Priode en stage du 23/11/2015 au 29/12/2015

Portefeuille de comptences

Situation mission : Configuration du serveur mail

Au sein de la mairie les adresse mail utilise le serveur mail zimbra pour envoyer et recevoir
ses mail. Lorsque un mail arrive de lextrieur il est bloqu par le logiciel MailinBlack
demandant lenvoyeur de prouver quil est un tre humain en recopiant un captcha. Pour
un mail en interne le filtrage se base sur une liste blanche contenant des expditeurs connus
et valide par la collectivit.
En revanche, un grand nombre de mail frauduleux sont rceptionns par les utilisateurs,
nous avons pu constater une demie douzaine de tentatives dattaque sur le rseau se situent
dans le monde entier en moins dune peine une journe. Afin de se prmunir contre les
attaques de mail, ladministrateur rseau et moi-mme avions tudi les diffrentes attaques
sur le rseaux et de reprer les failles de scurit.
Environnement :
-

Logiciel : MailinBlack, Serveur de messagerie Zimbra

Systme dexploitation: windows, Linux
Matriel : PC client

Tches ralises :
-

Installation dun environnement de test

Identification des menaces et faille
Proposer une amlioration du systme de scurit du serveur mail

Activits

Rsultats attendus/productions

Vcu ou simul
ou observ

A1.3.1 Test d'intgration et d'acceptation d'un

service

Cration d'une adresse mail pour test l'envois

et la rception de mail sur le rseau interne

Vcu

A1.2.3 valuation des risques lis l'utilisation

d'un service

Identification des faille de scurit du serveur

mail

Vcu

A3.1.3 Prise en compte du niveau de scurit

ncessaire une infrastructure

Liste de la classification de Mail in Black des mail

frauduleux

Vcu

A3.2.3 Mise jour de la documentation

technique d'une solution d'infrastructure

Mise jour dune adresse IP frauduleux sur un

site de rfrencement des spam

Vcu

A5.2.3 Reprage des complments de

formation ou d'auto-formation utiles
l'acquisition de nouvelles comptences
A5.2.4 tude dune technologie, d'un
composant, d'un outil ou d'une mthode

auto formation Suivi de tutoriel sur la

configuration de serveur mail

Vcu

Etude des fonctionnalit de la passerelle anti

spam Mial in Black

Vcu

A1.3.1 Test d'intgration et d'acceptation d'un service

Pour bien comprendre le principe de la passerelle anti spam MailinBlack, jai cr avec
ladministrateur un nouveau compte mail interne sur le serveur de messagerie Zimbra. Puis jai test
lenvoi dun mail depuis une autre adresse externe pour comprendre le fonctionnement de la
procdure dune passerelle anti spam. En effet, on doit remplir un captcha pour confirmer lenvois
dun mail depuis une boite mail externe. Donc jai ajout un nouveau compte utilisateur afin de
raliser un test.

Aprs avoir synchronis le compte via la passerelle antivirus Mail in Black on pourra
recevoir des mail depuis des boites mails venant de l'extrieur.

A5.2.4 tude dune technologie, d'un composant, d'un outil ou d'une mthode

Liste des message infect

A3.1.3 Prise en compte du niveau de scurit ncessaire une infrastructure

MailinBlack classe les mails en quatre catgories :
- Les virus, SPAM ou phishing* : il sagit des mails frauduleux.
Ces mails sont directement supprims;
- Les mails informatifs : ensemble des courriers non sollicits de type publicit. Ces courriers sont
bloqus par le boitier. Les destinataires recevront un rapport de la boite rapport-mail@mairiecolombes.fr qui leur permettra en un clic de dbloquer le ou les mails et dautoriser un expditeur
inconnu;
- Les mails de nouveaux correspondants. Les nouveaux correspondants devront sidentifier partir
dun formulaire. Ils auront saisir une captcha, ce qui permettra dcarter les authentifications
effectues par des robots.
- Les mails productifs : tous ces mails valides seront transfrs au serveur Zimbra.

*Le phishing (ou hameonnage en franais) est un procd frauduleux consistant soutirer
les informations prives d'une personne comme les identifiants de son adresse mail, ses

informations bancaires, etc. La personne mal intentionne recre une page web spcifique
en copiant son code puis crit un programme pour recevoir les informations entres sur la
page directement chez lui. Lorsqu'une personne entrera ses informations sur la page croyant
sidentifier sur sa banque ou sa bote mail (le plus souvent), ce sera en ralit le crateur du
phishing qui recevra les donnes. Il est donc ncessaire de toujours vrifier le lien de la page
sur lequel des donnes importantes sont entres.
Aprs voir envoy le mail depuis une adresse externe la passerelle anti spam a envoy un
captcha afin de vrifier lauthenticit de lexpditeur.

:
Aprs stre connect au serveur Zimba jai affich le code source du mail pour trouver la
traabilit du mail afin dafficher le sender, le recipient et ladresse ip de lexpditeur.
/mib/other-scripts/tracability/findemail_no-db_v2.py -id lionel.rouyar
------ === POSTFIX === -------->
---= START: NOQUEUE
id=NOQUEUE
queue=in/smtpd (protocole)
arrived_time=
processed_time=11/23 10:46:14
smtp_client_hostname=mail-io0-f172.google.com (expditeur)
smtp_client_ip=209.85.223.172
relay=
relay_ip=
sender=colombestest@gmail.com
recipient=lionel.rouyar@mairie-colombes.fr
msg_id=
msg_size=
status=reject
return_code=550
info=User unknown in relay recipient table; ( captcha)
---= START: CD72FD621B1
id=CD72FD621B1
queue=in/smtp
arrived_time=
processed_time=11/23 10:50:54
smtp_client_hostname=
smtp_client_ip=
relay=127.0.0.1 (adresse ip exterieure interface de msg)

relay_ip=127.0.0.1
sender=
recipient=lionel.rouyar@mairie-colombes.fr
msg_id=
msg_size=
status=sent
return_code=250
info=Spooled with ID=AFD0DFA87C1A49148EC28A8463F301B7
Looking in Spool for: AFD0DFA87C1A49148EC28A8463F301B7
------ === SPOOL === --------> AFD0DFA87C1A49148EC28A8463F301B7
DATE: 23/11/15 10:50:59, GHOSTED
SENT with postfix ID: AC313D621B1
INFO: sent successfully to 127.0.0.1 at 127.0.0.1 for [colombestest@gmail.com]
INVITATION ID: 708d0ac936554f9ea33ac2ab5406b692
------ === POSTFIX === -------->
---= START: AC313D621B1
id=AC313D621B1
queue=da1/smtp
arrived_time=11/23 10:50:59
processed_time=11/23 10:51:00
smtp_client_hostname=localhost
smtp_client_ip=127.0.0.1
relay=gmail-smtp-in.l.google.com
relay_ip=64.233.184.26
sender=invitation-colombes@mairie-colombes.fr
recipient=colombestest@gmail.com
msg_id=<13349865.1656.1448272255735.JavaMail.root@perdita.mairie-colombes.fr>
msg_size=7986
status=sent
return_code=
info=250 2.0.0 OK 1448272260 x84si17995071wmg.94 - gsmtp
------ === POSTFIX === --------> Quit

RETOUR SUR MA BOITE DE MESSAGERIE

---------- Forwarded message ---------------------------From: Mail Delivery Subsystem <mailer-daemon@googlemail.com>
Date: Mon, 23 Nov 2015 09:46:14 +0000
Subject: Delivery Status Notification (Failure)
To: colombestest@gmail.com
Delivery to the following recipient failed permanently:
lionel.rouyar@mairie-colombes.fr
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the
server for the recipient domain mairie-colombes.fr by
perdita.mairie-colombes.fr. [62.62.139.22].->(adresse exterieure)
The error that the other server returned was:
550 5.1.1 <lionel.rouyar@mairie-colombes.fr>: Recipient address
rejected: User unknown in relay recipient table
----- Original message ----DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20120113;
h=mime-versionate:message-id:subject:from:to:content-type;
bh=wLIjxJ7PJKY+f0FCfLgqBxTYXRv0SQHgQWb8bt9cO/M
b=uUEhg009tWRi8kNnG6psGkGbs1s9eSx9p8b3j+NrZRIF2pCd0IW2MkTDQ72c4eat6U
bY/pnIB36/aMMsiUodzHtPVjaQ//C0KesyTlW3VzpSsZ/+yVr9OZZ0mw/usAWETHQTHE
+1ugn9/kpHfXc+dxZdkxCuYPM8pM4goLQYJ9wZOaaJP7UDGAeiKBJpQJfxrTpc38xMYc
yUO44RwZEYfn/HA9gKL+wz11vvqRv6r4toQyKnk5NoiFSKIukdkXrFL90nnST7fCM9XS
7IQOMJhyFjWUv1m6BoS2gnaMBYtoIc7ebDiDpmYr9Dr8kKLnr6GWW7bgTBWHrVgZSO/s
SeVA==

MIME-Version: 1.0
X-Received: by 10.107.15.13 with SMTP id x13mr23081296ioi.64.1448271973311;
Mon, 23 Nov 2015 01:46:13 -0800 (PST)
Received: by 10.36.192.67 with HTTP; Mon, 23 Nov 2015 01:46:13 -0800 (PST)
Date: Mon, 23 Nov 2015 10:46:13 +0100
Message-ID: <CAMvvPjA_Hydd02ppf3rGnfKaWWcA8cZB++nsVM2L+W6exfuS8g@mail.gmail.com>
Subject: test ext
From: test colombes <colombestest@gmail.com>
To: lionel.rouyar@mairie-colombes.fr
Content-Type: text/plain; charset=UTF-8

A1.2.3 valuation des risques lis l'utilisation d'un service

Un mail infect russi passer toutes les failles de scurit serveur web Zimbra, pour en
envoyer un trojan downloader en pice jointe. Cela en utilisant la mthode du cryptolocker.
Son but, cest de franchir toute les failles de scurit en reprenant le mme nom de domaine
du serveur mail de la maire de colombes dans ladresse du sender. La passerelle anti spam
est incapable de fournir la protection contre le logiciel malveillant car il considre que le mail
a t envoy depuis une boite mail interne. Souvent lutilisateur non averti tlcharge la
pice jointe croyant que ctait une facture.
Voici un exemple dattaque de phishing constat sur un poste utilisateur

Return-Path: mx3114n@mairie-colombes.fr
expl mail envoy sur notre entit ce qui se fait de plus en plus
Received: from phobos.col-dio.mcl (LHLO phobos.col-dio.mcl) (10.19.100.x) by zimbra
phobos.col-dio.mcl with LMTP; Tue, 8 Mar 2016 13:29:37 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
by phobos.col-dio.mcl (Postfix) with ESMTP id A01FBBEE0008
for <klaqueille@mairie-colombes.fr>; Tue, 8 Mar 2016 13:29:37 +0100 (CET)
X-Virus-Scanned: amavisd-new at mairie-colombes.fr
X-Spam-Flag: NO
X-Spam-Score: 0.717
X-Spam-Level:
X-Spam-Status: No, score=0.717 tagged_above=-10 required=6.6
tests=[BAYES_00=-1.9, RCVD_IN_BRBL_LASTEXT=1.449, RCVD_IN_XBL=0.375,
RDNS_NONE=0.793] autolearn=no
Received: from phobos.col-dio.mcl ([127.0.0.1])
by localhost (phobos.col-dio.mcl [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id HvHhNbwGRdpj for <xxxxxxxx@mairie-colombes.fr>;
Tue, 8 Mar 2016 13:29:33 +0100 (CET)
Received: from perdita.mairie-colombes.fr (perdita.mairie-colombes.fr [172.16.0.x]) ici notre passerelle antispam mailinblack
by phobos.col-dio.mcl (Postfix) with ESMTP id 772E1BEB0005
for <xxxxxx@mairie-colombes.fr>; Tue, 8 Mar 2016 13:29:33 +0100 (CET)
Received: from 127.0.0.1 (localhost [127.0.0.1])
by perdita.mairie-colombes.fr (Postfix) with ESMTP id 657B6D5D0CD
for <xxxxxx@mairie-colombes.fr>; Tue, 8 Mar 2016 13:29:33 +0100 (CET)
X-MIB-FROM:mx3114n@mairie-colombes.fr
X-MIBTO:ZczqOJxDDtN6G6uY2svBNuPIPmwBO2XqcoNrPj4dVWOzluGUYU3Xip9G8WuGbRGc
Received: from localhost ([127.0.0.1])
by perdita.mairie-colombes.fr (MIBD SMTP Server 4.0.0000) with SMTP ID 560
for <xxxxxxx@mairie-colombes.fr>;
Tue, 8 Mar 2016 13:29:31 +0100 (CET)
Received: from segment-223-30.sify.net (unknown [223.30.216.67]) ici l'ip du sender

by perdita.mairie-colombes.fr (Postfix) with ESMTP id 8B0C7D6222E

for <xxxxxx@mairie-colombes.fr>; Tue, 8 Mar 2016 13:29:30 +0100 (CET)
Date: Tue, 08 Mar 2016 17:59:29 +0530
To: xxxxxxx@mairie-colombes.fr
From: MX3114N@mairie-colombes.fr <MX3114N@mairie-colombes.fr>
Sender: <MX3114N@mairie-colombes.fr>
Reply-To: <MX3114N@mairie-colombes.fr>
Subject: =?iso-8859-1?B?SW1hZ2UgdHJhbnNm6XLpZSBkZTogMDAzMzE0NzQ5NjUyNiA=?=
=?iso-8859-1?B?ICAgICAg?=
Message-ID: <20160308011100.0D0A.INFO@mairie-colombes.fr>
X-Mailer: Network Scanner System
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="SmTP-MULTIPART-BOUNDARY-7C34F258"
Content-Transfer-Encoding: 7bit
--SmTP-MULTIPART-BOUNDARY-7C34F258
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Repondre a: MX3114N@mairie-colombes.fr <MX3114N@mairie-colombes.fr>
Nom du peripherique: TRD
Modele de peripherique: MX-3114N
Emplacement: Non etabli
Format de fichier: PDF MMR(G4)
Resolution: 204dpi x 98dpi
Le fichier joint est une image numerisee au format PDF.
Utilisez Acrobat(R)Reader(R) ou Adobe(R)Reader(R) d'Adobe Systems Incorpo=
rated pour visualiser le document.
Il est possible de telecharger Adobe(R)Reader(R) de l'adresse suivante:
Adobe, le logo Adobe, Acrobat, le logo Adobe PDF et Reader sont des marqu=
es deposees ou des marques commerciales d'Adobe Systems Incorporated aux =
Etas-Unis et dans les autres pays.
http://www.adobe.com/
--SmTP-MULTIPART-BOUNDARY-7C34F258
Content-Type: application/zip;
name="xxxxxx@mairie-colombes.fr_20160308_011100.pdf.zip" pice jointe infecte
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="kevin.laqueille@mairie-colombes.fr_20160308_011100.pdf.zip"

A3.2.3 Mise jour de la documentation technique d'une solution d'infrastructure

Aprs avoir rcuprer ladresse Ip du sender, je fis une recherche sur internet pour
rechercher la provenance du sender sur le site www.whois.com.
www.whois.com
IP Address
Country Code
Country Name
Region Name
City Name
Coordinates

223.30.216.67
IN
India
Uttar Pradesh
Noida Report Incorrect Location
2834'48"N 7719'48"E

ISP
Connection Type
IDD Code
Postal Code
Local Time
Weather Station

(Latitude: 28.58, Longitude: 77.33)

Sify Limited
Domain Name
DSL
Usage Type
91
Area Code
201301
Elevation
10 Mar, 2016 07:27 PM (UTC +05:30)
Ghaziabad (INXX0051)
View Live Weather

sifycorp.com
Fixed Line ISP
0120
206 meters

Jai rajout cette adresse IP dans la base de donn des adresse spam sur le site
http://www.uceprotect.net.
Voici le site :

Level 1:

Deut

Spammer listings within the last 7 days:

502721 IP's, Level 2: 10972 Allocations, Level 3:
Updated: 10.03.2016 14:52 CET
Realtime Outbreakmonitor

198 ASN's. Last

Spam Database Query

sch

The
Project

SPA

SPECIAL OPTION FOR PROVIDERS:

GET ALERTS WITH EXACT TIMESTAMPS AND IP'S OF YOUR
ABUSERS BY EMAIL
Subscribe our feedback-service here.

M-FAQ

Blac
klist Policy

Help
for ISPs

Mar

THIS INFO IS FOR ENDUSERS. IF YOU ARE PROVIDER PLEASE

TEST ASN INSTEAD
IP-Information

keting Tips

How
to use

Your IP 223.30.216.67 is part of

AS
9583 SIFY-AS-IN Sify Limited
and the Networks 223.30.216.0/21 223.30.216.0/24

Rem

Reverse DNS (PTR) exists and claimes to be: segment-223-30.sify.net

oval Policy

Forward DNS for segment-223-30.sify.net is: NX-Domain !

Cont

WARNING: Forward-DNS does NOT match Reverse-DNS.

DNS is INCONSISTENT.
Please request your Admin or Provider to fix this.

act us

Plea
se donate

Spon

This IP is NOT registered at ips.whitelisted.org. More Information about

whitelisted.org can be found here.

sors

New

UCEPROTECT-Level1

(Single IP)

Lice

Optional express delisting

WARNING!
Listingrisk PROBLEM MUST BE FIXED
FIRST
TO PREVENT NEW LISTINGS

nse

Quer

IP

Status

y Database

Pillo

223.30.216.67

ry

HIGH
DNS
Problem

NOT
LISTED

Not available

Nets
tatus

UCEPROTECT-Level2

Stati
stics

Networks this IP belongs to

Our
Products

Networks

223.30.216.0/21

Optional
express delisting
Level 2
WARNING!
Escalation
PROBLEM
limit
MUST BE
by Level 1 FIXED FIRST
records
TO PREVENT
NEW
LISTINGS

Status

Level 1
listed
spammers
within the
last 7 days

NOT
LISTED

25

Not available

Not available

ALERT
223.30.216.0/24 Extreme
Listingrisk

UCEPROTECT-Level3
Reputation of ASN 9583 | SIFY-AS-IN Sify Limited

AS

Status

Provider
has
total IP's

9583

ATTENTION
Increased
Listingrisk

490240

Level 1 listed
spammers
within the
last 7 days

256
(0.052
%)

Optional express
delisting
Level 3
WARNING!
Escalation
PROBLEM
limit
MUST BE
by Level 1 FIXED FIRST
records
TO PREVENT
NEW
LISTINGS
980

Not available

A5.2.3 Reprage des complments de formation ou d'auto-formation utiles l'acquisition

de nouvelles comptences
Voici la rfrence des sites consults afin de parfaire mes connaissances.
http://impimg.free.fr/zimbra/tuto.html
http://www.vulgarisation-informatique.com/
http://www.tutos-informatique.com/
http://admicro.eu/