Bonjour,

Je reçois du spam venant d'un dédié 91.121.151.120 qui a comme rDNS mx2.network-hosting.com. et d'après les headers smtp, est ks358137.kimsufi.com.

Hop, un petit mail à abuse@ovh.net par les bons soins de Spamcop.

Là où ca commence à m'intriguer, est que Spamcop envoie aussi une plainte à cabuse@tatacommunications.com et à abuse@gblx.net .

Qu'est-ce ces deux prestataires ont à voir avec l'adresse IP litigieuse ? OVH racheté en silence par les indiens de TATA ?

Contrôle: h t t p : / / w w w.spamcop.net/sc?action=rcache;ip=91.121.151.120

Frédéric

[SQUIIZZZZ]

Par contre.. j'ai tenté quelques recherches croisées.. j'arrive à la même conclusion que toi ... :confused: je comprend pas le lien entre gblx et ovh.. ou encore network-hosting ni même spamcop

Ce genre de réponse est valable pour pas mal d'ip OVH.. :o

J'ai testé sur des IP dedibox.. et la réponse n'a rien à voir .. on a que le service abuse dedibox..

Est-ce un bug de spamcop ?:confused:

J'ai fait exprès de rendre l'URL non-clickable pour que les nombreux robots qui visitent le forum n'aillent pas clicker sans cesse cet URL spécifique chez Spamcop et rafraîchir son cache pour cette adresse IP.

Frédéric

Bon.. bin dans ce cas.. j'édite mon message ;)

Envoie moi le spam sur mon adresse perso...
La machine appartient à une connaissance.

(il y a des chances pour que le compte spammeur a déjà fait un vol plané
C'est une vraie plaie, même avec des vérifications croisées, il y en a encore qui passent au travers des mailles du filet)

L'antispam de Free me bloque ce mail (et il n'a pas tout à fait tort, non ?).
Alors je le poste ici:

X-Greylist: delayed 402 seconds by postgrey-1.31 at *.dmmail.eu; Fri, 01 Jan 2010 15:51:58 CET
Received: from mx.network-hosting.com (mx2.network-hosting.com [91.121.151.120])
by *.dmmail.eu (Postfix) with ESMTPS id 6F00D9BF0F
for *; Fri, 1 Jan 2010 15:51:58 +0100 (CET)
Received: (qmail 28484 invoked by uid 1009); 1 Jan 2010 15:39:59 +0100
Received: from 91.121.155.109 by ks358137.kimsufi.com (envelope-from <etudejuridiquemaitretraore@rocketmail.com>, uid 89) with qmail-scanner-1.25-st-qms
(clamdscan: 0.93/6688. spamassassin: 3.2.4. perlscan: 1.25-st-qms.
Clear:RC:1(91.121.155.109):.
Processed in 0.257712 secs); 01 Jan 2010 14:39:59 -0000
X-Antivirus-Network-Hosting-Mail-From: etudejuridiquemaitretraore@rocketmail.com via ks358137.kimsufi.com
X-Antivirus-Network-Hosting: 1.25-st-qms (Clear:RC:1(91.121.155.109):. Processed in 0.257712 secs Process 28478)
Received: from web.network-hosting.com (HELO webmail.network-hosting.com) (alfredo1@network-hosting.com@91.121.155.109)
by mx.network-hosting.com with AES256-SHA encrypted SMTP; 1 Jan 2010 15:39:59 +0100
MIME-Version: 1.0
Date: Fri, 01 Jan 2010 15:39:57 +0100
From: LOTERIE MICROSOFT CORPORATION <etudejuridiquemaitretraore@rocketmail.com>
To: <x>
Subject: FELICITATION !!!!!! FELICITATION !!!!!! VOUS VENEZ DE GAGNEZ A LA
LOTERIE(CE CI N'EST PAS UN SPAM)
Organization: LOTERIE MICROSOFT CORPORATION
Reply-To: etudejuridiquemaitretraore@rocketmail.com
Message-ID: <064e________________________6fdc@87.98.129.145>
X-Sender: etudejuridiquemaitretraore@rocketmail.com
User-Agent: WebMail Network-Hosting
Content-Type: multipart/mixed;
boundary="=_82f04c0a61d97f58b6dfc002cab921ba"

--=_82f04c0a61d97f58b6dfc002cab921ba
Content-Type: multipart/alternative;
boundary="=_e67c97b21b7aea4e6292e7a4b887c83b"

--=_e67c97b21b7aea4e6292e7a4b887c83b
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"



A VOTRE ATTENTION,

NOUS VOUS CONTACTONS PAR CETTE PRÉSENTE POUR VOUS
INFORMER DE VOTRE GAIN À LA LOTERIE MICROSOFT CORPORATION. CECI N'EST PAS
UN SPAM NI UN VIRUS, VEUILLEZ TROUVEZ EN FICHIER ATTACHE LA NOTIFICATION DE
VOTRE GAIN DE 150.000 EURuros LORS DU DERNIER TIRAGE AU SORT. APRÈS
VÉRIFICATION DE LA NOTIFICATION DE VOTRE GAIN EN PIÈCE JOINTE, VEUILLEZ
PRENDRE CONTACT AVEC L'AVOCAT ACCRÉDITÉ CI DESSOUS POUR LA PROCÉDURE DE
RETRAIT DE VOTRE GAIN.

etc etc


Frédéric

Bin ouais c'est pas un spam.. non c'est juste un joli scam..

Comment ça se fait que ton serveur ai envoyé ce mail ?

Bin ouais c'est pas un spam.. non c'est juste un joli scam..

Comment ça se fait que ton serveur ai envoyé ce mail ?

scam ou spam, il ne faut pas jouer sur les mots ; même s'il est exact que parfois, derrière les scams, il se trouve un humain dans un cybercafé togolais ou nigérian, qui utilise des spam-lists à qui envoyer ses cornichonneries.
Quoique, la plupart des scams/phishing envoyés à partir des webmails utilisent des failles ou bien des comptes piratés, et injectent dans le réseau de grands nombres de messages avec des moyens automatisés. Pour moi c'est du spam à traiter comme du spam.

Dommage que webmail.network-hosting.com n'indiquait pas l'IP de l'abuseur, rien que pour voir :rolleyes:.

Frédéric

Alors, les explications :
- network-hosting est une plateforme d'hébergement mutualisé.
- tout un chacun peut s'inscrire, les comptes sont validés manuellement

Au début tout allait bien, ça ne spammait pas.

Depuis quelques temps, la côte d'ivoire s'amuse à s'inscrire chez nous sans vergogne.
Des outils ont été mis en place pour identifier les comptes à risque (IP en cote d'Ivoire, renseignements administratifs falsifiés...)

Au départ, les comptes étaient directement créés depuis la Cote d'Ivoire. Ils utilisaient des noms d'utilisateurs similaires, avec de fausses coordonnées postales.
Ils ont passé la seconde : ils remplissent le formulaire de création de comptes à partir d'IP sur le sol français, avec des coordonnées de personnes basées en France...

Ca devient de plus en plus dur de les détecter.
Les outils évoluent au fil de leurs évolutions, quelques uns passent néanmoins au travers des mailles du filet...

Quel monde de brutes. :(

On comprend OVH avec les validations par SMS et lettre postale.

Edit: et TATA dans tout ça ?

Frédéric

A tout hazard : Tata communications et Globalcrossing (gblx) sont des fournisseurs de transit d'ovh, le mail abuse leur est donc envoyé également.

scam ou spam, il ne faut pas jouer sur les mots ; même s'il est exact que parfois, derrière les scams, il se trouve un humain dans un cybercafé togolais ou nigérian, qui utilise des spam-lists à qui envoyer ses cornichonneries.
Quoique, la plupart des scams/phishing envoyés à partir des webmails utilisent des failles ou bien des comptes piratés, et injectent dans le réseau de grands nombres de messages avec des moyens automatisés. Pour moi c'est du spam à traiter comme du spam.

Dommage que webmail.network-hosting.com n'indiquait pas l'IP de l'abuseur, rien que pour voir :rolleyes:.

Frédéric

En fait, je comprends pas bien..

La copie du mail et ses entetes que tu nous montres...
Elle a ete envoye de ton serveur ?
et tu es surpris que free n'en veule pas ?

ou alors j'ai pas du tout compris l'humour..

en fait, je ne jouais pas avec les mots.. le spam et le scam sont 2 nuisibles.. mais qui ne sont pas detectes de la meme maniere. ou en tout cas.. justement .. les flags qui vont etres titie sur un anti-spam ne seront pas toute a fait les meme...

peu de spam utilisent des majuscules avec Million de dolars loterie..
les spams ca fume du html dans tous les sens avec des images pour fumer les parseurs.

Donc, quelque soit le truc.. spam ou scam, c'est normal que ca ai ete bloque..