OVH Community, votre nouvel espace communautaire.

Mail frauduleux auto-envoyé bizarre


creative123456
29/03/2016, 23h29
Merci pour ta réponse.

J'ai déjà prévu de mettre spamassasin + spamhaus dans 2 semaines, donc pour le moment je laisse comme sa, un petit filtre et hop c'est fini.

Cordialement,

fritz2cat
29/03/2016, 22h18
Bloquer des mails, c'est vite dit...
sur quel critère ?
-> bannir une IP, au niveau firewall ou bien mailer (p.ex. postfix)
-> réputation de l'adresse IP du partenaire, il y a les black lists pour cela (ex. spamhaus, spamcop)
-> sur base du contenu: antivirus (p.ex. amavisd), spam (p.ex. spamassassin)

Quand tu as bien compris tout ça, il reste à coller ensemble tous les composants.

janus57
29/03/2016, 22h02
Bonjour,

autant pour moi j'ai pas regardé le post en entier et mal analyser la chose.

Cependant :
Janus57, le mot de passe ne peux être corrompu 48 caractères incluant des caractères spéciaux connu que de moi est de ma tête ^^, je n'ai aucune authentification sasl.
ne jamais dire jamais car un PC peut être vite infecté ou le mot de passe aspiré si on ne fait pas assez attention.

Cordialement, janus57

creative123456
29/03/2016, 21h34
Janus57, le mot de passe ne peux être corrompu 48 caractères incluant des caractères spéciaux connu que de moi est de ma tête ^^, je n'ai aucune authentification sasl.

fritz2cat, Oui j'avais remarqué cela, je me douté que c’était pas via un téléphone, je penche plutôt pour une usurpation de l'adresse mail comme un spoof d'ip. c'est un pdf

Vous avez un moyen de le bloqué ? en attendent de refaire tous dans 2 semaines, je suis entrain de faire des test sur une autre machine.

Cordialement,

fritz2cat
29/03/2016, 21h20
Ne vous cassez pas la tête.

Le message vient d'Inde (110.227.200.50) GPRS-Subscribers-in-East-[india]
et pas de Pologne comme le dit Nowwhat plus haut

ça c'est le seul truc infalsifiable.
Tout le reste est injecté par l'autre partie et ne mérite aucune confiance.

C'est du spam/phishing/virus/ransomware/trojan
Il n'y a probablement pas d'iPhone à l'autre bout.

Avez-vous remarqué
Content-Type: application/zip;
name=CCE29032016_00035.pdf;
Alors c'est un Zip ou un PDF ? Depuis quand les iPhones envoient des ZIP ?

janus57
29/03/2016, 19h32
Bonjour,

visiblement ce mail a été envoyé depuis un téléphone iphone en passant l'authentification (si il y en a une sur le serv), donc le mdp semble corrompu.

Cordialement, janus57

creative123456
29/03/2016, 18h19
Bonjour Janus57

Je possède un téléphone mais pas un iphone , je n'ai pas relié mon téléphone a cette adresse mail, elle nous sert juste pour notre site on reçois les demandes d'inscription dessus..

Cordialement,

janus57
29/03/2016, 18h09
Bonjour,

le mail à été reçus sur votre iphone ou possédez-vous un iphone ?

Cordialement, janus57

creative123456
29/03/2016, 17h49
Bonjour,

Nowwhat

Concernant les mises a jours, je les fais je reboot simplement pas la machine, donc certaine ne sont pas appliqué.

Zpanel et un vieux panel trés vieux mis en place il y a longtemps car on y connaissait rien.

Mon soucis là c'est que le mail ( d'aprés moi ) utilise aucun script le mots de pass fait 48 caractère donc je pense pas qu'il soit hack.

Je reçois bien le mail dans ma boite si tu me dis qu'il y a aucun soucis je le filtre corbeille direct ?

Cordialement,

Nowwhat
29/03/2016, 17h10
unknown[110.227.200.50]
T'as le bonjour de Pologne ... c'est tout.

Astuce : un serveur qui s’annonce comme ça "from [110.227.200.50] (unknown [110.227.200.50])" donc seulement l'IP, le reverse n'existe pas => je (mon postfix) refuse de parler avec lui plus loin que ça - je raccroche. Les gens avec une crise d’identité, ils ont rarement des bonnes nouvelles à annoncer.

( possiblement pas à jours )
Ok, sinon, la voiture, pareil ? pas d'assurance, ni contrôlé technique ..... mais ça roule ?

=> Même un "OS Nu == accès SSH seulement" c'est arhci simple garder ces outils à jour - sinon on s'écarte (autrement dit : tu te fait écarter car 'hack', 'abuse', etc ....)

ZPanel
?
C'est quoi ?

creative123456
29/03/2016, 16h12
Bonjour,

Voila je viens de recevoir un mail envoyé par ma boite mail sur ma boite mail avec une pièce jointe. Dans les prochains jours je dois refaire entièrement ma gestion des mails, car elle date du début ou je commencé en informatique. Mais avant j'ai essayé de voir si ce mail vient d'un script ou autre pour évité de refaire la même bêtise.

voici le mail :

Code:
Return-Path: 
Delivered-To: contact@team-shk.fr
Received: from [110.227.200.50] (unknown [110.227.200.50])
	by ks394130.kimsufi.com (Postfix) with ESMTP id B46A0BF9EB
	for ; Tue, 29 Mar 2016 14:41:54 +0200 (CEST)
Content-type: multipart/mixed;
 boundary=Apple-Mail-A9343890-B962-2B6C-CE8D-E64BD14ECF6B
Content-transfer-encoding: 7bit
From: "contact@team-shk.fr" 
MIME-version: 1.0 (1.0)
Date: Tue, 29 Mar 2016 18:18:34 +0530
Subject: CCE29032016_00035.pdf
Message-id: <4BFBCC78-7B25-9B74-F5CA-79CA9A846365@team-shk.fr>
To: contact@team-shk.fr
X-Mailer: iPhone Mail (13A452)


--Apple-Mail-A9343890-B962-2B6C-CE8D-E64BD14ECF6B
Content-Type: text/plain;
	charset=us-ascii
Content-Transfer-Encoding: 7bit




--Apple-Mail-A9343890-B962-2B6C-CE8D-E64BD14ECF6B
Content-Type: application/zip;
	name=CCE29032016_00035.pdf;
	x-apple-part-url=2780BA7C-33B1-1D77-DC9A-0E30FA8542CC
Content-Disposition: attachment;
	filename=CCE29032016_00035.pdf
Content-Transfer-Encoding: base64

UEsDBBQAAgAIAHNrfUiAbi1B+QkAAIATAAAQAAAAWVlPOTUyODI2NjAwNi5qc3VYa3MauRL9
vlX7H3Tn1m5BnOA8NndvJZW7RcDGjgFjY4xdST6IGcEINKNBo2EYb/m/39MSYPxYkpB5SC31
6dOnW2g9PpE35+wLC+6ZEbYwKYvEVBgjokZmdCJzUat/Zvf4U/8cfP71l6E1Mp3RO6ttlQl/
lSmeJ7AyLdLQSp2yWp39zTjHIxvL/PPWNueNMOamaWsf/3xT+/iBHfxRJ/MwvOKG3VXpOsOc
77XgWh9dK5FkmQ1eB6FQkuP/ZlA/qAVj3gnXuV3hQSyMKDKd4tKI3GojcJXrUAorRU4zrVyJ
G0wLzifBQTAXIewx2Ojo/jqbYARcLNJImNzyNMJ9JPNQmDQRKa0sQjNa9HttXB6tM4w4Sldu
E8DISiVzTu7i7Szh5axLM9Y8kalbPOdpHhpJdqTRMOlnKj7LY5nR2txInqa06ZAbrcgNOYst
Tcby2LWHG/csCDA3FzzUPCeLmdnECdclHpGRqZHCOfEbzb06gse9wW/byReRKNvjobo8xYgV
Vyu3yRU8CDm50KBJBGHDCAQ0FLVAk0NB/eGBwYN1UAeEtSDTJWAjN0TkwhPzZFKYGa46ZKpI
92d28PjSzQwi2k0YixVcFtbtW5fc0MY1H1SjcLhIJhWBwdNQ0uPhjYOOguLhzoTJQCnu3C5j
oQjOjCMmoczgUUq7iLrvGzdR98SBcTXAbvJMSUsbqDfmWqa1oEc7CsbBTzCQTwzPF0tKhi1f
PXnvHfOJoNVwXKVFuKH1d8fXBoI5tbU6mTi9aB5PF2ThqOidZ2lWGdWkycT6mTB4A+DmHEwS
uaDAlLpQEV2o4Vons9XlxYjurDBgkVZ6VtFtlo1ld9Bcda6WQZ0dYMd20e7H81kITx4yEKn6
6y+5FivExS+VS9yQheuqbTpm3HLWZRoawXOHEgs6+XLYnp0c03V+Ky7bSdxbaL9OecGtHT5f
hP4QIN8Evz1ZHudtLJeKcgtQzSOT6axGZrCRSIQ88jl1Vk2jaOTDuyD+fAxddHO+0gURrJTh
QtDFIiuuxkfna5cXFMXMNj7GLhGs4MrGLl+BpHLZNhWhTqMidImrVFDfBfzjLuDwhfafmd6y
1R9SpOYXhTBVY5qCqzyq9lSsxqYpIyEbrW7aobndsiCZXrWO/9lhst+bZ9KMZNP0M8enq1js
hJUVOb4gknetydHZtZivWfu8x/zqZN9ddWVud7xT1YmawtAO7ifUqz26pQ2Eyzg6H7i1m1EE
ugoWcqUmPFywjcdumQeVbxxX68tVdzxrRzoV3ne3gYmIIlBFeEbJlJQSf4UucuXYmUsl0tDR
jNMCjs7fuL796p4dNZdJTw9scus5daNTuVQvcWpXPspYA0lI3CyFBFSvGS+sTrjVKcJBIxk+
1lR0wzYfwgm0jqQl7nvEsNphgO/ddFw/guqzny9mF+nN/LTZ85XwUiQimSBdbcytw44CJPNN
jDb4yfxyQxhrCuGgIluOHd8hnVhrm/YHbAcitpQGPwHkKovsXdm6Gw5I6hSfCOUqlk6t4eFG
wmQKJQAO1ul8xwG4Z6qGeVYWiat/UD7pM+yKVG0PvSlXufAQ0w6HnfFdV1/YS0eP0ynjLNUm
4cq56Z2CbKSWTSUAfQ3mAlgSXwQijVjJpWVyCv6DxxNBlzX/8F9fPBjs99/Zmzf7PBvT6/+x
ty6fvLp+Zo8h2woXuRVVKcqoU3eD4p8uC5lTtocKJdNWvix5ZZkUUkWuELEgLJI81tZdZ2eV
mN8OvLh2Rv1Bef61dyzdK7BkZoRjZ9psXX8Lt3IXJq1ZS32Nn7DTr5RTZeHKUT6LZbqmK0Q4
I7Ei7udaFVbmCd0hHnrlX0RHnbjshG2+OJv7dU6vMtUenJ3lT9b5uWOkmSvdGd5NY5f34CTC
ZKndYRz/tomSs4lG9/KaWc3EWoSFFQ/qAeCxoZUYSxvXWKQBjgvh9w2B2c9NgtN6FEMXhgbS
2xZIoS/s/du39acZ1r9pXrefil8N/QWaM+iy4QgAJEBR5GY9uU5uJvr6kqicnZOCt782Ahfh
xdWdup7edidOrNGXGZRuH9l1pnTkO7kJOhr30DVDtAKSI81VEXqmryQi4pPDGhojeLLfdWSE
f9tr/tYN78J32rMmiwjASnoGBRz9WuT6CzQvD9Ggz+T8ajCKbhd7NUOsLfqtGvs7eGa+Qc0x
hr6Fsx/YG/Z+b8RqObHH1/1N+uU7gfHqglAip6hG/MWGwtK9SykNiWVIIh2GhckbbCM/n3x2
v36+BXTRAvniGixqEF3bmMhEhuQg0kTPDM9icrsk6FBiD9B4QJx8PiKaYqpcxxzMT+OjU94b
z+bLTTAuMRgNJGoyGjI4+ZC9SM2D4KuDNkEKbDppayDptJYcL4/H/LxPMCsxk7na9tBRBcz3
Ie+qdkffqHx1ducrGQtBd0vCTKBQLYt1yRKeVkBGJDk9d0I01QYo4ls4dM0TTQN8QyHYv//z
53/fsZ0+fWLvXoTxQcXRtmqU8NBS4QvudGt03T6izhbR4nTUoBbW0dxhKV2rgrrrOu3yQrbv
lp2MWmWZQDRCkVk5cakC/+t7tMV5Ywto/SexaG9X7ZtqOWw6PE60ilhNU8eg0M+J+jNnY4zY
0mTX1dBDp8NOuHd3T+X64IAOfqhK4snLmiekPxe+TLwQQkAt+aYgE0KoaAtfp/wBJiec+Ipo
dEU4lejfqOm76Y6X385ao6UjDZLdHaBgyAIa9ByE1rFrGPmMS+LNHIeiiVtC4BjhjlsAFem7
Wf01e/8o/0cn3fh45NPvBAVNCTQcIn1e6M1T5By36i/me6i0Oys/vBjxcTedV565E21czXzQ
cEgMlXGHf84QxFL8COid2lt8r7Z+2dbWv14qrZ+ediUv1Vn6/GMLuQPrHSTz9joZDeaBWzQI
+9HcVK3hN2gJgr7uJ/2ecm7t6LGtLo2IwhQfEflq7Ad47bZINUUgjdC1/AC1s+ysn4hOazxE
QieZovaG6FTKNNLlcxtK84jmPRp8v3Prnhqbe/S3NoxZrTtQi6Yg9+93HQ8OudNJWbj27vDV
K/aKtZAw6ZsiY4mwsY6cYEQ62U+enL06fPhFw2+qtkubncc8itxWqeSKFDJR38cDfRM08NEA
8gk0a6HRo6fwTTz3bgPFP0x/CRBCA0j41jlwp6SSfhRR/ucFSI1PHmtd8mhiIhVp2OT+nEm/
faAYZqAqPPZn6+wTpenhIZlDM2o0na+0qVy66XDBI9+j0ekqcgZDTjNSjsSOOE2bcUf6yLWz
kTS+okC9hf/xwPEu3u4Mp3jMRBYfBHkDX2jNDoLkkOS0wtcfH6bTDx9w8YFeoueheae66tyh
yns+VGUe3Z34Y5eRM1JuKhCuU3ocXxfIh/Of9aO9JJg9TXyINqs/GUXRcDZ/BBS2F8br6fTJ
oPvd72n/B1BLAQIUABQAAgAIAHNrfUiAbi1B+QkAAIATAAAQAAAAAAAAAAEAIAAAAAAAAABZ
WU85NTI4MjY2MDA2LmpzUEsFBgAAAAABAAEAPgAAACcKAAAAAA==

--Apple-Mail-A9343890-B962-2B6C-CE8D-E64BD14ECF6B
Content-Type: text/plain;
	charset=us-ascii
Content-Transfer-Encoding: 7bit




Sent from my iPhone
--Apple-Mail-A9343890-B962-2B6C-CE8D-E64BD14ECF6B--
Sur cette machine un KS , j'ai un seul site et une seul adresse mail. C'est la première fois que j'ai ce soucis là !

J'utilise roundcube posfix dovecot. ( possiblement pas à jours ) car j'utilise le panel zpanel que je compte supprimé et tous refaire a la mains bientôt 2 semaines max !

Code:
Mar 29 14:41:54 ks394130 postfix/smtpd[1521]: connect from unknown[110.227.200.50]
Mar 29 14:41:54 ks394130 postfix/smtpd[1521]: B46A0BF9EB: client=unknown[110.227.200.50]
Mar 29 14:41:55 ks394130 postfix/cleanup[1526]: B46A0BF9EB: message-id=<4BFBCC78-7B25-9B74-F5CA-79CA9A846365@team-shk.fr>
Mar 29 14:41:55 ks394130 postfix/qmgr[7236]: B46A0BF9EB: from=, size=4890, nrcpt=1 (queue active)
Mar 29 14:41:55 ks394130 postfix/pipe[1527]: B46A0BF9EB: to=, relay=dovecot, delay=0.53, delays=0.4/0.01/0/0.12, dsn=2.0.0, status=sent (delivered via dovecot service)
Mar 29 14:41:55 ks394130 postfix/qmgr[7236]: B46A0BF9EB: removed
Mar 29 14:41:55 ks394130 postfix/smtpd[1521]: disconnect from unknown[110.227.200.50]
voici le mail.log.

Merci d'avance pour votre aide pour trouvé la faille merci.