Spoofing d'adresse email

Marsh Posté le 23-08-2015 à 18:07:36

Bonjour

J'écris ici déjà car je ne sais pas où m'adresser

Cela fait environ 1 semaine que j'ai un problème d'envoi d'e-mail de "phishing", mes contacts recoivent des e-mails portant mon adresse d'expéditeur (sur le domaine neuf.fr) mais pourtant aucun message ne se trouve dans la boite "envoyés".

Je reçois par contre des retours de mail qui n'ont pu être délivré portant l'objet : "Mail delivery failed: returning message to sender" ou bien encore "Undelivered Mail Returned to Sender".

Premièrement j'ai scanné les disques durs par le logiciel antivirus Avira puis scanner avec Malwarebytes et AdwCleaner puis ensuite changé le mot de passe.

Le lendemain autant de mails envoyés.

J'ai alors refait la même manipulation puis changé mon adresse de sécurité des mails.

Le lendemain la même chose.

J'ai appelé la hotline de SFR et m'ont conseillé de reformater les disques durs. Je n'étais pas pour l'idée mais je me suis dit que si je le faisait ils me prendront au sérieux et me donneront quelqu'un de plus compétent...

Grossière erreur ... lorsque le lendemain je les ai rappelés ils ne savaient plus quoi faire et m'ont dit que "Ils avaient tout essayé" :fou:

Je suis maintenant avec un Ordinateur où j'ai perdus tout mes fichiers et le problèmes persiste, je pense donc que quelqu'un se sert de mon adresse mail pour envoyer ces mails de phishing mais par Spoofing (https://www.infomaniak.ch/fr/support/faq/1127)

Je ne sais plus quoi faire donc ...

Est ce que si je supprime mon adresse mail cela changera quelque chose ? si oui comment faire ?

Merci d'avance à l'âme charitable qui viendra à mon secours.

Reply

Marsh Posté le 23-08-2015 à 18:07:36

Reply

Marsh Posté le 23-08-2015 à 20:52:59

Est ce que tu utilises le webmail ou outlook ?

Quand tu configures ton adresse mail sur Outlook ou un autre programme, il te demande un nom et une adresse mail.
Est ce que ton nom s'affiche bien dans le mail que reçoit le destinataire ?
Ou est ce un nom inconnu qui s'affiche à la place ?

Reply

Marsh Posté le 24-08-2015 à 09:46:38

Non depuis que j'ai le problème je n'utilise que le site de SFR mail

Mais mes contacts disent qu'ils reçoivent ces mails avec mon adresse d'expéditeur mais avec un autre nom dessus (des profs que l'on a en commun, des amis, etc ...)

Reply

Marsh Posté le 24-08-2015 à 12:29:14

si ces personnes peuvent te renvoyer en pièce jointe le message qu'ils ont reçu.

Cela permettra de regarder l'entête du mail pour avoir plus d'infos.

Reply

Marsh Posté le 24-08-2015 à 12:33:05

n'importe qui peut faire du spoofing de l'expediteur, cela ne se vera en effet qu'avec l'entete du mail original comme le demande nnwldx

---------------
#mais-chut

Reply

Marsh Posté le 24-08-2015 à 20:55:48

J'ai obtenu un en-tête de mail de la part d'un ami.

:hello: NOTA BENE : j'ai modifié mes informations personnels (Nom : Nicolas Lambda ; email : nicolas.lambda@neuf.fr) et celles de mon ami (Nom : Thibault Lambda ; email : gibalt@gmail.fr) pour un souci de vie privée

Authentication-Results :
sfrmc.priv.atos.fr; dkim=pass (good signature)
header.d=gmail.com header.b=ORGJ2n2Q; dkim-adsp=pass (good signature)
header.from=gibalt@gmail.com
Content-Type :
multipart/alternative; boundary=001a11c37780261bea051e10e729
DKIM-Signature :
v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com;
s=20120113;
h=mime-version:in-reply-to:references:date:message-id:subject:from:to
:content-type; bh=USD+ggtrnecNKJSjSKQ80Ad99hXqZI9yCSOBLyY+dpw=;
b=ORGJ2n2QCmbG7AzRI7/MFbP5Z4QBCAZNRjrehzC6mC4qJ5GgnsZJugvRIII7v4+mA4
JXjO8+qW2P8hgkLXPCGEcDmeiCKm8QVLiIgBefPQZSgVDQaojRIXEawaDQNOFm2H8qDu
i1Ar21vf0mzqzel/k2GyDbU2LRUJDju3pvQumDk1LMp6ujiBvXsEuGXwiQhDPObh2dLf
IxQsVgkX3GkNVwbsSDlExU4VVvDFf2SA6HjHZuwN/+anI8lLPNesxoXXx50JLCHJyB+F
OTRKjxaUhrbyjfNQSf0oAi6ZwZ5X9BpH4GbogpRRPesqIXl+NoFdBHA3gEU2uArkMYQO
Gvvw==
Date :
Mon, 24 Aug 2015 18:13:49 +0200
From :
Thibault Lambda <gibalt@gmail.com>
In-Reply-To :
<7423fd99149b40ce.f7d19ef0a246@neuf.fr>
MIME-Version :
1.0
Message-ID :
<CANNBUPuoBMAScJVP0aa7e0p9EhULLUERRE+R9SwEfg_nNctoWQ@mail.gmail.com>
Received :
by 10.25.23.69 with HTTP; Mon, 24 Aug 2015 09:13:49 -0700 (PDT)
Received :
by mail-lb0-f175.google.com with SMTP id tg9so83459110lbb.1
for <nicolas.lambda@neuf.fr>; Mon, 24 Aug 2015 09:13:50 -0700 (PDT)
Received :
from filter.sfr.fr (localhost [209.85.217.175])
by msfrf2421.sfr.fr (SMTP Server) with ESMTP id 58DB41C0008C
for <nce000000000000000015209183@back11-mail01-03.sfrmc.priv.atos.fr>; Mon, 24 Aug 2015 18:13:50 +0200 (CEST)
Received :
from mail-lb0-f175.google.com (mail-lb0-f175.google.com [209.85.217.175]) (using TLSv1
with cipher AES128-SHA (128/128 bits)) (No client certificate requested)
by msfrf2421.sfr.fr (SMTP Server) with ESMTP for <nicolas.lambda@neuf.fr>;
Mon, 24 Aug 2015 18:13:50 +0200 (CEST)
Received :
from mail-lb0-f175.google.com (mail-lb0-f175.google.com [209.85.217.175])
by msfrf2421.sfr.fr (SMTP Server) with ESMTP id 4A11E1C00085
for <nicolas.lambda@neuf.fr>; Mon, 24 Aug 2015 18:13:50 +0200 (CEST)
Received :
from msfrf2421.sfr.fr (msfrf2421.priv.atos.fr [10.18.29.35])
by msfrb1105 (Cyrus v2.3.16) with LMTPA;
Mon, 24 Aug 2015 18:13:50 +0200
References :
<7423fd99149b40ce.f7d19ef0a246@neuf.fr>
Return-Path :
<gibalt@gmail.com>
Subject :
Fwd: Fw: important
To :
Nicolas Lambda <nicolas.lambda@neuf.fr>
X-Bcc :
nicolas.lambda@neuf.fr
X-Received :
by 10.112.142.6 with SMTP id rs6mr20568240lbb.18.1440432829895;
Mon, 24 Aug 2015 09:13:49 -0700 (PDT)
X-SFR-UUID :
20150824161350927.16A514B54@msfrf2421.sfr.fr
X-Sieve :
CMU Sieve 2.3
X-sfr-mailing :
LEGIT
X-sfr-spam :
not-spam
X-sfr-spamcause :
OK,
(-100)(0000)gggruggvucftvghtrhhoucdtuddrfeekfedrheehgdeljecutefuodetggdotefrucfrrhhofhhilhgvmecuuffhtffirfdpvehhvggtkhevgfdpggftiffpkfenuceurghilhhouhhtmecufedttdenucesvcftvggtihhpihgvnhhtshculddquddttddmnecujfgurhepjghffffkuffhvfgtsegrtderredttdejnecuhfhrohhmpefvhhhisggruhhlthcurfgvrhiiohcuoehgthhisggrlhesghhmrghilhdrtghomheqnecuffhomhgrihhnpehlrghmphhulhhusgihrdgtohhmnecurfgrrhgrmhephhgvlhhopehmrghilhdqlhgstddqfhdujeehrdhgohhoghhlvgdrtghomhdpihhnvghtpedvtdelrdekhedrvddujedrudejhedpmhgrihhlfhhrohhmpehgthhisggrlhesghhmrghilhdrtghomhdprhgtphhtthhopehnihhlshdrshhusghirhgrnhgrsehnvghufhdrfhhr
X-sfr-spamrating :
36.000000

Reply

Marsh Posté le 24-08-2015 à 21:14:05

là, c'est un entête d'une personne qui t'envoie un message de gmail vers SFR.
Ce qui nous interesse est le contraire, c'est l'entête de ton adresse SFR vers un cet ami.
C'est l'entête du message de spam que la personnes a reçu.

On va pouvoir ensuite voir si le message part bien des serveurs SFR ou s'il est expédié d'ailleurs.

Reply

Marsh Posté le 24-08-2015 à 23:39:50

Désolé : mon ami m'a envoyé ceci (je pense qu'il y a bien plus que l'en-tête mais je préfère tout mettre), j'ai mis des smiley à la place des e-mails de mes contacts :

Delivered-To: gibalt@gmail.com
Received: by 10.25.16.74 with SMTP id f71csp809856lfi;
Fri, 21 Aug 2015 09:10:28 -0700 (PDT)
X-Received: by 10.60.176.37 with SMTP id cf5mr8291903oec.19.1440173428031;
Fri, 21 Aug 2015 09:10:28 -0700 (PDT)
Return-Path: <nicolas.lambda@neuf.fr>
Received: from navigator.relmax.net (navigator.relmax.net. [173.193.60.194])
by mx.google.com with ESMTPS id x11si5948057oia.136.2015.08.21.09.10.27
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Fri, 21 Aug 2015 09:10:28 -0700 (PDT)
Received-SPF: neutral (google.com: 173.193.60.194 is neither permitted nor denied by domain of nicolas.lambda@neuf.fr) client-ip=173.193.60.194;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 173.193.60.194 is neither permitted nor denied by domain of nils.subirana@neuf.fr) smtp.mailfrom=nicolas.lambda@neuf.fr
Received: from [182.185.127.106] (port=50725 helo=WORLDST-UQ3K9Q0)
by navigator.relmax.net with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.82)
(envelope-from <nicolas.lambda@neuf.fr> )
id 1ZSotd-0000JX-FJ; Fri, 21 Aug 2015 10:10:26 -0600
From: Dupond <nicolas.lambda@neuf.fr>
To: :non: :non: :non: :non: :non: :non: ,
Subject: Fw: important
Date: Fri, 21 Aug 2015 18:09:39 +0200
Message-ID: <9c441fece803d88c.6d289ad1@neuf.fr>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_69a1_82d4_1a2f"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdDeLH3YcZJKEOZnREUY5dPcUtQLog==
Content-Language: en-us
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - navigator.relmax.net
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - neuf.fr
X-Get-Message-Sender-Via: navigator.relmax.net: authenticated_id: orders@lorain.com

This is a multipart message in MIME format.

------=_NextPart_000_69a1_82d4_1a2f
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hello!

Check it out http://xn----7sbbhkfmc9fa.xn--p1ai/power.php?qojy

Dupond

------=_NextPart_000_69a1_82d4_1a2f
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<html xmlns:v=3D"urn:schemas-microsoft-com:vml" =
xmlns:o=3D"urn:schemas-microsoft-com:office:office" =
xmlns:w=3D"urn:schemas-microsoft-com:office:word" =
xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml" =
xmlns=3D"http://www.w3.org/TR/REC-html40"><head><META =
HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Dus-ascii"><meta name=3DGenerator content=3D"Microsoft Word 15 =
(filtered medium)"><style></style></head><body lang=3DEN-US =
link=3D"#0563C1" vlink=3D"#954F72"><div class=3DWordSection1>Hello!<o:p></o:p><o:p> </o:p>Check =
it out <a =
href=3D"http://xn----7sbbhkfmc9fa.xn--p1ai/power.php?cjj">http://xn----7sbbhkfmc9fa.xn--p1ai/power.php</a><o:p></o:p><o:p> </o:p>vitryl<o:p></o:p><o:p> </o:p><o:p> </o:p><o:p> </o:p></div></body></html>
------=_NextPart_000_69a1_82d4_1a2f--

Reply

Marsh Posté le 25-08-2015 à 13:07:00

Le message part du serveur navigator.relmax.net et pas d'un serveur SFR.
Tu ne vas pas pouvoir faire grand chose.

Reply

Marsh Posté le 25-08-2015 à 15:51:24

Ok :cry:
Si je supprime mon adresse chez SFR est ce que je peux espérer une amélioration ?

Reply

Marsh Posté le 25-08-2015 à 15:51:24

Reply

Marsh Posté le 25-08-2015 à 17:44:33

ca ne changera rien, la personne qui utilise ton mail continuera à le faire.
Les serveurs qui transfèrent les mails ne se préocupent pas de savoir si le compte existe ou non.

Reply

Marsh Posté le 25-08-2015 à 17:52:48

j'ai le même problème que toi slambiru, avec une adresse pro...

Reply

Marsh Posté le 25-08-2015 à 18:45:13

D'accord

En tout cas merci de votre aide, au moins je suis fixé qu'il n'y a rien à faire
c'est pas comme la hotline de SFR qui te propose et t'expliques pas grand chose

Reply

Marsh Posté le 25-08-2015 à 23:31:13

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman

Reply

Marsh Posté le 19-09-2015 à 09:54:28

Bonjour,

J'ai également ce soucis depuis maintenant 1 semaine. J'ai bien compris que cela était du spoofing, mais je me demande comment mes contatcs ont pu être récupérés et utilisés ??
En fait, je n'ai aucun contacts dans mon carnet d'adresse, seulement des contacts récents "Personnes contactées par mail" (je suis chez FREE).
J'ai bien sûr changé mon mot de passe (qui était déjà très sécurisé...) mais les "Delivery Faillure" continuent et mes amis continuent de recevoir ces mails.

Une idée svp ?

Reply

Marsh Posté le 19-09-2015 à 11:02:54

cela peut être un logiciel espion sur ton poste ou sur celui d'un de tes contacts.

Reply

Spoofing d'adresse email

Sujets relatifs:

Leave a Replay