Forum général.général Spam sur @free.fr

Posté par ocroquette le 18 mai 2024 à 08:30. Licence CC By‑SA.

Étiquettes :

mai

2024

Salut,

à ceux qui ont à faire à des adresses @free.fr, avez-vous aussi le problème de vagues de spam? Il y en a une qui dure en ce moment, et c’est bien énervant. La désinscription, quand elle est proposée, n’a aucun effet.

Les classiques sont:
- From: [a] par [b] , par exemple "Taux Conso Avantageux par Pastolex <news@nebuleuseargent.fr>". [a], [b] et [c] changent constamment.
- Soit-disant LIDL, Nespresso…
- Le remplacement des lettres latines par d’autres ressemblantes: Gagnanƚ Marionnᥲud
- De: [monproprelogin]

J’ai mis quelques filtres côtés serveur, ça aide un peu, mais il y a tellement de variations qu’il y a reste de faux négatifs. L‘évaluation des serveurs Free (X-Proxad-Sc) n’aide pas.

Avez-vous des tuyaux?

# ca dépend

Posté par Marc Quinton le 18 mai 2024 à 15:17. Évalué à 2.
- sur ma BAL perso, qui remonte à l'Antiquité ou presque, avant d'avoir un compte Gmail : très très peu de spam ;
- concernant la BAL de madame, c'est une autre affaire. Ca l'agace sérieusement.
Je ne pense pas que cet environnement, tel qu'il est livré avec un mécanisme antispam rudimentaire soit apte à être utilisé dans de bonnes conditions.
- [^] # Re: ca dépend
  
  Posté par Marc Quinton le 19 mai 2024 à 11:56. Évalué à 3.
  
  en regardant plus finement :
  - mes mails free.fr sont aspirés sur mon compte gmail (simple configuration) ;
  - j'ai environ 700 messages dans le dossier SPAM classés automatiquement ;
  - cela correspond à 50% de mon dossier SPAM sur mon compte gmail.
# utiliser une adresse @free.fr

Posté par tkr le 18 mai 2024 à 19:10. Évalué à 2.

à vos risques et périls.

les uns se plaignent de recevoir "trop de spam"
les autres se plaignent que les messages expédiés par leurs correspondants, ne sont simplement "jamais reçus", ni en boite de réception, ni en courrier indésirable, bien que l'expédition est effectuée par le fournisseur email en face, et surtout qu'aucune notification de non distribution n'apparait, nulle part.

personnellement suite à ce second critère largement éliminatoire, je déconseille à quiconque de passer par free (hors boite poubelle, mais alors la qusetion du spam ne se pose plus)
# je rajoute

Posté par tkr le 18 mai 2024 à 19:24. Évalué à 2.

rapidement, également vérifier que votre email n'est pas textuellement mise à dispo de manière "libre/claire" sur les internets, auquel cas une fois qu'elle est "googlable" faut s'attendre à ce qu'elle finisse dans les expéditions de tous les spammeurs du monde entier en quelques mois…
# adresse free.fr, mon expérience

Posté par Luc-Skywalker le 18 mai 2024 à 20:05. Évalué à 7.

J'ai une adresse chez eux depuis très longtemps (plus de 20 ans au moins), c'était mon FAI à l'époque des modems RTC avec son offre gratuite.
Mon adresse de courrier électronique @free.fr me sert au quotidien pour toute communication non professionnelle et j'utilise exclusivement le webmel.

Niveau spams, ça va, ça vient.
Effectivement, dernièrement j'ai reçu pas mal d'indésirables (entre 4 et 10 / jour je dirais) à pièce jointe suspecte ou vous invitant à vous connecter à un site bidon. Depuis quelques jours plus rien par contre …

Si filtre anti-spam il y a du côté de chez free, il ne vaut pas grand chose. Mon répertoire dédié aux messages marqués comme spams s'incrémente leeennntement: +1ou2 /semaine environ.

Je n'ai jamais eu de problèmes (comme évoqué plus haut) de courrier non livré.

"Si tous les cons volaient, il ferait nuit" F. Dard
- [^] # Re: adresse free.fr, mon expérience
  
  Posté par tkr le 19 mai 2024 à 12:58. Évalué à 3.
  
  bonjour,
  il ne s'agit pas de courrier non livré, en partance d'@free.fr
  
  il s'agit au contraire de courrier non reçu, à destination d'@free.fr, aucune présence dans les indésirables ni ailleurs chez le destinataire, NI aucune notification ni chez le destinataire, ni chez l'expéditeur
  
  beaucoup de prsonnes ont raté des rdv et autres impératifs..
  
  dans ma famille, une personne avait envoyé un mail à une dizaine de membre d'une assoc, avec son mail chez sfr. Un membre étant chez free, n'a jamais eu vent de ce mail transmis, alors que la personne destinatrice (son mail chez free), était bien dans le CCI/BCC, mais contrairement à tous les autres (la seule @free.fr de la liste), n'a rien reçu, nulle part, ni notification pour l'expé ni le destinataire.
  
  à titre informatif complémentaire, je n'y croyais pas jusqu'à il y a quelques années, ou deux choses m'ont mis la puce à l'oreille :
  le bras droit de l'ex CTO rani assaf, qui s'amusait sur frnog de ne rien laisser passer "à part les gros prestas" par rapport au mail
  
  quelques temps plus tard :
  mon expérience, souhaitant m'inscrire à un service de cloud indépendant pour tester, la grande surprise de ne pas avoir le basique mail de confirmation, d'accord c'est un peu surprenant mais pourquoi pas.
  puis pour partager un répertoire via un lien : "veuillez activer votre compte en validant votre email"
  euh oui d'accord, mais tu m'en as pas envoyé?
  dans les paramètres je revalide manuellement la procédure d'activation.
  Bref.
  Une heure et demie plus tard, toujours aucun mail reçu de ce presta.
  je prends un autre ordi
  je refais une autre inscription, avec le meme srvice cloud, sur une adresse différente @chose.fr
  bizarrement, trente secondes après l'inscription, le mail est reçu
  j'ai transmis un mail à xavier niel pour lui expliquer la chose, le lendemain le mail d'activation sur l'adresse @free.fr était reçu
  devoir mailer le pdg d'une ex boite du cac40 pour recevoir des mails, pour moi c'est catégoriquement éliminatoire.
  
  ps : j'aurais aimé, ne jamais avoir à connaitre cette expérience. Et c'est trèèèèèèès loin d'être un cas à part, malheureusement.
  - [^] # Re: adresse free.fr, mon expérience
    
    Posté par Luc-Skywalker le 19 mai 2024 à 14:17. Évalué à 3.
    
    Effectivement, les exemples sont assez édifiants. Mais je n'ai jamais connu ce genre de déboires à ma connaissance.
    
    Chez moi, c'est plutôt la livraison du courrier postal qui est erratique :-(
    
    "Si tous les cons volaient, il ferait nuit" F. Dard
# Il y a quelques semaines de cela du phishing / FranceConnect

Posté par cracky le 19 mai 2024 à 14:15. Évalué à 4.

Bonjour,

Sur une @ free.fr perso. mais qui s'est retrouvée historiquement dans une base piratée (historiquement je n'ai pas toujours systématiquement utilisé des @ mails jetables …) il y quelques semaines de cela beaucoup de phishing pour récupérer des logins FranceConnect. Je reporte systématiquement ces "spams" via spamcop.net.

RAS avec mes autres @ free.fr perso.

Et je n'ai jamais eu de soucis d'envoi ou d'email non reçus avec mes @ free.fr.

Cordialement.
- [^] # Re: Il y a quelques semaines de cela du phishing / FranceConnect
  
  Posté par ocroquette le 26 mai 2024 à 22:51. Évalué à 2.
  
  Suite à ton message, j’ai commencé à reporter aussi les spams à spamcop. Je ne sais pas si c’est une hasard, mais le volume de spam a nettement diminué depuis. J’ai remarqué que pour la plupart, l’infrastructure d’OVH est impliquée.
# Botnet russe à la con

Posté par fcartegnie le 21 mai 2024 à 10:54. Évalué à 5. Dernière modification le 21 mai 2024 à 11:36.

Problème de Botnet Russe contrôlé par des Francophones pour spammer Free.
Problème récurrent dû au même acteur.

La vague actuelle dure depuis plus de 3 mois et exploite depuis 1 mois OVH et Scaleway (ironie) pour les envois.

Principalement sujet à la con, envoi d'un domaine existant aléatoire info@xxx.
Contenu à la con, France connect, photo à la con…
Domaines jetables pour le snowshoeing de la redirection, tous hébergés sur duwm.ru.
- [^] # Re: Botnet russe à la con
  
  Posté par ocroquette le 21 mai 2024 à 22:09. Évalué à 1.
  
  Comme suggéré par cracky, j’ai commencé à envoyer les spams à spamcop. Il y a pas mal de OVH, et une seule référence directe à un hôte russe.
- [^] # Re: Botnet russe à la con
  
  Posté par ocroquette le 28 mai 2024 à 07:23. Évalué à 2.
  
  Je confirme l’observation: beaucoup de spam où OVH est impliqué, ainsi que duwm.ru
  - [^] # Re: Botnet russe à la con
    
    Posté par fcartegnie le 29 mai 2024 à 05:24. Évalué à 2.
    
    Et ça dure en fait depuis début Février
- [^] # Re: Botnet russe à la con
  
  Posté par fcartegnie le 04 juin 2024 à 04:45. Évalué à 2.
  
  Pas de spam le 3 juin comme les week-ends.
  La source du spam est probablement en Allemagne/Espagne/Portugal.
  https://jours-feries.com/continent/continent_Europe_5_6_2024.htm
  - [^] # Re: Botnet russe à la con
    
    Posté par fcartegnie le 11 juin 2024 à 05:50. Évalué à 2.
    
    Pas de spam le 10 Juin.
    Contrôle du botnet de spam au Portugal donc.
# Tuyau bonus

Posté par jmiven le 22 mai 2024 à 19:18. Évalué à 3. Dernière modification le 22 mai 2024 à 19:20.

Je ne crois pas que ça ait été mentionné, donc :

La désinscription, quand elle est proposée, n’a aucun effet.

La règle, surtout quand il s'agit de tentatives de fraude comme les exemples que tu donnes, serait plutôt de ne cliquer sur aucun lien dans les spams. Ils se font passer pour des enseignes connues, donc ils sont déjà largement hors des clous et n'ont pas ton confort en tête :)

Généralement, ces liens sont uniques et associables à ton adresse : en cliquant, tu montres au spammeur qu'un humain a lu le mail et a passé suffisamment de temps dessus pour trouver un lien de désinscription. Ça ne peut que les encourager à redoubler d'effort, dans l'espoir que tu te fasses avoir, un jour où tu seras fatigué(e).
- [^] # Re: Tuyau bonus
  
  Posté par ocroquette le 22 mai 2024 à 21:21. Évalué à 2.
  
  Je connais cette théorie, mais je ne suis pas convaincu qu’elle soit pertinente en pratique, du moins dans mon cas. Mon adresse e-mail est en clair sur le web, elle fait partie de nombreuses fuites (10 selon https://haveibeenpwned.com/). Tous les spammeurs l’ont dans leur liste. Que je clique sur les liens ou non ne change pas grand chose à ça.
  
  Même en cliquant sur rien, je reçois toujours le même genre de spam. Je ne pense pas que les spammeurs essaient d’optimiser quoique ce soit. Comme le spammeur est souvent différent de son "client", il fait juste du chiffre. Je pense que les liens de désinscription sont là pour inspirer confiance, et qu’ils n’ont pas beaucoup d’effet, y compris négatif.
  
  Quand le spam a l’air un peu de bonne foi, je tente ma chance, sans conviction.
  - [^] # Re: Tuyau bonus
    
    Posté par ocroquette le 28 mai 2024 à 07:20. Évalué à 1.
    Je viens de recevoir un spam avec un lien de désinscription, que j’ai examiné de plus près…
    
    Voilà les entêtes:
```
Return-Path: <557547988.kPcZB.verdugo@devweb-concept.fr>
Received: from zimbra-e1-02.priv.proxad.net (LHLO
 zimbra-e1-02.priv.proxad.net) (172.20.243.240) by
 zimbra-e1-02.priv.proxad.net with LMTP; Tue, 28 May 2024 05:33:32 +0200
 (CEST)
Received: from hugeinc.com (mx23-g26.priv.proxad.net [172.20.243.93])
        by zimbra-e1-02.priv.proxad.net (Postfix) with ESMTP id 63DDA921696
        for <me@free.fr>; Tue, 28 May 2024 05:33:32 +0200 (CEST)
Received: from hugeinc.com ([54.36.232.35])
        by mx1-g20.free.fr (MXproxy) for moi@free.fr;
        Tue, 28 May 2024 05:33:32 +0200 (CEST)
X-ProXaD-SC: state=HAM:CommercialEmailGeneric score=17
X-ProXaD-Cause: (null)
Received: from qsvefz.socotecmail.com (qsvefz.socotecmail.com
 [54.36.232.35]) by mx07-001ef801.pphosted.com (PPS) with ESMTPS id
 3xmt6scuqb-1 (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256
 verify=NOT); Mon, 27 May 2024 23:33:32 -0400 (EDT)
Received: from PROD-WEB-1 (PROD-WEB-1.agences.siege.socotec.fr
 [54.36.232.35]) by qsvefz.socotecmail.com (Postfix) with ESMTP id
 668763FF4B; Mon, 27 May 2024 23:33:32 -0400 (EDT)
MIME-Version: 1.0
From: =?utf-8?Q?moi?= <info@qsvefz.socotecmail.com>
Cc:
Date: Mon, 27 May 2024 23:33:32 -0400 (EDT)
Subject: info
Content-Type: multipart/related;
  boundary="Y9OOYLs5Wfzo=_?:"
Message-Id: <20240528033332.63DDA921696@zimbra-e1-02.priv.proxad.net>
```
    Le lien de désinscription:
```
http://diploma.tsu.edu/qsvefz?<unique_id>
```
    Il mène vraiment vers un formulaire où je dois rentrer mon adresse, ce que je ne vais pas faire. Ce qui est bizarre, c’est que ça pense à croire que cette liste de diffusion est utilisée par les spammeurs, mais les entêtes indiquent le contraire.
# Regexp

Posté par Chris K. le 28 mai 2024 à 13:32. Évalué à 4.
Je suis en auto-hébergement donc c'est certainement plus facile à configurer dans ce cadre mais il doit certainement être possible de faire ce genre de choses coté client avec des extensions du client mail ou d'autres utilitaires, si d'autres ont des outils à mettre en avant je suis également très intéressé par vos retours.

Grosso modo voilà ma méthode :

Un spamassassin bien configuré, quelques RBLs et surtout une analyse du domaine utilisé par le serveur pour se présenter :
- Si il n'en fournit pas (simple adresse IP) -> Rejet
- Si l'enregistrement DNS ne correspond pas -> Rejet
- Vérification des champs SPF, DKIM -> sinon rejet (aussi si ils manquent car on est en 2024 ça ne fait vraiment pas sérieux)
- Si il passe tous ces filtres j'ai ma petite liste supplémentaire avec une expression régulière sous la forme
```
/^Received:.*from.*(\.xyz|\.abc|...)/
```
où je stocke tous les noms qui ont pu franchir les autres filtres.

Ça peut paraître une mauvaise idée de base, un peu comme essayer de vider l'océan à la petite cuillère mais cela oblige le pourrielleur à se payer un nouveau nom de domaine pour recontacter le serveur.
Je ne me prive pas de bloquer quelques TLDs très problématiques du type .top .shop .email et ce genre de conneries, jamais ceux d'un pays bien entendu, là je me limite aux sous domaines.

Au final ce système est en place depuis près de 20 ans, j'ai toujours un spam qui passe le filtre de temps en temps, à une fréquence de 1 tous les X mois maintenant. Quand c'est le cas, le domaine vient compléter l'expression régulière.
Elle compte actuellement 68 "|" et 889 caractères, ça tient sur 5 lignes dans mon vim donc rien de dingue pour quelque chose qui est alimenté depuis si longtemps.
- [^] # Re: Regexp
  
  Posté par ocroquette le 28 mai 2024 à 18:41. Évalué à 1.
  
  Merci pour ton retour d‘expérience. Je réfléchis à l’idée de filtrer les mails par IMAP. En gros, un script se connecte toutes les heures à la boite IMAP, évalue les mails, et déplace les suspects dans un sous-dossier. L’idéal est bien sûr de filtrer les mails avant même qu’ils ne soient stockés, mais ce n’est possible qu’en auto-hébergement. Ceci dit, un filtrage a posteriori a l’avantage de prendre en compte les informations mises à disposition entre la distribution et la lecture, par exemple des IP sur liste noire. Ça répondrait à la dynamique du spam.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.