internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

Hello,

Intéressant en effet. J'ai fait le test de chez moi vers un mail non-orange, le script sort sans erreur, mais je ne reçois rien, ce qui est le comportement normal.

Sur une adresse orange, je n'ai pas essayé, mais bon, un SMTP, ça passe ou ça ne passe pas.

Bonjour,

Merci de ta contribution pour la résolution de ce problème.

J'ai effectué de nouveaux tests avec telnet et j'arrive bien à envoyer un mail mais celui-ci va dans les indésirables. 

En revanche, l'envoi avec powerhsell fonctionne correctement.

Après avoir pas mal testé avec un pote hier soir nous en sommes arrivé à la conclusion suivante :

Il est possible d'envoyer un mail via le SMTP de son FAI sur le port 25 (smtp.orange.fr si vous êtes chez Orange par exemple) sans authentification en changement le champ FROM (émetteur) ce qui permet une usurpation d'identité. A noter qu'avec Telnet il est considéré comme indésirables (spam-level = low) alors qu'avec Powershell ça passe sans problème. Mon pote qui est chez SFR a réussi la manipulation via le smtp de SFR.

Il doit donc y avoir des entêtes SMTP particulières dans les paquets générés par PowerShell lors de l'envoi d'un mail pour que ça passe.

Après peut-être que certains Fournisseurs d'adresses mails prennent du temps à traiter ces mails ou les refusent. En tout cas de Orange vers Orange en ayant comme FAI Orange ça passe de mon côté.

A noter aussi le sujet "=?us-ascii?Q?Test mail?=" un peu particulier ("=?us-ascii?Q?" étant visible seulement sur le webmail) qui me rappel un peu une faille qui a été corrigée il y a deux mois même si ce n'est pas le même type de problème, enfin je crois (car la faille mailsploit concernait les MUA et non les SMTP) : https://www.mailsploit.com/index 

Est-ce que quelqu'un d'autre à essayer ou a des réponses à la situation présente ?

Hello,

Je n'avais effectivement pas regardé ma boîte spam chez yahoo, mes deux mails de test sont arrivés dedans, mais ils sont arrivés.

Un test vers un de mes comptes Orange me met le mail directement dans la BaL, avec la chaîne de caractères que tu as mentionnée dans le titre.

Du coup, j'ai creusé un peu plus.

J'ai déclaré mes variables normales :

$To

$From

$Subject

$SmtpServer

$body

Mais... J'en ai ajouté une :

$encodingMail = [System.Text.Encoding]::UTF8

Dans le $body, j'ai ajouté de la balise HTML pour faire un peu joli, et dans la commande, en plus des paramètres normaux, j'ai mis 

-BodyAsHtml  $body 

et

-Encoding $encodingMail

Et voilà ! Plus de vilaine chaîne de caractères dans le sujet, et du beau HTML dans le corps du message, caractères accentués et spéciaux compris !

Bonjour,

Oui, bien vu pour l'encodage, j'avoue que je me suis plutôt intéressé au problème au niveau du réseau (SMTP, FAI etc...) plutôt qu'essayer de voir ce problème d'encodage.

Mais du coup merci d'avoir résolu le problème d'encodage et d'avoir fait un retour sur la boite yahoo qui considère quand même le mail comme un spam.

J'ai aussi trouvé un article wikipedia intéressant parlant du SPF qui, peut-être, pourrait être une des explications bien que j'en doute fort : https://fr.wikipedia.org/wiki/Sender_Policy_Framework 

Sinon, bah, je pense que des gens doivent utiliser cette méthode pour envoyer des spams. Il doit être possible de forger ses paquets SMTP afin de modifier les entêtes de manière à ce qu'ils passent normalement dans certains cas...

Aussi, fais attention à ne pas trop envoyer de mails avec cette méthode, on ne sait jamais que ton FAI bloque tes paquets IP (mails) si ils voient qu'ils sont anormaux et nombreux (je ne pense pas, mais sais-t-on jamais).

Bonjour

L'adresse émetteur n'est que du commentaire.

Ton script fonctionne parce que nulle part il est spécifié que tu dois mettre ton adresse dans l'adresse émettrice.

Montre moi la RFC qui le stipule.

N'oublie pas que les protocoles de la messagerie datent du grand père de Mathusalem.

Ca a été développé à une émpoque où les ordinateurs utilisaient des communications UUCP et où principaleemnt les utilisateurs étaient tous sur le même site (c'étaient tous des surfeurs californiens autour de l'UCLA des labos d'ATT,  ....) Personne ne s'avait que 15 ans plus tard Internet allait surgir.

La seule manière de contrôler est de regarder le contenu de l'en-tête détaillée.

A ton avis pourquoi les opérateurs français (au moins) exigent une authentification de l'émetteur.

Bientôt on ne pourra plus accéder au port 25 d'un serveur SMTP français, même depuis une ligne gérée par l'opérateur du SMTP.

Tu n'as pas besoin de script pour faire ton test

Je me suis envoyé à moi même ce mail dont voici l'affichage.

Aucun besoin de script ou d'outil de développement.

Le code source est plus explicite :

Mon adresse mail et mon IP Wan  ont été masquées.

L'IP LAN est visible et montre bien que l'envoi est fait depuis un PC et pas un webmail.

From - Tue Dec  5 17:06:22 2017
X-Account-Key: account1
X-UIDL: 1426671311.33024
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <XXXXXXX@orange.fr>
Received: from mwinf5d68 (mwinf5c68 [10.223.111.118])
	 by mwinb2y02 with LMTPA;
	 Tue, 05 Dec 2017 17:06:12 +0100
X-Sieve: CMU Sieve 2.3
Received: from [192.168.1.16] ([83.202.ZZZ.ZZ])
	by mwinf5d68 with ME
	id iG6B1w00C0GNgNj03G6BQY; Tue, 05 Dec 2017 17:06:11 +0100
X-ME-User-Auth: XXXXXXX@orange.fr
X-bcc: XXXXXXX@orange.fr
X-me-spamcause: (0)(0000)gggruggvucftvghtrhhoucdtuddrgedtuddrudeggdekfecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfogfdpggftiffpkfdpqfgfvfenuceurghilhhouhhtmecugedttdenucenucfjughrpefhuffkffgfggfvtgfgsehtkeertddtfeejnecuhfhrohhmpefrqohrvggppfhovghluceorfgrrfgrrdfpohgvlhesvfhrvghstehunfhoihhntehupfhorhgurdhglhgrghhlrgeqnecukfhppeekfedrvddtvddrudeiiedruddvnecurfgrrhgrmhephhgvlhhopegludelvddrudeikedruddrudeingdpihhnvghtpeekfedrvddtvddrudeiiedruddvpdhmrghilhhfrhhomhepphhhihhlughurhesohhrrghnghgvrdhfrhdprhgtphhtthhopehphhhilhguuhhrsehorhgrnhhgvgdrfhhrnecuvehluhhsthgvrhfuihiivgeptd
X-me-spamlevel: not-spam
X-ME-bounce-domain: orange.fr
X-ME-Helo: [192.168.1.16]
X-ME-Auth: cGhpbGR1ckBvcmFuZ2UuZnI=
X-ME-Date: Tue, 05 Dec 2017 17:06:11 +0100
X-ME-IP: 83.202.ZZZ.ZZ
X-ME-Entity: ofr
From: =?UTF-8?Q?P=c3=a8re_Noel?= <PaPa.Noel@TresAuLoinAuNord.glagla>
Subject: =?UTF-8?Q?Joyeux_No=c3=abl?=
Message-ID: <5eb8bbc6-391e-a70e-b5ee-092964c0c120@orange.fr>
Date: Tue, 5 Dec 2017 17:06:10 +0100
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101
 Thunderbird/52.5.0
MIME-Version: 1.0
To: destinataires inconnus: ;
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: fr

Rien de celà n'est choquant.

Mon identité réelle se trouve dans le login qui a été utilisé lors de l'authentification, je l'ai coloré en bleu dans la trace. Et ça personne ne peut le contrefaire, parce que le mail est passé par un port 465 du serveur SMTP.

Ce qui me choque c'est la crédulité.

Un mail, ce n'est que du vent !

L'utiliser pour des conversations privées , pas de problème pour moi.

L'utiliser en matière commerciale, c'est du délire.

J'ai vu des appli bancaires envoyer des résultats par mail, c'est suicidaire !!!

Il faut craindre qu'un jour, un avocat cherche à se faire un fric fou avec ce défaut structurel du mail.

Il faudra bien sécuriser la messagerie. Ce jour là la "gratuité" du net sera du passé.

Cordialement

PhilDur

Bonjour,

Bon, tout d'abord, en effet l'adresse IP figure dans l'entête ainsi que le Hostname de la machine (tu n'allais tout de même pas t'imaginer que je n'ai pas étudié un petit peu avant de poster un message ?).

Mais là n'est pas le problème, la question concerne le fait qu'aucune authentification n'est effectuée auprès du serveur SMTP pour faire transiter le mail et d'ailleurs, dans les entêtes générées par ma ligne de commande PowerShell ne contiennent AUCUN Champ X-ME-User-Auth...

De plus, dans ton exemple tu utilises un compte de messagerie qui t'appartient qui est probablement authentifié à un SMTP (même si tu as changé le champ emetteur qui est, comme tu le dis, l'équivalent d'un commentaire) alors que dans notre cas nous n'avons configuré aucun SMTP (si ce n'est que son adresse ainsi que le port 25).

Nous ne cherchons pas à masquer notre identité mais essayons de comprendre pourquoi il est possible d'envoyer des mails considérés comme correctes sans authentification auprès d'un SMTP et surtout que cela ne fonctionne qu'avec le SMTP respectif de son FAI.

Désolé que ta réponse ne nous permette pas d'avancer... Merci tout de même pour ta contribution.

Il n'y a pas pire aveugle que celui qui ne veut voir

J'ai montré comment j'ai fait

Tu n'as rien montré du tout, où est la trace du mail reçu ?

Et surtout pour qu'il y ait faille il faudrait que tu me montres où il est spécifié que l'adresse du champ "emetteur" doit être ton adresse ?  Dans quelle RFC celà est-il spécifié ?

Aucun mail envoyé n'est envoyé depuis une boite mail !

Un mail est toujours envoyé par un client mail vers un serveur SMTP

L'adresse expéditeur n'est là que pour permettre le retour.

Si tu n'as pas besoin de retour tu mets noreply@trucmuche.grd par exemple.

Tu n'as jamais reçu de mail avec émetteur = noreply@....    ????

Tu serais bien le premier !

---

@John_Doe a écrit :

Mais là n'est pas le problème, la question concerne le fait qu'aucune authentification n'est effectuée auprès du serveur SMTP pour faire transiter le mail et d'ailleurs, dans les entêtes générées par ma ligne de commande PowerShell ne contiennent AUCUN Champ X-ME-User-Auth...

---

Ca c'est normal, c'est parce que ton mail a probablement été envoyé par un client mail de site webmail vers le serveur SMTP du même opérateur. 

Si c'est le cas (en interne) tu considères l'adresse de l'émetteur suffisante pour identifier la source.

Le mail que j'ai produit a été généré par un client mail qui s'est adressé au serveur SMTP d'Orange.

Le webmail t'impose de n'utiliser que une adresse authentifiée (elle est vérifiée par ton authentification lors de ta connexion au compte).

Tu n'a eu à configurer aucun serveur SMTP parce que Orange ne te laisse pas le choix, quand tu passes par un webmail, c'est préconfiguré par le webmail.

La question principale reste

Où as tu vu qu'il fallait mettre ton adresse ?

Cite nous le texte de la norme internationale qui l'impose !!!!

Bon courage !

PhilDur

Bonjour,

Bon, pour commencer, as-tu réellement lu ma réponse ? 

J'ai bien compris le fait qu'un mail est envoyé depuis un client vers un SMTP, mais là n'est pas le problème.

Tu me dis "Tu n'a eu à configurer aucun serveur SMTP parce que Orange ne te laisse pas le choix, quand tu passes par un webmail, c'est préconfiguré par le webmail."

Oui mais là est en Powershell sans avoir configuré de SMTP, ce n'est pas depuis un webmail que nous avons envoyé les mails en question.

Tu me dis aussi "Où as tu vu qu'il fallait mettre ton adresse ?"

Mais à aucun moment je n'ai insinué ça, je te dis juste qu'il est possible d'envoyer des mails sans authentification auprès d'un SMTP via Powershell (par exemple) A CONDITION que le SMTP corresponde à ton FAI. Après, je citais l'usurpation d'identité pour citer une des conséquences possibles (à savoir que le mails n'était pas considéré comme spam et qu'aucune authentification n'a été faite).

Je ne sais pas quoi te dire, essaie la manipulation au pire, peut-être que tu comprendras le problème car tes messages ne nous apprend rien de nouveau....

Merci tout de même de gentillement nous avoir cité la RFC 5321 histoire de nous faire des petits rappels concernant les bases.

Bonne journée à toi.

ps : au cas où tu ne sais pas trop ce qu'est PowerShell et que tu aimerais essayer la manipulation : https://fr.wikipedia.org/wiki/Windows_PowerShell

Je t'ai farpaitement bien lu

Ce sur quoi j'insiste ce n'est pas l'outil, que tu aies utilisé PowerShell, Python, ou n'importe que produit de hack (au bon sens).

J'insiste sur le fait que modifier une adresse émettrice n'est pas une faille de sécurité.

Ce n'est jamais que exploiter le protocole SMTP.

On a tout à fait le droit de mettre ce qu'on veut.

Avant de croire l'adresse expéditeur, si on a un doute il faut juste regarder la trace, le bidouillage devient alors clair.

Il n'y a aucune faille de sécurité

C'est juste le protocole qui est laxiste.

Franchement NON, je n'ai plus envie de me replonger dans les scripts PowerShell, bash ou autres ... je l'ai fait pendant tellement longtemps.

Mon premier développement de ce type a été de développer sous Dos 2.11 entièrement en .bat MS-DOS une implémentation de mail pour partager un poste de travail à plusieurs utilisateurs.

J'ai perdu toute envie de jouer à ça.

Simer coubo

PhilDur