DMARC.org un pas en avant dans la lutte contre le phishing?

[caméléon]

Enfin, quand je vois l'efficacité du filtre anti-spam de Gmail, je serais tenté de dire qu'ils vont faire en sorte que le phishing disparaissent de la même façon que le spam (qui s'en préoccupe encore?).
Il y aura certainement des dommages collatéraux (comme les mails légitimes actuellement détectés comme indésirables), mais je pense qu'on y arrivera, en tout cas sur les grosses boites de messagerie.

PS: quand on voit le peu d'efficacité et le fort taux d'erreur du filtre anti-phishing de Thunderbird, je me dis qu'il y a de la place pour du progrès...

[Teraoctet]

Bonjour Calimo

Pour les analyses de contenu, il y a des technologies qui existent, certaines d'entre elles assez efficaces. DMARC n'a pas du tout pour objectif de se préoccuper de cela. Une seule chose à la fois

Assez efficace... je pense que c'est aussi à revoir car pour les exemples que je donne dans mon précédent message, il s'est avéré bien souvent des dysfonctionnements où les personnes étaient blacklistées comme spammeurs alors qu'il n'en était rien.
Pour rattraper ça comme vous le mentionnez c'est vraiment trop tard, mais qui à l'époque aurait pensé à cela...personne.

Pas n'importe quoi : cela fait de la pub (regardez on se préoccupe du problème du spam / phishing) à moindre coût (une petite organisation de ce genre, pour un gros fournisseur genre MS/Yahoo/Google ce n'est vraiment rien). Qu'on ne s'y trompe pas, cela sert à quelque chose : si cela fonctionne, on ne pourra plus envoyer un email @yahoo.com vers gmail.com sans utiliser le serveur SMTP de yahoo. Mais ce sera bien plus gênant pour l'utilisateur légitime qui n'y connait rien que pour le spammeur qui pourra toujours envoyer du spam (certes, plus à gmail.com avec une adresse @yahoo.com, mais qu'est-ce que ça change ?)

Sans oublier les mails envoyés par Ipad, IPhone et Androïd, qui sont actuellement les plus grands dangers. Il est possible aujourd'hui d'envoyer des mails, encore plus facilement en ce faisant passer pour autrui. Sans oublier que bien des virus émanent de l'envoi de message via ces appareils. Il fut dénombré 400 fois plus de virus via ces systèmes en 2011, et près de 80 fois plus d'intrusions dans les réseaux.

[Teraoctet]

Le suivi de la conversation si cela vous intéresse.
Copie du mail reçu:

[dmarc-discuss] reject, ADSP discard, and SPF -all
I suggest you do it from a domain that does not publish a quarantine or
reject policy.

to list: are there any other people to have the same issue?

That's good advice. You should take it.

DMARC reject, like ADSP discardable and SPF -all says two things:

1) I am the target of a large amount of phishing

2) Each message is not very important, so in case of doubt don't deliver it.

In particular, it does not mean this mail is important so make extra
effort to be sure it's delivered. Just the opposite.

Policies like reject are appropriate for domains that only send
announcements like boil down to "log into our web site to see what
happened." They are not appropriate for any domsins with human users
who send mail through mailing lists, or users who can foward their
mail to gmail or Yahoo and send mail from there.

This has been thrashed out multiple times at painful length in the
context of SPF -all and ADSP discardable, so please review those
mailing list archives so we don't have to do it again.

Hi John, yes i now remember
SPF -all hast its problems by
some lists, but i did not care ever
so its like dmarc now too with reject policy
i can life with that with my own domain
,forward gets broken sometimes, i simple forgot about the issue using
new dmarc ...
youre right for other domains i use other policies in spf, dkim, so i
will do it with dmarc next dns entries
after all my mail was reported to get in the spam folder this may have
tons of reasons beside spf,dkim,dmarc, after all wrong provider antispam
setting and/or wrong users antispamsetting which is wide known
to anyone

[calimo]

Assez efficace... je pense que c'est aussi à revoir car pour les exemples que je donne dans mon précédent message, il s'est avéré bien souvent des dysfonctionnements où les personnes étaient blacklistées comme spammeurs alors qu'il n'en était rien.

C'est pour ça que j'ai dit "assez". On n'arrivera jamais à un filtre parfait. Mais des filtres bayesiens après un passage par spamassassin, c'est une vraie merveille.

Sans oublier les mails envoyés par Ipad, IPhone et Androïd, qui sont actuellement les plus grands dangers.

Je ne vois pas pourquoi…

Il est possible aujourd'hui d'envoyer des mails

Parce que ça ne l'était pas avant ?

encore plus facilement en ce faisant passer pour autrui.

Comme je le disais on peut faire ça depuis l'invention de l'email

Sans oublier que bien des virus émanent de l'envoi de message via ces appareils.

Parce que les virus envoyés depuis un ordinateur classique n'est pas un problème ?
Je ne vois pas où tu veux en venir avec les terminaux mobiles...

[Teraoctet]

Bonsoir Calimo,
S'il faut mettre les pieds dans le plat faisons le. Certains logiciels gratuits comme penetrate etc... permettent des intrusions et de créer des malwares bien plus facilement que sur un PC fixe ou que sur un ordi portable. source de l'info: 'Pirate Informatique' revue bimestrielle. A ne pas mettre dans toutes les mains

[vulcain]

Qu'on ne s'y trompe pas, cela sert à quelque chose : si cela fonctionne, on ne pourra plus envoyer un email @yahoo.com vers gmail.com sans utiliser le serveur SMTP de yahoo

Là, je ne vois pas le problème. On envoie depuis le serveur SMTP du nom domaine auquel l'émetteur est rattaché. Je ne vois pas pourquoi le SMTP de @machin.org gérait les courriels de bidule@truc.net.

[calimo]

S'il faut mettre les pieds dans le plat faisons le. Certains logiciels gratuits comme penetrate etc... permettent des intrusions et de créer des malwares bien plus facilement que sur un PC fixe ou que sur un ordi portable. source de l'info: 'Pirate Informatique' revue bimestrielle. A ne pas mettre dans toutes les mains

De ce que je vois cet appli permet de se connecter sur des réseaux Wifi (mal) sécurisés. Rien de bien méchant, ni qui ne soit bien compliqué avec un portable (je n'ai plus le nom mais des programmes existent pour faire ça facilement).

Là, je ne vois pas le problème. On envoie depuis le serveur SMTP du nom domaine auquel l'émetteur est rattaché.

Croyance répandue… mais généralement fausse (sauf exceptions). Ou plutôt, c'est ce que font ou croient faire la majorité des gens. En pratique, la contrainte n'est que rarement appliquée.

Je ne vois pas pourquoi le SMTP de @machin.org gérait les courriels de bidule@truc.net.

Peut-être parce que c'est ce que font beaucoup de serveurs ?
Mon FAI me permet de le faire si je suis sur son réseau. Mon Uni me le permet si je suis sur son réseau ou que je m'authentifie. Mon serveur perso le fait depuis localhost ou si je suis authentifié. C'est grosso modo la configuration par défaut de postfix. Et de probablement à peu près tous les serveurs existants.

L'avantage ? Comme je l'ai dit, la souplesse. Par exemple je peux envoyer un email @FAI même si je ne suis pas chez moi (mon FAI ne permettant pas de se connecter à ses SMTP depuis un autre réseau, c'est le seul moyen). On ne se pose pas de question : le message part.
Fais quelques tests et tu verras tout de suite comment ça se passe

[Teraoctet]

Bonjour

De ce que je vois cet appli permet de se connecter sur des réseaux Wifi (mal) sécurisés. Rien de bien méchant, ni qui ne soit bien compliqué avec un portable (je n'ai plus le nom mais des programmes existent pour faire ça facilement).

Justement ceux qui en général craquent une connexion wifi ce n'est pas pour naviguer seulement, il faudrait être bien naïf pour fermer les yeux à ce sujet. Par ailleurs le type de logiciels dans un mobile permettant cet 'exploit' génère lui même un virus. Ceci fut testé à plusieurs reprises.
Si officiellement il fut annoncé 400 fois plus de virus et autres durant l'année 2011 ce n'est pas pour rien. Il fut démontré d'une manière irréfutable que cela venait bien des mobiles.

L'avantage ? Comme je l'ai dit, la souplesse. Par exemple je peux envoyer un email @FAI même si je ne suis pas chez moi (mon FAI ne permettant pas de se connecter à ses SMTP depuis un autre réseau, c'est le seul moyen). On ne se pose pas de question : le message part.
Fais quelques tests et tu verras tout de suite comment ça se passe

Schématiquement c'est ce qui permet aussi à quelqu'un de mal intentionné avec une petite manipulation dans le serveur piraté de se faire passer pour le détenteur du compte, et d'envoyer autant de messages qu'il le désire à distance. Pour peaufiner le tout, il lui est aussi possible de créer un compte mail occulte dans le même serveur Cette manipulation est tellement au point que le vrai détenteur du compte ne voit rien. Tout là est l'immense problème.

[calimo]

Schématiquement c'est ce qui permet aussi à quelqu'un de mal intentionné avec une petite manipulation dans le serveur piraté de se faire passer pour le détenteur du compte,

Euh... je croyais pourtant avoir été clair
Il n'y a pas besoin de pirater un serveur. La manipulation se borne a créer une identité dans Thunderbird (ou équivalent)

Alors oui, bien sûr, s'introduire sur un réseau wifi permet d'envoyer plein de mails mais je le répète encore une fois, ce n'est pas la cause majeure du problème Les arnaqueurs n'ont pas besoin de faire quelque chose d'aussi compliquer (même si c'est simple) pour envoyer tout un tas de mails !

[Teraoctet]

OK

Il n'y a pas besoin de pirater un serveur. La manipulation se borne a créer une identité dans Thunderbird (ou équivalent)
Alors oui, bien sûr, s'introduire sur un réseau wifi permet d'envoyer plein de mails mais je le répète encore une fois, ce n'est pas la cause majeure du problème Les arnaqueurs n'ont pas besoin de faire quelque chose d'aussi compliquer (même si c'est simple) pour envoyer tout un tas de mails !

A créer une identité dans thunderbird ou autres OK mais à distance, sinon...
Pour anecdote il y a 2 ou 3 mois en arrière dans les médias il fut donné comme exemple le type qui avait envoyé des mails à tous ses contacts pour leur demander de le dépanner financièrement car il était bloqué à l'étranger. Cela s'est avéré faux, le type en question n'était pas au courant, il n'avait jamais bougé de chez lui. Et l'arnaqueur est toujours inconnu.

[calimo]

A créer une identité dans thunderbird ou autres OK mais à distance, sinon...

Sinon quoi ? Tu les dis toi-même :

Et l'arnaqueur est toujours inconnu.

Et on parle ici d'arnaque, pas d'un "bête" spam : personne ne t'inquiétera pour quelques mails en trop

[Teraoctet]

Sinon, il devra utiliser l'ordinateur à l'insu de son propriétaire. Ok, pas toujours évident en effet.

Pour quelques spams!... tu peux tout aussi bien te faire blacklister pour des spams ou sensés être des spams.
Là encore à ce jour c'est parfois difficile en amont de définir le vrai spam, même si le mail est signé par DKIM et fait partie d'une wishliste, c'est à dire des adresses approuvées. Je te concède volontiers que cela touche principalement les grosses entreprises, quoique...

[Teraoctet]

Aux dernières informations certains participants ont proposé l'option que dmarc soit orienté plutôt sur la prévention du phishing.
Il est intéressant d'aller voir sur le site de Microsoft traitant de ce sujet en fonction des normes MS naturellement
http://www.microsoft.com/openspecificat ... fault.aspx puis fouiner dans les explications ici http://msdn.microsoft.com/en-us/library ... 10%29.aspx.

[calimo]

Sinon, il devra utiliser l'ordinateur à l'insu de son propriétaire. Ok, pas toujours évident en effet.

Et pourquoi ? Tu t'obstines à penser que les spammeurs se compliquent la vie, mais ce n'est pas le cas !

Obtenir un serveur virtuel (VPS) prend quelques minutes et ne coûte quasiment rien (quelques centimes l'heure). Vite créé, vite supprimé. Sinon il y a les réseaux d'ordinateurs zombis infectés par des malwares. Imparable. Bref, c'est extrêmement facile d'avoir un ordi pour envoyer du spam. Pas besoin de se déplacer près de chez toi et de s'introduire dans ton réseau wifi, c'est beaucoup trop compliqué

DMARC ne vas pas fondamentalement résoudre ce problème, le système pourra toujours être abusé (assez facilement).

[Teraoctet]

Bonjour,
Entièrement d'accord avec toi.

DMARC ne vas pas fondamentalement résoudre ce problème, le système pourra toujours être abusé (assez facilement).

Affirmatif ta remarque est très pertinente.
Une des parties preneuse de ce systèmes et non des moindres, émet un doute quand à sa faisabilité pour les correspondants de sa wishliste. Dans la mesure ses clients n'ont pas tous le réflexe de vérifier en amont la signature avant de poster le mail. En termes clairs, le système peut souvent être faussé au départ par cette négligence ou distraction de l'émetteur du message. (Ceci semble aussi valable pour DKIM)
Te tiens au courant de la suite car je suis avec intérêt ce sujet pour un de mes clients.