A voir également:
- Qui peut m'expliquer les DNS, IP,...?
- Dns google - Guide
- Ethernet n'a pas de configuration ip valide - Guide
- Comment connaître son adresse ip - Guide
- Uptobox dns - Guide
- Dns gratuit - Guide
3 réponses
jee pee
Messages postés
39583
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
18 avril 2024
9 225
Modifié le 28 oct. 2020 à 12:34
Modifié le 28 oct. 2020 à 12:34
Bonjour,
La demande issue d'internet est redirigée vers le bon site par le logiciel serveur web qui tourne sur la machine physique. Si tu avais une machine, et pas seulement des hébergements web, tu devrais te charger de ce paramétrage.
Ce logiciel serveur Web, c'est par exemple Apache. Dans ses fichiers de paramétrage, on configure des VirtualHost. A partir de ce paramétrage, Apache va étudier l'url entrante de la demande et l’exécuter en utilisant la racine des pages sources correspondant au domaine sollicité.
En gros on va avoir comme paramètres pour un VirtualHost :
- une ip entrante de la machine (éventuellement un port), sachant que sur une machine on peut avoir plusieurs cartes et donc plusieurs ip
- une racine de sources d'un site web
- un nom de domaine entrant
Ce paramétrage permet, en plus de l'utilisation pour "un site/un nom", de nombreuses combinaisons, par exemple rediriger plusieurs noms de domaines (nnnn.com et nnnn.net) vers le même site web. Avoir un site de production et un site de test (le premier sur le port standard 80, et d'utiliser par exemple le port 8080 pour le site de test).
voir : https://httpd.apache.org/docs/2.2/fr/vhosts/examples.html
La demande issue d'internet est redirigée vers le bon site par le logiciel serveur web qui tourne sur la machine physique. Si tu avais une machine, et pas seulement des hébergements web, tu devrais te charger de ce paramétrage.
Ce logiciel serveur Web, c'est par exemple Apache. Dans ses fichiers de paramétrage, on configure des VirtualHost. A partir de ce paramétrage, Apache va étudier l'url entrante de la demande et l’exécuter en utilisant la racine des pages sources correspondant au domaine sollicité.
En gros on va avoir comme paramètres pour un VirtualHost :
- une ip entrante de la machine (éventuellement un port), sachant que sur une machine on peut avoir plusieurs cartes et donc plusieurs ip
- une racine de sources d'un site web
- un nom de domaine entrant
Ce paramétrage permet, en plus de l'utilisation pour "un site/un nom", de nombreuses combinaisons, par exemple rediriger plusieurs noms de domaines (nnnn.com et nnnn.net) vers le même site web. Avoir un site de production et un site de test (le premier sur le port standard 80, et d'utiliser par exemple le port 8080 pour le site de test).
voir : https://httpd.apache.org/docs/2.2/fr/vhosts/examples.html
Ok, merci pour vos éclaircissements.
J'ai une question que je me pose en lien avec tout ceci :
En ce moment énormément de faux emails circulent et les malfrats ont réussi à créer des adresses mail avec le bon nom de domaine dont ils ne sont pourtant pas propriétaire.
Je trouve que c'est une faille de sécurité plutôt énorme, comme cela se fait-il?
Concrètement, voici l'exemple :
Je suis propriétaire du nom de domaine et de l'hébergement : contact arrobase commençamarche.net
Un hackeur parvient à m'envoyer un mail sur cette boite mail avec un adresse xxxxxx arrobase commençamarche.net
Comment cela est-il possible?
Récemment, j'ai également fait un transfert d'un nom de domaine et j'ai été surpris que j'aie pu immédiatement créer les adresses mails (avant même que le transfert soit validé), mais je pouvais uniquement recevoir les emails et pas en envoyer...
J'aimerais comprendre mieux tout cela en lien avec les DNS
J'ai une question que je me pose en lien avec tout ceci :
En ce moment énormément de faux emails circulent et les malfrats ont réussi à créer des adresses mail avec le bon nom de domaine dont ils ne sont pourtant pas propriétaire.
Je trouve que c'est une faille de sécurité plutôt énorme, comme cela se fait-il?
Concrètement, voici l'exemple :
Je suis propriétaire du nom de domaine et de l'hébergement : contact arrobase commençamarche.net
Un hackeur parvient à m'envoyer un mail sur cette boite mail avec un adresse xxxxxx arrobase commençamarche.net
Comment cela est-il possible?
Récemment, j'ai également fait un transfert d'un nom de domaine et j'ai été surpris que j'aie pu immédiatement créer les adresses mails (avant même que le transfert soit validé), mais je pouvais uniquement recevoir les emails et pas en envoyer...
J'aimerais comprendre mieux tout cela en lien avec les DNS
avion-f16
Messages postés
19244
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
17 avril 2024
4 496
28 oct. 2020 à 15:32
28 oct. 2020 à 15:32
« hackeur », c'est trop glorifiant pour ce genre de personnages sans morale. Ils ne hackent en réalité rien du tout, c'est juste du social engineering. Si tu lis attentivement ces emails menaçant, tu te rendras compte qu'en fait, le prétendu hacker ne montre jamais aucune preuve de quoi que ce soit, il joue uniquement sur le fait que le destinataire voit sa propre adresse comme expéditeur pour générer de la peur et ensuite manipuler la victime. Dans certains cas, l'arnaqueur peut joindre des informations personnelles qui se trouvent publiquement, voire des mots de passe de la victime qui ont été compromis et qui se trouvent dans des bases de données en ligne.
Les emails fonctionnent comme les courriers postaux : la personne qui composent le message et l'enveloppe peut indiquer ce qu'elle veut comme adresse expéditeur. Dans le cas des emails, il existe des protocoles (DKIM et SPF) qui permettent de vérifier si le serveur qui envoie l'email est bien autorisé par le propriétaire du domaine. Ces protocoles se basent sur les DNS (des entrées "TXT"), puisque seul le propriétaire du domaine peut configurer les entrées DNS pour son domaine.
Quant au transfert du nom de domaine, le changement de registraire n'impacte pas du tout le fonctionnement DNS. Temps que le domaine pointe sur les bons DNS et que l'entrée MX est bien configurée, tu peux alors recevoir les emails. Il faut bien-entendu configurer le serveur de messagerie, ce qui se traduit pour le client par « créer le compte de messagerie via le tableau de bord ».
À noter que tu peux tout à fait configurer un domaine et des comptes de messagerie sur un serveur, même si ce domaine ne t'appartient pas. Mais puisque le domaine ne pointe alors pas vers ton serveur, ça ne fonctionnera pas.
Les emails fonctionnent comme les courriers postaux : la personne qui composent le message et l'enveloppe peut indiquer ce qu'elle veut comme adresse expéditeur. Dans le cas des emails, il existe des protocoles (DKIM et SPF) qui permettent de vérifier si le serveur qui envoie l'email est bien autorisé par le propriétaire du domaine. Ces protocoles se basent sur les DNS (des entrées "TXT"), puisque seul le propriétaire du domaine peut configurer les entrées DNS pour son domaine.
Quant au transfert du nom de domaine, le changement de registraire n'impacte pas du tout le fonctionnement DNS. Temps que le domaine pointe sur les bons DNS et que l'entrée MX est bien configurée, tu peux alors recevoir les emails. Il faut bien-entendu configurer le serveur de messagerie, ce qui se traduit pour le client par « créer le compte de messagerie via le tableau de bord ».
À noter que tu peux tout à fait configurer un domaine et des comptes de messagerie sur un serveur, même si ce domaine ne t'appartient pas. Mais puisque le domaine ne pointe alors pas vers ton serveur, ça ne fonctionnera pas.
cnob
>
avion-f16
Messages postés
19244
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
17 avril 2024
Modifié le 28 oct. 2020 à 15:57
Modifié le 28 oct. 2020 à 15:57
Oui, tu as tout à fait raison, "hackeur" est trop glorifiant, mais je n'ai pas trouvé meilleur qualificatif sur le moment. :-D
En ce moment, chaque personne qui souscrit à un nouveau nom de domaine reçoit systématiquement quelques jours plus tard une alerte invitant au renouvellement avant expiration du nom de domaine, et ce prétendument de la part d'OVH. Bien sûr, ça n'a aucun sens de recevoir un email avec son propre nom de domain, et ça joue uniquement, comme tu le dis, sur l'intimidation. Mais j'étais surpris que ça soit possible techniquement (car il s'agit bien du nom de dom de l'adresse mail), pas uniquement le nom que l'on donne à celle-ci comme nom d'expéditeur)
Du coup, par rapport à ton deuxième paragraphe, comment se fait-il que les protocoles en place n'aient pas détecté que la personne qui tente de créer une nouvelle boite mail avec ce nom de dom ne soit pas propriétaire des entrées TXT du dom en question?
Au sujet du transfert de noms de dom, c'est ça qui m'intrigue justement, c'est que ça fonctionne: ça marche à moitié, mais ça marche. Je peux ENVOYER, mais PAS recevoir. Ca a surement un lien avec ce que tu expliques plus haut: le fait qu'on puisse se prétendre expéditeur de quelque chose, sans l'être vraiment (sans être possesseur du nom de dom), mais du coup... je trouve ça vraiment dingue en terme de sécurité.
Il y a surement quelque chose que je ne comprends pas encore très bien, mais j'espère que le franc va tomber :D
En ce moment, chaque personne qui souscrit à un nouveau nom de domaine reçoit systématiquement quelques jours plus tard une alerte invitant au renouvellement avant expiration du nom de domaine, et ce prétendument de la part d'OVH. Bien sûr, ça n'a aucun sens de recevoir un email avec son propre nom de domain, et ça joue uniquement, comme tu le dis, sur l'intimidation. Mais j'étais surpris que ça soit possible techniquement (car il s'agit bien du nom de dom de l'adresse mail), pas uniquement le nom que l'on donne à celle-ci comme nom d'expéditeur)
Du coup, par rapport à ton deuxième paragraphe, comment se fait-il que les protocoles en place n'aient pas détecté que la personne qui tente de créer une nouvelle boite mail avec ce nom de dom ne soit pas propriétaire des entrées TXT du dom en question?
Au sujet du transfert de noms de dom, c'est ça qui m'intrigue justement, c'est que ça fonctionne: ça marche à moitié, mais ça marche. Je peux ENVOYER, mais PAS recevoir. Ca a surement un lien avec ce que tu expliques plus haut: le fait qu'on puisse se prétendre expéditeur de quelque chose, sans l'être vraiment (sans être possesseur du nom de dom), mais du coup... je trouve ça vraiment dingue en terme de sécurité.
Il y a surement quelque chose que je ne comprends pas encore très bien, mais j'espère que le franc va tomber :D
avion-f16
Messages postés
19244
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
17 avril 2024
4 496
>
cnob
28 oct. 2020 à 16:07
28 oct. 2020 à 16:07
« Du coup, par rapport à ton deuxième paragraphe, comment se fait-il que les protocoles en place n'aient pas détecté que la personne qui tente de créer une nouvelle boite mail avec ce nom de dom ne soit pas propriétaire des entrées TXT du dom en question? »
Si le nom de domaine est nouveau, DKIM et SPF peuvent ne pas avoir été configuré et donc le serveur du destinataire ne peut pas procéder à la vérification. La vérification DKIM/SPF doit être configurée du côté du destinataire. L'email peut être rejeté ou classé parmi les spams. Si le propriétaire du domaine a bien configuré DKIM/SPF, le destinataire devrait voir, dans les entêtes, le résultat ("fail" ou "pass") pour DKIM et SPF.
« Au sujet, des noms de domaine, c'est ça qui m'intrigue justement, c'est que ça fonctionne: ça marche à moitié, mais ça marche. Je peux ENVOYER, mais PAS recevoir. Ca a surement un lien avec ce que tu expliques plus haut: le fait qu'on puisse se prétendre expéditeur de quelque chose, sans l'être vraiment (sans être possesseur du nom de dom) »
Oui c'est exactement ça, n'importe qui peut envoyer un email en se faisant passer pour n'importe qui, c'est le destinataire qui doit procéder à la vérification, et pour cela, c'est le propriétaire du domaine qui doit annoncer (via les DNS) les serveurs légitimes pour envoyer des emails en utilisant son domaine.
Comme dit précédemment, tu peux tout à faire configurer un domaine quelconque sur ton hébergement / serveur, créer des comptes de messagerie, et donc envoyer des emails avec ce domaine qui n'est pas à toi ou qui ne pointe pas encore vers ton hébergement.
À l'inverse, la réception ne fonctionne pas puisque le domaine ne pointe pas vers ton serveur. Imagine le carnage s'il me suffisait de configurer « contact@google.com » sur mon serveur pour recevoir les emails de Google... Donc je peux envoyer des emails en me faisant passer pour contact@google.com, bien que tout antispam devrait détecter que mon serveur n'est pas autorisé par google.com (via SPF / DKIM). Je ne peux cependant pas recevoir les emails de contact@google.com.
« mais du coup... je trouve ça vraiment dingue en terme de sécurité. »
La même arnaque existe avec les courriers postaux. N'importe qui peut t'envoyer une facture en usurpant l'identité d'un de tes fournisseurs, et te demander de payer par virement vers le compte bancaire de l'arnaqueur.
C'est bien au destinataire de prendre ses dispositions afin de vérifier l'authenticité de l'expéditeur.
Si le nom de domaine est nouveau, DKIM et SPF peuvent ne pas avoir été configuré et donc le serveur du destinataire ne peut pas procéder à la vérification. La vérification DKIM/SPF doit être configurée du côté du destinataire. L'email peut être rejeté ou classé parmi les spams. Si le propriétaire du domaine a bien configuré DKIM/SPF, le destinataire devrait voir, dans les entêtes, le résultat ("fail" ou "pass") pour DKIM et SPF.
« Au sujet, des noms de domaine, c'est ça qui m'intrigue justement, c'est que ça fonctionne: ça marche à moitié, mais ça marche. Je peux ENVOYER, mais PAS recevoir. Ca a surement un lien avec ce que tu expliques plus haut: le fait qu'on puisse se prétendre expéditeur de quelque chose, sans l'être vraiment (sans être possesseur du nom de dom) »
Oui c'est exactement ça, n'importe qui peut envoyer un email en se faisant passer pour n'importe qui, c'est le destinataire qui doit procéder à la vérification, et pour cela, c'est le propriétaire du domaine qui doit annoncer (via les DNS) les serveurs légitimes pour envoyer des emails en utilisant son domaine.
Comme dit précédemment, tu peux tout à faire configurer un domaine quelconque sur ton hébergement / serveur, créer des comptes de messagerie, et donc envoyer des emails avec ce domaine qui n'est pas à toi ou qui ne pointe pas encore vers ton hébergement.
À l'inverse, la réception ne fonctionne pas puisque le domaine ne pointe pas vers ton serveur. Imagine le carnage s'il me suffisait de configurer « contact@google.com » sur mon serveur pour recevoir les emails de Google... Donc je peux envoyer des emails en me faisant passer pour contact@google.com, bien que tout antispam devrait détecter que mon serveur n'est pas autorisé par google.com (via SPF / DKIM). Je ne peux cependant pas recevoir les emails de contact@google.com.
« mais du coup... je trouve ça vraiment dingue en terme de sécurité. »
La même arnaque existe avec les courriers postaux. N'importe qui peut t'envoyer une facture en usurpant l'identité d'un de tes fournisseurs, et te demander de payer par virement vers le compte bancaire de l'arnaqueur.
C'est bien au destinataire de prendre ses dispositions afin de vérifier l'authenticité de l'expéditeur.
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
>
cnob
28 oct. 2020 à 16:13
28 oct. 2020 à 16:13
Salut,
quand tu crées un compte chez OVH, forcément tu le crées avec une adresse mail qui n'est pas dans le domaine que tu crées.
Le mail vient de postmaster@ton-nouveau-domaine ?
Après, tu peux enregistrer un domaine sans ouvrir d' hébergement donc dans boite mail non plus.
quand tu crées un compte chez OVH, forcément tu le crées avec une adresse mail qui n'est pas dans le domaine que tu crées.
Le mail vient de postmaster@ton-nouveau-domaine ?
Après, tu peux enregistrer un domaine sans ouvrir d' hébergement donc dans boite mail non plus.
cnob
>
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
28 oct. 2020 à 16:24
28 oct. 2020 à 16:24
Effectivement Brupala.
Mais là, je faisais bien référence à une adresse mail qui appartient au domaine crée. Quelque jour plus tard, tu reçois un mail se faisant passer pour OVH et dont l'expéditeur est en fait : tonnomdedomaine@tonnomdedomaine (paradoxalement forcément, mais pour des raisons de confusions psychologiques chez le destinataire, ça peut produire un certain effet)
Mais là, je faisais bien référence à une adresse mail qui appartient au domaine crée. Quelque jour plus tard, tu reçois un mail se faisant passer pour OVH et dont l'expéditeur est en fait : tonnomdedomaine@tonnomdedomaine (paradoxalement forcément, mais pour des raisons de confusions psychologiques chez le destinataire, ça peut produire un certain effet)
bonjour, doit on bloquer le port 5353 en entrée dans le pare feu, de Mdns microsoft edge , merci
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
14 nov. 2020 à 10:28
14 nov. 2020 à 10:28
Mdns n'a qu'une portée sur le réseau local, aucun intérêt de le bloquer dans un parefeu, tous les routeurs le bloquent.
mario
>
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
14 nov. 2020 à 15:56
14 nov. 2020 à 15:56
merci de la réponse brupala
28 oct. 2020 à 14:46
Pour compléter cette réponse :
Lorsqu'un visiteur demande http(s)://example.com/, le navigateur extrait le nom (nom de domaine, sous-domaine ou tout autre nom valide comme "localhost" ou "example.lan") afin de procéder à la résolution DNS et obtient ainsi une adresse IP et peut alors établir la connexion TCP/IP avec l'IP et le port (80 ou 443, ou celui précisé).
À ce moment, le serveur n'a pas connaissance du fait que le visiteur a utilisé « example.com » pour accéder au serveur.
Cette information est transmise par le navigateur vers le serveur lors de la requête HTTP, via l'entête « Host ».
Exemple de requête HTTP pour cette page :
Il est important de noter que cela se passe au niveau applicatif/protocole, et non au niveau réseau/DNS/IP.
Cela est donc spécifique au protocole.
D'autres protocoles permettent cette notion de « vhost » (comme FTP, voir RFC 7151), mais c'est plutôt l'exception que la règle.
Quant à la différenciation basée sur l'IP ou le port, elle est possible avec tous les protocoles, il suffit de spécifier l'IP et le port d'écoute dans la configuration du serveur, et si besoin, lancer des instances différentes.
À noter que dans le cas d'une connexion HTTPS, le serveur doit fournir le bon certificat avant la requête HTTP, donc alors qu'il n'a pas encore connaissance du nom utilisé pour la connexion.
C'est pour cette raison qu'autrefois, une IP dédiée était nécessaire pour configurer un certificat SSL, chaque site disposat de son propre point d'écoute SSL (combinaison IP/port) en faisant varier l'IP. On aurait pu se passer d'IP dédiées en faisant varier le port, mais tout le monde préfère garder le port 443.
Désormais, SSL/TLS prend en charge le « SNI » qui permet au navigateur de préciser le nom de domaine afin de recevoir le certificat adéquat. Lorsque la connexion SSL/TLS est établie, la requête HTTP peut suivre, et l'entête HTTP "Host" reste utilisée malgré que le nom soit déjà connu par SSL/TLS via le SNI, parce que ce sont souvent deux "composants" différent qui gèrent le point de terminaison SSL/TLS, et la requête HTTP.