OVH Community, votre nouvel espace communautaire.

Escroc par messagerie OVH


Nowwhat
19/07/2016, 10h06
Citation Envoyé par theomartin
...
Un de mes clients rencontre le même problème.
Donc si je comprends bien, il n'y a rien à faire ? Il faut se dire que c'est la faute à pas de chance si le domaine a été détourné et si OVH n'a pas envie de faire quoi que soit pour contrer cela sous prétexte que des millions d'autres comptes ne sont pas impactés (et encore cela se discute...) ?
Grosso modo : OVH ne va pas intervenir dans le mails que t'as reçu (sauf si t'as chosi de faire passer tes mails par leur MX-antispam). Ils ont le même approche que La Poste : le colis va être livré, même s'il contient un Kala.chnikov, 3 barrettes de shit, ou autre engin plus dangereux encore.
C'est à la personne destiné du message de refuser le colis, et le balancer la continu pas souhaité dans la poubelle.
Heureusement, les mails ne peuvent pas contenir des engins dangereux, il suffit de 'voir' le mail (même pas besoin de 'lire') pour
C'est vrai, certains arrivent à ajouter une texte qui "pousse" à ouvrir : car il s'agit d'un document tellement important
Pour autant, ces mes gens balance sans hésiter l’enveloppe d'un loterie qui annonce que le chèque de 100 000 € est prêt si ....

Citation Envoyé par theomartin
...
Il y a quelques mois chez un autre prestataire, j'avais rencontré ce type problème avec un nom de domaine perso utilisé pour de fausses adresses mails par des tiers. J'avais contacté le support qui est immédiatement intervenu sur un réglage DNS (il ne m'a pas indiqué lequel) et depuis plus d'utilisation abusive de mon nom de domaine pour de faux mails.
La mise en place d'un SPF ?
L'activation d'un MX (le truc que va recevoir tes mails) qui possède un filtre spam plus agressive ?

A savoir : le point fort d'OVH est le prix - pas la quelque de la gestion de tes mails

Citation Envoyé par theomartin
...
Quelqu'un aurait-il une idée de ce réglage DNS qui ne semble pas être automatique à la création et qui permettrait de limiter le détournement de suffixes de mails ?
Il n'existe pas des solutions miracle.
Observe les entêtes que t'as montré plus haut :
Le champs SPF ne colle pas - le DKIM n'est pas présent, le reverse DNS ne colle pas : OVH va quand même accepter le mail. A toi de décider de quoi en faire.
La bonne réception d'un mail commence à l'ancienne : on inspecte l'enveloppe. ca bien fonctionné avant, avec le système "La Poste", cette procédure fonctionne toujours bien aujourd'hui.

fritz2cat
19/07/2016, 09h08
quel nom de domaine ? on peut toujours examiner la zone DNS.

theomartin
19/07/2016, 08h18
Bonjour,

Un de mes clients rencontre le même problème.

Donc si je comprends bien, il n'y a rien à faire ? Il faut se dire que c'est la faute à pas de chance si le domaine a été détourné et si OVH n'a pas envie de faire quoi que soit pour contrer cela sous prétexte que des millions d'autres comptes ne sont pas impactés (et encore cela se discute...) ?

Il y a quelques mois chez un autre prestataire, j'avais rencontré ce type problème avec un nom de domaine perso utilisé pour de fausses adresses mails par des tiers. J'avais contacté le support qui est immédiatement intervenu sur un réglage DNS (il ne m'a pas indiqué lequel) et depuis plus d'utilisation abusive de mon nom de domaine pour de faux mails.

Quelqu'un aurait-il une idée de ce réglage DNS qui ne semble pas être automatique à la création et qui permettrait de limiter le détournement de suffixes de mails ?

fritz2cat
05/07/2016, 23h27
L'adresse IP qui t'a balancé ça se trouve au Vietnam...
Et méfie-toi doublement: les e-mails "scanned image" ou "Un colis n'a pas pu vous être livré" ou "remboursement des impôts" avec une pièce jointe est à 99% un risque de se faire infecter son PC si on ouvre la pièce jointe et qu'on répond "oui" "oui" aux dialogues qui suivent.
Ou pire c'est un rançongiciel qui te bousille tous tes fichiers. J'ai écrit un feuillet là-dessus http: / / blog.demees.net/?p=515

Nowwhat
05/07/2016, 20h26
OVH et VR (Vade Retro) sont d'accord : il s'agit d'un pur spam.
T'utilise quel MX chez OVH ?

Quelles sont les mesures de rétorsion possibles ?
Exemple : utiliser un client mail qui balance tes mails quand le "Sujet" commence par "[SPAM]" ... (bien d'autre existe - il suffit de Google un peu et choisir).
Certains webmail peuvent aussi faire le tri pour toi.

Un utilisateur, à son petit niveau, peut-il mener l'enquête plus loin ?
Faut pas.
Sinon tu va rapidement comprendre qu'il n'y qu'une solution : quitter le Mutu mail .....
Car : quelque chose comme un serveur mail qui travaille bien pour tout le monde (des millions des comptes mail pour des centaines des milliers de noms des domaines) : ça n'existe pas.

Un produit Mutu https://www dot ovh dot com/fr/hebergement-web/ est fournie avec quelques fonctions 'mail'. Mais il ne faut pas trop se poser des questions

armaldio
05/07/2016, 19h16
J'ai le même genre de probléme !

fvignon
04/07/2016, 20h46
Bonjour :-D

Un client possède un nom de domaine (non fourni par OVH) qui lui permet d'envoyer des e-mails (par les bons soins d'OVH).
Il a des adresses comme :
webmaster@site.fr
Pierre@site.fr
Paul@site.fr
etc

Il a reçu aujourd'hui un courrier venant de escroc@site.fr
Mais cette adresse n'existe pas.

Voici le courrier avec les entêtes affichées mais sans la photo (possiblement piégée).

Return-Path:
Delivered-To: fvignon@site.fr
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 4 Jul 2016 15:55:17 +0200
Received: from output4.mail.ovh.net (164.132.34.4)
by mx1.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 4 Jul 2016 15:55:07 +0200
Received: from vr6.mail.ovh.net (unknown [10.101.8.6])
by out4.mail.ovh.net (Postfix) with ESMTP id 982E6493FE
for ; Mon, 4 Jul 2016 15:55:06 +0200 (CEST)
Received: from in1.mail.ovh.net (unknown [10.101.4.1])
by vr6.mail.ovh.net (Postfix) with ESMTP id 81AF937A006A
for ; Mon, 4 Jul 2016 15:55:06 +0200 (CEST)
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=113.185.26.173; helo=nhatanh-pc; envelope-from=escroc@site.fr; receiver=fvignon@site.fr
Received: from NHATANH-PC (unknown [113.185.26.173])
by in1.mail.ovh.net (Postfix) with ESMTP id 06D78111D
for ; Mon, 4 Jul 2016 15:55:02 +0200 (CEST)
Mime-Version: 1.0
X-Mailer: Internet FAX, MGCS
Content-Type: multipart/mixed; boundary="+-+-+-MGCS-+-+-+"
Date: Mon, 04 Jul 2016 06:54:53 -0700
Message-Id: <75974253613752077003.7ACAE229@site.fr>
From:
Subject: [SPAM] [SPAM] Scanned image
To: fvignon@site.fr
X-Ovh-Tracer-Id: 7690459316478893794
X-VR-SPAMSTATE: SPAM
X-VR-SPAMSCORE: 300
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrfeeltddrvddvgdeikecute fuodetggdotefrodftvfcurfhrohhfihhlvgemucfqggfjpdev jffgvefmvefgnecuuegrihhlohhuthemuceftddtnecuogfuph grmhfhihhlvgfprghmvgculdeftddtmd
X-Ovh-Spam-Status: SPAM
X-Ovh-Spam-Reason: vr: SPAM; dkim: disabled; spf: disabled
X-Ovh-Message-Type: SPAM
X-Ovh-Remote: 164.132.34.4 (output4.mail.ovh.net)
X-Ovh-Local: 213.186.33.29 (mx1.ovh.net)
X-OVH-SPAMSTATE: SPAM
X-OVH-SPAMSCORE: 400
X-OVH-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrfeeltddrvddvucetufdote ggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfenuceurghi lhhouhhtmecufedttdenucgoqfefkedvqdffohgtmhdqghgvnh culdegtddtmd
X-Spam-Tag: YES (ovhvrmailscanner[400])

Image data has been attached to this email.
Le courrier est envoyé par le vietnam.

Quelles sont les mesures de rétorsion possibles ?
Un utilisateur, à son petit niveau, peut-il mener l'enquête plus loin ?


Merci à ceux qui savent.