> Il prennent en général l'adresse "Reply-To:" qui est encore plus facile
> à falsifier que l'adresse "From:", car, en fait, n'importe qui peut le
> faire en paramétrant son mailer.
> C'est vrai que ça fait plus de mal que de bien ces réponses
> automatiques, les alertes devraient quand-même vérifier la validité de
> l'envoyeur (et non pas le Reply-To) avant d'envoyer le message, en
> faisant une correspondance d'IP par exemple ; bien qu'à mon avis, ça ne
> donnerait rien de probant. Les ISP devraient plutôt faire gaffe aux
> messages qu'il reçoivent de la part de leur clients, en filtrant les
> messages au début de la chaine SMTP quand on envoie le message, plutôt
> qu'à la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon
> avis...
Je ne pense pas que ça soit une bonne idée (dérapage possible et douteux
sur le principe). Bruno soulevait un point important dans la gestion des
notifications (qui m'a d'ailleurs ammené à reconfigurer l'exiscan installé
au lycée). Par ailleurs, l'idée de trifouiller un peu le message pour
envoyer une notification à un responsable du réseau contenant
effectivement la machine source est correcte: Comme je lui ai dit en
privé, j'ai vérifié sur pas mal de messages avec virus, il y a rarement
plus d'un champ "Received: from ...". Dans exiscan, les lignes à modifier
seraient...
# grab the header-from
if ($_ =~ /From\: /i) {
my $tmp = $_; chop($tmp);
($dummy,$headerfrom) = split /From\: /i, $tmp, 2;
};
...
(il faut cependant conserver le test du bouclage fondé sur le champ from).
Ca n'a pas l'air démoniaque comme travail, si j'ai qques heures...
F.B
