MAIL : SPAM : Analyse de l'entête

dezix · 06 avr. 2023, 11:52

Bonjour,

Je trouve ce matin un SPAM dans une boite mail Orange/Wanadoo.

Comme je m'intéresse à l'administration d'un serveur mail,
j'aimerais comprendre... et interpréter correctement les entêtes,
je profite donc de cette opportunité pour aborder cette question.

Voici donc l'entête du message provenant d'une NewsLetter à laquelle je ne me suis pas abonné,
et qui tente de me vendre une BMW électrique :

Si ce message vous importune, [1]désabonnez-vous
Vous recevez cet email car vous avez accepté de recevoir les newsletters de Super Malin
...

Code : Tout sélectionner

MIME-Version: 1.0
Date: Thu, 06 Apr 2023 01:45:54 +0000
Message-ID: <48056=431eb967-855a-4907-9n66-24oabda1fcc8=3=874952@links.aemmefalegnameria.com>
Content-Type: multipart/alternative; boundary="------------030903090800030409153608"
Subject: La première BMW électrique, sans apport !
From: "Super Malin" <info@aemmefalegnameria.com>
Reply-To: Super Malin <info@aemmefalegnameria.com>
To: xxxxx <xxxxxx@wanadoo.fr>
...

Code : Tout sélectionner

whois 222.178.218.26
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '222.176.0.0 - 222.183.255.255'

% Abuse contact for '222.176.0.0 - 222.183.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        222.176.0.0 - 222.183.255.255
netname:        CHINANET-CQ
descr:          CHINANET Chongqing province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
...

J'en conclus que le message est émis légitimement par le serveur de l'opérateur national chinois,
et
que Orange l'a accepté comme tel.

J'en viens à me poser la question : Orange est-il simplement défaillant ? ou partie prenante ?
.... fournissant jusqu'à mon adresse au spammeur ???

Note :
Cette adresse a été utilisée par certains de mes contacts qui ont la fâcheuse pratique de faire suivre des messages douteux (blagues, news) à leurs contacts
Ce qui contribue certainement aux listes collectées par des spammeurs.

Merci pour vos avis.

06 avr. 2023, 13:54

Pour répondre à une partie de ta question, il faut considérer plusieurs type de blocages effectués par les anti spam du FAI-
- est ce que les entête de l'email sont correctes ? (google est le plus pointilleux la dessus)
- est ce que l'émetteur est sur liste noire ? (chacun gére la sienne)
- est ce le contenu de l'email contient des termes typique d'un email ?

Visiblemet, l'emetteur de ton spam à bien fait les choses, et ton FAI n'a rien trouvé à redire.
Le dernier rempart est l'esprit critique de l'utilisateur , ça semble avoir fonctionné :)
Perso je ne supporte pas que mon FAI me bloque des emails, surtout sans me prévenir!
J'ai été alerté par des correspondant que free leur avait refusé un emil qu'il m'avait envoyé. J'ai contacté free pour qu'ils virent cette protection, mais mon interlocuteur m'a dit que ce n'était pas possible.

06 avr. 2023, 14:48

Salut,

Le site du petit commerçant, qui semble légitime s'est surement fait piraté...
Mais il est légitime et le mail sort de son serveur: c'est plus compliqué pour l'anti-spam, car c'est probablement ok avec le SPF...

dezix a écrit : 06 avr. 2023, 11:52
Code : Tout sélectionner
...
Return-Path: <ilgi@aemmefalegnameria.com>
...
Received: from aemmefalegnameria.com ([222.178.218.26])
...

07 avr. 2023, 08:16

Hello,

J'ai parlé trop vite.

No SPF Record found

Et le site est hébergé chez Amazon...

Code : Tout sélectionner

$ dig -t MX aemmefalegnameria.com

; <<>> DiG 9.18.12-1-Debian <<>> -t MX aemmefalegnameria.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33148
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;aemmefalegnameria.com.		IN	MX

;; ANSWER SECTION:
aemmefalegnameria.com.	900	IN	MX	10 mail.register.it.

;; Query time: 276 msec
;; SERVER: 103.86.96.100#53(103.86.96.100) (UDP)
;; WHEN: Fri Apr 07 09:03:45 EAT 2023
;; MSG SIZE  rcvd: 82

Le mail n'aurait probablement même pas du arriver jusqu’à toi.
Le SMTP d'Orange n'aurait pas du accepter de discuter avec le serveur expéditeur du mail car évidemment le PTR n'est pas bon....

Code : Tout sélectionner

Received: from aemmefalegnameria.com ([222.178.218.26])

L'expéditeur n'a pas de PTR:

Sorry, we couldn't find any name servers for '26.218.178.222.in-addr.arpa'

Si tu fais la même chose sur mon IP (L'IP de notre cher forum) tu obtiendra le nom de mon serveur mail (Celui que j'annonce quand je me connecte à un serveur SMTP pour délivrer un mail)

Grhim · 16 juin 2023, 02:24

l'email n'a pas l'air p0wned, il serait peut-être intéressant de faire un Mosint sur celui-ci ?

franb · 18 juin 2023, 23:50

L'email est souvent pris au pif. Ne pas lui écrire. Un de mes domaines a été désigné comme source d'une série de spams, j'ai réçu en retour de l'ordre de 70000 mails en 1h, qui sont passé par l'antivirus (à l'époque). Ça a été un désastre, la machine était surchargée, comme j'avais mis un gros swap, j'ai pu en remote arrêter le serveur de mail en maissant les autres services actifs, ça a mis près dune heure pour 5 entrées clavier!! Depuis est apparu les règles SPF et les signatures DKIM qui évitent qu'on envoit un mail prétendu venant de tes domaines. Très souvent tu es même l'origine (prétendue) des spams