Re: [HS] sobig et Kmail

To: debian-user-french@lists.debian.org
Subject: Re: [HS] sobig et Kmail
From: Bruno Treguier <Bruno.Treguier@shom.fr>
Date: Tue, 9 Sep 2003 14:34:52 +0200
Message-id: <[🔎] 20030909123452.GD20570@irlande.shom.fr>
In-reply-to: <[🔎] 4562.195.6.81.173.1063084754.squirrel@bullier.org>
References: <[🔎] 200309081719.h88HJ5DU025304@smtp3.clb.oleane.net> <[🔎] 4562.195.6.81.173.1063084754.squirrel@bullier.org>

On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote:
> Hello.
> 
> > sur nos systèmes. Il se trouve que j'ai reçu des messages de refus (pour
> > cause d'infection) de la part de services auxquels je n'ai manifestement
> > jamais écrit. Je suppose qu'il s'agit là d'un mécanisme d'usurpation
> > d'adresses sur des machines windows mais tout de même j'aimerais bien en
> > avoir le coeur net et en être tout à fait certain.
> > Qu'en pensez vous ?
> Il se trouve que les adresses du genre postmaster@votre.domaine et
> webmaster@votre.domaine sont systèmatiquement utilisées par des personnes
> indélicates pour spammer ou envoyer des virus.

Bonjour,

Plus exactement, dans le cas de Sobig.F, il prend les adresses "au
hasard" dans le carnet d'adresses de l'utilisateur de l'ordi infecté,
met l'une de ces adresses en tant qu'expéditeur, et quelques autres en
tant que destinataires... Il utilise ensuite son propre moteur SMTP pour
s'envoyer à ces destinataires...

> Je reçois tous les jours des mails automatisés m'informant que j'ai envoyé
> des messages infectés.
> En réalité, je n'ai jamais écrit à ces personnes, et mes stations (et
> serveurs) sont protégés contre les virus incrimés...

Ce phénomène est dû aux passerelles anti-virales "mal configurées" (à
mon avis), qui ne cherchent pas à savoir si elles ont affaire à un virus
qui falsifie l'adresse de l'émetteur (99% des cas actuellement), ce qui
rend _totalement_ inutile, voire néfaste, l'envoi automatique d'une
alerte, ou à un virus plus ancien, pour lequel ça vaut peut-être encore
le coup de le faire...

Le problème principal est que beaucoup certains ISPs ont des contrats
avec leurs clients, dans lesquels ils s'engagent à avertir l'émetteur
d'un virus... Idem pour certaines sociétés ou universités, auxquelles
les services juridiques imposent cette démarche (il y a eu une
discussion à ce propos sur la liste sec@ossir.org la semaine dernière).
Reste maintenant à savoir ce qu'on appelle "émetteur"...

Actuellement, tout le monde ou à peu près fait l'autruche à ce niveau,
et se contente d'un boulot salopé: on prend le 1er émetteur qui vient,
celui qui est dans la ligne "From:" par exemple, et hop, on balance
l'alerte, même si on sait très bien que dans 99% des cas ce n'est pas le
bon. Résultat, ça emmerde tout le monde, mais les techniciens ont "la
conscience tranquille" (ou tout au moins feignent de l'avoir) vis à vis
des juristes qui leur ont imposé ça.  :-(

Bruno

-- 
-- Service Hydrographique et Oceanographique de la Marine ---  EPSHOM/CIS/MIC
--     13, rue du Chatellier ---  BP 30316  --- 29603 Brest Cedex, FRANCE
--        Phone: +33 2 98 22 17 49  ---  Email: Bruno.Treguier@shom.fr

Reply to:

Follow-Ups:
- Re: [HS] sobig et Kmail
  - From: Ultimateclem <deb_ultimateclem@yahoo.fr>

References:
- [HS] sobig et Kmail
  - From: Webmaster MPS <webmaster@mpsmm.com>
- Re: [HS] sobig et Kmail
  - From: "Loic.B (FDUL)" <loick.b@waipro.com>

Prev by Date: RE: doc ldap
Next by Date: Re: apt-get upgrade
Previous by thread: Re: [HS] sobig et Kmail
Next by thread: Re: [HS] sobig et Kmail
Index(es):
- Date
- Thread