Forum général.général spam et usurpation d'identité

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
6
18
juil.
2016

Bonjour,

je fais face depuis quelques temps à des envois de spam utilisant mon nom mais sous une fausse adresse mail. Ce qui me fait souci c'est que les destinataires sont eux bien présent dans dans mon carnet d'adresse. Exemple :

From: Vincent Gay victor59@globo.com (c'est bien mon nom, c'est une adresse farfelue)
Date: July 15, 2016 at 10:08:16 AM CDT
To: (ici une liste de gens que je connais avec leur véritable adresse)
Subject: comment vous-allez?
Corps du mail: Salut,
Je voulais juste dire salut et demander comment vous-allez? Je vais bien, vous pouvez lire mon dernier article ici http://welcome.blakciel.com/xowut
Vincent Gay

Parfois c'est dans l'autre sens : je reçois un courrier au nom de quelqu'un que je connais (fausse adresse mail) et je figure dans une liste de destinataires (mais que je ne connais pas).

Connaissez-vous ce mode opératoire, son origine ?

Je ne sais qu'en penser : si mon compte ou mon PC sont vérolés pourquoi ne pas utiliser ma véritable adresse ? Je synchronise mon carnet d'adresse avec un compte owncloud chez la mère Zaclys, pourrait-ce être ce compte qui soit piraté ? J'ai aussi 2 vieux compte Google, faut-il que je les ferme ?

pour l'heure je vais passer tout mon HD sous clamav mais ça risque d'être long.

mon environnement :
PCs entièrement Linux (archlinux) un chez moi et un au boulot
thunderbird
compte mail chez Gandi avec carnet d'adresse partiel
owncloud chez la mère Zaclys avec carnet d'adresse complet et synchronisé avec thunderbird

Merci d'avance

  • # Puits sans fond

    Posté par  . Évalué à 4.

    Il est très probable qu'une de tes connaissances ait été piratée, pas toi. L'usage d'une autre adresse mail est là pour permettre d'envoyer les messages, de plus en plus de serveurs refusant les mails envoyés depuis un autre domaine.

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Puits sans fond

      Posté par  (site web personnel) . Évalué à 4.

      L'usage d'une autre adresse mail est là pour permettre d'envoyer les messages, de plus en plus de serveurs refusant les mails envoyés depuis un autre domaine.

      Ça ne veut pas dire grand chose, ça, « depuis un autre domaine ». Mais je pense que je vois ce que tu veux dire : avec des systèmes comme SPF et DKIM, les usurpations d'adresses sont faciles à détecter, donc ces spammeurs usurpent seulement le nom, pas l'adresse de l'expéditeur !

  • # En tête

    Posté par  (site web personnel) . Évalué à 2.

    Pour une fois je suis moi-même destinataire du mail, ce qui me permet d'accéder à l'en tête complet. Malheureusement je ne sais pas comment l'exploiter.

    Vincent Gay thiagoamendola@globo.com
    Date :
    22/07/2016 22:25
    Pour :
    ../..
    Return-Path:
    thiagoamendola@globo.com
    Delivered-To:
    (moi)
    Received:
    from spool.mail.gandi.net (mspool4-d.mgt.gandi.net [10.0.21.135]) by nmboxes106.sd2.0x35.net (Postfix) with ESMTP id 49AB820A63 for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:36 +0200 (CEST)
    Received:
    from mfilter43-d.gandi.net (mfilter43-d.gandi.net [217.70.178.174]) by spool.mail.gandi.net (Postfix) with ESMTP id 463B5142207 for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:36 +0200 (CEST)
    X-Virus-Scanned:
    Debian amavisd-new at mfilter43-d.gandi.net
    Received:
    from spool.mail.gandi.net ([IPv6:::ffff:10.0.21.135]) by mfilter43-d.gandi.net (mfilter43-d.gandi.net [::ffff:10.0.15.180]) (amavisd-new, port 10024) with ESMTP id VQwZtxhz33Fg for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:34 +0200 (CEST)
    Received:
    from mcegress-30-lw-45.correio.biz (mcegress-30-lw-45.correio.biz [191.252.30.45]) by spool.mail.gandi.net (Postfix) with ESMTP id 051CD142074 for vgay@vintherine.org; Fri, 22 Jul 2016 22:25:33 +0200 (CEST)
    X-Sender-Id:
    x-authuser|thiagoamendola@globo.com
    Received:
    from jimmy0001.correio.biz (unknown [10.30.225.41]) by mcrelay.correio.biz (Postfix) with ESMTP id 987B515018C3; Fri, 22 Jul 2016 17:25:31 -0300 (BRT)
    X-Sender-Id:
    x-authuser|thiagoamendola@globo.com
    Received:
    from jimmy0001.correio.biz (relay-179-188-30-4.globo.com [10.30.224.225]) by 0.0.0.0:2500 (trex/5.5.5); Fri, 22 Jul 2016 17:25:31 -0300
    X-LW-Relay:
    Bad
    X-LW-SenderId:
    x-authuser|thiagoamendola@globo.com
    Received:
    from jimmy0001.correio.biz (localhost [127.0.0.1]) by jimmy0001.correio.biz (Postfix) with ESMTP id 922F31802EF; Fri, 22 Jul 2016 17:25:31 -0300 (BRT)
    Received:
    from kim0008.globo.correio.biz (unknown [179.188.28.8]) by jimmy0001.correio.biz (Postfix) with ESMTP id D4B74180407; Fri, 22 Jul 2016 17:25:30 -0300 (BRT)
    x-globo-id:
    BVxod59Uk-XrQtuEUOGOt423WdpF5IcyA7v72AqvqDUgxz0xPNDS_d2d2ZJfSo1fTAdEi3q8BR4Z7elURAgnJQQ1f_C_R-vh31qBD-F7EMTDrY8wS4G6IB3UH_KlOs5_DGFVyJtnBHtsGF_sBHz3gnRwIPAsLSzJl-yst_k8stK3rwL_LYvbBvxxGvuBkE58UDqrZX4lmatxoI7vMpiA8g== NzQ2ODY5NjE2NzZmNjE2ZDY1NmU2NDZmNmM2MTQwNjc2YzZmNjI2ZjJlNjM2ZjZk
    x-globo-id:
    BVxod59Uk-XrQtuEUOGOt423WdpF5IcyA7v72AqvqDUgxz0xPNDS_d2d2ZJfSo1fTAdEi3q8BR4Z7elURAgnJQQ1f_C_R-vh31qBD-F7EMTDrY8wS4G6IB3UH_KlOs5_DGFVyJtnBHtsGF_sBHz3gnRwIPAsLSzJl-yst_k8stK3rwL_LYvbBvxxGvuBkE58UDqrZX4lmatxoI7vMpiA8g== NzQ2ODY5NjE2NzZmNjE2ZDY1NmU2NDZmNmM2MTQwNjc2YzZmNjI2ZjJlNjM2ZjZk
    x-globo-id:
    BVxod59Uk-XrQtuEUOGOt423WdpF5IcyA7v72AqvqDUgxz0xPNDS_d2d2ZJfSo1fTAdEi3q8BR4Z7elURAgnJQQ1f_C_R-vh31qBD-F7EMTDrY8wS4G6IB3UH_KlOs5_DGFVyJtnBHtsGF_sBHz3gnRwIPAsLSzJl-yst_k8stK3rwL_LYvbBvxxGvuBkE58UDqrZX4lmatxoI7vMpiA8g== NzQ2ODY5NjE2NzZmNjE2ZDY1NmU2NDZmNmM2MTQwNjc2YzZmNjI2ZjJlNjM2ZjZk
    x-globo-id:
    BVxod59Uk-XrQtuEUOGOt423WdpF5IcyA7v72AqvqDUgxz0xPNDS_d2d2ZJfSo1fTAdEi3q8BR4Z7elURAgnJQQ1f_C_R-vh31qBD-F7EMTDrY8wS4G6IB3UH_KlOs5_DGFVyJtnBHtsGF_sBHz3gnRwIPAsLSzJl-yst_k8stK3rwL_LYvbBvxxGvuBkE58UDqrZX4lmatxoI7vMpiA8g== NzQ2ODY5NjE2NzZmNjE2ZDY1NmU2NDZmNmM2MTQwNjc2YzZmNjI2ZjJlNjM2ZjZk
    x-globo-id:
    BVxod59Uk-XrQtuEUOGOt423WdpF5IcyA7v72AqvqDUgxz0xPNDS_d2d2ZJfSo1fTAdEi3q8BR4Z7elURAgnJQQ1f_C_R-vh31qBD-F7EMTDrY8wS4G6IB3UH_KlOs5_DGFVyJtnBHtsGF_sBHz3gnRwIPAsLSzJl-yst_k8stK3rwL_LYvbBvxxGvuBkE58UDqrZX4lmatxoI7vMpiA8g== NzQ2ODY5NjE2NzZmNjE2ZDY1NmU2NDZmNmM2MTQwNjc2YzZmNjI2ZjJlNjM2ZjZk
    Received:
    from wrywly.com (68-187-210-215.dhcp.oxfr.ma.charter.com [68.187.210.215]) (Authenticated sender: thiagoamendola@globo.com) by kim0008.globo.correio.biz (Postfix) with ESMTPSA id A05571009F0; Fri, 22 Jul 2016 17:25:28 -0300 (BRT)
    ID du message :

    Version de MIME:
    1.0
    Content-Type:
    multipart/alternative; boundary="----=_NextPart_000_0001_093CF764.00E8E8F9"
    X-Mailer:
    Microsoft Outlook 15.0
    Thread-Index:
    AdHY/FAdqNj7nsAUJFJuoU37fc5G4A==
    Content-Language:
    fr
    X-AuthUser:
    thiagoamendola@globo.com
    X-Outbound-RspamD:
    yes
    X-MC:
    yes
    Salut,
    Depuis notre dernière conversation je cherchais ces choses et je l'ai enfin trouvé! Jetez un coup d'œil ici http://level.brianalboucq.com/xoskdsup
    Gros bisous, Vincent Gay

    • [^] # Re: En tête

      Posté par  . Évalué à 2.

      il faut lire les entetes de bas en haut :

      Received:

      • spool.mail.gandi.net (mspool4-d.mgt.gandi.net [10.0.21.135]) -> nmboxes106.sd2.0x35.net (Postfix) with ESMTP id 49AB820A63 for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:36 +0200 (CEST)
      • mfilter43-d.gandi.net (mfilter43-d.gandi.net [217.70.178.174]) -> spool.mail.gandi.net (Postfix) with ESMTP id 463B5142207 for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:36 +0200 (CEST)
      • spool.mail.gandi.net ([IPv6:::ffff:10.0.21.135]) by mfilter43-d.gandi.net (mfilter43-d.gandi.net [::ffff:10.0.15.180]) (amavisd-new, port 10024) with ESMTP id VQwZtxhz33Fg for vincent@vintherine.org; Fri, 22 Jul 2016 22:25:34 +0200 (CEST)
      • mcegress-30-lw-45.correio.biz (mcegress-30-lw-45.correio.biz [191.252.30.45]) -> spool.mail.gandi.net (Postfix) with ESMTP id 051CD142074 for vgay@vintherine.org; Fri, 22 Jul 2016 22:25:33 +0200 (CEST)
      • jimmy0001.correio.biz (unknown [10.30.225.41]) -> mcrelay.correio.biz (Postfix) with ESMTP id 987B515018C3; Fri, 22 Jul 2016 17:25:31 -0300 (BRT)
      • jimmy0001.correio.biz (relay-179-188-30-4.globo.com [10.30.224.225]) -> 0.0.0.0:2500 (trex/5.5.5); Fri, 22 Jul 2016 17:25:31 -0300
        • jimmy0001.correio.biz (localhost [127.0.0.1]) -> jimmy0001.correio.biz (Postfix) with ESMTP id 922F31802EF; Fri, 22 Jul 2016 17:25:31 -0300 (BRT)
      • kim0008.globo.correio.biz (unknown [179.188.28.8]) -> jimmy0001.correio.biz (Postfix) with ESMTP id D4B74180407; Fri, 22 Jul 2016 17:25:30 -0300 (BRT)
      • wrywly.com (68-187-210-215.dhcp.oxfr.ma.charter.com [68.187.210.215]) (Authenticated sender: thiagoamendola@globo.com) by kim0008.globo.correio.biz (Postfix) with ESMTPSA id A05571009F0; Fri, 22 Jul 2016 17:25:28 -0300 (BRT)

      c'est donc parti de wrywly.com à partir d'une machine dont l'ip est 68.187.210.215, à 17h25 BRT (BRazilian Time ?)
      pour remonter le SMTP de globo.com (kim0008, passe à Jimmy001, qui passe à mcrelay, qui pousse à gandi sous le nom de mcegress…)
      et etre delivré à gandi, qui le delivre à ta boite email à la fin.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.