Jump to content

Floodé par des "undelivered mail"


Recommended Posts

Depuis environ une semaine, ma boite mail reçoit quantité de mails non délivrés (plusieurs dizaines par jour) dont le contenu est du spam. J'apparais dans ces mails comme l'expéditeur initial, alors que bien sûr ce n'est pas le cas. Je reçois ces emails non délivrés essentiellement la nuit.

Auriez-vous une idée de leur origine et comment arrêter ça ? Je suis à peu près sûr que mes PC ne sont pas infectés, car ils sont éteints la nuit et ils ont un antivirus+ le firewal XP. J'ai aussi vérifié sur mon site s'il n'y avait pas de fichier suspect, et ce n'est pas le cas.

Une copie du code source d'un de ces mails dès fois que ça puisse servir :

CODE
Return-Path: <>

Delivered-To: online.fr-s.billard@free.fr

Received: (qmail 606 invoked from network); 19 Feb 2008 05:58:23 -0000

Received: from 195.229.156.190 (HELO mail1.aus.edu) (195.229.156.190)

by mrelay1-g25.free.fr with SMTP; 19 Feb 2008 05:58:23 -0000

Received: from mail1.aus.edu (localhost [127.0.0.1])

by mail1.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28

2007)) with ESMTP id <0JWH00L751X9JP10@mail1.aus.edu> for s.billard@free.fr;

Tue, 19 Feb 2008 09:58:21 +0400 (GST)

Received: from scmail. ([195.229.158.190])

by mail1.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28

2007)) with ESMTP id <0JWH00LWC1X9JD60@mail1.aus.edu> for s.billard@free.fr;

Tue, 19 Feb 2008 09:58:21 +0400 (GST)

Received: from process-daemon.mailclust.aus.edu by mailclust.aus.edu

(Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))

id <0JWH00I011L23F00@mailclust.aus.edu> for s.billard@free.fr; Tue,

19 Feb 2008 09:58:21 +0400 (GST)

Received: from mailclust.aus.edu

(Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))

id <0JWH00HR41X9WK00@mailclust.aus.edu>; Tue, 19 Feb 2008 09:58:21 +0400 (GST)

Date: Tue, 19 Feb 2008 09:58:21 +0400 (GST)

From: Internet Mail Delivery <postmaster@mailclust.aus.edu>

Subject: [Real SPAM] Delivery Notification: Delivery has failed

To: s.billard@free.fr

Message-id: <0JWH00HR61X9WK00@mailclust.aus.edu>

MIME-version: 1.0

Content-type: multipart/report;

boundary="Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)"; report-type=delivery-status

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)

Content-type: text/plain; charset=us-ascii

Content-language: en-US

Content-transfer-encoding: 7BIT

This report relates to a message you sent with the following header fields:

Message-id: <029488958.78148726402512@free.fr>

Date: Tue, 19 Feb 2008 00:59:53 -0500

From: Kimberle Keith <s.billard@free.fr>

To: clinic@aus.edu

Subject: [Real SPAM] The Shortest Way to Your Happy Love Life

Your message cannot be delivered to the following recipients:

Recipient address: clinic@aus.edu

Reason: You are not allow to send.$--------------------------------$AUS Network Section.: clinic@aus.edu

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)

Content-type: message/delivery-status

Reporting-MTA: dns;mailclust.aus.edu (reprocess-daemon)

Original-recipient: rfc822;clinic@aus.edu

Final-recipient: rfc822;clinic@aus.edu

Action: failed

Status: 5.7.1

(You are not allow to send.$--------------------------------$AUS Network

Section.: clinic@aus.edu)

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)

Content-type: message/rfc822

Return-path: <s.billard@free.fr>

Received: from reprocess-daemon.mailclust.aus.edu by mailclust.aus.edu

(Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))

id <0JWH00HR41X9WK00@mailclust.aus.edu>; Tue, 19 Feb 2008 09:58:21 +0400 (GST)

Received: from AUS ([195.229.156.190])

by mailclust.aus.edu (Sun Java System Messaging Server 6.2-8.04 (built Feb 28

2007)) with ESMTP id <0JWH00IPO1X30680@mailclust.aus.edu> for clinic@aus.edu;

Tue, 19 Feb 2008 09:58:15 +0400 (GST)

Received: from [190.67.131.52] by mail1.aus.edu

(Sun Java System Messaging Server 6.2-8.04 (built Feb 28 2007))

with ESMTP id <0JWH00LU91WIJD60@mail1.aus.edu>; Tue,

19 Feb 2008 09:58:15 +0400 (GST)

Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500

Date: Tue, 19 Feb 2008 00:59:53 -0500

From: Kimberle Keith <s.billard@free.fr>

Subject: [Real SPAM] The Shortest Way to Your Happy Love Life

To: clinic@aus.edu

Reply-to: s.billard@free.fr

Message-id: <029488958.78148726402512@free.fr>

MIME-version: 1.0

X-Mailer: The Bat! (v3.71.04) Educational

Content-type: multipart/alternative;

boundary="Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)"

X-Priority: 3 (Normal)

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)

Content-type: text/plain; charset=Windows-1252

Content-transfer-encoding: 7BIT

It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. Order our VPXL now.http://geocities.com/sharpe_emerson/

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)

Content-type: text/html; charset=Windows-1252

Content-transfer-encoding: 7BIT

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<HTML><HEAD><TITLE></TITLE>

</HEAD>

<BODY>

<html>

<body bgcolor="#FFFFFF" link="#AE0B0B">

<p><font face="Verdana" size="2"><font color="0066FF"><b>It is an absolutely safe enlargement method that gives incredible results incomparable to the results of any other male medical methods. </b></font></font></p>

<p><font face="Verdana" size="2"><b>Order our VPXL now.</font></p>

<p><font face="Verdana" size="2"><b><a href=&quot;http://geocities.com/sharpe_emerson/">http://geocities.com/sharpe_emerson/</a></font></p>

</body>

</html>

</BODY></HTML>

--Boundary_(ID_XQEA+cjMOy/Fk2GVOiM1pQ)--

--Boundary_(ID_8FyIwj06Z1/zMBaOFzUleg)--

Link to comment
Share on other sites

Arf non surtout que ton mail est en clair sur Google...

Fais une règle dans ton client de messagerie mais le soucis, c'est qu'un petit con utilise ton mail pour faire son spam...

Faudrait réussir à remonter à son IP du mail d'origine et porter plainte... je vois que ca :(

Link to comment
Share on other sites

Salut,

Dans le spam on trouve la ligne suivante :

Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500

L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois.

On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO

Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple.

Whois de l'adresse IP :

inetnum: 190.66/15

status: allocated

owner: COLOMBIA TELECOMUNICACIONES S.A. ESP

ownerid: CO-CTSE-LACNIC

responsible: Administradores Internet

address: Transversal, 49, 105-84

address: N - BOGOTA -

country: CO

phone: +57 1 5935399 [1539]

owner-c: JRJ

tech-c: JRJ

inetrev: 190.66/15

nserver: DNS.TELECOM.COM.CO

nsstat: 20080216 AA

nslastaa: 20080216

nserver: DNS1.TELECOM.COM.CO

nsstat: 20080216 AA

nslastaa: 20080216

created: 20070223

changed: 20070223

nic-hdl: JRJ

person: Jairo Rojas Jurado

e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO

address: Trv 49, 105, 84

address: 1 - Bogotá, D.C. - Cu

country: CO

phone: +57 1 5935399 [1775]

created: 20050603

changed: 20050603

Link to comment
Share on other sites

Désolé pour ce qui t'arrive Sebastien :-(

J'ai fait une note pour ce problème il y a bien longtemps...

Quand les demons du mail dansent l'e-bouncing

J'ai subi ce problème... quasiment insoluble tant que nous ne seront pas sur un internet securisé.

edit: Les mails à abus ne servent pas, generalement c'est des reseaux zombies derriere :-/

Edited by Wefficient
Link to comment
Share on other sites

Merci pour ces réponses, en fait ce n'est pas tant les emails qui me dérangent (il sont filtrés par mon antispam à la maison, c'est juste au niveau du webmail que c'est pénible), mais j'ai peur que mon email soit blacklisté par des services antispam, cela est-il possible ?

Link to comment
Share on other sites

Salut,

Dans le spam on trouve la ligne suivante :

Received: from [190.67.131.52] by mx1.free.fr; Tue, 19 Feb 2008 00:59:53 -0500

L'adresse IP indiquée ici est celle qui a envoyé le mail au serveur mx1.free.fr, c'est à ce niveau qu'il faut intervenir en contactant le proprietaire de cette adresse tel qu'il apparait dans le whois.

On peut aussi essayer les adresses du genre abuse_AT_TELECOM.NET.CO ou spam_AT_TELECOM.NET.CO

Il faut fournir le maximum d'informations, les entêtes des mails envoyés par exemple.

Whois de l'adresse IP :

inetnum: 190.66/15

status: allocated

owner: COLOMBIA TELECOMUNICACIONES S.A. ESP

ownerid: CO-CTSE-LACNIC

responsible: Administradores Internet

address: Transversal, 49, 105-84

address: N - BOGOTA -

country: CO

phone: +57 1 5935399 [1539]

owner-c: JRJ

tech-c: JRJ

inetrev: 190.66/15

nserver: DNS.TELECOM.COM.CO

nsstat: 20080216 AA

nslastaa: 20080216

nserver: DNS1.TELECOM.COM.CO

nsstat: 20080216 AA

nslastaa: 20080216

created: 20070223

changed: 20070223

nic-hdl: JRJ

person: Jairo Rojas Jurado

e-mail: mailto:jairo.rojas_AT_TELECOM.NET.CO

address: Trv 49, 105, 84

address: 1 - Bogotá, D.C. - Cu

country: CO

phone: +57 1 5935399 [1775]

created: 20050603

changed: 20050603

http://www.google.fr/search?hl=fr&q=Ja...urado&meta=

Complément d'infos sur les 2 premiers résultats

Proxy 4 Free: Whois Lookup-

person - Jairo Rojas Jurado address - 1 - Bogotá, D.C. - Cu owner - COLOMBIA TELECOMUNICACIONES S.A. ESP country - CO nslastaa - 20080209 ...

www.proxy4free.com/cgi-bin/whois.cgi?domain=201.228.149.36

Free Anonymous Proxy-

nslastaa: 20080216 created: 20051027 changed: 20051027 nic-hdl: JRJ person: Jairo Rojas Jurado e-mail: jairo.rojas_AT_TELECOM.NET.CO address: Trv 49, 105, 84 ...

www.romanfr.com/proxy/index.php?act=whois&ip=201.228.123.66

+

Link to comment
Share on other sites

je ne vais pas te dire que le blacklistage est impossible. :-(

Mais le premier niveau de listing, c'est pas l'IP et la comme tes IP ne sont pas touchée (tu n'es pas l'emetteur initial) tu seras epargné

Le probleme vient plutot quand les cibles initiales sont des contacts que tu connais :-/

J'ai un client impacté qui a vu un de ses contact recevoir une pub pour du viagra... ca la fout mal.

Mais en relativisant, les risques sont similaires aux campagnes de mails forgés... pas d'e-bouncing dedans mais ton email est utilisé comme expediteur.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
×
×
  • Create New...