OVH Community, votre nouvel espace communautaire.

par ou passe le spammeur ?


fritz2cat
10/04/2016, 21h20
En réponse au message qui n'apparaît pas (en modération ?)
ce sont des adresses aléatoires :
dazdzaAmondomaine.com
adzergteAmondomaine.com…

Peut on bloquer l'envoie en smtp ?
Si les adresses sont aléatoires, pourquoi les masques-tu ? Pourquoi acceptes-tu les mails pour des adresses qui n'existent pas ?
Mais jusqu'ici tu parlais de réception en SMTP, ici tu parles d'envoi.

fritz2cat
06/04/2016, 11h26
Citation Envoyé par Cedphot
J'ai corrigé le SPF, c'est l'assistant OVH qui avait créé un doublon.

Les messages viennent d'adresses IP différentes, pas moyen de bloquer :-(

Si je comprend bien, n'importe qui peut se faire passer pour n'importe qui par mail à partir du moment ou le serveur de réception ne vérifie pas ?
oui, tu ne le savais pas ?
Citation Envoyé par Cedphot
L'adresse qui reçoit ces messages est un "ancien" catch-all qui avait été mis en place sur un manager précédent.

Désolé de redemander, mais quelle incidence cela peut avoir sur les autres services (hébergement…) ?
Je ne pense pas, sauf si tu rediriges ces mails "infectés" vers une adresse Gmail ou Hotmail, qui pourraient prendre des mesures de bannissement.
Citation Envoyé par Cedphot
Encore un grand merci !
De rien

Cedphot
05/04/2016, 16h21
J'ai corrigé le SPF, c'est l'assistant OVH qui avait créé un doublon.

Les messages viennent d'adresses IP différentes, pas moyen de bloquer :-(

Si je comprend bien, n'importe qui peut se faire passer pour n'importe qui par mail à partir du moment ou le serveur de réception ne vérifie pas ?

L'adresse qui reçoit ces messages est un "ancien" catch-all qui avait été mis en place sur un manager précédent.

Désolé de redemander, mais quelle incidence cela peut avoir sur les autres services (hébergement…) ?

Encore un grand merci !

fritz2cat
05/04/2016, 16h03
Mon opinion n'a malheureusement pas changé.
SPF pourra un peu soulager
Quand il y a un virus en attach, OVH pourrait le rejeter.
Mais sinon il reste juste à s'asseoir et pleurer...
Si tous les mails étaient émis depuis 111.92.122.98 on pourrait les filtrer en cherchant dans le texte du mail, mais rien n'est moins sûr.

Citation Envoyé par fritz2cat
Soit c'est ce qu'on appelle du backscatter (ton compte mail n'est pas piraté mais des spammeurs utilisent ton adresse comme adresse d'expéditeur dans des spams)
C'est une nuisance et il n'y a pas grand chose à faire.
- - - Mise à jour - - -

rappel. Ce n'est pas correct comme tu as fait. Il ne devrait y avoir qu'une seule ligne SPF (TXT) dans ta zone DNS.
Citation Envoyé par fritz2cat
Tu n'as pas changé ton SPF, mais tu as ajouté une 2è ligne !

fritz2cat
05/04/2016, 15h52
Tu n'as pas changé ton SPF, mais tu as ajouté une 2è ligne !

Cedphot
05/04/2016, 15h48
Merci à tous en tous cas !

Je suis sûr que tous les mails sortant passe par pas ssl0.ovh.net / ns0.ovh.net / mailXcedricnicolleXcom car je n'ai jamais utilisé mes adresses ailleurs que dans le webmail.

J'en ai 2 qui ne me servent quasiment pas.

J'ai donc rajouté le -all à la fin du SPF.

Peut on éliminer tout problème sur la partie hébergemen ?

fritz2cat
05/04/2016, 15h22
Citation Envoyé par Cedphot
Tu as un SPF déjà configuré.
Si tu es 100% certain que tous les mails sortants de tous les utilisateurs de ton domaine passent pas ssl0.ovh.net / ns0.ovh.net / mailXcedricnicolleXcom
(et donc pas via le SMTP de Orange ou Free par exemple),

tu peux éditer ton SPF et remplacer ~all par -all à la fin.

- - - Mise à jour - - -

Je continue...

En fait il semble que l'adresse @ pcmbiz existe.
Elle forwarde à une adresse Gmail que tu as masquée à la ligne 31 du pastebin "destinataire @ destinataire.com"
Gmail a flairé l'attachment suspect et a refusé le mail.

26.This message was created automatically by mail delivery software.
27.
28.A message that you sent could not be delivered to one or more of its
29.recipients. This is a permanent error. The following address(es) failed:
30.
31. destinataire@destinataire.com
32. (generated from bc7f5d7@pcmbiz.com)
33. SMTP error from remote mail server after end of data:
34. host gmail-smtp-in.l.google.com [74.125.129.26]:
35. 552-5.7.0 This message was blocked because its content presents a potential
36. 552-5.7.0 security issue. Please visit
37. 552-5.7.0 https://support.google.com/mail/answer/6590 to review our message
38. 552 5.7.0 content and attachment content guidelines. k5si9727123igv.5 - gsmtp

fritz2cat
05/04/2016, 15h11
Bonjour Cédric,

Sur base du pastebin:
il s'agit peut-être d'un spammeur en Inde sur l'adresse 111.92.122.98 qui a envoyé un mail vers l'adresse bc7f5d7 @ pcmbiz.com qui est peut-être inexistante.

Je viens d'envoyer un mail à cette adresse et le serveur mail.pcmbiz.com [69.162.150.174] l'a accepté. Peut-être que "un peu plus tard" ce serveur va générer un message d'erreur mais j'attends toujours.

Dans les en-têtes que je réclamais on voit que OVH a reçu ce "undeliverable" depuis un serveur mail.jrwebspace.com (69.162.150.174) . C'est le même serveur que ci-dessus. Une plainte pour spam devrait aller chez l'administrateur de l'adresse IP de ce serveur-là (abuse @ steadfast.net), car tout le reste est peut-être vrai ou peut-être fabriqué de toutes pièces.

Aujourd'hui il n'est plus tolérable d'accepter un mail pour générer ensuite un message d'erreur. Le rejet doit se produire en temps réel durant la transaction SMTP et non pas après. (je veux dire par là que pcmbiz.com devrait mettre à jour son serveur de mail)

Et l'attach de ce spam est évidemment hostile, c'est un downoader de virus / rançongiciel, / ...

Cedphot
05/04/2016, 14h53
Je peux vous le donner comment ? en privé ?

edit :
allez, pour aller plus vite :
www x cedricnicolle x com

Ludo.H
05/04/2016, 14h39
Bonjour,

Si vous êtes disposé à donner votre nom de domaine, je pourrais vous aider.

Cdt,

Cedphot
05/04/2016, 14h31
Mince, désolé

pastebin.com / H8nqSLuB

j'espère ne rien avoir oublié

Je suis loin d'être un expert, mais les messages ne semblent pas partir du serveur mutu. On 'usurpe' le domaine.

J'ai appliqué un tutoriel OVH sur le SPF en mutu.

fritz2cat
05/04/2016, 14h26
Je ne crois rien tant que tu n'as pas inclus les en-têtes SMTP du message que tu as reçu.

Cedphot
05/04/2016, 14h17
En voici un bien explicite :
pastebin.com / uMBRy6XB

Si je décrypte bien, il passe par 111.92.122.98 qui semble être en Inde.

fritz2cat
05/04/2016, 14h07
N'hésite pas à poster leurs spams dans pastebin.com
(message en entier avec les en-têtes SMTP)
et ensuite remets ici les URL où tu as posté les messages, en faisant un peu de nettoyage pour éviter la modération
Exemple pastebin.com / D3NvwC8T

Cedphot
05/04/2016, 13h57
Effectivement, il y a un virus dans certains des messages.

Sachant que c'est sur un mutu, que puis-je faire ?

Question subsidiaire, est-ce gênant pour mon site ?

fritz2cat
05/04/2016, 13h56
N'hésite pas à poster leurs spams dans pastebin.com (en masquant le minimum syndical comme ton adresse mail)

Cedphot
05/04/2016, 13h55
les adresses sont aléatoires .

Il n'y a que le @domaine.com qui est identique.

Peut on bloquer l'envoie par smtp ?

fritz2cat
05/04/2016, 13h55
Soit c'est ce qu'on appelle du backscatter (ton compte mail n'est pas piraté mais des spammeurs utilisent ton adresse comme adresse d'expéditeur dans des spams)
C'est une nuisance et il n'y a pas grand chose à faire. Tu peux mettre un SPF qui se termine par "-all" si tu sais de quoi il en retourne. Ca peut théoriquement diminuer un peu la quantité de retours. Un bon anti-spam devrait détecter le spam s'il est joint en pièce jointe au message d'erreur, mais ce n'est pas toujours le cas.

Ou bien alors c'est du spam qui se présente sous forme d'un "non-delivery".
C'est beaucoup plus insidieux, les spammeurs fabriquent un faux "non-delivery" dans le lequel il y a le spam qui est soi-disant "undeliverable". On en voit assez peu de ce type pour le moment. Ce serait plutôt des messages avec des pièces jointes hostiles (trojan,virus).

Cedphot
05/04/2016, 13h51
ce sont des adresses aléatoires :
dazdza@mondomaine.com
adzergte@mondomaine.com

Peut on bloquer l'envoie en smtp ?

Daniel60
05/04/2016, 13h45
Il est évident que quelqu'un "déco..e" avec ton nom de domaine. Vérifie l'émetteur de ces messages.

Cedphot
05/04/2016, 13h31
Bonjour,

Depuis hier, je reçoit de nombreux mails du genre :
Delivery has failed……

En gros on utilise des adresses inexistantes de mon domaine pour envoyer des mails spam !

des adresse en xyz@mondomaine.com !

Alors j'ai vérifié dans hébergement, la partie script et rien ne semble déconner… le nombre de mail envoyé correspond à mes test.
Je n'ai que deux comptes mail, le postmaster et une adresse. J'ai changé les mots de passes par des truc très corsé (chiffres, lettres, + de 20 caracteres…)

Que puis-je faire, sachant que personne de l'assistance ne semble vouloir m'aider ?