[technique] Facebook security mail rejetés par exim

Matthieu Herrb matthieu at herrb.eu
Mer 25 Sep 20:14:06 CEST 2019 

On Wed, Sep 25, 2019 at 07:47:53PM +0200, Ludovic Pouzenc via technique wrote:
> Vu chez moi, et risque d'amuser la galerie...
> 
> Email auto de facebook déclanché par la procédure "lost password", avec un
> security code envoyé par mail... non reçu. Les logs d'exim :
> 
> 2019-09-25 17:31:59 1iDB8x-0003xX-O5 DKIM: d=facebookmail.com
> s=s1024-2013-q3 c=relaxed/simple a=rsa-sha256 b=1024 t=1569432717
> [verification succeeded]
> 2019-09-25 17:31:59 1iDB8x-0003xX-O5 H=66-220-155-156.mail-mail.facebook.com
> (mx-out.facebook.com) [66.220.155.156]
> X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 CV=no
> F=<security at facebookmail.com> rejected after DATA: missing or malformed
> local part: failing address in "To:" header is: Ludovic Pouzenc <>
> 
> J'ai une conf qui me parait être celle par défaut debian par rapport à ces
> aspects là (j'ai custom pour brancher rspamd et pour livrer dans du maildir,
> mais sans plus...). Le rejectlog :

Salut,

D'un point de vue SMTP, le champ To: fait partie du corps du message
normalement c'est pas lui que les MTA / MDA regardent pour acheminer
et déposer le message dans ta Bal, mais le 'RCPT TO (ou
envelope-to). La meilleure preuve c'est que malgré le To: mal formé,
le message est arrivé jusqu'à ton serveur.

À mon avis le rejet du To: malformé vient d'un de tes trucs
anti-spam. Je ne connais ni exim ni rspamd suffisament pour t'en dire
plus.

> 
> *Envelope-to: <ludovic at pouzenc.fr>*

^^
ça c'est le 'RCPT TO:' de la transaction SMTP. Il est bon :)

> P Received: from 66-220-155-152.mail-mail.facebook.com ([66.220.155.152]
> helo=mx-out.facebook.com)
>         by pouzenc.fr with esmtps (TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128)
>         (Exim 4.89)
>         (envelope-from <security at facebookmail.com>)
>         id 1iDBHw-0004Ct-32
>         for ludovic at pouzenc.fr; Wed, 25 Sep 2019 17:41:16 +0000
>   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
>         s=s1024-2013-q3; t=1569433273;
>         bh=ve7tDBKleNnjzyMR747PfW7LcNBlwksSgkm4Fg89G1U=;
>         h=Date:To:Subject:From:MIME-Version:Content-Type;
> b=o6NnaYmgw65nRdOigEKxMAHZ2IyERqykt87f6eF5KMMzBaJZ0KmLFjC53SyymS3If
> GitKPpVoGd1Msib/afhLCTNNZHl6NDNWgGlV5OJ7Lz372p3wiDAmULZRmKokdjibvp
>          EX+7y4Xo1n0CniKMKNonfkuqL5lw3NTyT5b1xfK8=
> P Received: from facebook.com
> (07FQ+glUmlAtXCXSMxwGnFYGQcauAs6eZ8zg3UrrFL9iGLCYYvd6PhG/lNvKCtV+
> 2401:db00:2120:827a:face:0000:0011:0000)
>  by facebook.com with Thrift id ab1b92acdfbb11e9854bec0d9aceb5f2-a54349e0;
>  Wed, 25 Sep 2019 10:41:13 -0700
>   X-Facebook: from 2401:db00:1310:304e:face:0:25:0 ([MTI3LjAuMC4x])
>         by graph.facebook.com with HTTPS (ZuckMail);
>   Date: Wed, 25 Sep 2019 10:41:13 -0700
> *T To: Ludovic Pouzenc <>*
>   Subject: =?UTF-8?B?NzcxODA1IGVzdCB2b3Ry?=
>  =?UTF-8?B?ZSBjb2RlIHBvdXIgcsOpYw==?=
>  =?UTF-8?B?dXDDqXJlciBs4oCZYWNjw6hzIA==?=
>  =?UTF-8?B?w6Agdm90cmUgY29tcHRlIA==?=
>  =?UTF-8?B?RmFjZWJvb2s=?=
>   X-Priority: 3
>   X-Mailer: ZuckMail [version 1.00]
> * Return-Path: security at facebookmail.com
> F From: "Facebook" <security at facebookmail.com>
> R Reply-to: noreply <noreply at facebookmail.com>
>   Errors-To: security at facebookmail.com
>   X-Facebook-Notify: password_reset:first_send;
> mailid=59363df253c37G400bae5aG5936428bb3f09G178
>   Feedback-ID: 0:password_reset:Facebook
>   X-FACEBOOK-PRIORITY: 1
>   X-Auto-Response-Suppress: All
>   Require-Recipient-Valid-Since: ludovic at pouzenc.fr; Monday,  4 Aug 2014
> 20:07:43 +0000
> I Message-ID: <0b804e5218fad4c1d28bffaabc78455d at c2eca9eea82fcb8a76fe1f543047de03dca48bdb9d61d2a196fb14e344d2a155>
>   MIME-Version: 1.0
>   Content-Type: multipart/alternative;
>         boundary="b1_0b804e5218fad4c1d28bffaabc78455d"
> 
> Chance, le code de sécurité (que j'ai cramé avant d'envoyer ce mail) est
> présent dans les headers du mail (car le rejectlog ne garde pas le corps du
> mail).
> 
> $ base64 -d <<< NzcxODA1IGVzdCB2b3Ry
> 771805 est votr
> 
> -- 
> Ludovic Pouzenc
> www.pouzenc.fr
> 
> This is GNU/Linux land. In silent nights you can hear the Windows machines rebooting.
> 

> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique


-- 
Matthieu Herrb
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 793 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20190925/58419753/attachment.sig>

Plus d'informations sur la liste de diffusion technique