Vous êtes sur la page 1sur 8

Comprendre l’envoi

des spams Tomasz Nidecki

Article publié dans le numéro 2/2004 du magazine Hakin9


Tous droits reservés. La copie et la diffusion de l'article sont admises
à condition de garder sa forme et son contenu actuels.
Magazine Hakin9, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, hakin9@hakin9.org
Comprendre l’envoi des
spams
Tomasz Nidecki

Les spammeurs profitent sou-


vent des systèmes mal proté-
gés. Les ennuis et les frais liés à
l'envoi des dizaines ou des cen-
taines de milliers de messages
sont reportés sur des tiers. Nous
allons apprendre en quoi consis-
tent les techniques utilisées par
les spammeurs et comment s'en
protéger contre elles.

U
n envoi massif de courrier électronique Protocole SMTP
consomme beaucoup de ressources. Pour pouvoir comprendre les méthodes utili-
Pour le mener à bien, il faut disposer sées par les spammeurs, il est nécessaire de
d'une connexion rapide et d'un ordinateur dédié. connaître les principes de fonctionnement de
Même si le spammeur dispose de ces ressources, SMTP : le protocole d'envoi de courrier électro-
l'envoi peut prendre plusieurs heures. Quant aux nique le plus répandu. Comme la plupart des
fournisseurs d'accès à Internet, ils ne sont pas protocoles utilisés dans le réseau, il est basé
ravis s'ils voient leurs bandes passantes utilisées sur de simples commandes en mode texte.
pour l'envoi du spam et le spammeur peut perdre
la connexion au réseau avant même de réussir Étapes de l'envoi du courrier
à envoyer une partie importante des messages. Le courrier électronique est envoyé en plusieurs
S'il est identifié, il peut aussi subir de graves con- étapes (voir Figure 1). Pour mieux les comprendre,
séquences légales ou financières.
Pour accélérer l'envoi et le rendre plus effi-
cace, les spammeurs utilisent deux méthodes
Cet article explique...
de base. La première consiste à réduire le temps • comment les spammeurs envoient le spam (uti-
nécessaire à l'envoi du message. Elle est appelée lisant les ordinateurs des personnes qui n’y sont
fire and forget, c'est-à-dire « envoyer et oublier ». pour rien),
Lors de l'emploi de cette méthode, l'ordinateur • comment protéger son serveur contre les
Bases

qui envoie le spam n'attend pas la réponse des spammeurs,


serveurs qu'il a contactés. La deuxième mé- • comment fonctionne le protocole SMTP,
thode consiste à s'approprier des ressources • ce que c’est que open relay, open proxy et
appartenant à des tiers qui ont mal configuré leur zombie.
système d'exploitation ou bien ont été victimes de Ce qu’il faut savoir...
virus. La plupart des frais et souvent aussi la res-
ponsabilité pour l'envoi du spam retombe sur ces • comment utiliser les outils de base sous Linux.
personnes, et le spammeur reste impuni.

2 www.hakin9.org Hakin9 N O 2/2004


Comprendre l’envoi des spams

Figure 1. Étapes de l’envoi du courrier électronique

imaginons que nous voulons envoyer lise Outlook Express et il dispose de la dans les paramètres du compte de l'uti-
un message de hakin9@hakin9.org connexion dial-up. lisateur hakin9@hakin9.org, c'est-à-
à nobody@example.com. L'expéditeur Lors de la première étape, le dire mail.software.com.pl. Le message
emploie le logiciel Mozilla Thunderbird logiciel Mozilla Thunderbird entre en est envoyé au serveur à l'aide du proto-
en réseau local, et le destinataire uti- contact avec le serveur SMTP indiqué cole SMTP. Lors de la seconde étape,
mail.software.com.pl examine les
enregistrements des serveurs DNS. Il
Histoire de SMTP apprend que c'est mail.example.com
qui est responsable de la réception
Le logiciel SNDMSG (Send Message) est considéré comme le précurseur de SMTP. Il
du courrier adressé au domaine
a été utilisé en 1971 par Ray Tomlinson (en liaison avec son propre projet, CYPNET)
pour créer une application permettant d’envoyer le courrier électronique dans le réseau
example.com. On trouve cette infor-
ARPANET. Une année plus tard, les commandes MAIL et MLFL ont été ajoutées à FTP , mation dans l'enregistrement MX (Mail
le logiciel utilisé dans Arpanet pour l’envoi des fichiers. FTP a été utilisé pour l’envoi du Exchanger) publié par le DNS respon-
courrier jusqu’en 1980, où le premier standard du protocole pour le courrier électronique sable du domaine example.com (nous
a été créé : il s’agit de MTP (Mail Transfer Protocol), décrit dans le document RFC 772. pouvons l'obtenir à l'aide des logiciels
MTP a été modifié à plusieurs reprises (RFC 780, 788) et en 1982 Jonathan B. Postel a host ou dig : host -t mx example.com ou
présenté Simple Mail Transfer Protocol dans RFC 821. dig example.com mx).
Cependant, SMTP sous sa forme de base n’a pas satisfait toutes les attentes. Lors de la troisième étape,
Plusieurs documents décrivant les extensions du protocole ont été créés. Sont consi- mail.software.com.pl se connecte
dérées comme les plus importantes :
à mail.example.com et lui transmet
• RFC 1123 – obligations concernant les serveurs Internet (concernant aussi SMTP), le message. Pendant la quatrième
• RFC 1425 – implémentation du standard d’extension du SMTP, à savoir ESMTP, étape, mail.example.com délivre
• RFC 2505 – suggestions concernant la protection anti-spam pour les serveurs, le message reçu dans la boîte aux
• RFC 2554 – authentification des connexions : implémentation de la commande AUTH. lettres locale de l'utilisateur nobody.
La cinquième étape consiste en une
Le standard courant de SMTP a été décrit en 2001 dans RFC 2821. Sur notre CD-ROM, connexion dial-up établie par l'utili-
vous trouverez la totalité des RFC.
sateur de la boîte aux lettres nobody
avec le serveur mail.example.com, à

Hakin9 N O 2/2004 www.hakin9.org 3


l'aide du protocole POP3 (ou IMAP)
et du logiciel Outlook Express et en
récupération du message.
Il arrive que le chemin du message
soit un peu plus long. L'expéditeur pour-
rait utiliser des serveurs de message-
rie (SMTP) séparés, p. ex. reception.
software.com.pl et envoi.software.
com.pl. Le message serait alors reçu
par reception.software.com.pl, trans-
féré vers envoi.software.com.pl et en-
suite envoyé vers mail.example.com.
Il en est de même dans le cas de
mail.example.com des serveurs diffé-
rents peuvent être responsables de la
réception et de l'envoi des messages
à l'utilisateur.

Logiciels participant à l'envoi


du courrier
Plusieurs logiciels participent à l'en-
voi du courrier :

• Le logiciel employé par l'utili-


sateur final pour la réception,
l'envoi, la lecture et la rédaction
des messages est appelé MUA
– Mail User Agent. Des exemples
de MUA : Mozilla Thunderbird,
Outlook Express, PINE, Mutt.
• La partie du serveur chargée
de la communication avec les
utilisateurs (réception du cour-
rier), ainsi que de l'envoi et de la
réception du courrier des autres
serveurs est appelée MTA – Mail
Transfer Agent. Les MTA les plus
répandus sont : Sendmail, qmail,
Postfix, Exim.
• La partie du serveur chargée de
délivrer le courrier à l'utilisateur
local est appelée MDA – Mail
Delivery Agent. Les exemples des
MDA autonomes : Maildrop, Proc-
mail. La plupart des MTA dispo-
sent de leurs propres mécanismes
pour délivrer le courrier aux utilisa-
teurs locaux, donc souvent il n'est
pas nécessaire d'utiliser des MDA
Bases

supplémentaires.

Étapes de communication
dans le SMTP
L'envoi du message à l'aide de SMTP
est divisé en plusieurs étapes. Voici
un exemple de session SMTP entre
Figure 2. Étapes de la communication à l’aide de SMTP les serveurs mail.software.com.pl

4 www.hakin9.org Hakin9 N O 2/2004


Comprendre l’envoi des spams

Tableau 1. Présentation des commandes du protocole SMTP le plus sou- ligne vide et le message est terminé
vent utilisées par un point sur une ligne vide :
Commande Description
> DATA
HELO <FQDN> Se présenter au serveur
< 354 go ahead
EHLO <FQDN> Se présenter au serveur et demander la liste > From: personne@hakin9.org
des commandes ESMTP disponibles > To: tous@example.com
MAIL FROM:<l’adresse > Spécifier l’enveloppe : l’adresse de l’émetteur > Subject: Rien
pour un retour éventuel du message qui ne >
peut pas être délivré > C'est un test
RCPT TO:<l’adresse > Spécifier l’adresse du destinataire du mes- > .
sage < 250 ok 1075929516 qp 5423

DATA Passage en mode de réception du contenu


du message Après avoir envoyé le message, nous
pouvons terminer la connexion :
AUTH <méthode> Authentification de la connexion (ESMTP).
Les méthodes le plus souvent utilisées :
> QUIT
LOGIN, PLAIN et CRAM-MD5
< 221 Bye
Vous trouverez une liste étendue des commandes SMTP et ESMTP
à l’adresse http://fluffy.codeworks.gen.nz/esmtp.html
Le serveur n'est pas toujours en
et mail.example.com. Les données Nous indiquons les adresses aux- état d'exécuter nos commandes.
envoyées par mail.software.com.pl quelles le message doit être en- Si nous recevons un code qui
ont été marquées du caractère >, et voyé : commence par le chiffre 4 (code
celles reçues de mail.example.com de série 4xx), cela signifie que le
par le symbole < . > RCPT TO:<test1@example.com> serveur refuse temporairement de
Après l'établissement de la con- < 250 ok recevoir le message. Nous devrions
nexion, mail.example.com se présente : > RCPT TO:<test2@example.com> essayer de réenvoyer le message
< 250 ok un peu plus tard. Si nous recevons
< 220 mail.example.com ESMTP Program > RCPT TO:<test3@example.com> un code qui commence par le
< 250 ok chiffre 5, cela signifie que le serveur
en informant que le nom complet de refuse définitivement de recevoir
l'hôte (FQDN) est mail.example.com. Ensuite, après la commande DATA , notre courrier et que les nouvelles
Nous apprenons aussi qu'il est pos nous transmettons les en-têtes et le tentatives resteront sans effet. La
sible d'utiliser les commandes d'ES- contenu du message. Les en-têtes liste des commandes et des codes
MTP (SMTP étendu : voir l'encadré) sont séparés du contenu par une les plus importants envoyés par le
et que le MTA employé est Program.
Tableau 2. Présentation des codes de réponse SMTP
Le nom du logiciel est facultatif, cer-
tains MTA, par exemple qmail, ne Code Description
l'indiquent pas. 220 Service actif : le serveur informe qu’il est disponible et prêt à rece-
Nous nous présentons : voir les commandes
250 Commande acceptée
> HELO mail.software.com.pl
354 Début du contenu du message

comme réponse, nous recevons : 450 Boîte aux lettres de l’utilisateur temporairement non disponible
(p. ex. bloquée par un autre processus)
< 250 mail.example.com 451 Erreur locale lors du traitement du courrier
452 Manque de ressources système
ce qui signifie que mail.example.com 500 Commande non reconnue
est prêt à recevoir du courrier. En-
501 Erreur de syntaxe dans la commande ou dans les paramètres
suite, nous spécifions l'enveloppe
d'expéditeur, c'est-à-dire l'adresse à 502 Commande non implémentée
laquelle un retour éventuel du mes- 550 Boîte aux lettres de l’utilisateur non disponible
sage non délivré doit être dirigé : 552 Manque de ressources de stockage

> MAIL FROM:<hakin9@hakin9.org> Vous trouverez la liste complète des codes et les règles de leur création dans
< 250 ok RFC 2821 (sur notre CD-ROM).

Hakin9 N O 2/2004 www.hakin9.org 5


Listing 1. Open relay le plus Listing 2. Serveur open relay Listing 3. Serveur multistage
simple permettant l'envoi du courrier open relay permettant l'envoi
seulement par les utilisateurs des messages seulement par
$ telnet lenox.designs.pl 25
existants les utilisateurs existants
< 220 ESMTP xenox
> helo hakin9.org
$ telnet kogut.o2.pl 25 $ telnet smtp.poczta.onet.pl 25
< 250 xenox
< 220 o2.pl ESMTP Wita < 220 smtp.poczta.onet.pl ESMTP
> mail from:<hakin9@hakin9.org>
> helo hakin9.org > helo hakin9.org
< 250 Ok
< 250 kogut.o2.pl < 250 smtp.poczta.onet.pl
> rcpt to:<nobody@example.com>
> mail from:<ania@o2.pl> > mail from:<ania@buziaczek.pl>
< 250 Ok
< 250 Ok < 250 2.1.0 Sender syntax Ok
> data
< 354 End data withS >
<
rcpt to:<hakin9@hakin9.org>
250 Ok
>
<
rcpt to:<hakin9@hakin9.org>
250 2.1.5 Recipient address S
<CR><LF>.<CR><LF>
> data syntax Ok; S
> Subject: test
< 354 End data with S rcpt=<hakin9@hakin9.org>
>
<CR><LF>.<CR><LF> > data
> C'est un test
> Subject: test < 354 Start mail input; S
> .
> end with <CRLF>.<CRLF>
< 250 Ok: queued as 17C349B22
> C'est un test > Subject: test
> quit
> . >
< 221 Bye
< 250 Ok: queued as 31B1F2EEA0C > C'est un test
> quit > .
< 221 Bye < 250 2.6.0 Message accepted.
> quit
serveur SMTP a été présentée dans < 221 2.0.0 S
les tableaux 1 et 2. smtp.poczta.onet.pl Out
noires est difficile, et parfois même
Serveurs relais ouverts impossible).
(open relay) utilisateur pour usurper son identité
Lorsque le protocole SMTP a été créé, Utilisation de relais ouverts et envoyer le message. Dans le cas
le problème de spam n'existait pas Nous allons voir qu'il est très simple de certains serveurs, il suffit de donner
encore et chaque utilisateur pouvait d'utiliser les relais ouverts pour l'envoi le nom du domaine local et l'utilisateur
employer un serveur quelconque pour du spam. L'un des serveurs polonais dont nous usurpons l'identité ne doit
envoyer son message dans le monde. mal configurés et utilisés par les même pas exister.
Maintenant, quand les spammeurs spammeurs nous servira d'exemple : Le Listing 3 présente une situation
cherchent l'occasion d’utiliser des lenox.designs.pl. Comme on peut voir similaire : il s'agit du serveur de mes-
serveurs pour envoyer des milliers sur le Listing 1, aucune démarche spé- sagerie de l'un des portails polonais
de messages, cette approche n'est ciale n'a été nécessaire pour envoyer les plus importants, à savoir Onet
plus valable. Les serveurs permettant le message. Le serveur considère cha- (curieusement, Onet prétend lutter
d'envoyer du courrier sans authen- que utilisateur qui s'y connecte comme activement contre le spam...). Il s'agit
tification dans le monde entier sont autorisé à envoyer du courrier. C'est le d'un multistage open relay. Cela signi-
appelés relais ouverts (open relay). type de serveur relais ouvert le plus fie que le message est reçu par une IP
Chaque serveur qui permet aux dangereux, car le plus facile à utiliser. et envoyé par une autre.
utilisateurs non authentifiés d'en- Il existe d'autres serveurs relais Pour s'en rendre compte, il faut
voyer des messages sera tôt ou tard ouverts, plus difficiles à utiliser par les examiner les en-têtes Received (voir
utilisé par les spammeurs, ce qui spammeurs. A titre d'exemple, nous l'encadré) du message reçu. Comme
peut avoir de graves conséquences. pouvons citer l'un de ces certains ser- on peut voir sur le Listing 4, le mes-
Premièrement, cela peut réduire veurs de messagerie mal configurés sage a été reçu par ps8.test.onet.pl
les performances du serveur qui va du portail polonais O2 : kogut.o2.pl. (213.180.130.54) et envoyé au des-
envoyer du spam au lieu de recevoir Comme on peut le voir sur le Listing tinataire par smtp8.poczta.onet.pl
et d'envoyer les messages des utili- 2, il a suffi de deviner le nom d'un (213.180.130.48). Cela rend plus dif-
sateurs authentifiés. Deuxièmement,
Bases

le fournisseur d'accès à Internet peut Listing 4. En-têtes Received du courrier reçu du serveur multistage
résilier le contrat, vu que le serveur open relay
est utilisé pour un procédé illégal et
immoral. Troisièmement, l'adresse Received: from smtp8.poczta.onet.pl (213.180.130.48)
by mail.hakin9.org with SMTP; 23 Feb 2004 18:48:11 -0000
IP du serveur sera sur des listes
Received: from mail.hakin9.org ([127.0.0.1]:10248 "helo hakin9.org")
noires et de nombreux serveurs by ps8.test.onet.pl with SMTP id <S1348420AbUBWSrW>;
n'accepteront pas son courrier (ef- Mon, 23 Feb 2004 19:47:22 +0100
facer l'adresse IP de plusieurs listes

6 www.hakin9.org Hakin9 N O 2/2004


Comprendre l’envoi des spams

indépendamment du login et du mot


Comment éviter de devenir un relais ouvert (open relay) ? de passe saisis. Le spammeur peut
aussi tenter une attaque par dic-
Le protocole SMTP permet de : tionnaire : il serait donc préférable
que les mots de passe des utilisa-
• recevoir le courrier d’un utilisateur (MUA) et de l’envoyer à un autre serveur (MTA), teurs pour l'authentification SMTP
• recevoir le courrier d’un autre serveur (MTA) et de l’envoyer à un utilisateur local
ne soient pas trop banals.
(MUA),
• recevoir le courrier d’un serveur (MTA) et de l’envoyer à un autre serveur (MTA).
Serveurs open proxy
Il n’y a aucune différence entre la manière d’envoyer le message par MUA et par MTA. Le Les open proxy sont un autre type de
plus important est de savoir si on peut faire confiance à l’adresse IP de l’expéditeur (p. ex. serveurs mal configurés qui peuvent
dans le réseau local) et si le destinataire se trouve dans le domaine local ou extérieur. être utilisés par les spammeurs. Il s'agit
L’envoi du courrier en dehors de notre serveur est appelé réacheminement (relaying). de serveurs proxy permettant l'établis-
Pour empêcher les spammeurs d’utiliser notre serveur pour leurs activités, nous ne sement de la connexion par les utilisa-
devons pas autoriser le réacheminement sans authentification. Pour cela, lors de la con- teurs non autorisés. Les serveurs open
figuration du serveur SMTP, il faut prendre en compte les hypothèses suivantes :
proxy peuvent fonctionner avec divers
• Si le message est destiné à l’un des domaines gérés par notre serveur, il doit être logiciels et divers protocoles. Le plus
accepté sans authentification. souvent, il s'agit du protocole HTTP-
• Si le message est envoyé par un utilisateur local (de MUA sur le serveur) dans le CONNECT, mais on trouve aussi des
réseau local ou bien d’une adresse IP fixe et authentifiée, et que le destinataire open proxy permettant la connexion
soit un utilisateur non local, le message peut être accepté sans authentification à l'aide des protocoles HTTP-POST,
(cependant, il est conseillé d’exiger l’authentification). SOCKS4, SOCKS5 et d'autres.
• Si le message est envoyé par un utilisateur non local (p. ex. d’une adresse IP Open proxy peut être utilisé par
dynamique) et que le destinataire soit un utilisateur non local, le message ne peut un spammeur de la même manière
pas être accepté sans authentification.
qu'un relais ouvert : pour envoyer
des messages non autorisés. De
plus, plusieurs d'entre eux permet-
ficile de découvrir que le serveur est patch SMTP-AUTH appellent qmail- tent de dissimuler l'adresse IP. Un tel
configuré comme un relais ouvert, smtpd d'une manière incorrecte. proxy sera une aubaine alléchante
mais cela n'empêche pas de l'utiliser Le logiciel qmail-smtpd avec le pour chaque spammeur.
pour l'envoi du spam. patch exige trois arguments : FQDN,
Les serveurs dont l'authentifica- le logiciel vérifiant le mot de passe Utilisation du serveur open
tion de l'expéditeur (SMTP-AUTH) a (compatible avec checkpassword) proxy
été incorrectement configurée cons- et un paramètre additionnel pour Le Listing 6 présente un exemple
tituent un autre type de relais ouvert. le logiciel vérifiant le mot de passe. d'utilisation du serveur open proxy per-
Ils permettent d'envoyer le courrier Exemple : qmail-smtpd hakin9.org mettant la connexion par le protocole
après avoir indiqué un login et un /bin/checkpassword /bin/true. L'er- HTTP-CONNECT sur le port 80. La
mot de passe quelconques. Cela reur commise le plus souvent con- communication avec le relais ouvert
arrive le plus souvent lorsque des siste à indiquer /bin/true comme le constitue la plus grande partie de la
administrateurs débutants de qmail second paramètre : la vérification du connexion (les mêmes commandes
qui n'ont pas lu la documentation du mot de passe sera toujours réussie, que dans le Listing 2). Mais avant de
nous connecter au serveur SMTP,
nous établissons le contact avec open
En-têtes Received proxy et c'est avec son aide que nous
nous connectons au MTA. Pendant
Les en-têtes Received sont un élément obligatoire de chaque message. Chaque serveur
de messagerie par lequel passe le courrier ajoute son propre en-tête Received au-dessus
la connexion, nous déclarons que la
des autres, affectés par d’autres serveurs. Comme ça, en lisant les en-têtes du bas vers le communication sera réalisée à l'aide
haut, nous pouvons connaître le chemin du courrier entre l’expéditeur et le destinataire. Le du protocole HTTP/1.0, mais nous ne
spammeur peut ajouter ses propres en-têtes pour dissimuler son identité et faire attribuer sommes pas obligés de l'utiliser.
la faute à une autre personne. Les en-têtes situés dans la partie supérieure, insérés par le Pour un spammeur, la situation
serveur du destinataire, sont certainement vrais. Les autres peuvent être faux. idéale serait de trouver un serveur
Uniquement grâce aux en-têtes Received, nous pouvons identifier l’adresse IP réelle open proxy sur lequel est aussi ins-
de l’expéditeur du message et souvent vérifier si le message a été posté par l’intermé- tallé un serveur de messagerie local.
diaire de relais ouvert (open relay) ou de proxy ouvert (open proxy). Cependant, l’analyse Dans la plupart des cas, MTA accepte
des en-têtes n’est pas facile, car il n’existe pas de standard fixé pour leur définition et
les connexions du proxy local sans
l’ordre des informations dans l’en-tête varie en fonction du serveur de messagerie.
authentification, en des considérant
comme les utilisateurs locaux. Dans

Hakin9 N O 2/2004 www.hakin9.org 7


(après l'ouverture de la pièce jointe
Listing 5. Serveur open relay par celui-ci), est envoyé à toutes les Listing 6. Serveur open proxy
avec SMTP-AUTH configuré de adresses trouvées dans les fichiers utilisé pour un envoi anonyme
manière incorrecte .txt et .html sur le disque dur. du courrier par open relay

$ telnet mail.example.com 25 • Entre 19h et 23h UTC, il se con- $ telnet 204.170.42.31 80


< 220 mail.example.com ESMTP necte à l'une des 22 adresses IP > CONNECT kogut.o2.pl:25 HTTP/1.0
> ehlo hakin9.org contenues dans le code du virus, >
< 250-mail.example.com sur le port 8998 UDP, pour obtenir < HTTP/1.0 200 S
< 250-PIPELINING Connection established
l'adresse URL d'où il peut télé-
< 250-8BITMIME < 220 o2.pl ESMTP Wita
< 250-SIZE 10485760 charger son deuxième élément. > helo hakin9.org
< 250 AUTH LOGIN PLAIN CRAM-MD5 • Après le téléchargement du < 250 kogut.o2.pl
> auth login deuxième élément (cheval de > mail from:<ania@o2.pl>
< 334 VXNlcm5hbWU6 Troie), celui-ci est installé et exé- < 250 Ok
> test > rcpt to:<hakin9@hakin9.org>
cuté ; l'adresse IP de l'ordinateur
< 334 UGFzc3dvcmQ < 250 Ok
> test infecté est envoyée à l'auteur du > data
< 235 ok, go ahead (#2.0.0) zombie et ensuite le troisième < 354 End data with S
> mail from:<hakin9@hakin9.org> élément est téléchargé. <CR><LF>.<CR><LF>
< 250 ok • Le troisième élément c'est le > Subject: test
> rcpt to:<nobody@nowhere.com> >
logiciel Wingate modifié qui s'ins-
< 250 ok > C'est un test
> data talle automatiquement et crée un > .
< 354 go ahead open proxy sur l'ordinateur de < 250 Ok: queued as 5F4D41A3507
> Subject: test l'utilisateur. > quit
> < 221 Bye
> C'est un test
Vous trouverez plus d'informa-
> .
tions sur le fonctionnement des
<
>
250 ok 1077563277 qp 13947
quit virus de la série Sobig à l'adresse Mieux vaut prévenir
< 221 mail.example.com http://www.lurhq.com/sobig.html que guérir
La seule méthode efficace de Comme nous l'avons vu, utiliser les
protection contre les zombies con- serveurs mal protégés n'est pas diffi-
ce cas-là, le spammeur n'est obligé siste à utiliser les logiciels anti-virus cile. Pour l'administrateur du serveur
de connaître aucun serveur relais et les systèmes IDS (Intrusion De- « troué », les conséquences peuvent
ouvert et peut confortablement et de tection System, par exemple Snort) s'avérer graves, tandis que le spam-
manière anonyme réaliser ses activi- qui nous aideront à détecter un open meur n'assumera vraisemblablement
tés aux dépens et à la responsabilité proxy dans notre réseau. aucune responsabilité. 
d'un autre, tout en restant difficile à
découvrir.
Où les spammeurs trouvent-ils les adresses de relais ouverts
Zombie et d’open proxy ?
La méthode appelée « zombie » est Il peut être assez difficile de trouver soi-même un serveur mal protégé. Il suffit cependant
la plus récente et la plus agressive de recevoir du spam envoyé par relais ouvert ou par open proxy pour pouvoir les utiliser
utilisée par les spammeurs pour faire soi-même. Pour vérifier si un relais ouvert se trouve sous l’adresse IP suspecte, on peut
retomber les frais et la responsabilité utiliser le script rlytest (http://www.unicom.com/sw/rlytest/), tandis que pour découvrir
sur des tiers. Cette technique est un un open proxy on peut se servir de pxytest (http://www.unicom.com/sw/pxytest/). Vous
mélange de virus (ver) et de cheval trouverez les deux sur notre CD-ROM.
de Troie. Son but est de créer un Les spammeurs qui tiennent à obtenir de meilleures performances dans leur
open proxy sur l'ordinateur infecté par activité, utilisent surtout les bases de données payantes d’adresses de relais ouverts
et d’open proxy. Il n’est pas difficile d’en trouver : il suffit de saisir les mots open proxy
le virus. De cette manière, on crée
ou open relay dans n’importe quel moteur de recherche et cliquer sur les premiers
un réseau très étendu de serveurs
liens qui apparaissent (p. ex. : http://www.openproxies.com/ – 20 USD pour un mois,
d'open proxy anonymes utilisés par
Bases

http://www.openrelaycheck.com/ – 199 USD pour six mois).


les spammeurs du monde entier. Une autre méthode pour obtenir des adresses consiste à récupérer la zone conte-
Les virus de la série Sobig sont nant les adresses de relais ouverts ou d’open proxy à partir de l’un des serveurs DNSBL
l'exemple le plus connu de zombie. (voir l’article Protection contre le spam sur le serveur). Une liste de ces serveurs peut
Voici comment fonctionne la variante être trouvée, par exemple, à l’adresse http://www.declude.com/junkmail/support/
Sobig.E : ip4r.htm. Pour récupérer la zone mentionnée, on peut utiliser l’application host :
host -l <nom de la zone> <adresse DNSBL>. Toutefois, de nombreux serveurs
• Le premier élément, après avoir DNSBL rendent impossible la récupération des zones entières.
infecté l'ordinateur de l'utilisateur

8 www.hakin9.org Hakin9 N O 2/2004