J'ai récemment reçu un e-mail étrange. L'e-mail a différents From
et Reply-To
des champs. Il a également To
défini sur Undisclosed recipients
mais ce n'est pas crucial.
Au début, je pensais que c'était faux, mais j'ai lu this post qui mentionne que le champ Received
ne peut pas être truqué. Il semble que la réception soit appropriée dans le cas de l'e-mail dont je parle:
Received: (wp-smtpd mx.tlen.pl 14490 invoked from network); 2 Oct 2018 07:19:36 +0200
Received: from mx.beniculturali.it ([194.242.241.200])
(envelope-sender <[email protected]>)
by mx.tlen.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
for <[email protected]>; 2 Oct 2018 07:19:36 +0200
Received: from sea2.mail.beniculturali.it (localhost.localdomain [127.0.0.1])
by localhost (Email Security Appliance) with SMTP id 15EE31ECEEA_BB2FFE8B;
Tue, 2 Oct 2018 05:19:36 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (mb2.mail.beniculturali.it [192.168.123.122])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
(Client CN "email.beniculturali.it", Issuer "Actalis Authentication CA G3" (not verified))
by sea2.mail.beniculturali.it (Sophos Email Appliance) with ESMTPS id 1C9BD1E9E28_BB2FFE7F;
Tue, 2 Oct 2018 05:19:35 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (192.168.123.122) by
MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
id 15.0.1395.4; Tue, 2 Oct 2018 07:19:30 +0200
Received: from ca4.mail.beniculturali.it (192.168.123.144) by
MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
id 15.0.1395.4 via Frontend Transport; Tue, 2 Oct 2018 07:19:29 +0200
Received: from MDC.mail.beniculturali.it ([192.168.123.171]) by
ca4.mail.beniculturali.it ([192.168.123.144]) with mapi; Tue, 2 Oct 2018
07:19:29 +0200
Est-il possible d'usurper le champ Received
d'une manière ou d'une autre, peut-être en utilisant des techniques avancées?
Il est possible d'ajouter des champs arbitraires au courrier, ce qui inclut les en-têtes Received
. Mais, n'importe quel serveur de transport de courrier approprié ajoutera un nouvel en-tête Received
au-dessus du courrier, ce qui signifie que, selon l'infrastructure de livraison exacte, l'attaquant peut tout au plus truquer complètement sauf le Received
en-tête. Dans votre exemple spécifique, l'en-tête Received
supérieur semble être un serveur interne et l'en-tête Received
suivant est celui de votre serveur de messagerie sur le périmètre qui accepte les courriers provenant de l'extérieur. Tous les autres en-têtes Received
peuvent être falsifiés.
Et même l'en-tête Received
ajouté par le serveur sur le périmètre peut contenir de fausses informations. Il est courant qu'il inclut le nom d'hôte réclamé par le client SMTP dans la commande EHLO
ou HELO
. Ainsi, dans votre exemple spécifique mx.beniculturali.it
pourrait être truqué par l'attaquant tandis que ([194.242.241.200])
est ajouté par le serveur de messagerie de réception pour indiquer de quelle IP source le courrier a été reçu et ne peut pas être falsifié.