Aller au contenu


arsenal contre les mails phishing ?


  • Veuillez vous connecter pour répondre
10 réponses à ce sujet

#1 EdG973

EdG973

    Membre avancé

  • Membres
  • 73 messages

Posté 03 février 2020 - 15:42

Bonjour,

Mon installation zimbra est une opensource 8.8.15

Les utilisateurs reçoivent régulièrement des tentatives de phishing (1 fois par semaine).
Comment faire pour lutter contre ça ?

Les mails phishing viennent toujours d'un domaine non blacklisté (barracuda etc.), et avec une adresse email légitime (le mta d'origine répond que l'adresse mail existe)...

Cordialement,

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 652 messages
  • LocalisationPlanète Terre

Posté 04 février 2020 - 09:41

Bonjour,

un peu de lecture  : https://wiki.zimbra....nti-spam_system
Les blacklists et DCC font l'affaire en général. Et si l'adresse d'origine est bonne c'est que le compte
derrière a été usurpé.


  Cordialement,
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#3 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 563 messages
  • LocalisationRouen, France

Posté 04 février 2020 - 10:15

Sinon il existe des solutions payante qui permettent de répondre au besoin :)
___
Senior Solution Advisor EMEA chez Vade Secure

#4 EdG973

EdG973

    Membre avancé

  • Membres
  • 73 messages

Posté 04 février 2020 - 14:00

Bonjour,

Effectivement, j'ai déjà mis en place les mesures proposées dans le wiki zimbra https://wiki.zimbra....nti-spam_system
ça fonctionne, mais ça n'est pas suffisant... Il y a des mails de phishing qui parviennent à passer (le domaine est ok, l'adresse email aussi, et amavis spamassassin ne s'active pas sur le contenu).

Quels sont les solutions payantes ?

#5 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 652 messages
  • LocalisationPlanète Terre

Posté 04 février 2020 - 14:14

en fait c'est quoi le contenu ? il est possible d'avoir un source complet ?
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#6 EdG973

EdG973

    Membre avancé

  • Membres
  • 73 messages

Posté 04 février 2020 - 15:53

Voici un exemple :

Sujet : Urgent!, Your mailbox is full
Date : 3 Feb 2020 10:06:18 +0000 De : administrator@Pasteur-cayenne.fr <administrator_Pasteur-cayenne.fr@komaskoso.live> Répondre à : info@komaskoso.live Pour : xxx@pasteur-cayenne.fr

Your maixdspovlbox storage is full

Hi XX,
Your mailbo x 500MB space is exhausted and you may no longer recieve emails Clxhddlick on https://www.Pasteur-...teur-cayenne.fr to extend to additional 500MB space.

Administrator.

Le lien est masqué, il s'agit en fait de https://komkomina.te...teur-cayenne.fr

#7 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 652 messages
  • LocalisationPlanète Terre

Posté 04 février 2020 - 16:46

c'est pas un source comme je l'entendais ;)
Clc droit sur le mail dans la colonne qui va vient, montrer l'original.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#8 EdG973

EdG973

    Membre avancé

  • Membres
  • 73 messages

Posté 04 février 2020 - 18:57

Return-Path: <info@komaskoso.live>
Received: from smtp.pasteur-cayenne.fr (LHLO smtp.pasteur-cayenne.fr)
(x.x.x.x) by smtp.pasteur-cayenne.fr with LMTP; Mon, 3 Feb 2020 07:07:15
-0300 (GFT)
Received: from localhost (localhost [127.0.0.1])
by smtp.pasteur-cayenne.fr (Postfix) with ESMTP id D856AA9DC37
for <xxx@pasteur-cayenne.fr>; Mon,  3 Feb 2020 07:07:15 -0300 (-03)
X-Virus-Scanned: amavisd-new at pasteur-cayenne.fr
X-Spam-Flag: NO
X-Spam-Score: 2.548
X-Spam-Level: **
X-Spam-Status: No, score=2.548 required=6.6 tests=[BAYES_20=-0.001,
DKIMWL_BL=1.772, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
DMARC_PASS_REJECT=-1.2, FROM_FMBLA_NEWDOM=1.498, HTML_MESSAGE=0.001,
HTML_MIME_NO_HTML_TAG=0.377, HTTPS_HTTP_MISMATCH=0.1,
MIME_HTML_ONLY=0.1, SPF_HELO_NONE=0.001, SPF_PASS=-0.001,
URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Authentication-Results: smtp.pasteur-cayenne.fr (amavisd-new);
dkim=pass (1024-bit key) header.d=komaskoso.live
Received: from smtp.pasteur-cayenne.fr ([127.0.0.1])
by localhost (smtp.pasteur-cayenne.fr [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PjtTxVWl6qtA for <xxx@pasteur-cayenne.fr>;
Mon,  3 Feb 2020 07:07:14 -0300 (-03)
Received: from ko.komaskoso.live (ko.komaskoso.live [45.95.171.4])
by smtp.pasteur-cayenne.fr (Postfix) with ESMTPS id A0F0DA9DC38
for <xxx@pasteur-cayenne.fr>; Mon,  3 Feb 2020 07:07:14 -0300 (-03)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=komaskoso.live; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type
:Subject:Date:Reply-To:To:From:MIME-Version:Sender:Cc:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=r3FDvzez0o3r/lp9k+RX6tcUp43AMpPuj6PUCQXiWqQ=; b=anxa+VCGtGNcIaV4SqgpkhROyP
A0rz3tRPpulBIiDCZ9/VdKzDMOhSiUmmqf5QV8me2stRcsk13fngESstnjNnhlYnc9NEjoRsAMc/S
QaYzcsTA0r7I4QpiWctLr+17JlZkN5rc51GgjCqscijSMfnH6PkOCfiqmtrWBQuUe0IA=;
Received: from [155.94.160.37] (helo=WIN-KP3NFSDUTC3)
by ko.komaskoso.live with esmtpa (Exim 4.92.3)
(envelope-from <info@komaskoso.live>)
id 1iyYcX-0001w3-Gv
for xxx@pasteur-cayenne.fr; Mon, 03 Feb 2020 05:06:21 -0500
MIME-Version: 1.0
From: "administrator@Pasteur-cayenne.fr"
<administrator_Pasteur-cayenne.fr@komaskoso.live>
To: xxx@pasteur-cayenne.fr
Reply-To: info@komaskoso.live
Date: 3 Feb 2020 10:06:18 +0000
Subject: Urgent!, Your mailbox is full
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64
Message-Id: <E1iyYcX-0001w3-Gv@ko.komaskoso.live>
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#9 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 410 messages
  • LocalisationBeaucaire - Gard

Posté 05 février 2020 - 10:48

Dans ce cas, c'est visible dès le "From" que le mail est bidon.
Si les utilisateurs sont sur le webmail, dans la "bulle" qui affiche l'expéditeur, on voit bien que celui-ci n'est pas normal.

On peut envisager des règles spamassassin de ce genre : https://serverfault....g/871122#871122

#10 EdG973

EdG973

    Membre avancé

  • Membres
  • 73 messages

Posté 05 février 2020 - 13:04

Bonjour,

Oui c'est clairement visible, sauf pour mes chers utilisateurs qui ne vont pas vérifier d'eux même les adresses du header dans le webmail.

Avez vous testé la règle proposée sur serverfault ? Je n'ai jamais rajouté une règle pour spamassassin, dans l'exemple ci-dessous example.org est à remplacer par mon domaine ?
header __DW_NONFRAUD_HEADER  From:addr =~ /\bexample\.org$/i
body   __DW_FRAUD_BODY    /"[^"]{0,99}\@example\.org\b[^"]{0,99}"(?!.{0,99}\@example\.org\b)/i
meta DW_COMPANY_FRAUD (!__DW_NONFRAUD_HEADER && __DW_FRAUD_BODY)
describe DW_COMPANY_FRAUD Fake Sender - Phishing Attempt
score DW_COMPANY_FRAUD 3

A la fin, il y a un commentaire :
"unfortunately i had to disable the rule again, as forwarded messages are a false positive. So i need to check only the FIRST occurrence of the From header in the Body and check that. (solution not yet found)"

Est-ce que cette règle ne s'activerait pas sur tout les mails "forwardés" ?

#11 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 410 messages
  • LocalisationBeaucaire - Gard

Posté 06 février 2020 - 15:26

Il n'y a pas besoin d'aller dans le header, ça se voit dans la "bulle" qui contient l'adresse mail de l'expéditeur, dans la zone de visualisation du mail.




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)