Discussion :

[kmdkaci]

Bonjour à tous,
J'ai une classe basé sur JavaMail qui permet d'envoyer de mail sans authentification... Je l'ai testé sur mon serveur ça marche. Du coup, je me demande si je pourrai faire la même chose pour la lecture de mail... C'est à dire se connecter et lire la boite de réception sans s'authentifier. Car là, un problème de sécurité se pose.

Merci à tous

[adiGuba]

Salut,

Car là, un problème de sécurité se pose.

Tu t'es donné la réponse

a++

[kmdkaci]

Bonjour,
Mais envoyer un mail sans authentification, est aussi un problème de sécurité. Imagine que j'envoie des mails à la place de quelqu'un d'autre. Je reformule ma question comme suit : Si j'arrive à envoyer un mail ans authentifier, est ce que je pourrai consulter un mail sans m'authentifier.

[adiGuba]

Mais envoyer un mail sans authentification, est aussi un problème de sécurité.

En quelque sorte oui... c'est surtout source de nuisance (le spam).
C'est pourquoi l'accès aux serveurs SMTP est généralement limité (ex: les FAI bloque les accès aux serveurs SMTP en dehors de leurs réseaux) , même si certains commencent à utiliser des serveurs avec authentifications obligatoire (GMail par exemple).

Les protocoles POP/SMTP reproduisent les mêmes mécanismes que le courrier "réel" :

• Tu n'as pas besoin de "t'authentifier" pour poster une lettre. N'importe quel bureau de poste fait l'affaire.
• Pour récupérer ton courrier par contre c'est autre chose : tu dois t'identifier (soit en recevant le courrier à la maison, soit en présentant une pièce d'identité dans un bureau de poste).

Imagine que j'envoie des mails à la place de quelqu'un d'autre.

Imagine que je t'envoies une lettre en précisant l'adresse de l'expéditeur de quelqu'un d'autre...

Mais c'est également la raison pour laquelle les serveurs SMTP sont limité à un réseau, et diffuse l'adresse IP source dans les headers du mail (il est possible de remonter jusqu'à la source).

Je reformule ma question comme suit : Si j'arrive à envoyer un mail ans authentifier, est ce que je pourrai consulter un mail sans m'authentifier.

Non... à moins d'utiliser un serveur POP pas du tout sécurisé et sans authentification...



a++

PS : Quel intérêt de tout cela ?

[kmdkaci]

Merci pour tes réponses clairs et précises.
Néanmoins, je réponds à ton PS.
En effet, ça pose un problème. Je me suis rendu compte de cela il y a quelques jours. J'ai développé une classe qui peut envoyer de mails avec SMTP, sans authentifier, pour tester le réseau. Du coup, j'ai réussi à envoyer des mails avec un compte qui n'est pas le mien. En s'amusant avec les collègues, j'ai réussi par exemple à dire à une personne que l'autre le demande de venir..etc. Au delà de ces "rigolades" ça pose un problème sérieux. Donc, on doit absolument changer les modes de connexions.

[adiGuba]

Donc, on doit absolument changer les modes de connexions.

Si tu as besoin d'être sûr de l'expéditeur du message, il faudrait mettre en place un système de signature numérique...

a++

[kmdkaci]

J'ai trouvé ce bout de code qui me permet de faire une connexion avec authentification.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Auth aut=new Auth();
prop.put("pop...", SMTPHOST);
prop.put("mail.pop3.host","pop.domaine.fr");
prop.put("mail.pop3.auth","true");
prop.put("mail.pop3.user", "monuser@Domaine.com");
prop.put("mail.pop3.port", nPort);
prop.put("mail.pop3.socketFactory.fallback", "false");
.....

Je n'arrive pas à me connecter sans Authentification, en modifiant ce code.

Quelqu'un a une idée ????

[adiGuba]

Quelqu'un a une idée ????

Euh... Tu ne peux pas !!!

a++

[kmdkaci]

adiGuba a dit :
Non... à moins d'utiliser un serveur POP pas du tout sécurisé et sans authentification...

C'est ec que je voulais faire... Me connecter sans authentification en utilisant le POP

[adiGuba]

C'est ec que je voulais faire... Me connecter sans authentification en utilisant le POP

Le smiley à la fin de la phrase indique que cela craint vraiment et que ce serait une grosse faille de sécurité...
Ce que je voulais dire par là c'est qu'il serait totalement aberrant d'accéder à un compte POP sans authentification.

a++

[kmdkaci]

Oui, c'est clair, c'est aberrant de faire ça dans la réalité. D'ailleurs c'était ma première préoccupation !
Mais je t'avoue que je voulais faire ça, pour 2 raisons :
1 - Comme tout développeur...ne pas rester sur sa faim.
2 - Démontrer que cette faille existe et dangereuse.

C'est pour ça que je voulais réaliser cette classe.

Merci pour tes idées.

[Marco46]

Sincèrement, vu les questions que tu te poses tu devrais envisager sérieusement la lecture des RFC à ce sujet ...

[millie]

Sincèrement, vu les questions que tu te poses tu devrais envisager sérieusement la lecture des RFC à ce sujet ...

+1

Du coup, j'ai réussi à envoyer des mails avec un compte qui n'est pas le mien. En s'amusant avec les collègues, j'ai réussi par exemple à dire à une personne que l'autre le demande de venir..etc. Au delà de ces "rigolades" ça pose un problème sérieux. Donc, on doit absolument changer les modes de connexions.

En fait, dans le protocole SMTP, il y a un champs : MAIL FROM: qui peut être rempli n'importe comment (ce que pas mal de spammeur utilise) et c'est ce qui est affiché par défaut dans la partie : From.
Mais lorsque tu recois le mail, si t'as un vrai accès au serveur (imap par exemple), tu peux voir le vrai expéditeur et voir qu'il y a eu un abus (il est possible de voir toute l'entête du message). Par contre, les webmail ne permettent en général pas de faire cela...

Cela permet aussi des trucs comme gmail d'envoyer des mails à partir d'une autre adresse (en fait, il n'y a que le champs MAIL FROM qui est modifié, mais si tu regardes toute l'entête, on peut voir le mail gmail).

[adiGuba]

Cela permet aussi des trucs comme gmail d'envoyer des mails à partir d'une autre adresse (en fait, il n'y a que le champs MAIL FROM qui est modifié, mais si tu regardes toute l'entête, on peut voir le mail gmail).

C'est une spécificité de GMail. Le vrai email de l'expéditeur n'est pas forcément présent puisqu'il doit être renseigné par le client. Google a simplement rajouté une surcouche de sécurité sur son SMTP (authentification, validation des emails avant de pouvoir les utiliser comme adresse d'expéditeur, etc.).


a++

[millie]

C'est une spécificité de GMail. Le vrai email de l'expéditeur n'est pas forcément présent puisqu'il doit être renseigné par le client. Google a simplement rajouté une surcouche de sécurité sur son SMTP (authentification, validation des emails avant de pouvoir les utiliser comme adresse d'expéditeur, etc.).


a++

En fait pas tout à fait.

Si je m'envois un mail de gmail en utilisant mon adresse dvp, sur Lotus notes (désolé j'ai pas autre chose ici), en regardant les détails, je peux voir mon mail gmail.

Mais dans le champs From, je vois bien mon adresse dvp.

Mais sinon, gmail empeche de faire n'importe quoi en forcant la vérification du nouveau mail lors de l'enregistrement du mail.

Mais en fait, je sais pas si on parle de la même chose

[adiGuba]

Oui je suis d'accord avec toi ! Mais c'est une particularité de GMail (via l'interface web ou via le SMTP qui nécessite l'authentification).


Les SMTP standard (comme ceux des FAI ou interne aux entreprises) ne disposent généralement pas de ces sécurités supplémentaires puisque le SMTP n'est pas authentifié. La véritable adresse email ne peut donc pas être indiqué...

En clair en utilisant le SMTP de ton FAI pour envoyer un email sous un autre nom, il y a de forte chance que ta véritable adresse email ne soit pas présente dans les headers (mais ce n'est pas pour autant qu'on ne pourra pas remonter jusqu'à toi )

a++

[millie]

En clair en utilisant le SMTP de ton FAI pour envoyer un email sous un autre nom, il y a de forte chance que ta véritable adresse email ne soit pas présente dans les headers (mais ce n'est pas pour autant qu'on ne pourra pas remonter jusqu'à toi )

En fait, j'ai fait de la confondure. Je pensais à 2 choses en même temps ^^

J'avais un accès à un serveur smtp ou je me connectais dessus via un socket et en tapant la requête SMTP à la main.
On pouvait voir un truc qui m'identifiait (pas rapport à mon compte unix), relatif au fait que j'utilisais mon compte quand j'attaquais le serveur smtp (attaquer au sens, aller dessus via un socket)

Je sais pas pourquoi j'ai pensé au mail en fait...

[adiGuba]

Ok on est d'accord



Attention toutefois aux petits malins qui voudrait s'amuser avec cela : l'envoi d'un message avec une adresse ne vous appartenant pas correspond à de l'usurpation d'identité, et sauf erreur c'est assez sévèrement puni...

a++