départ. C'est l'un des 2
champs obligatoires d'après la RFC 822 (l'autre est le From:).
C'est certainement la raison du warning de la part du serveur
intermédiaire qui l'a rajouté. C'est, du coup, au moins une indication
que le machin qui a composé ce message ne respecte pas les consignes. Ca
doit être un bon indicateur de spamitude comme tu le dis plus bas...


 En fait, le protocol utilisé pour distribuer le courrier (smtp) est assez 
 restrictif et chaque serveur smtp est obligé d'indiqué de où vient le message 
 (adresse IP), qui l'a reçu (adresse IP du serveur) et à quelle heure.
 C'est comme ça que les champs Received from... by... permettent de tracer 
 l'itinéraire du mail.

C'est bien la première fois que je vois quelqu'un qualifier SMTP de
restrictif ! :-)) En fait non, SMTP n'est absolument pas restrictif.
Les champs Received: sont rajoutés par les MTAs qui font bien leur
boulot, mais n'apportent aucune certitude quant au chemin pris par le
courrier. Certains en-têtes sont même carrément fabriqués par certains
outils de spam, pour faire croire que le courrier a transité par tel ou
tel relais, alors que c'est totalement faux. Ca reste cependant souvent
vrai, pour les courriers normaux, mais ce sont rarement ceux-là qu'on
chercher à tracer (sauf pour déterminer l'origine d'un problème). :-)


 Sauf que certains serveurs smtp sont bidouillés à ce niveau là (fausses 
 adresse IP et/ou date erronée/manquante) pour brouiller les pistes lors de 
 l'envoi de courriers anormaux : spams, virus et pub. Mais en général, c'est 
 le premier serveur smtp, du coup, le second serveur de la chaine ajoute 
 l'heure et/ou les adresses.

Vrai pour la date/heure, mais faux pour les adresses IP des serveurs
traversés... Le seul champ Received: auquel on peut vraiment faire
confiance est celui rajouté par votre propre relais (ou celui de votre
FAI).


 Y a-t-il des spécialistes pour confirmer ou infirmer ce que je viens d'écrire 
 ?

Je ne me prétends pas spécialiste, mais j'espère avoir répondu à tes
questions...

Cordialement,

Bruno

-- 
-- Service Hydrographique et Oceanographique de la Marine ---  EPSHOM/CIS/MIC
-- 13, rue du Chatellier ---  BP 30316  --- 29603 Brest Cedex, FRANCE
--Phone: +33 2 98 22 17 49  ---  Email: [EMAIL PROTECTED]

Re: sven (pour changer)

[Ultimateclem]

Le Samedi 11 Octobre 2003 00:36, Bruno Treguier a écrit :
 Bonsoir,

 On Sat, Oct 11, 2003 at 12:14:55AM +0200, Ultimateclem wrote:

 [ à propos du champ Date: ]

  Je crois comprendre que c'est une indication ajoutée par le serveur smtp
  suivant dans la chaine.

 En toute rigueur il doit être présent dès le départ. C'est l'un des 2
 champs obligatoires d'après la RFC 822 (l'autre est le From:).
 C'est certainement la raison du warning de la part du serveur
 intermédiaire qui l'a rajouté. C'est, du coup, au moins une indication
 que le machin qui a composé ce message ne respecte pas les consignes. Ca
 doit être un bon indicateur de spamitude comme tu le dis plus bas...

C'est ce qui est indiqué souvent sur les quelques mails swen que j'ai gardés 
: X-Comment: Sending client does not conform to RFC822 minimum requirements 


  En fait, le protocol utilisé pour distribuer le courrier (smtp) est assez
  restrictif et chaque serveur smtp est obligé d'indiqué de où vient le
  message (adresse IP), qui l'a reçu (adresse IP du serveur) et à quelle
  heure. C'est comme ça que les champs Received from... by... permettent
  de tracer l'itinéraire du mail.

 C'est bien la première fois que je vois quelqu'un qualifier SMTP de
 restrictif ! :-)) En fait non, SMTP n'est absolument pas restrictif.
 Les champs Received: sont rajoutés par les MTAs qui font bien leur
 boulot, mais n'apportent aucune certitude quant au chemin pris par le
 courrier. Certains en-têtes sont même carrément fabriqués par certains
 outils de spam, pour faire croire que le courrier a transité par tel ou
 tel relais, alors que c'est totalement faux. Ca reste cependant souvent
 vrai, pour les courriers normaux, mais ce sont rarement ceux-là qu'on
 chercher à tracer (sauf pour déterminer l'origine d'un problème). :-)

Euh, mouai... disons que le terme restrictif  est (vachement) mal choisi. 
Merci de m'avoir corrigé.
J'avais absolument pas pensé que des champs received pourraient être forgés 
avant l'envoi du courrier. Mais après réflexion, rien ne l'empêche...


  Sauf que certains serveurs smtp sont bidouillés à ce niveau là (fausses
  adresse IP et/ou date erronée/manquante) pour brouiller les pistes lors
  de l'envoi de courriers anormaux : spams, virus et pub. Mais en général,
  c'est le premier serveur smtp, du coup, le second serveur de la chaine
  ajoute l'heure et/ou les adresses.

 Vrai pour la date/heure, mais faux pour les adresses IP des serveurs
 traversés... Le seul champ Received: auquel on peut vraiment faire
 confiance est celui rajouté par votre propre relais (ou celui de votre
 FAI).

Est-ce qu'on pourrait dire qu'on peut faire confiance aux indications des 
serveurs smtp à partir de celui qui a rajouté does not conform to RFC822 
minimum requirements ? Je suppose que les serveurs smtp bidouillés ne sont 
pas public et que donc une fois que le message est tombé sur un serveur 
public, il ne passe plus par des serveurs bidouillés.


 Je ne me prétends pas spécialiste, mais j'espère avoir répondu à tes
 questions...

Merci en tout cas pour les corrections.


-- 
ultimateclem
Debian user