Delivery Status Notification (Failure) sur Gmail – Compromission ?

💬 0 commentaires
Web

Récemment j’ai reçu un mail intitulé Delivery Status Notification (Failure), ‘prétendument’ envoyé par Google.

Au premier abord ça fait peur: mon adresse apparaît comme expéditeur, alors que je n’ai rien envoyé. Est-t-on dans un cas classique d’usurpation d’adresse (spoofing), de spam, ou de compromission de compte ?

Voici comment comprendre ce qui s’est passé, comment repérer qu’un message a été envoyé depuis un autre serveur, et la démarche simple pour vérifier si votre boîte Gmail est réellement compromise.

– Un spammeur peut écrire n’importe quelle adresse dans le champ From: — c’est ce qu’on appelle du spoofing.

– Si le destinataire (ici Google) renvoie une erreur, le bounce (notification d’échec) est envoyé à l’adresse indiquée dans From: — donc vous pouvez recevoir un mail d’erreur même si vous n’avez rien envoyé.

– Il faut vérifier quelques éléments techniques dans les en-têtes du message et contrôler l’activité de votre compte Gmail pour savoir si vous êtes compromis ou non.

Comment savoir si le mail a été envoyé depuis un autre serveur (lecture d’en-têtes)

J’ai ouvert le mail, et Google m’indique que le mail envoyé vers monuser@google.com n’est pas arrivé ! Bizarre, car quand vous avez un compte Gmail, les adresses sont au format @gmail.com

Ouvrez l’e-mail et cherchez la partie « afficher l’original » / « show original ».

Vous allez y voir une suite de lignes commençant par Received:, des champs Return-Path, Message-ID, et des résultats d’authentification (SPF, DKIM, DMARC).

Ce qu’il faut repérer

– La première ligne Received: (en bas des en-têtes) montre souvent le serveur qui a initié l’envoi. Si ce serveur n’est pas un serveur Google (ou ton fournisseur de messagerie), c’est suspect.

Return-Path vs From: : ces deux champs peuvent être différents. Le From: peut être modifié… c’est là le problème. Le Return-Path (ou le Received initial) indique souvent l’origine réelle.

– Résultats d’authentification — cherche des lignes du type Authentication-Results: ou Received-SPF / DKIM-Signature.

Exemple :

–> dkim=pass signifie qu’un serveur autorisé a signé le message avec la clé DKIM du domaine indiqué.
–> spf=softfail ou spf=fail signifie que l’IP d’envoi n’est pas autorisée par la politique SPF du domaine de l’expéditeur.
–> dmarc=pass / dmarc=quarantine donne aussi une idée si le domaine revendique une politique stricte.

  1. Adresse IP d’origine : repère l’IP dans la première ligne Received (ex. from 170.9.246.79). Si l’IP correspond à un hébergeur étranger ou à un service inconnu, cela confirme qu’un autre serveur a envoyé le message.

Extrait type (exemple du mail que j’ai reçu)

Received: from boston.vaira.co.uk ([170.9.246.79])
        by mx.google.com with ESMTPS id ...
Return-Path: <xxxxxxxxxxxx@gmail.com> --> Ici je voyais mon mail
From: "Moi" <xxxxxxxxxxxx@gmail.com> --> Et ici aussi !
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning xxxxxxxxxxxx@gmail.com does not designate 170.9.246.79 as permitted sender);
       dkim=pass header.i=@googlemail.com;
       dmarc=pass header.from=googlemail.com;

Dans cet exemple on voit bien que l’envoi a été initié depuis boston.vaira.co.uk (IP 170.9.246.79) et que SPF n’autorise pas cette IP à envoyer pour le domaine indiqué → c’est une usurpation.

J’ai vérifié si l’IP était déjà blacklistée comme spammeur, et non  : https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a170.9.246.79&run=toolpage

Pourquoi Google a renvoyé la notification d’échec

Le spammeur a envoyé un message en mettant mon adresse dans From:

Le message ciblait une adresse inexistante (@google.com dans mon cas). Le serveur destinataire (Google) a tenté de livrer, a échoué, et a renvoyé la notification d’échec (bounce) à l’adresse figurant dans From:. C’est pour ça que le bounce provient de Google alors que l’e-mail initial a été envoyé depuis un autre serveur.

Vérifier si votre compte Gmail est compromis : checklist pas à pas

1. Vérifier l’activité récente (connexions)

  1. Ouvrez Gmail sur un ordinateur (mail.google.com).
  2. Descendez en bas à droite ; cliquez sur Détails (à côté de “Dernière activité sur le compte”).
  3. Regardez la liste : type d’accès (Web, mobile, IMAP), adresse IP, lieu, heure.
  4. Si vous reconnaissez toutes les entrées (tes appareils et heures habituelles) : bon signe. Si vous voyez des IP/pays/appareils inconnus : attention.

Ici tout semble bon, ce n’est que moi !

2. Regarder le dossier “Messages envoyés”

Si un pirate a accédé à votre compte il y a souvent des mails envoyés depuis ta boîte. Si vous ne trouvez rien d’anormal, c’est très probablement de l’usurpation externe et pas un accès réel.

3. Vérifier filtres et transferts

  1. Paramètres → Voir tous les paramètres → Filtres et adresses bloquées : vérifiez qu’aucun filtre n’extrait/efface/redirige tes messages.
  2. Paramètres → Transfert et POP/IMAP : assurez-vous qu’aucun transfert automatique vers une adresse inconnue n’est activé.

4. Vérifier les applications tierces

Dans Compte Google → Sécurité → Applications tierces ayant accès au compte, vérifiez les apps connectées. Révoquez l’accès aux services inconnus.

5. Conclusion

C’est donc possible d’envoyer un mail “avec votre adresse” dans le champ From… et des ‘victimes’ peuvent donc recevoir ces mails, prétendument envoyés par vous !

Le protocole e-mail (SMTP) a été inventé dans les années 1980, à une époque où la sécurité n’était pas une priorité.

Ce que le pirate peut faire :
– Envoyer des spams ou des messages de phishing en prétendant venir de votre adresse.
– Faire croire à d’autres personnes (ou à des serveurs) que vous êtes l’expéditeur.
– Dans certains cas, ça peut vous valoir des retours d’e-mails (les fameux Delivery failure) ou des plaintes de spam injustifiées.

S’il se contente de forger le champ From, il n’a pas accès à :
– votre compte Gmail
– vos messages envoyés/réceptionnés
– vos contacts
– ni aucune donnée personnelle.

Autrement dit : ce n’est pas un piratage du compte, juste une usurpation d’identité apparente. Le mail va donc dans la corbeille, et on peut enfin souffler !

Je pense simplement que les spammers ont trouvé une parade… Ils savent que Google va jeter tous leurs mails à la poubelle.

Du coup, il tente de m’envoyer un mail, avec mon mail en expéditeur… et ça fonctionne, car Google m’indique qu’il y a un problème, et je vois bien le message :

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *