3

Se prémunir des attaques Mailsploit

Présentation

Mailsploit est une attaque qui permet de tromper le serveur de messagerie en indiquant une fausse adresse, elle permet de contourner des protections comme DMARC, DKIM,SPF…
Le problème vient de la RFC-1342  datant de 1992, remplacé par la RFC-2047, en cause l’interprétation de texte non-ASCII dans le champ de l’expéditeur.
Donc plus besoin de corrompre le serveur mail pour lancer une campagne de spam sous un nom de domaine spécifique.

 

Détection

Comment détecter Mailsploit ?
C’est assez simple, il suffit de lire l’entête (header) du mail corrompu et chercher le champ de l’expéditeur (From).

Pour cette exemple le champ From contient deux adresses de messagerie, la première « =?b?dGVdEB0LmNvbQ==?==?utf-8?Q?=0A=00= » qui correspond a test@test.com et la seconde <=?utf-8?b?dGVzdEB0ZXN0LmNvbQ==?==?utf-8?Q?=0A==00?=@mailsploit.com> qui correspond a demo@mailsploit.com.
on peut voir que dans Reply-to qui est le champs comportant l’adresse a utiliser en cas de réponse, c’est l’adresse frauduleuse qui est indiqué.

Une autre solution est de regarder dans votre client de messagerie l’expéditeur du mail, si il comporte une adresse mail et une adresse mail entre <>, la véritable adresse est celle entre <>

 

Sécuriser

Pour sécuriser Mailsploit au niveau de Postfix, il suffit d’ajouter des regex dans le fichier /etc/postfix/header_checks

/From:\s*"=?utf-8? REJECT

/From:\s*"[a-zA-Z0-9._-]+@[a-zA-Z0-9-]+.[a-zA-Z]+" REJECT

/From:\s*"BEGIN REJECT
/etc/postfix/header_checks

 

Pour tester la regex avec postfix:
postmap -q – regexp:/etc/postfix/header_checks < fichier_entête

 

Exemple

Un exemple d’un faux spam paypal reçu par un ami (feignasse 😉), on trouve en noire la fausse adresse mail et en rouge la vrai adresse.
Le but de ce spam est de faire cliquer la victime sur le lien…

 

Dans cette partie du header on trouve le champ Return-Path, il indique à quelle adresse doivent être envoyées les réponses automatiques du serveur et sinon on retrouve dans le champ from, la fausse et la vrai adresse.

 

Voila le tutoriel est terminé j’espère que vous serez maintenant vous protégez face a cette attaque qui facilite grandement les spams.

Source: Mailsploit

devkort

3 commentaires

  1. Merci pour ces explications. Sais-tu, s’il y a un équivalent a postfix check header sur un serveur smtp windows?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *