Nokia the man in the middle

Configurons une boite mail sur un Nokia asha 302

"Autre" photo3.jpg

e-mail + mot de passe (m'étonnerait qu'il trouve la configuration tout seul) photo2.jpg

le serveur imap photo1.jpg

photo0.jpg

Le serveur SMTP. ça se corse un peu car même si l'interface donne l'impression qu'on peut choisir le port, en réalité on est limité au port 25 et au 465 [1]. Bref, pour l'essai, j'ai temporairement réactivé le port 465 SSL dans la conf de postfix, bien que ce soit déconseillé à présent.

photo00.jpg

j'envoie un mail à gnieark@jeannedhack.org (depuis gnieark@passerieu.fr)... Il a l'air d’être passé:

photo.jpg

Je regarde les logs sur le serveur mail.passerieu.fr (qui doit envoyer le message)... Rien, pas de trace de mon mail.

5 minutes plus tard, sur le serveur mail.jeannedhack.org qui doit recevoir le message (Oui, je suis le postmaster de plusieurs serveurs): Surprise, le mail a transité par le smtp de nokia!!!

Pourtant je l'avais bien configuré pour qu'il passe en SSL par le serveur mail.passerieu.fr (Si SSL c'est pour qu'aucun tiers ne puisse le lire)

Je vous met le log en entier:

Sep 10 15:31:44 ks3308646 postfix/postscreen[12839]: CONNECT from [147.243.1.48]:46190 to [178.32.221.201]:25
Sep 10 15:31:50 ks3308646 postfix/postscreen[12839]: PASS NEW [147.243.1.48]:46190
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: connect from smtp.nokia.com[147.243.1.48]
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: Anonymous TLS connection established from smtp.nokia.com[147.243.1.48]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: 8650A5FF32: client=smtp.nokia.com[147.243.1.48]
Sep 10 15:31:51 ks3308646 postfix/cleanup[12856]: 8650A5FF32: message-id=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>
Sep 10 15:31:51 ks3308646 postfix/qmgr[30869]: 8650A5FF32: from=<gnieark@passerieu.fr>, size=1561, nrcpt=1 (queue active)
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) ESMTP:[127.0.0.1]:10024 /var/amavis/tmp/amavis-20130910T153151-04704-ijX0wTbA: <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org> SIZE=1561 Received: from mail.jeannedhack.org ([127.0.0.1]) by localhost (mail.jeannedhack.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <gnieark@jeannedhack.org>; Tue, 10 Sep 2013 15:31:51 +0200 (CEST)
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) Checking: 5zwSwACWfzqP [147.243.1.48] <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) Open relay? Nonlocal recips but not originating: gnieark@jeannedhack.org
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) p001 1 Content-Type: text/plain, size: 51 B, name: 
Sep 10 15:31:55 ks3308646 postfix/smtpd[12844]: disconnect from smtp.nokia.com[147.243.1.48]
Sep 10 15:31:57 ks3308646 amavis[4704]: (04704-01) SA info: pyzor: [12862] error: TERMINATED, signal 15 (000f)
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) DSPAM result: Innocent, score=-0.390, sig=522f1f4e165781461057826
Sep 10 15:31:58 ks3308646 postfix/smtpd[12865]: connect from localhost.localdomain[127.0.0.1]
Sep 10 15:31:58 ks3308646 postfix/smtpd[12865]: 6056B602AB: client=localhost.localdomain[127.0.0.1]
Sep 10 15:31:58 ks3308646 postfix/cleanup[12856]: 6056B602AB: message-id=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 6056B602AB: from=<gnieark@passerieu.fr>, size=2031, nrcpt=1 (queue active)
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) FWD from <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6056B602AB
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) Passed CLEAN {RelayedOpenRelay}, [147.243.1.48]:46190 [66.54.67.182] <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>, Queue-ID: 8650A5FF32, Message-ID: <201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>, mail_id: 5zwSwACWfzqP, Hits: -2.69, size: 1561, pt: 37, queued_as: 6056B602AB, 6840 ms
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) TIMING-SA total 6199 ms - parse: 4 (0.1%), extract_message_metadata: 12 (0.2%), get_uri_detail_list: 1.14 (0.0%), tests_pri_-1000: 17 (0.3%), tests_pri_-950: 4 (0.1%), tests_pri_-900: 4 (0.1%), tests_pri_-400: 4 (0.1%), tests_pri_0: 5899 (95.2%), check_dkim_adsp: 27 (0.4%), check_spf: 326 (5.3%), poll_dns_idle: 296 (4.8%), check_razor2: 1458 (23.5%), check_pyzor: 4004 (64.6%), tests_pri_500: 7 (0.1%), learn: 175 (2.8%), get_report: 2 (0.0%)
Sep 10 15:31:58 ks3308646 postfix/smtp[12857]: 8650A5FF32: to=<gnieark@jeannedhack.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.2, delays=0.25/0.02/0.02/6.9, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6056B602AB)
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 8650A5FF32: removed
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) size: 1561, TIMING [total 6952 ms] - sql-prepare: 6 (0%)0, SMTP greeting: 5 (0%)0, SMTP EHLO: 2 (0%)0, SMTP pre-MAIL: 2 (0%)0, mkdir tempdir: 2 (0%)0, create email.txt: 0 (0%)0, sql-connect: 8 (0%)0, lookup_sql: 2 (0%)0, SMTP pre-DATA-flush: 3 (0%)0, SMTP DATA: 20 (0%)1, check_init: 1 (0%)1, digest_hdr: 4 (0%)1, digest_body_dkim: 1 (0%)1, gen_mail_id: 104 (2%)2, mkdir parts: 3 (0%)2, mime_decode: 17 (0%)3, get-file-type1: 26 (0%)3, parts_decode: 0 (0%)3, check_header: 2 (0%)3, AV-scan-1: 42 (1%)4, spam-wb-list: 2 (0%)4, SA msg read: 1 (0%)4, SA parse: 8 (0%)4, SA check: 6177 (89%)93, DSPAM: 217 (3%)96, decide_mail_destiny: 3 (0%)96, notif-quar: 1 (0%)96, fwd-connect: 36 (1%)96, fwd-mail-pip: 9 (0%)96, fwd-rcpt-pip: 1 (0%)96, fwd-data-chkpnt: 0 (0%)96, write-header: 2 (0%)96, fwd-data-contents: 0 (0%)96, fwd-end-chkpnt: 30 (0%)97, prepare-dsn: 2 (0%)97, main_log_entry: 103 (1%)98, sql-update: 101 (1%)100, update_snmp: 5 (0%)100, SMTP pre-response: 1 (0%...
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) ...)100, SMTP response: 0 (0%)100, unlink-2-files: 1 (0%)100, rundown: 1 (0%)100
Sep 10 15:31:58 ks3308646 dovecot: lda(gnieark@jeannedhack.org): copy from stdin: box=INBOX, uid=12051, msgid=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>, size=2067
Sep 10 15:31:58 ks3308646 dovecot: lda(gnieark@jeannedhack.org): sieve: msgid=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>: stored mail into mailbox 'INBOX'
Sep 10 15:31:58 ks3308646 postfix/pipe[12866]: 6056B602AB: to=<gnieark@jeannedhack.org>, relay=dovecot, delay=0.28, delays=0.04/0.01/0/0.23, dsn=2.0.0, status=sent (delivered via dovecot service)
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 6056B602AB: removed

Vous remarquerez au passage qu'amavis fait la gueule, le serveur de nokia n'est pas sensé envoyer du mail pour @passerieu.fr

Pour info, le mail reçu avec ses entêtes complets: mail-source.txt

Ce problème (le transit des mails via le smtp de nokia) je l'ai constaté d'abord dans le cadre de mon travail. Je paramétrais un téléphone de remplacement pour un médecin. Au moment de tester le mail, notre serveur a rejeté le smtp de Nokia (bah oui, il est censé être le seul à pouvoir envoyer du mail au nom de ...notre-domaine.fr). Bien qu'on interdise aux médecins d'envoyer des e-mails contenant des informations médicales en dehors du LAN, j'ai préféré ne pas lui fournir ce téléphone. Il y a un man in the middle non sollicité[2].

Les hypothèses qu'on peut émettre:

  • Un bug dans le téléphone
  • Pire qu'un bug, ce téléphone n'implémente pas toutes les fonctions basiques d'un mailer, et c'est une façon détournée de résoudre le problème.
  • C'est volontaire pour que la NSA, (ou juste Nokia) puisse étudier les mails que vous envoyez.

Notes

[1] référence manquante, je sais, je la retrouve plus

[2] Blackberry au moins, son système push mail qui passait via le réseau RIM, on en était informés.

gnieark mardi, septembre 10 2013, 18:46 Decouvertes, tips and shits sur le web
Page top