Sebastien Posté 19 Février 2008 Posté 19 Février 2008 Depuis environ une semaine, ma boite mail reçoit quantité de mails non délivrés (plusieurs dizaines par jour) dont le contenu est du spam. J'apparais dans ces mails comme l'expéditeur initial, alors que bien sûr ce n'est pas le cas. Je reçois ces emails non délivrés essentiellement la nuit. Auriez-vous une idée de leur origine et comment arrêter ça ? Je suis à peu près sûr que mes PC ne sont pas infectés, car ils sont éteints la nuit et ils ont un antivirus+ le firewal XP. J'ai aussi vérifié sur mon site s'il n'y avait pas de fichier suspect, et ce n'est pas le cas. Une copie du code source d'un de ces mails dès fois que ça puisse servir : CODE Return-Path: <>Delivered-To: online.fr-s.billard@free.fr Received: (qmail 606 invoked from network); 19 Feb 2008 05:58:23 -0000 Received: from 195.229.156.190 (HELO mail1.aus.edu) (195.229.156.190) by mrelay1-g25.free.fr with SMTP; 19 Feb 2008 05:58:23 -0000 Received: from mail1.aus.edu (localhost [127.0.0.1]) by mail1.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) with ESMTP id <0JWH00L751X9JP10@mail1.aus.edu> for s.billard@free.fr; Tue, 19 Feb 2008 09:58:21 +0400 (GST) Received: from scmail. ([195.229.158.190]) by mail1.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) with ESMTP id <0JWH00LWC1X9JD60@mail1.aus.edu> for s.billard@free.fr; Tue, 19 Feb 2008 09:58:21 +0400 (GST) Received: from process-daemon.mailclust.aus.edu by mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) id <0JWH00I011L23F00@mailclust.aus.edu> for s.billard@free.fr; Tue, 19 Feb 2008 09:58:21 +0400 (GST) Received: from mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) id <0JWH00HR41X9WK00@mailclust.aus.edu>; Tue, 19 Feb 2008 09:58:21 +0400 (GST) Date: Tue, 19 Feb 2008 09:58:21 +0400 (GST) From: Internet Mail Delivery <postmaster@mailclust.aus.edu> Subject: [Real SPAM] Delivery Notification: Delivery has failed To: s.billard@free.fr Message-id: <0JWH00HR61X9WK00@mailclust.aus.edu> MIME-version: 1.0 Content-type: multipart/report; boundary="Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)"; report-type=delivery-status --Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg) Content-type: text/plain; charset=us-ascii Content-language: en-US Content-transfer-encoding: 7BIT This report relates to a message you sent with the following header fields: Message-id: <029488958.78148726402512@free.fr> Date: Tue, 19 Feb 2008 00:59:53 -0500 From: Kimberle Keith <s.billard@free.fr> To: clinic@aus.edu Subject: [Real SPAM] The Shortest Way to Your Happy Love Life Your message cannot be delivered to the following recipients: Recipient address: clinic@aus.edu Reason: You are not allow to send.$--------------------------------$AUS Network Section.: clinic@aus.edu --Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg) Content-type: message/delivery-status Reporting-MTA: dns;mailclust.aus.edu (reprocess-daemon) Original-recipient: rfc822;clinic@aus.edu Final-recipient: rfc822;clinic@aus.edu Action: failed Status: 5.7.1 (You are not allow to send.$--------------------------------$AUS Network Section.: clinic@aus.edu) --Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg) Content-type: message/rfc822 Return-path: <s.billard@free.fr> Received: from reprocess-daemon.mailclust.aus.edu by mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) id <0JWH00HR41X9WK00@mailclust.aus.edu>; Tue, 19 Feb 2008 09:58:21 +0400 (GST) Received: from AUS ([195.229.156.190]) by mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) with ESMTP id <0JWH00IPO1X30680@mailclust.aus.edu> for clinic@aus.edu; Tue, 19 Feb 2008 09:58:15 +0400 (GST) Received: from [190.67.131.52] by mail1.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007)) with ESMTP id <0JWH00LU91WIJD60@mail1.aus.edu>; Tue, 19 Feb 2008 09:58:15 +0400 (GST) Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500 Date: Tue, 19 Feb 2008 00:59:53 -0500 From: Kimberle Keith <s.billard@free.fr> Subject: [Real SPAM] The Shortest Way to Your Happy Love Life To: clinic@aus.edu Reply-to: s.billard@free.fr Message-id: <029488958.78148726402512@free.fr> MIME-version: 1.0 X-Mailer: The Bat! (v3.71.04) Educational Content-type: multipart/alternative; boundary="Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)" X-Priority: 3 (Normal) --Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ) Content-type: text/plain; charset=Windows-1252 Content-transfer-encoding: 7BIT It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. Order our VPXL now.http://geocities.com/sharpe_emerson/ --Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ) Content-type: text/html; charset=Windows-1252 Content-transfer-encoding: 7BIT <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML><HEAD><TITLE></TITLE> </HEAD> <BODY> <html> <body bgcolor="#FFFFFF" link="#AE0B0B"> <p><font face="Verdana" size="2"><font color="0066FF"><b>It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. </b></font></font></p> <p><font face="Verdana" size="2"><b>Order our VPXL now.</font></p> <p><font face="Verdana" size="2"><b><a href="http://geocities.com/sharpe_emerson/">http://geocities.com/sharpe_emerson/</a></font></p> </body> </html> </BODY></HTML> --Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)-- --Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)--
captain_torche Posté 19 Février 2008 Posté 19 Février 2008 Vu comme c'est marqué aus.edu un peu partout, il y a des chances que ce soient eux qui soient infectés.Mis à part les prévenir, je ne sais pas trop ce que tu pourrais y faire.
Portekoi Posté 19 Février 2008 Posté 19 Février 2008 Euh je crois que c'est l'inverse. Le mail d'origne est partie de s.billard at free.fr et Aus.Edu l'a détecté en Spam d'où la réponse... Enfin c'est comme ca que je lis en tout cas.
captain_torche Posté 19 Février 2008 Posté 19 Février 2008 Au temps pour moi. Dans ce cas, c'est un spammeur qui utilise ton adresse e-mail, et je ne vois pas trop quoi faire.
Portekoi Posté 19 Février 2008 Posté 19 Février 2008 Arf non surtout que ton mail est en clair sur Google... Fais une règle dans ton client de messagerie mais le soucis, c'est qu'un petit con utilise ton mail pour faire son spam... Faudrait réussir à remonter à son IP du mail d'origine et porter plainte... je vois que ca
fhamot Posté 19 Février 2008 Posté 19 Février 2008 Salut, Dans le spam on trouve la ligne suivante : Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500 L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois. On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple. Whois de l'adresse IP : inetnum: 190.66/15 status: allocated owner: COLOMBIA TELECOMUNICACIONES S.A. ESP ownerid: CO-CTSE-LACNIC responsible: Administradores Internet address: Transversal, 49, 105-84 address: N - BOGOTA - country: CO phone: +57 1 5935399 [1539] owner-c: JRJ tech-c: JRJ inetrev: 190.66/15 nserver: DNS.TELECOM.COM.CO nsstat: 20080216 AA nslastaa: 20080216 nserver: DNS1.TELECOM.COM.CO nsstat: 20080216 AA nslastaa: 20080216 created: 20070223 changed: 20070223 nic-hdl: JRJ person: Jairo Rojas Jurado e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO address: Trv 49, 105, 84 address: 1 - Bogotá, D.C. - Cu country: CO phone: +57 1 5935399 [1775] created: 20050603 changed: 20050603
Wefficient Posté 19 Février 2008 Posté 19 Février 2008 (modifié) Désolé pour ce qui t'arrive Sebastien :-( J'ai fait une note pour ce problème il y a bien longtemps... Quand les demons du mail dansent l'e-bouncing J'ai subi ce problème... quasiment insoluble tant que nous ne seront pas sur un internet securisé. edit: Les mails à abus ne servent pas, generalement c'est des reseaux zombies derriere :-/ Modifié 19 Février 2008 par Wefficient
Sebastien Posté 19 Février 2008 Auteur Posté 19 Février 2008 Merci pour ces réponses, en fait ce n'est pas tant les emails qui me dérangent (il sont filtrés par mon antispam à la maison, c'est juste au niveau du webmail que c'est pénible), mais j'ai peur que mon email soit blacklisté par des services antispam, cela est-il possible ?
Sebastien Posté 19 Février 2008 Auteur Posté 19 Février 2008 PS : il semble bien y avaoir des réseaux zombie derrière, car pour un autre mail c'est une ip japonaise qui a été utilisée...
Elandrael Posté 19 Février 2008 Posté 19 Février 2008 Salut, Dans le spam on trouve la ligne suivante : Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500 L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois. On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple. Whois de l'adresse IP : inetnum: 190.66/15 status: allocated owner: COLOMBIA TELECOMUNICACIONES S.A. ESP ownerid: CO-CTSE-LACNIC responsible: Administradores Internet address: Transversal, 49, 105-84 address: N - BOGOTA - country: CO phone: +57 1 5935399 [1539] owner-c: JRJ tech-c: JRJ inetrev: 190.66/15 nserver: DNS.TELECOM.COM.CO nsstat: 20080216 AA nslastaa: 20080216 nserver: DNS1.TELECOM.COM.CO nsstat: 20080216 AA nslastaa: 20080216 created: 20070223 changed: 20070223 nic-hdl: JRJ person: Jairo Rojas Jurado e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO address: Trv 49, 105, 84 address: 1 - Bogotá, D.C. - Cu country: CO phone: +57 1 5935399 [1775] created: 20050603 changed: 20050603 http://www.google.fr/search?hl=fr&q=Ja...urado&meta= Complément d'infos sur les 2 premiers résultats Proxy 4 Free: Whois Lookup- person - Jairo Rojas Jurado address - 1 - Bogotá, D.C. - Cu owner - COLOMBIA TELECOMUNICACIONES S.A. ESP country - CO nslastaa - 20080209 ... www.proxy4free.com/cgi-bin/whois.cgi?domain=201.228.149.36 Free Anonymous Proxy- nslastaa: 20080216 created: 20051027 changed: 20051027 nic-hdl: JRJ person: Jairo Rojas Jurado e-mail: jairo.rojas_AT_TELECOM.NET.CO address: Trv 49, 105, 84 ... www.romanfr.com/proxy/index.php?act=whois&ip=201.228.123.66 +
Wefficient Posté 19 Février 2008 Posté 19 Février 2008 je ne vais pas te dire que le blacklistage est impossible. :-( Mais le premier niveau de listing, c'est pas l'IP et la comme tes IP ne sont pas touchée (tu n'es pas l'emetteur initial) tu seras epargné Le probleme vient plutot quand les cibles initiales sont des contacts que tu connais :-/ J'ai un client impacté qui a vu un de ses contact recevoir une pub pour du viagra... ca la fout mal. Mais en relativisant, les risques sont similaires aux campagnes de mails forgés... pas d'e-bouncing dedans mais ton email est utilisé comme expediteur.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant