IceWarp toutes versions -
Il arrive de recevoir des messages frauduleux (contenant des virus ou des liens dangereux) dont l'expéditeur semble être un compte local voir notre propre compte.
Cette méthode pour cacher l'expéditeur est facile à mettre en œuvre par les hackers et a pour objectif de tromper et/ou de rassurer le destinataire du message.
Une première précaution consiste à empêcher l'arrivée de messages d'un expéditeur ayant un domaine local mais ne s'étant pas authentifié. Il faut pour cela cocher l'option suivante :
Dans la console d'administration -> Email -> Sécurité -> onglet Général -> Options "Rejeter émetteur non autorisé dans domaine local"
Il faut savoir que dans le mécanisme de transmission des messages (protocole SMTP et RFC822) il y a deux indications pour l'origine du message et deux indications pour le destinataire, voici comment on les distingue :
- Le Mail From (appelé Expéditeur) est l'adresse de l'expéditeur
indiquée dans l'échange SMTP (un certain nombre de contrôles sont effectués
sur cette adresse mais rien ne prouve que l'expéditeur a réellement le
droit d'utiliser cette adresse).
- Le From est adresse de l'expéditeur qui apparaît dans le client de messagerie (c'est une information contenue dans le message et sur laquelle il n'y a aucun contrôle)
- Le RCPT To (appelé Destinataire) qui est envoyé dans l'échange SMTP
est le destinataire réel du message (le message sera remis dans l'inbox
de l'adresse indiquée par le RCPT To)
- Le To est l'adresse du destinataire qui apparaît dans le client de messagerie (c'est une information contenue dans le message et sur laquelle il n'y a aucun contrôle)
On peut avoir par exemple :
Un From contenant le domaine local alors que le message vient d'un tout autre domaine
Le To peut être l'adresse du destinataire mais peut être aussi n'importe quelle adresse du domaine ou d'un autre domaine
Le To peut être égal au From, cela permet au spammeur de n'utiliser qu'une seule adresse locale.
Pour ne pas transmettre ces messages aux destinataires, il est possible de créer des filtres.
Il faut toutefois faire attention que les messages utiles ne sont pas toujours aussi conformes au standard que cela ne le paraît (où le From et le To sont identiques à l'expéditeur et au destinataire réel du message)
Beaucoup de messages ont des destinataires multiples ce qui complique les tests sur le To.
From local mais Expéditeur non local
Comme ces manipulations sont surtout gênantes lorsque le From est une adresse locale, on peut mettre une condition pour le tester.
Il
faut utiliser une requête SQL pour savoir si le domaine du From
appartient à la table des comptes locaux (les comptes doivent être
stockés dans une base de données : cf. Système -> Stockage ->
onglet Comptes de la console d'administration) :
Select * from domains where (D_Domain='%%From_Domain%%')
%%From_Domain%% contient la partie domaine de la première adresse de l'entête From
Cette requête doit être introduite dans une condition "Si SQL retourne valeur enregistrements" dans laquelle il faut renseigner les paramètres de la base de données Comptes.
Le filtre est alors le suivant :
Il dit que si la session n'est pas authentifiée ou de confiance et que le From est local, il faut supprimer le message.
Le message supprimé est placé dans un compte spécial (spam) de façon à pouvoir être contrôlé.
Attention : les messages qui proviennent d'un compte distant (POP3 ou IMAP) sont considérés comme non authentifiés ni de confiance, ils sont donc arrêtés par ce test. Il faut ajouter un test sur le destinataire du compte distant.
On
suppose que l'option suivante : Email -> Sécurité -> onglet
Général -> "Rejeter émetteur non autorisé dans domaine local" est
cochée ce qui signifie que si l'expéditeur est local, il est forcément authentifié ou de confiance.
Cocher cette option est indispensable à la sécurité du serveur. Si toutefois elle ne l'était pas, il faudrait en plus vérifier que l'Expéditeur n'est pas local.
From différent de l'Expéditeur
En suivant ce lien, vous trouverez des filtres qui testent que le From est différent de l'expéditeur SMTP. Mais en réalité, beaucoup de messages authentiques sont dans ce cas et il est donc difficile de trier les spams des autres :
https://esupport.icewarp.com/index.php?/Knowledgebase/Article/View/413/0/how-to-block-spoofing
From égal à To
Voici un filtre qui supprime les emails dont la première adresse du From est contenue dans le To sauf si la session SMTP est authentifiée ou que le serveur expéditeur a une adresse email de confiance :
Il est possible que certains messages authentiques soient supprimés par ce filtre, par exemple : si l'expéditeur envoie un message à des destinataires en copie cachée (Cci) et qu'il se met en destinataire principal (A).
En ajoutant l'archivage des mails
supprimés dans une boîte spécifique pour contrôle par un administrateur, on obtient le filtre suivant :
Ces filtres sont téléchargeables ici et sont à dézipper et à importer dans le menu Mail -> Règles -> onglet Filtres de contenu et à adapter à votre besoin.
Il est possible de combiner ces filtres pour arrêter les messages gênants sans bloquer les messages attendus.
Maj 26/10/18