Spoofing adresse mail

#1

Salut à tous,

J’ai reçu aujourd’hui des mails provenant de ma propre adresse, hébergée sur mon Yunohost. Ça à l’air d’être un spam bien classique, référencé ici: cybermalveillance.gouv.fr. Sur d’autres adresses du même serveur, rien à signaler.

D’après ce que je lis , rien n’est compromis, et mon serveur utilisant SPF, mes contacts ne devraient pas recevoir ce genre de mails envoyés depuis mon adresse.

Vous pouvez me confirmer ce point? Et, si jamais l’usurpation de mon adresse est plus vaste que je le pense, comment éviter de voir mon adresse blacklistée?

La bise

#2

Je dirais que logiquement il ne devrait pas recevoir de message de ta part avec ce nom pour 2 raisons:

  • le mail serait mis en spam (à cause de dkim et spf, mais tu peux forcer la chose en changeant la politique dmarc)
  • le robot n’a pas ta liste de contacts

Dans le cas où ton compte serait piraté (ce qui peut arriver si tu met un mot de passe comme 1234 ou test), tu ne recevrais a priori pas d’email de ta part. Pourquoi avertir l’utilisateur qu’on a piraté son compte ???

Par contre j’ai regardé ton second lien et je n’ai pas trouvé sur mon serveur ynh de liste blanche contenant mon email ou mon nom de domaine (mais ça a pu m’échapper).

#3

Hello,

Je suis également victime de ce type de spoofing, c’est assez ennuyant.
Sur l’un de mes serveurs, j’ai simplement supprimé le message et rien à signaler depuis.
Sur l’autre en revanche, j’en suis à 3 messages et ça continue !
Y a-t-il un moyen plus intelligent que de s’auto-spammer pour résoudre ce problème ?

Merci d’avance pour votre aide !

#4

J’en sais rien, pour l’instant je fais avec :confused:

#5

“Je fais avec” = Tu reçois beaucoup de spam ou tu ne peux plus t’envoyer d’emails à toi-même ?

#6

A priori (il faut afficher les détails du mail pour vérifier) je dirait que ce mail ne provient pas de ton serveur mail.
Depuis toujours, on peut indiquer ce qu’on veut comme expéditeur quand on invoie un mail, c’est vuste ce mécanitme qui est utilisé pour essayer de faire peur au destinataire.

Visiblement tu as configuré ton serveur mail pour éviter que ça ne passe innaperçu (je n’y connais absolument rien et du coup j’ai coupé les mails chez moi).

Vérifie la rourte du main quand même, mais à mon avis : rien à craindre.

#7

Bonjour,
J’ai également ce problème, comme évoqué dans ce post Usage frauduleux de ma boite mail.

Vu de ma lorgnette, la conf yuno considère son propre domaine comme de confiance. Donc ne vérifie pas si un mail de son domaine est signé dmark.
Je pense qu’il faut changer la conf pour imposer cette vérification, quelque soit l’origine du mail.
Et à mon avis mettre cette règle par défaut dans la configuration de yunohost.

Nino

1 Like
#8

@Limezy “Je fais avec” = je reçois un peu de spam de temps en temps.

@Mamie Oui, le mail provient d’un nom de domaine chinois, pourtant j’ai configuré spf et dmark, mais bon, pour l’instant j’en sais pas plus.

@nino Ah ok, ça ouvre une piste! Merci :slight_smile:

#9

Oui, j’ai lu aussi ton topic sur le sujet.
Je comprends bien l’idée, de jouer sur la configuration de l’anti-spam pour refuser tout email non signé dmark, mais quelqu’un sait-il comment faire ?
En attendant de le mettre comme configuration par défaut sur Yunohost, on pourrait déjà être plusieurs à tester ce que ça donne au quotidien !

#10

Je dirai plutôt tout email non signé dmark provenant de son propre domaine.
Sinon je suppose qu’un certain nombre de mails non signés mais valables seraient rejetés …
J’ai l’intention de m’atteler à la tâche mais un il faut d’abord que je m’instruise sur ce type de configuration.
Tout type de doc, générales ou spécifiques yunohost seraient bienvenue :+1:

Nino

#11

mon avis à 2 sous : Il faut faire attention avec ce genre de configuration !

Quand tu envoies un mail sur une liste genre une_liste@framaliste.org
Le mail est envoyé à tout le monde, y compris toi, et apparait chez tout le monde comme envoyé de ta propre adresse; Or, c’est le serveur de liste qui l’a renvoyé. Paramétrer ces mails comme indésirables peut avoir tout un tas d’effets négatifs. Donc tolérer un peu de spam, les classer comme tel, c’est potientiellement une bonne idée. Théoriquement, y’a des dispositions pour les listes, toussa. Un jour j’irai vivre en théorie…

1 Like
#12

SI parmi vous certain⋅e⋅s veulent tester une autre configuration, pour info les confs gérées par yunohost sont là:

SI vous obtenez quelques choses de concluant, n’hésitez pas à faire une PR ou à pointer la ligne de conf en question

1 Like
#13

@mokas01
Effectivement le cas des listes de diffusion est à
prendre en compte. Reste à voir si c’est le seul qui utilise “legitimement” des adresses mails de domaines différents…
@ljf
Je regarde dès que j’ai un peu de temps et je ferai un retour sur le forum.
Nino

1 Like
#14

J’ai moi aussi régulièrement du spoofing sur mon serveur : des messages SPAMS envoyés depuis mon propre mail.
En cherchant un peu, je suis très surpris que telnet puisse laisser partir des messages si facilement. Ceux-ci sont bien sûr taggués SPAMS car pas les bons SPF… mais quand même.

Tentez ceci depuis un autre serveur :

telnet monserveur_yunohost.fr smtp
EHLO hostname_delamachinequivaspammer
MAIL from:<utilisateur@monserveur_yunohost.fr>
RCPT TO:<utilisateur@monserveur_yunohost.fr>
DATA
From: <utilisateur@monserveur_yunohost.fr>
To: <utilisateur@monserveur_yunohost.fr>
Subject : Je me spamme !
Essai.
.
QUIT

Y a un moyen de bloquer cela ?

Dans le main.cf il y a :

Basics Restrictions

smtpd_helo_required = yes
strict_rfc821_envelopes = yes
Il faut donc bien que le helo de la machine qui envoie le mail soit bien le bon et que les adresses soient entre <> mais la restriction se limite à cela ;((

Pas bien normal tout ça ?

Fred

1 Like
#15

Perso si je tente ca j’ai :

> MAIL from:<user@domain.tld>
< 250 2.1.0 Ok
> RCPT TO:<user@domain.tld>
< 553 5.7.1 <user@domain.tld>: Sender address rejected: not logged in

qui suggere que d’abord il faut être loggué pour pouvoir envoyer des emails avec cette adresse … (domain.tld etant mon domaine principal)

#16

Bah oui ce qui arrive chez toi me semble effectivement plus logique alors que chez moi le rcpt to renvoie : 250 2.1.5 Ok
C’est bien postfix qui gère cela ?

Voici ce que j’ai dans postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
dovecot_destination_recipient_limit = 1
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 31457280
milter_default_action = accept
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
mydestination = localhost
mydomain = yuno.domain.tld
myhostname = yuno.domain.tld
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
readme_directory = no
recipient_canonical_classes = envelope_recipient,header_recipient
recipient_canonical_maps = tcp:localhost:10002
recipient_delimiter = +
relayhost =
sender_canonical_classes = envelope_sender
sender_canonical_maps = tcp:localhost:10001
smtp_header_checks = regexp:/etc/postfix/header_checks
smtp_reply_filter = pcre:/etc/postfix/smtp_reply_filter
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname Service ready
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client zen.spamhaus.org, permit
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_milters = inet:localhost:11332
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = ldap:/etc/postfix/ldap-accounts.cf
smtpd_sender_restrictions = reject_sender_login_mismatch, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain, permit
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/yunohost/certs/yuno.domain.tld/crt.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = aNULL, MD5, DES, ADH, RC4, 3DES
smtpd_tls_key_file = /etc/yunohost/certs/yuno.domain.tld/key.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
virtual_alias_domains =
virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf
virtual_gid_maps = static:mail
virtual_mailbox_base =
virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf
virtual_mailbox_maps = ldap:/etc/postfix/ldap-accounts.cf
virtual_minimum_uid = 100
virtual_transport = dovecot
virtual_uid_maps = static:vmail

Quand je vais un test ici : www.emailspooftest.com
Je reçois tout de même les 3 premiers mails 1, 2 et 3 ce qui signifie que je suis exposé au spoofing ;((

Fred

#17

Si tu fais yunohost service regen-conf postfix, ca raconte kekchose ?

#18

Oui oui, il me dit :

/etc/postfix/main.cf:
  diff: @@ -83,7 +83,7 @@

virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

-# Enable SASL authentication for the smtpd daemon
+# Enable SASL authentication for the smtpd daemon
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Et après là j’ai bien comme toi : "Sender address rejected: not logged in
"
Je ne comprends pas, j’avais pourtant bien ces 3 lignes…

Fred

#19

Beh jessépa, ptete que t’avais pas relancer le service ou un truc du genre après avoir modifié la config :confused:

#20

L’essentiel c’est que cela fonctionne, merci :wink:
Par contre, j’aurais bien voulu identifier les restrictions à mettre dans le main.cf pour modifier un autre serveur hors Yunohost afin qu’il rejette lui aussi les adresses non logguées… et là c’est un vrai mystère.
Je vais chercher…

Fred