OVH Community, votre nouvel espace communautaire.

SPAM - Dois-je m’inquiéter ?


Oopas
17/03/2014, 19h56
Yep visiblement ça ne viens pas de moi...
Dans un sens ça me rassure, m'enfin j'espère que ça ne va pas durer une éternité.

renaudScore42
17/03/2014, 16h33
c'ets possible d'avoir les en-têtes sans les modifier par le mon-serveur à moi

Car tu y vois un fqdn ou une ip à la palce de cette substitution ?

sinon à première vu effectivement c'est le serveur (enfin serveur est un bien grand mot) derrière l'IP "80.36.169.95"/95.Red-80-36-169.staticIP.rima-tde.net qui contact les MX de Google.

Ce dernier répond que l'email n'est pas valide .... Alors pourquoi est-ce google qui te répond ? Tout simplement parce-que c'est Google qui gère les emails pour le domaine @1cpa.com qui est la cible du spam d'origine

Code:
root@vmcorerouter02:~# dig -t mx 1cpa.com

; <<>> DiG 9.7.3 <<>> -t mx 1cpa.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18362
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;1cpa.com.                      IN      MX

;; ANSWER SECTION:
1cpa.com.               7200    IN      MX      20 1cpa.com.s9a2.psmtp.com.
1cpa.com.               7200    IN      MX      40 1cpa.com.s9b2.psmtp.com.
1cpa.com.               7200    IN      MX      30 1cpa.com.s9b1.psmtp.com.
1cpa.com.               7200    IN      MX      10 1cpa.com.s9a1.psmtp.com.

;; Query time: 91 msec
;; SERVER: 10.12.1.2#53(10.12.1.2)
;; WHEN: Mon Mar 17 17:29:10 2014
;; MSG SIZE  rcvd: 152
Tu reçois le delivery-failure car le spameur a utilisé ton domaine est utilisé pour dans le champ "reply-to" c'est donc comme Nico l'indiquait du Backscatter (http://fr.wikipedia.org/wiki/R%C3%A9...lectronique%29).

Le seul moyen de lutter (mais ça peut avoir des effets de bords pas cool si c'est mal fait) c'est de signer le emails qui transitent par ton SMTP, et lors de delivery-failure de vérifier cette signature. Si il n'y a pas alors tu n'acceptes pas le delvery-failure ...

Dans les 3/4 des cas on accepte celui-ci et on le /dev/null directement !

Renaud

Oopas
25/02/2014, 00h55
Je pense vraiment que ça ne vient pas de moi.
J'ai des mails du type :
Code:
Delivery to the following recipient failed permanently:

    yrieteze7377@1cpa.com

----- Original message -----

X-Received: by 10.140.94.74 with SMTP id f68mr51565726qge.64.1392850291875;
        Wed, 19 Feb 2014 14:51:31 -0800 (PST)
Return-Path: 
Received: from psmtp.com ([74.125.150.176])
        by mx.google.com with SMTP id q6si680768qaq.30.2014.02.19.14.51.30
        for ;
        Wed, 19 Feb 2014 14:51:31 -0800 (PST)
Received-SPF: neutral (google.com: 80.36.169.95 is neither permitted nor denied by domain of yrieteze7377@mon-serveur.com) client-ip=80.36.169.95;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 80.36.169.95 is neither permitted nor denied by domain of yrieteze7377@mon-serveur.com) smtp.mail=yrieteze7377@mon-serveur.com
Received: from 95.Red-80-36-169.staticIP.rima-tde.net ([80.36.169.95]) by na6sys009bmx076.postini.com ([74.125.148.11]) with SMTP;
        Wed, 19 Feb 2014 14:51:30 PST
Received: from [10.0.0.107] ([10.0.0.107:8131] helo=95.Red-80-36-169.staticIP.rima-tde.net)
        by 06CA3232 (envelope-from )
        (ecelerity 3.5.1.37854 r(Momo-dev:3.5.1.0)) with ESMTP
        id 17/33-E0F47-796BCD89; Wed, 19 Feb 2014 23:51:35 +0200
Date: Wed, 19 Feb 2014 23:51:28 +0200
From: "USAPharm" 
Reply-To: yrieteze7377@mon-serveur.com
To: yrieteze7377@1cpa.com
Message-ID: <35758CAC4E98A6E81995EDAE56A19B9-B431DD438FBEE3A08103E51599E93FC2@95.Red-80-36-169.staticIP.rima-tde.net>
Subject: User yrieteze7377 Special 65% OFF!
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 7bit
X-Mailer: WhatCounts
ENVID: WC-5696517722690-26BD49DCB3AE1166972FB06E3EA67ECD-77e4857ba93b80556e53cddc343080b5
List-Unsubscribe: 
X-Unsubscribe-Web: 
X-pstn-levels: (S: 0.00000/25.63411 CV:99.9000 FC:95.5390 LC:95.5390 R:95.9108 P:95.9108 M:97.0282 C:98.6951 )
X-pstn-dkim: 0 skipped:not-enabled
X-pstn-status: off

----- End of message -----
Or les trucs du type :
X-Mailer: WhatCounts

Ca me parait vraiment louche, j'ai rien de ce genre.

Après honnêtement, je connais pas du tout le principe des backskatters, je vais essayer de me renseigner.

Nico94
24/02/2014, 14h40
Bah c’est un peu le principe d'un backscatter...

Ce sont les logs du serveur et les sources complète des mails qu'il faut creuser si tu veux en avoir le coeur net.

Oopas
24/02/2014, 13h09
Pourtant le from vient/viendrait de mon domaine...
C'est ça qui m'inquiète un peu

Nico94
23/02/2014, 13h10
Ca ressemble surtout à un backscatter.

Oopas
21/02/2014, 15h16
Bonjour,

depuis quelques temps maintenant je reçois de nombreux mails comme ceux-là :
http://image.noelshack.com/fichiers/...995588-ovh.png

En gros, mon serveur enverrai des spams, ceci dit le message de gmail m'indique que c'est peut-être de faux mails.

De plus en regardant rapidement mon serveur, je ne vois rien de suspect.

Est-ce que je dois m'inquiéter de ce type de mail ? Où regarder exactement sur mon serveur ?

En vous remerciant d'avance