Journal L'étrange vague de spam visant free.fr

Posté par . Licence CC by-sa.
135
25
juin
2018

Sommaire

Note: Il ne s'agit pas d'un simple journal hargneux contre le spam mais relatant d'une technique inédite.

Certains d'entre vous l'auront probablement remarqué, mais depuis début Mai, le spam vers les adresses Free.fr, qui pour moi était rarement existant, connaît une recrudescence sans commune mesure.

Phishing en tout genre, faux bons d'achats et autre… mais que fait Free.
Et bien c'est là que cela devient intéressant.

1 - Le bombardement

Plusieurs adresses différentes (dont certaines immunisées jusque là) bombardées de spam crapuleux type fausse loterie, phishing, contrefaçons et autre, simultanément à partir du 2 Mai.

Des liens qu'on trouve à la pelle (google "spam free newsperso" par exemple) qui montre l'ampleur de cette vague

https://forums.futura-sciences.com/internet-reseau-securite-generale/823179-interets-ont-expediteurs-de-pourriels.html
https://www.aduf.org/viewtopic.php?t=282128&postdays=0&postorder=asc&start=0
https://forum.hardware.fr/hfr/reseauxpersosoho/FAI/gueule-filtre-antispam-sujet_34702_1.htm
http://syncro.club.free.fr/articles.php?lng=fr&pg=1379 (dont de multiples analyses des domaines utilisés)
https://forum.universfreebox.com/viewtopic.php?t=22017&postdays=0&postorder=asc&start=765
https://forum.universfreebox.com/viewtopic.php?p=597549&sid=77fb10fa1b32c24db33a1fe83c8cbeb8

Dans les entêtes, beaucoup de choses étranges ( des headers répétés, beaucoup de malformations, .. )
et en dehors du HTML, dans le mime/text un lien de redirect:

hxxp://redirect.itemam.com/tyworedirect2-209735-0_[CONTANTE]@free.fr|ebbb4fcb0146be7db=79b52a7a12f5ab8

[CONSTANTE] est un email de destinataire remplacé toujours présent dans les emails.

Un petite recherche montre que derrière ce domaine, il s'agirait de la société ITEMA.

Par la suite, beaucoup d'autres headers suspects, en tout genre

Sender: craftaway=gmail.com@ckmail4.com
X-Mailgun-Variables: {"email_id": "%recipient.email_id%"}
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Message-Id: <hxxp://redirect.newsperso.com/tywoadlog-u7784grb-@[CONSTANTE]@free.fr>
X-Mailgun-Drop-Message: false
X-Mailgun-Tag: account-48260

Ici qui pointent à nouveau dans le Message ID vers un domaine appartenant à ITEMA.

2 - Les traces évidentes

Une petite recherche sur cette société et ses domaines montre que dans l'actualité, au mois de Mars dernier, ils ont obtenu une décision de Justice à l'encontre de Free.

https://www.legalis.net/jurisprudences/tribunal-de-commerce-de-paris-ordonnance-de-refere-du-15-fevrier-2017/

Pour résumer, Free avait bloqué leurs emails par défaut via ses filtres et cette société a obtenu par référé une obligation légale à l'encontre de Free de déblocage.

Nous ne commenterons pas la décision qui a été prise, mais au final, Free a été reconnu comme effectuant un blocage abusif, de débloquer leurs serveurs, et mis sous astreinte si ça se répétait.

3 - Le coupable idéal

Sur la base de cette décision donc, ITEMA ne peut donc légalement plus avoir aucun de ses mail bloqués par Free.
(en attendant le jugement sur le fond)

Il est donc facile de tirer la conclusion qu'il s'agit d'ITEMA, qui, plus rien ne s'opposant à son mailing de masse, s'acharne désormais sur les utilisateurs de Free.

C'est la conclusion trop hâtive que j'en ai tiré, et envoyé de fait, une demande de droit d'accès sur la base de la loi informatique et libertés.

4 - Pas si vite !

Et puis… rapidement le doute.

De plus en plus de spam, toujours avec des entêtes bizarres, de l'obfuscation de redirections, des domaines poubelle, des ressources publiques pour les images et toutes autres techniques sournoises, mais une constante: toujours des liens vers ITEMA en message-id ou dans le mime/text en CLAIR. De plus, toutes les adresses spammées reçoivent les mêmes liens et les mêmes entêtes.

Et c'est là que la logique se bute. Quelle société spammerait en se cachant à moitié et avec un lien de tracking fixe (et même pas sur la bonne adresse). Ca ne servirait à rien dans les deux cas.

Les rapports d'abuse envoyés via spamcop faisant fermer les serveurs d'expédition un à un, les spams viennent de providers de plus en plus obscurs.

5 - Quand la technique parle

Dans le spam, le forgeage de headers est une pratique vielle comme le SMTP pour tenter de falsifier les traces.

Pourtant une règle est simple: les derniers headers sont ajoutés en premier.
Plus on descend dans l'email, plus la probabilité d'avoir un header écrit par l'expediteur est forte, terminant par le contenu lui même.

Je prend l'exemple d'un spam récent qui cumule plusieurs problèmes.
(le spammeur a changé un poil sa template pour augmenter son niveau de traces)

From - Sun Jun 24 11:10:51 2018                          
Return-Path: return@profitlimited.me
Received: from zimbra60-e10.priv.proxad.net (LHLO
 zimbra60-e10.priv.proxad.net) (172.20.243.210) by
 zimbra60-e10.priv.proxad.net with LMTP; Sun, 24 Jun 2018 10:23:07 +0200
 (CEST)
Received: from profitlimited.me (mx1-g26.priv.proxad.net [172.20.243.71])
    by zimbra60-e10.priv.proxad.net (Postfix) with ESMTP id 990E61D055BB
    for <X>; Sun, 24 Jun 2018 10:23:07 +0200 (CEST)
Received: from profitlimited.me ([172.107.96.141])
    by mx2-g20.free.fr (MXproxy) for X;
    Sun, 24 Jun 2018 10:23:07 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
Received:from zimbra32-e6.priv.proxad.net (LHLO zimbra32-e6.priv.proxad.net) (172.20.243.182) by zimbra32-e6.priv.proxad.net with LMTP; Sun, 24 Jun 2018 17:08:52 +0200 (CEST)
Received:from smtp-3-84.itemam.com (mx28-g26.priv.proxad.net [172.20.243.98]) by zimbra32-e6.priv.proxad.net (Postfix) with ESMTP id A5C501C13E1 for <X@free.fr>; Sun, 24 Jun 2018 17:08:52 +0200
Received:from smtp-3-84.itemam.com ([178.32.85.211]) by mx1-g20.free.fr (MXproxy) with ESMTPS for [CONSTANTE]@free.fr (version=TLSv1/SSLv3 cipher=AES256-SHA bits=256); Sun, 24 Jun 2018 17:08:52 +0200 +0200 (CEST)
X-ProXaD-SC:state=HAM score=0
X-ProXaD-Cause:(null)
Received:from xe-argo-mark5.itemam.com (xe-argo-mark5.itemam.com [37.59.246.231]) by smtp-3-84.itemam.com (8.14.5/8.14.5) with   SMTP id w57AFXID042369 for <[CONSTANTE]@free.fr>; Sun, 24 Jun 2018 17:08:52 +0200 (CEST) (envelope-from postmaster@itemam.com)
Message-Id:<41n7p.6xtmk3syi@smtp-3-84.itemam.com>
Date:Sun, 24 Jun 2018 17:08:52 +0200
From:CDISCOUNT <services@cdiscount-fr.tk>
Subject:Cadeau pour votre =?UTF-8?B?c2luY8Opcml0w6k=?=
To:X@free.fr
Precedence:bulk
X-ITEMAM-MID:3477694216
X-ITEMAM-SID:1
X-ITEMAM-SSID:63745
X-ITEMAM-EMAIL:jlove@Xxfree.fr
X-ITEMAM-ARGO:rago_mark5    
X-ITEMAM-THREAD:rago_mark591

Si vous ne voyez rien de spécial à part des références à la société précédemment citée, regardez à nouveau, c'est facile !

On a ici deux réceptions d'email par les serveurs de Free. D'ailleurs l'antispam de free laisse sa trace en premier dès réception "X-ProXaD-SC: state=HAM score=0", et on l'a ici deux fois.

A partir de cette ligne, toutes les entêtes qui suivent sont… forgées.

D'ailleurs tous les emails reçus sur différentes addresses comportent les mêmes headers forgés à la valeur près.

Les seules informations authentiques sont donc:
- Les 3 derniers headers ajoutés par Free
- Dans l'HTML, les junk domaines hébergés à panama ou autre anon whois servant de redirection pour le contenu

Tout le reste est bidon.

Vous avez peut être déjà compris la sournoiserie, mais passons au point suivant.

6 - Le vrai spammeur

Les élements du mail précédemment cité, par exemple, se trouvent dans un rapport de spam datant de 2009 (et cette fois ci vraiment d'origine ITEMA) pris sur signal-arnaques. (le fameux [CONSTANTE]@free.fr)

Tous les emails de la vague actuelle sont créés à partir de templates créés à partir de spams d'ITEMA rendus publics.

Le but réel de ces entêtes et donc uniquement d'ajouter des éléments techniques faisant référence à ITEMA, dans le but de coutourner le filtrage de Free, celui-ci n'ayant plus le droit de bloquer les emails de cette société.

D'ailleurs, comme mentionné plus haut, quel intérêt pour un spammeur de se cacher au possible si c'est pour laisser ses propres traces et des trackers non fonctionnels ou inutiles tout en utilisant des vieux emails comme template ?

Nous sommes ici face à un spammeur qui a compris comment utiliser une décision de justice rendue publique à son profit,
en ajoutant de multiples références ITEMA dans ses propres emails pour contourner le filtrage de Free, et s'en donne à coeur joie depuis près de deux mois.

Il me semble, malheureusement, que le détournement de décision de justice de ce type est une bien gênante première.

Les vannes vers Free sont ouvertes…

7 - Que faire

Le spammeur n'est pas identifiable sans moyens d'enquête légaux (toujours le whois anon ou bidon et autre crimeflare)

Si vous recevez ces spams, et même pour ceux d'autres origines,

  • SPAMCOP ! SPAMCOP ! SPAMCOP !

    C'est le seul outil vraiment précis et efficace de lutte contre le spam et qui a une répercussion réelle et mondiale via les rapports de spam effectués.
    https://www.spamcop.net/

  • Signal Rien, euh.. Signal Spam
    Plutôt inutile pour le spam non originaire de France, ça permet aux autorités de faire des stats… la belle jambe.
    https://www.signal-spam.fr/

  • Abuse manuel
    En dernier recours… sachez néanmoins que chez Amazon AWS, ceux-ci le transmettent simplement au spammeur… Merci Amazon !

  • Liens de désinscriptions
    La chose à ne jamais faire.
    D'ailleurs la vague de spam utilise un lien créant une combinaison de redirections libérant cryptominers js et autre malwares.

  • # Merci !

    Posté par . Évalué à 10.

    Juste merci pour avoir pris le temps de comprendre, car moi aussi je ne finissais pas de comprendre ces spams si nombreux, non filtrés …

  • # et moi

    Posté par . Évalué à 3.

    j'aimerais bien les recevoir sur mon adresse mail @free.Fr les spam, 18 ans que j'ai ce mail, oui monsieur.

    me connectant 2/3 fois par an ou lorsque je mets a jour ma pageperso, voir répondre a d'autre connaissance. mais :
    Réponse du serveur distant :

    550 5.2.1 This mailbox has been blocked due to inactivity (UserSearch)

    supair ! impossible de se connecter a son compte pour essayer de rattraper la chose :'(, free c'est plus ce que c'etait !

    • [^] # Re: et moi

      Posté par . Évalué à 2. Dernière modification le 08/07/18 à 13:45.

      Se connecter au webmail dont dépend la boite : zimbra.free.fr si migré vers la plateforme Zimbra, webmail.free.fr. Il faut éventuellement insister un peu.
      Si vraiment cela ne veut pas, c'est que le compte est désactivé pour inactivité depuis trop longtemps ; il faut alors se connecter à l'interface de gestion du compte où l'on y trouvera un lien / bouton pour réactiver le compte.
      Il me semble que Free désactive une BAL passé 6 mois sans connexion (webmail, POP, IMAP).

  • # Euh…

    Posté par (page perso) . Évalué à 8.

    Ne pas bloquer les mails qui viennent de X ne veut pas dire ne pas bloquer les mails qui ont l'air de venir de X.
    C'est juste du foutage de gueule ça.
    C'est pas parce que je met "apple" partout dans un mail que ça vient de chez eux.
    Et quand-bien même ça viendrait vraiment de chez eux, c'est du spam.
    Et en même temps (eh), Free décide déjà pour moi ce qui est un spam ou pas (j'ai des gens @yahoo qui se font jeter régulièrement…), et c'est pas normal.

    Il doit bien y avoir moyen de contester cette décision de justice débile ? En référé parce que bon, y en a marre.

    • [^] # Re: Euh…

      Posté par . Évalué à 3.

      Bonjour,

      Dans les options du webmail de free, il est possible de désactiver tous les filtres anti-spam … après il y a juste un peu plus de mail

      Pour info : "https: // imp.free.fr/?_task=settings&_action=plugin.sieverules"

    • [^] # Re: Euh…

      Posté par . Évalué à 2.

      Ne pas bloquer les mails qui viennent de X
      C'est plus complexe que ça un mail ç'est émis par Y mais ça peut passer par X et ce qui est mis dans le mail n'est pas vérifiable. Je peux émettre un mail en provenance de X sans être X, j'ai juste a dire je suis X même si c'est faux…
      Alors oui Free pourrait se dire oui, mais là je considère que la règle ne s'applique pas… et le tribunal a de forte chance de ne rien dire… mais s'il estime lui que tu as enfreint la décision de justice la punition peut-être très très sévère. Alors quand le moindre doute existe, tant pis, tu ne prends pas de risque (surtout que les tribunaux n'ont pas une bonne connaissance informatique).

    • [^] # Re: Euh…

      Posté par . Évalué à 7.

      Il doit bien y avoir moyen de contester cette décision de justice débile ? En référé parce que bon, y en a marre.

      Moi je préfèrerais que la CNIL fasse son boulot et poursuive les gens (ce qu'elle a pas fait depuis 2007? La seule sanction qu'elle a prise contre un spammeur d'ailleurs.

      Les boîtes de spam rigolent quand on leur dit qu'ils ne répondent pas aux demandes de droit d'accès et qu'on va devoir passer par la CNIL.

      Dans le cas qui nous intéresse ici, Free a possible moyen de connaître l'identité du spammeur. Celui-ci ayant fait l'erreur d'utiliser un serveur online à une période. (*)

      (*) A moins que ce soit des serveurs loués avec la carte bleue de maman par des ados en échange d'un jeu sur un forum comme c'est de plus en plus courant… (pas besoin de bitcoin, juste des gens stupides)

    • [^] # Re: Euh…

      Posté par (page perso) . Évalué à 3.

      Ne pas bloquer les mails qui viennent de X ne veut pas dire ne pas bloquer les mails qui ont l'air de venir de X.

      Il n'est pas possible d'identifier l'expéditeur d'un mail au niveau SMTP. Il existe une couche d'authentification avec dkim / spf mais elle est optionnelle.

  • # La chose à ne jamais faire

    Posté par . Évalué à 4.

    La chose à ne jamais faire.

    Ouais, c'est ce qu'on dit toujours.
    Mais à la longue, j'en ai eu marre de ce flot de spams.
    Et je me suis désinscrit, en cliquant au bas de moins d'une dizaine de mails.
    Et ça a marché !
    Maintenant ma boite mail est redevenue clean, comme avant.

    • [^] # Re: La chose à ne jamais faire

      Posté par . Évalué à 10.

      Ça dépend des spammeurs. Si l'expéditeur est français (ou européen) et un minimum sérieux, les liens de désinscriptions fonctionne, car sinon il risquerait d'avoir de petits ennuis judiciaires (protection des données personnelles, tout ça…)
      Par contre, dans le cas de ce spammeur, je ne suis absolument pas certain qu'il respecte la loi et fasse des liens de désinscription valables

      • [^] # Re: La chose à ne jamais faire

        Posté par . Évalué à 1.

        dans le cas de ce spammeur, je ne suis absolument pas certain …

        Tu as essayé ? Moi si. Et ça a marché.
        Les faits sont têtus.

        • [^] # Re: La chose à ne jamais faire

          Posté par . Évalué à 6.

          J'ai au moins un exemple : Opodo.

          Je regrette terriblement d'avoir utilisé ma vraie adresse email sur opodo.fr car depuis j'ai régulièrement des spams ("Opodo exclusivités") et j'ai suivi au moins 5 URLs de désinscription et je continue de recevoir des spams malgré tout.
          Sans parler du fait que dans mon Thunderbird configuré pour afficher les mails en mode texte si disponible rien ne s'affiche dans le cors du mail, j'ai dû aller chercher l'url de désinscription dans le code source en html.

          Cela dit, quand j'ai eu affaire à opodo, comme j'ai eu des soucis pour valider un achat et j'ai bien dû faire la manip une dizaine de fois avec la même adresse email, donc si ça se trouve il faut que je me désabonne une dizaine de fois…
          Je vais essayer ça mais j'ai peu d'espoir.

          • [^] # Re: La chose à ne jamais faire

            Posté par . Évalué à 4.

            Pour éviter ce genre de problème, je n'utilise que des adresses spam gourmet… et ça marche du tonnerre! Généralement, je créé un nouveau compte à chaque nouvelle commande. Mes adresses (dont une créée en 1991) restent bien propre. Je ne vois du spam que très rarement.

            J'adorerais pouvoir m'installer ça sur mon propre nom de domaine…

            • [^] # Re: La chose à ne jamais faire

              Posté par . Évalué à 2. Dernière modification le 27/06/18 à 08:54.

              Dans le même genre j'utilise souvent jetable.org, c'est un peu comme spam gourmet mais sans avoir besoin de créer un compte.

              Si tu as ton propre serveur tu peux essayer d'installer disposable-mailbox.

            • [^] # Re: La chose à ne jamais faire

              Posté par . Évalué à 2.

              J'adorerais pouvoir m'installer ça sur mon propre nom de domaine…

              Le code source utilisé pour le service est disponible sur Sourceforge (https://sourceforge.net/p/spamgourmet/code/HEAD/tree/) par contre, je n'ai pas trouvé la doc. d'installation du bidule.

            • [^] # Re: La chose à ne jamais faire

              Posté par . Évalué à 4.

              Moi, j’utilise les MX Plan de OVH.

              J’ai une email vpc@… ensuite, je créé des redirections.
              amazon@vpc.…
              fnac@vpc.…
              mollat@vpc.…

              Je fais pareil avec des redirections vers mon mail :
              github@prenom.…

              Pareil pour mon fils.
              github@sonprenom.…

              Comme ça, si une adresse pose problème, je la retire des redirections.

              • [^] # Re: La chose à ne jamais faire

                Posté par (page perso) . Évalué à 8. Dernière modification le 27/06/18 à 18:20.

                Je fais pareil avec un joker chez Gandi, j'ai des adresses "hello.*@chezmoi.com" et j'utilise ça pour m'inscrire quand un mail jetable ne suffit pas (quand je veux revenir, quoi…). Étrangement je n'ai pas de spam par ce biais, alors que je pensais que ça m'aiderais à trouver qui vend mon adresse.

                J'ai aussi quelques adresses du style "pseudo@chezmoi.com" et là aussi, étrangement, pas de spam, alors que certaines circulent sur le net sans être bien cachées. Tant mieux et pourvu que ça dure.

                Par contre j'ai du spam sur une adresse du type "nom.prenom@chezmoi.com". Adresse que je n'ai donné qu'à des personnes que j'ai rencontré… J'ai au moins une de mes contacts qui s'est fait piraté son compte, donc ça viens probablement de là. Je soupçonne plus largement ces contacts "réels" de ne pas savoir gérer leur carnet d'adresse et de dire oui pour le partager à tout service qui le demande. Je précise que cette adresse est destinée à des gens que je ne connais pas forcément bien, mais avec qui je travaille ou j'ai des échanges officiels. Bon, c'était dès la base pensé comme un filtre à pourriel, mais je pensais avoir plus à lutter contre les chaines de mail que contre des vrais spams de bot.

                Donc en gros, mes meilleurs pourvoyeurs de spam sont des humains avec qui j'ai eu un contact physique. Un modèle épidémiologique ?

                • [^] # Re: La chose à ne jamais faire

                  Posté par . Évalué à 1.

                  Ça rejoint un constat que j'avais fait également.

                  Je suppose que certains malwares récupèrent la liste des contacts de la machine infectée et les envoient à leur créateur. Probablement plus rentable en terme de nombres d'adresses valides connectées que de s'attaquer à de grosses applications web pour espérer récupérer la bdd…

                  Autre remarque : à une époque dans mon service on avait un compte FTP commun (doublé d'un serveur web) pour uploader certaines informations. Les infos de connexions étaient enregistrées dans nos filezilla respectifs. L'un d'entre nous utilisait son PC pour des activités qui n'étaient pas vraiment professionnelles : résultat un tombereau de malware s'était invité sur sa machine. Un mois plus tard, le compte FTP se remplissait à grande vitesse de javascript malicieux.

                  Pour ma part depuis ce moment je ne stocke plus d'identifiant sur ma machine, ou en tout cas plus d'une façon standardisée.

                  • [^] # Re: La chose à ne jamais faire

                    Posté par (page perso) . Évalué à 4.

                    Je suppose que certains malwares récupèrent la liste des contacts de la machine infectée et les envoient à leur créateur.

                    Malheureusement il faut élargir la notion de malware !

                    Il suffit que notre adresse soit dans les contacts de quelqu’un qui utilise Gmail et Android, ou les services équivalents des autres GAFAM, pour qu’elle soit pompée par la plupart des applis installées…

                  • [^] # Re: La chose à ne jamais faire

                    Posté par (page perso) . Évalué à 5.

                    Le même moyen peut être utilisé pour des arnaques: J'ai reçu un mail d'un "ami" en galère dans un pays d'Afrique parce qu'il avait perdu ses papiers et qu'il fallait le dépanner…
                    Sauf que mon seul lien avec lui était un mail vieux de 5 ans envoyé de X à Y où nous étions tous les deux dans le même champ CC. Une proximité de ouf…qui fait qu'il a directement pensé à moi pour le sortir de la merde :D

                    Bref, il y en a qui aspirent dur les données, et cela va au delà des Agenda, cela cherche aussi dans l'historique des mails.

            • [^] # Re: La chose à ne jamais faire

              Posté par . Évalué à 2. Dernière modification le 27/06/18 à 18:04.

              J'adorerais pouvoir m'installer ça sur mon propre nom de domaine…

              super facile : yunohost + email poubelle

        • [^] # Re: La chose à ne jamais faire

          Posté par . Évalué à 9.

          Le lien de désinscription ça marche à condition d'être capable de distinguer à coup sûr le marketing peu scrupuleux du vrai spam bien pourri. Car dans un cas le lien de désinscription fait son boulot, dans l'autre il sert juste à valider que ton adresse non seulement est valide mais en plus il y a quelqu'un qui clique au bout… et ça, ça s'appelle de la qualification de fichier. Fichier qui sera revendu et plus tard fera sa nouvelle vague de spams. Mais ça ne suffit pas pour se préserver d'une contamination. Il faut surtout n'autoriser les images incluses qu'au coup par coup et pas tout accepter par défaut. Car une image visualisée, c'est comme envoyer un accusé de réception (sinon pourquoi il y aurait des images d'un (1) pixel hébergées dans un domaine différent de l'e-mail ?).
          Je confirme que spamcop.net c'est la solution même si c'est contraignant de copier coller chaque spam avec son entête dans le formulaire, ça marche ! En 2 mois, j'ai éradiqué les 15 à 20 spams quotidiens (français pour la plupart) que signal-spam n'a jamais pris en compte en 1 an, malgré leur plugin bien foutu. Je les ai même suspectés d'envenimer les choses au mieux par incompétence, au pire par un obscur intérêt marketing (quand on sait que parmi les administrateurs, il y a des membres de la Fédération des entreprises de ventes à distance…)

          • [^] # Re: La chose à ne jamais faire

            Posté par (page perso) . Évalué à 3.

            Je confirme que spamcop.net c'est la solution même si c'est contraignant de copier coller chaque spam avec son entête dans le formulaire

            J’utilise aussi Spamcop, mais avec un outil qui se charge de transmettre le spam avéré automatiquement, et avec juste une macro associée à une touche de fonction pour le spam présumé après validation : spambnc, et il en existe d’autres (je crois d’ailleurs qu’iMil en a écrit un).

      • [^] # Re: La chose à ne jamais faire

        Posté par . Évalué à 10.

        Hummm…

        Pendant des années, j'ai été relativement épargné par le spam, mais depuis environ 1 an, j'ai commencé à me faire spammer tout azimuths par du spam « serieux », j'entends par là, des marques normales, souvent françaises et connues, voulant me vendre leur camelote. J'ai tenté la désinscription pendant un moment, sans vrai résultat : les marques précises avaient beau stopper, d'autres prenaient le relais sans arrêt.

        Ce qui se passe vraisemblablement, c'est que le prestataire d'envoi massif communique « par erreur » sa base de donnée à ses clients qui utilisent toutes les adresses fournies (pourtant en opt-out) pour leur marketing. Et oui, c'est en théorie interdit.

        J'imagine que mon mail s'est retrouvé dans une de ces bases, mais maintenant, je crois que c'est cuit. Vu que la plupart de ces spams viennent des mêmes nom de domaines, j'ai pensé aller gueuler en cherchant par whois les mails de contact/abuse, mais je n'ai pas encore tenté par flemme.

        J'avais aussi fait remonter ces mails à signal-spam pendant un moment, puis j'ai eu un petit échange avec eux, et en gros c'est une blague pathétique. Déjà le principe, c'est que les spammeurs membres s'engagent à ne plus te spammer illégalement seulement si tu te plains… alors la pratique… à quand signal-cambriolage pour filer ton adresse postale aux cambrioleurs membres de ta ville ?

        Le problème est plus général à mon avis : tant que c'est bon pour le PIB de la France, les boîtes ont tous les droits et les particuliers doivent fermer leur gueule.

        Et sinon, peut être plus en relation avec ce journal, je me fais spammer depuis qq mois par du bon gros spam bien dégueulasse, style phishing pitoyable ou porno ridicule, souvent à moitié en chinois. Cependant, en regardant les headers, j'en ai qq uns signés Item-a mais pas tous. D'ailleurs allez voir leur page ça vaut le détour…

        Ce que j'ai trouvé assez bizarre, c'est que l'anti spam de Free laisse quasiment passer tous ces derniers spams, alors que j'ai réussi moi même à en filtrer 95% avec qq règles dans Zimbra… péniblement j'avoue, ce webmail étant tellement pourri. Free n'est plus ce qu'ils étaient !

    • [^] # Re: La chose à ne jamais faire

      Posté par . Évalué à 10. Dernière modification le 26/06/18 à 15:23.

      Moi je me suis amusé récemment à renvoyer les spams reçus d'un site uncertainsite.fr sur postmaster@uncertainsite.fr (avec une règle thunderbird, pas à la main bien sur).

      Et bien ça a marché, en 2 jours j'étais désinscrit de leur liste. Oh joie !

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

  • # Que faire ? Et bien filtrer ces messages

    Posté par . Évalué à 7.

    Merci pour ton analyse que je n'avais pas pris le temps de faire,

    néanmoins dans le que faire il y a un point facile à ajouter : Créer une règle zimbra pour dégager tout ça.

    sur zimbra.free.fr
    Préférences -> Filtres -> Nouveau Filtre

    Si l'en tête X-ITEMAM-SID existe => SPAM

    Malheureusement (;D) ça pourrait aussi s'appliquer au spam légal (lol) d'ITEMA mais je dirai bien tant pis.

  • # OVH + SMTP => Free = SPAM

    Posté par (page perso) . Évalué à 3.

    Juste un petit mot pour dire que ce n'est pas simple le spam avec les boites e-mails de Free : moi, j'ai l'expérience inverse.

    J'ai un serveur Windows chez OVH avec une application (écrit en Access) qui envoie des e-mails via SMTP … et bien tous les e-mails envoyés à des destinataires Free sont bloqués en SPAM par les serveurs Free.
    J'ai essayé plusieurs fois (dont la dernière en cours) de discuter avec les administrateurs de Free … sans vraiment de solution.

    A noter que l'application Access est déployée sur de nombreux autres postes de travail et quelques autres serveurs (non OVH) et que tout roule, dans ces cas. Je suppose donc que c'est la configuration du serveur OVH qui ne satisfait pas Free … mais s'ils étaient capables de dire ce qui ne leur plaît pas, ça serait pas mal ! ;-)

  • # .

    Posté par . Évalué à 3.

    Génial, tu sauves ma boite mail.

    Depuis environ un mois ma boite mail principale croulait sous le spam, alors qu'avant j'en recevais un par an. J'avais observé les entêtes d'un seul pris au hasard et rien ne m'avait sauté aux yeux (j'aurais du comparer avec 2 ou 3 autres). Je m'étais dit qu'une des bdd où elle était stockée avait du être récupérée et ça m'emmerdait tellement que j'étais prêt à l'abandonner.

    En lisant ton journal, j'ai regardé les entêtes des spams que j'avais reçus cette nuit et bingo, X-ITEMAM. Tous. Du coup une petite règle et depuis midi aucun spam. Espérons que ça dure.

    Si jamais tu trouves d'où ça vient précisément et que c'est une société française, hésite pas à en parler ici, je serais heureux de tenter de leur rendre la monnaie de leur pièce.

    Merci à toi en tout cas :)

  • # Merci !

    Posté par . Évalué à 5.

    Un grand merci à fcartegnie pour ce très intéressant journal.

    J'ai deux boîtes mails particulièrement touchées par ces spams (et contrairement à ce qui a été écrit, se désinscrire ne fonctionne pas pour ces mails là).

    Donc, j'avais fait des règles zimbra en repérant des mots clés qui revenaient tout le temps. Ça m'a permis d'enlever 80 % du spam, mais il en restait environ 20 % et j'avais la flemme de faire d'autres règles.

    Là, grâce à ton travail, je vais pouvoir enfin créer une règle efficace…

  • # Merci

    Posté par . Évalué à 1.

    Encore merci pour le décorticage de cette événement incompréhensible!!

    Les tyrans se nourissent des démissions des hommes libres. E de la Boétie

  • # Analyse de mes spams

    Posté par . Évalué à 1.

    Bon, j'ai regardé les en-têtes de mes spams et j'ai effectivement retrouvé souvent des champs X-ITEMAM, mais pas que, malheureusement…

    Il y a aussi souvent (environ 40 % des spams) : -WWW.BIORRITMOFREE.COM___document_boundary-

    Je retrouve aussi pas mal le champs : To: telecevennes@free.fr

    Il y en a sûrement d'autres…

  • # MERCI

    Posté par . Évalué à 7.

    Merci, j'ai ajouter 2 filtre zimbra et hop plus aucun spam !
    C'est juste magique.

    en ROT13 :

    Fv :
    K-Znvytha-Inevnoyrf : rkvfgr
    bh
    K-VGRZNZ-FVQ : rkvfgr
    bh
    K-CebKnQ-FP : pbagvrag fgngr=FCNZ

  • # mfilter, l'antispam de free, n'est plus

    Posté par (page perso) . Évalué à 2.

    Ça fait des mois que mes boites free sont bombardées. Je pensais que c'était dû à la disparition de mfilter (cf.https://forum.freenews.fr/index.php?topic=122759.0 )

    Depuis environ un mois c'est un peu moins pire.

    En ce qui me concerne j'ai opté rapidement pour Thunderbird/SpamAssassin https://support.mozilla.org/fr/kb/thunderbird-et-les-messages-indesirables-ou-spam

  • # Il y a pourtant des solutions à cela

    Posté par . Évalué à 6. Dernière modification le 28/06/18 à 01:37.

    Il y aurait quand même un moyen de bloquer ces emails sans s'attirer les foudres de la justice…

    Si la société ITEMA permet une identification correcte selon les dernières normes en vigueur des emails qu'elle envoie, Free pourra procéder au blocage des emails qui ne correspondent pas.
    Pour cela, il y a à disposition SPF, DKIM & surtout DMARC (cette dernière techno réuni les 2 précédente et permet de s'assurer de l'alignement du domaine entre l'enveloppe et le header SMTP) ainsi que quelques autres technos qui permettent un bon acheminement des emails en s'assurant de leur provenance.
    C'est utilisé par les principaux acteurs du web (Google, Microsoft, etc) et son usage se répand de plus en plus.

    Certes ces technos n'arrêterons pas les spams en eux-même mais ça correspond exactement au cas cité :
    comment identifier et stopper des emails forgés, venant soit-disant d'un domaine donné

    Bref, dans ce cas précis : il faudrait que ITEMA mette cela en place / Free pourrait contrôler si ça vient bien de chez eux et laisser passer ou pas ensuite (en respectant ce qu'ITEMA aurait mis en place).
    Ce n'est pas spécifique à un domaine, de plus en plus d'entreprises utilisent cela donc ça bénéficierait à tout le monde et permettrait à Free de respecter au mieux la décision de justice (et à ITEMA de voir ses emails légitimes délivrés + remonter son image - enfin pour d'autres raisons ce sera plus dure).
    Par contre, ça va demander à ITEMA d'être plus rigoureuse et vu leur business, pas sûr qu'ils aient envie.
    Sauf que tous les acteurs vont vers ces solutions et que donc à un moment donné, ils devront y passer (Free aussi d'ailleurs - je sais pourquoi je n'ai pas d'adresse chez eux)

    • [^] # Re: Il y a pourtant des solutions à cela

      Posté par (page perso) . Évalué à 3.

      Les choses auraient sans doute dû / pu se passer ainsi.

      Le réalité ce que Free qui a sans doute, nié le blocage pendant un long moment avant de finalement le reconnaître du bout des lèvres accompagné d'un vous faites de la merde et en jurant qu'au grand jamais ce spam impur n'abreuverai les boîtes aux lettres des freenautes.

      Moralité, ils se tapent une décision de justice inapplicable à respecter.

  • # repassé en SPAM auto mais moins prolifiques que SLIPSOFTWARE

    Posté par . Évalué à 0. Dernière modification le 08/07/18 à 16:13.

    cela semble repassé en spam
    Return-Path: return@profitlimited.me
    X-ProXaD-SC: state=SPAM score=512
    X-ITEMAM-SID: existe

    par contre ces mails sont moins génant que ceux via SLIPSOFTWARE

    X-Mailer: Slip
    Feedback-ID: contient SLIPSOFTWARE

  • # Recommendation: Whitelist avec Zimbra

    Posté par . Évalué à 1. Dernière modification le 09/07/18 à 08:32.

    Je ne suis pas touché par ITEMA, par contre je reçois du spam très varié. En général, les expéditeurs essaient de se faire passer pour une organisation renommée (Netflix, Amazon, La Poste, Ikea…). Le filtrage par blacklist sur Zimbra ne marchait pas bien pour moi, il faut tout le temps adapter, le taux de faux négatifs est élevé (20-40%), et le risque de faux positifs n'est pas négligeable.

    Je suis donc passé à une whitelist:
    - Si "toutes les conditions" suivants sont satisfaites:
    - "De" "ne contient pas" "nom@domain.com"
    - "De" "ne contient pas" "@domain.com"
    - …
    "Ranger dans un dossier" "Spam".

    Ça a réglé le problème pour moi! J'ajoute parfois tout un domaine, pour le moment je n'ai pas eu de problème avec ça, probablement grâce à SPF. J'ajoute aussi les domaines de sites peu courants dont je suis utilisateur, la probabilité que les spammeurs les utilisent pour m'envoyer du spam étant faible.

    Depuis, le problème de spam est réglé pour moi, et ce quelque soit le client (desktop, mobile, webmail), vu que Zimbra travaille directement côté serveur. Je jette de temps à autre un œil avec le webmail dans le dossier "Spam".

  • # encore un nouveau: X-mailer: raypro

    Posté par . Évalué à 0.

    Bonsoir
    A rajouter un entete de nouveau trou du c*l !!
    X-mailer: raypro

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.