Aujourd'hui, un client me remonte un de ses mailer-deamon :
<xxxxxxxxxxxxxx@DOMAINE BPCE . TLD>: host mail-in.bpce-it.fr[91.135.189.237] said: 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means. (in reply to end of DATA command) Reporting-MTA: dns; yyyyyyyyyyyyyyyyy X-Postfix-Queue-ID: 4728650C280F X-Postfix-Sender: rfc822; ssssssssssssssssss@cccccccccccccccccc.com Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)
Final-Recipient: rfc822; xxxxxxxxxxxxxx Original-Recipient: rfc822;xxxxxxxxxxxxxxxxx Action: failed Status: 5.0.0 Remote-MTA: dns; mail-in.bpce-it.fr Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means.
donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550 directement ? un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne vienne pas d'un géant américain du mail en fait ^_^
(oui, il y a encore des clients qui n'ont pas de signature DKIM dans leurs mails).
Bonjour,
Le 17/09/2020 à 16:57, Pierre DOLIDON a écrit :
Aujourd'hui, un client me remonte un de ses mailer-deamon :
<xxxxxxxxxxxxxx@DOMAINE BPCE . TLD>: host mail-in.bpce-it.fr[91.135.189.237] said: 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means. (in reply to end of DATA command) Reporting-MTA: dns; yyyyyyyyyyyyyyyyy X-Postfix-Queue-ID: 4728650C280F X-Postfix-Sender: rfc822; ssssssssssssssssss@cccccccccccccccccc.com Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)
Final-Recipient: rfc822; xxxxxxxxxxxxxx Original-Recipient: rfc822;xxxxxxxxxxxxxxxxx Action: failed Status: 5.0.0 Remote-MTA: dns; mail-in.bpce-it.fr Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means.
donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550 directement ? un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne vienne pas d'un géant américain du mail en fait ^_^
(oui, il y a encore des clients qui n'ont pas de signature DKIM dans leurs mails).
Tu as vu ça juste aujourd'hui, avant les messages passaient ?
Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
Bien cordialement,
Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM filtre certes de facto quelques spams, mais 1 - c'est pas fait pour ça 2 - c'est d'une efficacité toute relative !
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
re,
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM filtre certes de facto quelques spams, mais 1 - c'est pas fait pour ça 2 - c'est d'une efficacité toute relative !
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Cela permet de limiter les hameçonnages qui font beaucoup de dégât en ce moment, à base d'usurpation de domaine notamment, ce qui est le but de DKIM.
Qu'un grand organisme bancaire monte significativement et brutalement le niveau de sa politique de sécurité peut être un indice de réaction à une attaque, ou simplement de précaution dans un contexte lourd, d'où ma question.
Bien cordialement,
Bonsoir,
Je confirme que nous montons tous d'un cran la sécurité. C'est de la précaution par rapports à toutes les attaques en cours.
a+,
Antoine N.
Cordialement,
Antoine Nivard 0x0376B6D29E35A2B3
Le 17/09/2020 à 18:06, Maxime DERCHE a écrit :
re,
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM filtre certes de facto quelques spams, mais 1 - c'est pas fait pour ça 2 - c'est d'une efficacité toute relative !
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Cela permet de limiter les hameçonnages qui font beaucoup de dégât en ce moment, à base d'usurpation de domaine notamment, ce qui est le but de DKIM.
Qu'un grand organisme bancaire monte significativement et brutalement le niveau de sa politique de sécurité peut être un indice de réaction à une attaque, ou simplement de précaution dans un contexte lourd, d'où ma question.
Bien cordialement,
Liste de diffusion du FRsAG http://www.frsag.org/
Le 17 septembre 2020 19:10:34 GMT+04:00, Pierre DOLIDON sn4ky@sn4ky.net a écrit :
Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :
Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.
ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM filtre certes de facto quelques spams, mais 1 - c'est pas fait pour ça 2 - c'est d'une efficacité toute relative !
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Oui et non. Tu peux faire un mail qui vient d’un domaine bidon, mais tu auras plus de mal à usurper le From avec un DKIM et SPF valide. Or une partie du problème ce sont les mails qui prétendent provenir de exemple.tld mais viennent en fait d’un SMTP random d’un spammeur.
D’autre part, tout ce qui demande un effort aux spammeurs fera chuter énormément le taux de spams reçus. Exemple, le greylisting : ça suffit à tuer 95% du spam sur mes serveurs, les spammeurs ne retentent quasiment pas de renvoyer. Donc je peux comprendre que forcer DKIM, ça permet aussi de limiter les spams reçus. Et en forçant le From à correspondre au domaine d’expédition, ça rend le blacklisting plus facile.
Cela dit, forcer DKIM et SPF ça pose encore pas mal de soucis avec certaines mailing list et autres systèmes de redirection qui n’ont pas forcément implémenté ARC et SRS.
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?
Avec du DNS menteur ? Y'a DNSSEC pour ça normalement.
Une fois que tu as fais ça, ça commence à devenir plutôt complexe pour le script-kiddie de forger un mail valide.
Julien
Le Fri, Sep 18, 2020 at 10:44:28AM +0200, Julien Escario [julien.escario@altinea.fr] a écrit:
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?
Facile : tu en publies une.
Tu enregistres un domaine, tu y mets du SPF, DKIM, tu fais tes mails signés, tu détruis le domaine. Avec les API des registrars et les whois anonymises, ca laissera peu de traces faciles a suivre.
Le 18/09/2020 à 11:06, Dominique Rousseau a écrit :
Le Fri, Sep 18, 2020 at 10:44:28AM +0200, Julien Escario [julien.escario@altinea.fr] a écrit:
Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :
forger des spams avec une signature DKIM et des SPF valide, c'est pas bien compliqué !
Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?
Facile : tu en publies une.
Tu enregistres un domaine, tu y mets du SPF, DKIM, tu fais tes mails signés, tu détruis le domaine. Avec les API des registrars et les whois anonymises, ca laissera peu de traces faciles a suivre.
oui. ou tu pirate une boite mail ou un site wordpress tout pourri, et tu envoie des mails avec la fonction php mail(). comme le serveur est bien configuré il va signer gentiment tes vrais spams.
j'ai pas parlé de forger un From ou sender-address hein ! j'ai juste dit que tu pouvais très bien envoyer des spams avec une signature DKIM et un SPF valide !
un peu violent... qu'en pensez-vous ?
Écoute, si ça peut inciter des postmaster à déployer (correctement) pour moi c'est une bonne initiative. Même si on sait que ces gens vont d'abord essayer de taper un scandale avant pour pas avoir à déployer, m'enfin bref.
Le 17/09/2020 à 16:57, Pierre DOLIDON a écrit :
Aujourd'hui, un client me remonte un de ses mailer-deamon :
<xxxxxxxxxxxxxx@DOMAINE BPCE . TLD>: host mail-in.bpce-it.fr[91.135.189.237] said: 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means. (in reply to end of DATA command) Reporting-MTA: dns; yyyyyyyyyyyyyyyyy X-Postfix-Queue-ID: 4728650C280F X-Postfix-Sender: rfc822; ssssssssssssssssss@cccccccccccccccccc.com Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)
Final-Recipient: rfc822; xxxxxxxxxxxxxx Original-Recipient: rfc822;xxxxxxxxxxxxxxxxx Action: failed Status: 5.0.0 Remote-MTA: dns; mail-in.bpce-it.fr Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or contact postmaster@bpce-it.fr for more information via alternate means.
donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550 directement ? un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne vienne pas d'un géant américain du mail en fait ^_^
(oui, il y a encore des clients qui n'ont pas de signature DKIM dans leurs mails).
Liste de diffusion du FRsAG http://www.frsag.org/
-
Antoine Nivard -
Archange -
Dominique Rousseau -
Jarod G. -
Julien Escario -
Maxime DERCHE -
Pierre DOLIDON