Si un nom de serveur « mx.domaine.tld » est toujours associé à une IP, une adresse IP peut être inversement reliée à un nom de serveur. Cette méthode, appelée « reverse DNS », permet de retrouver le reverse DNS d’une adresse IP et de procéder à un « ping -a <IP> », requête DNS de type PTR sur l’adresse IP inversée étudiée, dans la zone « .in-addr.arpa. ».
Cette méthode engendre plusieurs niveaux d’analyses. Tout d’abord, un reverse DNS peut représenter une contrainte. En effet, les serveurs de messagerie « AOL » rejettent systématiquement les emails qui proviennent d’une adresse IP sans reverse DNS. Au final, de nombreux faux-positifs sont produits, ce qui accroît l’importance de ce type de configuration aux yeux des Postmasters. Et en vérifiant la corrélation (la bijectivité) entre l’adresse IP publique du serveur source et son nom Fully Qualified Domain Name (FQDN), on parvient à effectuer une analyse plus stricte. Enfin, si l’on veut procéder à une analyse plus fine, la correspondance entre le nom FQDN du serveur de mail, passé en argument du champ HELO lors de la communication SMTP, et le nom FQDN du reverse DNS de l’IP émettrice garantit la « qualité » du serveur. Au contraire, aucune implication n’est à retenir si ces données ne sont pas similaires. En effet, la correspondance n’est pas toujours possible car les serveurs de mails en load-balancing possèdent tous des appellations différentes sous une IP publique semblable.
Mis à part l’aspect technique de cette information, un enregistrement DNS inversé peut affecter aisément une IP à un propriétaire par via le nom de domaine ce qui facilite la corrélation entre un émetteuret une entité juridique. Définie par l’Internet Engineering Task Force (IETF), la Requests For Comments (RFC) 821, datant d’août 1982, est à l’origine du protocole SMTP. Par la suite étendu par la RFC 1869 de novembre 1995 pour l’Extended SMTP, le protocole a ensuite été amélioré par la RFC 2821 en 2001. Le principe fondamental « HELO, MAIL FROM, RCPT TO, DATA » n’a bien entendu pas été modifié depuis 1982 afin de ne pas compromettre leurs caractères compatibles.
Les spammeurs omettent régulièrement la règle qui stipule de donner le nom du serveur qui envoie le courriel (FQDN). De même, pour les postes utilisateurs infectés de virus qui envoient des emails et qui ne sont pas précisément qualifiés (FQDN) (cf. notre article : Serveur de messagerie FQDN ou poste Zombi). Cet exemple montre que la majorité des règles déterminées par ces RFC sont suivies par l’ensemble des éditeurs de serveur de messagerie. Cependant, des particularités, notamment sur le respect des paramètres de la commande HELO), ne sont pas à exclure. Mais, par contre, de très nombreux spammeurs négligent le respect de ces RFC.
-
Suivre
Abonné∙e
Vous disposez déjà dʼun compte WordPress ? Connectez-vous maintenant.
Spam, anti-spam, mta, email, fqdn 
Votre commentaire