Aidons un membre, besoin de preuves....

[remi]

Un membre m'a contacté, il a de gros soucis, ... et préfère rester anonyme. <BR> <BR>"Comment prouver que quelqu un a ecrit un faux email emanant de moi...? <BR>J'utilise Outlook et cette personne utilise Phoenix mail sous LINUX" <BR> <BR>C très important... <BR> <BR> <BR>Si vous avez des documents.... <BR> <BR> <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_help.gif">

[Beary]

Avec l'ip de l'expéditeur déjà, non ?

[JuLeS]

Faudrait un peu plus d'infos sur le systeme de messagerie utilisé (Exchange, Linux...). <BR>Autrement, si il y a un acces au mail reçu, il faudrait lire son entete pour voir si on peut récupérer l'IP et le nom de la machine qui l'a envoyé. <BR> <IMG SRC="images/smiles/icon_boxe2.gif"> On l'aura <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>PS : En cas de "gros soucis", un mail s'il n'est pas signé numériquement, ne permet pas de valider l'identité de l'expéditeur, et donc ne peut pas etre retenu comme une preuve valable.

[lucyfire]

Voilà une entête de mail: <BR> <BR>Return-Path: <support-fr@toto.com> <BR>Delivered-To: <!-- BBcode auto-mailto start --><a href="mailto:lucyfire@0">lucyfire@0</a><!-- BBCode auto-mailto end --> <BR>Received: (qmail 87320 invoked by uid 1006); 18 Jun 2003 23:04:03 -0000 <BR>Received: from <!-- BBcode auto-mailto start --><a href="mailto:support-fr@toto.com">support-fr@toto.com</a><!-- BBCode auto-mailto end --> by garage.citeglobe.com with qmail-scanner-1.03 (. Clean. Processed in 0.286081 secs); 18 Jun 2003 23:04:03 -0000 <BR>Received: from unknown (HELO <!-- BBCode auto-link start --><a href="http://www.albert.com" target="_blank">www.albert.com</a><!-- BBCode auto-link end -->) (218.86.47.91) <BR> by -R with SMTP; 18 Jun 2003 23:04:03 -0000 <BR>Received: from <!-- BBCode auto-link start --><a href="http://www.toto.net" target="_blank">www.toto.net</a><!-- BBCode auto-link end --> ([218.86.47.130]) <BR> by <!-- BBCode auto-link start --><a href="http://www.albert.com" target="_blank">www.albert.com</a><!-- BBCode auto-link end --> (8.11.6/8.11.6) with ESMTP id g6ANBf124574 <BR> for <lucyfire@nospam.fr>; Thu, 19 Jun 2003 01:11:59 +0200 <BR>Received: from <!-- BBCode auto-link start --><a href="http://www.albert2.net" target="_blank">www.albert2.net</a><!-- BBCode auto-link end --> (localhost.localdomain [127.0.0.1]) <BR> by <!-- BBCode auto-link start --><a href="http://www.toto.net" target="_blank">www.toto.net</a><!-- BBCode auto-link end --> (8.11.6/8.11.6) with ESMTP id h5INgBm10777 <BR> for <lucyfire@nospam.fr>; Thu, 19 Jun 2003 01:12:42 +0200 <BR>Date: Thu, 19 Jun 2003 01:12:42 +0200 <BR>From: <!-- BBcode auto-mailto start --><a href="mailto:support-fr@toto.com">support-fr@toto.com</a><!-- BBCode auto-mailto end --> <BR>Message-Id: <200306182312.g6ANBf124574@www.toto.net> <BR>To: <!-- BBcode auto-mailto start --><a href="mailto:lucyfire@nospam.fr">lucyfire@nospam.fr</a><!-- BBCode auto-mailto end --> <BR>Subject: bla bla bla <BR> <BR>Dans la ligne received from on voit par quel serveur il est passé donc si c'est un serveur a l'autre bout de la planete n'importe qui peut donner un faut nom pour la boite. <BR> <BR>Si c'est un serv exchange qui achemine les mails il doit bien avoir des logs pour savoir quel ip l'a envoyé dans le cas d'un réseau interne d'entreprise (si je comprend la menace ça doit etre entre deux personnes d'une meme entreprise)

[antolien]

alors là c'est galère. <BR>un mail n'a aucune valeur juridique sauf s'il est signé numériquement avec un CA valable. et encore... <BR> <BR>il faut que je resorte mes bouquins de droit. <BR> <BR>pour info, c'est juste une usurpation d'identité ou il y a une tentative de piratage/vol/acte répréhensible liés à cet e-mail ? c'est très important de savoir déjà ça

[antolien]

normalement l'entête suffit à prouver que ce n'est pas lui, <BR> <BR>mais quel est le serveur qui à été utilisé pour l'envoi du mail ? si c'est le même que celui qu'il utilises habituellement pour envoyer ses mails et que l'ip réèle du client derrière le mail est cachée ,ça va être dur. <BR> <BR>le 127.0.0.1 est suspect déjà, c'est la vraie entête ?

[lucyfire]

non je prennais un exemple d'un de mes mails ce matin mais les 127.0.0 est vrai le reste est bidon (je passe pas par exchange compte pop citeglobe) <BR> <BR>mais si je comprend bien le truc son mail a été usurpé pour envoyer des $%#&! ou insulte a un responsable dans la meme boite et je pencherais bien pour un envoi via un smtp local donc on doit trouver l'ip du "serv" smtp apres tu lui fait gober n'importe quoi comme adresse nom etc etc. <BR> <BR>Remi tu as plus de precision exchange ou pas compte dirtect en interne ? <BR> <BR>_________________ <BR>Linux l'ultime solution a Windows. <BR> <BR>ipcopbox V1.3.0 + 2 fixs modem eci ethernet ip dynamique RED+ORANGE+GREEN + dansguardian (pas de pb de reconnexion) /PIV 2Go 256mo ram<BR><BR><font size=-2></font>

[Rbill]

Dur dur, <BR>En regardant l'entete du mail <BR>et avoir un alibi au moment de l'envoi pêut-être. <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">

[lucyfire]

dansl'entete figure aussi pas dans mon exemple le client qui l'a envoyé, dans mon exemple pas de client car mail auto d'un fournisseur sinon on a par exemple X-Mailer: Microsoft Outlook, Build 10.0.2627 <BR> <BR>etc etc

[Gesp]

Le fait que son nom apparaisse comme l'expéditeur ne prouve pas que c'est lui qui a envoyé ce message. <BR> <BR>C'est encore plus facile si le message n'est pas parti de son PC et de son bureau de poste mais même de son poste, il faudrait prouver ou non qu'il était présent au moment des faits. <BR> <BR>Il y a des paquets de virus qui récupèrent tout ou partie de l'adresse mail dans le carnet d'adresse d'Outlook Express pour remplir le nom de l'adresse apparaissant dans l'expéditeur. <BR>Il suffit d'être dans le carnet d'adresse d'une personne infectée pour paraitre être l'auteur d'un message que l'on n'a même jamais vu. <BR> <BR>L'autre solution étant d'utiliser un serveur SMTP anonyme et n'importe qui peut envoyer un message en se faisant passer pour W (c'est juste pour pas faire tilter Echelon déjà qu'Ixus est sur le podium de Google quand on recherche M o r g a n e)

[gla]

En utilisant ce que tu dis Gesp, un premier pas serait de demontrer que ce mail n'est pas une preuve en se faisant envoyer un mail bidon de ET ou de Flipper ou de Goldorak... <IMG SRC="images/smiles/icon_smile.gif"> <BR>Comme cela, il est évident que n'importe qui peut faire de même. <BR> <BR>Ensuite il faut s'atteler à demontrer qu'il n'est pas l'auteur du mail... <BR>et là c'est plus compliqué <IMG SRC="images/smiles/icon_frown.gif">

[antolien]

un truc qui me fait peur avec le smtp, c'est qu'une fois que tu le connais bien, c'est dur de lui faire confiance. <BR> <BR>et après, que l'on regarde ton entête te fait bien rire si tu passes par des proxy ou autres procédés. <BR> <BR>bref, il est tout à fait normail que ce mode de communication ne soit pas une valeur juridique. <BR> <BR>tout cela pour dire que même si ton patron reçoit une lettre d'insultes, il n'a pas le droit de te virer "légalement" avec ce genre de simili preuve.<BR><BR><font size=-2></font>

[gla]

le problème s'est présenté un fois dans mon ex-boite. <BR>l'admin mail avait du mal à faire comprendre qu'un serveur SMTP ne permet pas (simplement) de valider l'expéditeur. <BR> <BR>nous avons donc monté un petit gag. <BR> <BR>Bill Gates à envoyé un mail à J.Chirac demandant qu'il intervienne auprès de notre direction pour que nous obtenions 1 Milliard de $. <BR>Nous étions en copie de chaque mail. <BR> <BR>quand nous avons présenté la petite rigolade, il y en a certain qui n'ont pas apprécié... en effet, on a aussi expliqué que nous pouvions également remplacer Bilou et Jacquot par les PDG et DRH... ça les à un peu fait flipper ! <BR> <BR>mais on avait mis le doigt dessus !

[DgSe95]

pas grand chose a rajouter, car pas mal de solution on été déjà avancées, mais l'idée de gla est pas mal, pour faire réfléchir la direction, et montrer effectivement que la personne soupsonnée coupable ne l'est pas.

[bruno]

Je ne suis pas sûr qu'il s'agisse exactement de quelqu'un renvoyé de son emploi après un mail expédié en usurpant son identité. Mais il faudrait effectivement que Rémi nous en dise un peu plus. <BR> <BR>En tout état de cause, un entête de mail, même s'il n'est pas une preuve formelle en soi, peut être un élément permettant de justifier de sa bonne foi. A l'appréciation de la personne qui est en face bien sûr. <BR> <BR>Mais il est sûr que certains interlocuteurs ne sont pas très au courant des choses de l'Internet et des réseaux et qu'ils n'en maîtrisent pas tous les tenants et les aboutissants. Il faut donc les "éduquer", avec tous les éléments dont on dispose pour essayer de justifier de sa bonne foi. En l'espèce, il semble s'agir d'un simple entête de mail. <BR> <BR>Si c'est le seul élément, il est donc très important de s'attarder dessus et d'en définir tous les champs, de manière à démontrer un ou plusieurs des faits suivants : <BR> <BR>- l'adresse IP source n'est pas celle utilisée par la personne suspectée <BR>- l'adresse IP est la bonne mais la personne ne travaillait pas ce jour là <BR>- le client mail n'est pas celui utilisé par la personne en cause <BR>- la langue du client e-mail n'est peut être pas la même non plus <BR>- ou encore le système d'exploitation <BR> <BR>Le format d'un entête email est détaillé sur ce document, pages 16 et 17 <BR><!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=Downloads&d_op=getit&lid=148" TARGET="_blank">La cybercriminalité</A><!-- BBCode u2 End --> <BR> <BR>Bon courage et A+ <BR> <BR>Bruno