Webmaster Hub > Floodé par des "undelivered mail"

Sebastien

mardi 19 février 2008 à 09:58

Depuis environ une semaine, ma boite mail reçoit quantité de mails non délivrés (plusieurs dizaines par jour) dont le contenu est du spam. J'apparais dans ces mails comme l'expéditeur initial, alors que bien sûr ce n'est pas le cas. Je reçois ces emails non délivrés essentiellement la nuit.

Auriez-vous une idée de leur origine et comment arrêter ça ? Je suis à peu près sûr que mes PC ne sont pas infectés, car ils sont éteints la nuit et ils ont un antivirus+ le firewal XP. J'ai aussi vérifié sur mon site s'il n'y avait pas de fichier suspect, et ce n'est pas le cas.

Une copie du code source d'un de ces mails dès fois que ça puisse servir :

CODE

Date: Tue, 19 Feb 2008 09:58:21 +0400 (GST)
From: Internet Mail Delivery <postmaster@mailclust.aus.edu>
Subject: [Real SPAM] Delivery Notification: Delivery has failed
To: s.billard@free.fr
Message-id: <0JWH00HR61X9WK00@mailclust.aus.edu>
MIME-version: 1.0
Content-type: multipart/report;
 boundary="Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)"; report-type=delivery-status

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)
Content-type: text/plain; charset=us-ascii
Content-language: en-US
Content-transfer-encoding: 7BIT

This report relates to a message you sent with the following header fields:

  Message-id: <029488958.78148726402512@free.fr>
  Date: Tue, 19 Feb 2008 00:59:53 -0500
  From: Kimberle Keith <s.billard@free.fr>
  To: clinic@aus.edu
  Subject: [Real SPAM] The Shortest Way to Your Happy Love Life

Your message cannot be delivered to the following recipients:

  Recipient address: clinic@aus.edu
  Reason: You are not allow to send.$--------------------------------$AUS Network Section.: clinic@aus.edu

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)
Content-type: message/delivery-status

Reporting-MTA: dns;mailclust.aus.edu (reprocess-daemon)

Original-recipient: rfc822;clinic@aus.edu
Final-recipient: rfc822;clinic@aus.edu
Action: failed
Status: 5.7.1
 (You are not allow to send.$--------------------------------$AUS Network
 Section.: clinic@aus.edu)

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)
Content-type: message/rfc822

Return-path: <s.billard@free.fr>
Received: from reprocess-daemon.mailclust.aus.edu by mailclust.aus.edu
 (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))
 id <0JWH00HR41X9WK00@mailclust.aus.edu>; Tue, 19 Feb 2008 09:58:21 +0400 (GST)
Received: from AUS ([195.229.156.190])
 by mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28
 2007)) with ESMTP id <0JWH00IPO1X30680@mailclust.aus.edu> for clinic@aus.edu;
 Tue, 19 Feb 2008 09:58:15 +0400 (GST)
Received: from [190.67.131.52] by mail1.aus.edu
 (Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))
 with ESMTP id <0JWH00LU91WIJD60@mail1.aus.edu>; Tue,
 19 Feb 2008 09:58:15 +0400 (GST)
Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500
Date: Tue, 19 Feb 2008 00:59:53 -0500
From: Kimberle Keith <s.billard@free.fr>
Subject: [Real SPAM] The Shortest Way to Your Happy Love Life
To: clinic@aus.edu
Reply-to: s.billard@free.fr
Message-id: <029488958.78148726402512@free.fr>
MIME-version: 1.0
X-Mailer: The Bat! (v3.71.04) Educational
Content-type: multipart/alternative;
 boundary="Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)"
X-Priority: 3 (Normal)

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)
Content-type: text/plain; charset=Windows-1252
Content-transfer-encoding: 7BIT

It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. Order our VPXL now.http://geocities.com/sharpe_emerson/

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)
Content-type: text/html; charset=Windows-1252
Content-transfer-encoding: 7BIT

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY>

<html>
<body bgcolor="#FFFFFF" link="#AE0B0B">
<p><font face="Verdana" size="2"><font color="0066FF"><b>It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. </b></font></font></p>
<p><font face="Verdana" size="2"><b>Order our VPXL now.</font></p>
<p><font face="Verdana" size="2"><b><a href="http://geocities.com/sharpe_emerson/">http://geocities.com/sharpe_emerson/</a></font></p>
</body>
</html>

</BODY></HTML>

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)--

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)--

captain_torche

mardi 19 février 2008 à 10:17

Vu comme c'est marqué aus.edu un peu partout, il y a des chances que ce soient eux qui soient infectés.Mis à part les prévenir, je ne sais pas trop ce que tu pourrais y faire.

Portekoi

mardi 19 février 2008 à 10:20

Euh je crois que c'est l'inverse. Le mail d'origne est partie de s.billard at free.fr et Aus.Edu l'a détecté en Spam d'où la réponse...

Enfin c'est comme ca que je lis en tout cas.

captain_torche

mardi 19 février 2008 à 10:30

Au temps pour moi. Dans ce cas, c'est un spammeur qui utilise ton adresse e-mail, et je ne vois pas trop quoi faire.

Portekoi

mardi 19 février 2008 à 10:45

Arf non surtout que ton mail est en clair sur Google...

Fais une règle dans ton client de messagerie mais le soucis, c'est qu'un petit con utilise ton mail pour faire son spam...

Faudrait réussir à remonter à son IP du mail d'origine et porter plainte... je vois que ca

fhamot

mardi 19 février 2008 à 11:04

Salut,
Dans le spam on trouve la ligne suivante :
Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500
L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois.
On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO
Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple.

Whois de l'adresse IP :
inetnum: 190.66/15
status: allocated
owner: COLOMBIA TELECOMUNICACIONES S.A. ESP
ownerid: CO-CTSE-LACNIC
responsible: Administradores Internet
address: Transversal, 49, 105-84
address: N - BOGOTA -
country: CO
phone: +57 1 5935399 [1539]
owner-c: JRJ
tech-c: JRJ
inetrev: 190.66/15
nserver: DNS.TELECOM.COM.CO
nsstat: 20080216 AA
nslastaa: 20080216
nserver: DNS1.TELECOM.COM.CO
nsstat: 20080216 AA
nslastaa: 20080216
created: 20070223
changed: 20070223

nic-hdl: JRJ
person: Jairo Rojas Jurado
e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO
address: Trv 49, 105, 84
address: 1 - Bogotá, D.C. - Cu
country: CO
phone: +57 1 5935399 [1775]
created: 20050603
changed: 20050603

Portekoi

mardi 19 février 2008 à 11:18

Bien joué

Wefficient

mardi 19 février 2008 à 11:22

Désolé pour ce qui t'arrive Sebastien :-(

J'ai fait une note pour ce problème il y a bien longtemps...
Quand les demons du mail dansent l'e-bouncing

J'ai subi ce problème... quasiment insoluble tant que nous ne seront pas sur un internet securisé.

edit: Les mails à abus ne servent pas, generalement c'est des reseaux zombies derriere :-/

Sebastien

mardi 19 février 2008 à 11:29

Merci pour ces réponses, en fait ce n'est pas tant les emails qui me dérangent (il sont filtrés par mon antispam à la maison, c'est juste au niveau du webmail que c'est pénible), mais j'ai peur que mon email soit blacklisté par des services antispam, cela est-il possible ?

Sebastien

mardi 19 février 2008 à 11:42

PS : il semble bien y avaoir des réseaux zombie derrière, car pour un autre mail c'est une ip japonaise qui a été utilisée...

Elandrael

mardi 19 février 2008 à 11:42

CITATION(fhamot @ mardi 19 février 2008 à 11:04)

Salut,
Dans le spam on trouve la ligne suivante :
Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500
L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois.
On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO
Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple.

Whois de l'adresse IP :
inetnum: 190.66/15
status: allocated
owner: COLOMBIA TELECOMUNICACIONES S.A. ESP
ownerid: CO-CTSE-LACNIC
responsible: Administradores Internet
address: Transversal, 49, 105-84
address: N - BOGOTA -
country: CO
phone: +57 1 5935399 [1539]
owner-c: JRJ
tech-c: JRJ
inetrev: 190.66/15
nserver: DNS.TELECOM.COM.CO
nsstat: 20080216 AA
nslastaa: 20080216
nserver: DNS1.TELECOM.COM.CO
nsstat: 20080216 AA
nslastaa: 20080216
created: 20070223
changed: 20070223

nic-hdl: JRJ
person: Jairo Rojas Jurado
e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO
address: Trv 49, 105, 84
address: 1 - Bogotá, D.C. - Cu
country: CO
phone: +57 1 5935399 [1775]
created: 20050603
changed: 20050603

http://www.google.fr/search?hl=fr&q=Ja...urado&meta=

Complément d'infos sur les 2 premiers résultats

Proxy 4 Free: Whois Lookup-
person - Jairo Rojas Jurado address - 1 - Bogotá, D.C. - Cu owner - COLOMBIA TELECOMUNICACIONES S.A. ESP country - CO nslastaa - 20080209 ...
www.proxy4free.com/cgi-bin/whois.cgi?domain=201.228.149.36

Free Anonymous Proxy-
nslastaa: 20080216 created: 20051027 changed: 20051027 nic-hdl: JRJ person: Jairo Rojas Jurado e-mail: jairo.rojas_AT_TELECOM.NET.CO address: Trv 49, 105, 84 ...
www.romanfr.com/proxy/index.php?act=whois&ip=201.228.123.66

+

Wefficient

mardi 19 février 2008 à 12:49

je ne vais pas te dire que le blacklistage est impossible. :-(

Mais le premier niveau de listing, c'est pas l'IP et la comme tes IP ne sont pas touchée (tu n'es pas l'emetteur initial) tu seras epargné

Le probleme vient plutot quand les cibles initiales sont des contacts que tu connais :-/
J'ai un client impacté qui a vu un de ses contact recevoir une pub pour du viagra... ca la fout mal.

Mais en relativisant, les risques sont similaires aux campagnes de mails forgés... pas d'e-bouncing dedans mais ton email est utilisé comme expediteur.