Emails d'erreur "Mail Delivery System" suspects
... / Emails d'erreur "Mail Del...
< Previous question   -   Next question >
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Question

Emails d'erreur "Mail Delivery System" suspects

N
by
Neothila
Created on 2025-03-10 08:12:33 in Hosted Exchange

Bonjour,

J'ai reçu plusieurs mails d'erreur de ce type sur mon adresse mail exchange :

-----

This is the mail system at host mo511.mail-out.ovh.net.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<infos@lacomreussie.fr>: connect to smtp.lacomreussie.fr[45.159.189.69]:25:
    Connection refused

-----

Avec comme expéditeur du mail d'erreur : "Mail Delivery System <MAILER-DAEMON@mo511.mail-out.ovh.net>"
Probablement que l'adresse destinataire du mail original n'existe pas.

Le souci c'est que je n'ai jamais envoyé ces mails. Je soupçonne donc que quelqu'un utilise mon compte exchange pour envoyer mails/spams. Mais j'ai un mot de passe long et complet, je serais étonné qu'il ait été piraté. Est-il possible que la personne envoie des mails, avec son propre serveur, mais avec mon adresse mail en tant qu'expéditeur, ce qui me rendrait destinataire des messages d'erreur ?

J'ai reçu 5 messages d'erreurs comme cela a quelques minutes d'intervalles, mais il est possible que de nombreux autres messages aient été envoyés sans que je n'en ai connaissance, si ceux-ci sont bien arrivés à destination.
Pour chaque message, la valeur "mo511.mail etc" change, et le destinataire en bas aussi. Les destinataires sont tous de type "infos@ xxx" et ne font pas partie de mon carnet d'adresses.

Est-ce qu'il y a des journaux de mails envoyés à partir de mon serveur pour que je puisse contrôler ça, et des journaux de connexion à exchange pour que je voie s'il y a des connexion suspectes ?
D'avance merci
Upvotes (0)
1012 Views
Accepted Solution
See this answer in context

Bonjour,

Voici l'explication.

1) lacomréussie vous envoie un mail (dont le contenu n'a pas d'importance ici). Ce qui est important, c'est que dans ce mail il a été demandé un accusé de réception (ou plutôt un accusé de lecture, read receipt)

2) vous avez effacé ce mail sans le lire

3) le serveur Exchange a envoyé, sans vous en demander la permission, un accusé de non-lecture. L'envoi de cette notification a pu se produire lorsque vous avez effacé le mail, mais plus probablement lorsque vous avez vidé la corbeille.

4) le serveur mail de lacomreussie ne répond pas, et le mail de notification "unread" a sans doute traîné entre 1 et 5 jours dans une file d'attente des mails en échec et à ré-essayer périodiquement.

5) ceci explique que vous ayez envoyé un mail à lacomréussie.

En conséquence je trouve qu'il y a ici une violation de la vie privée. Aucun serveur ne devrait envoyer les accusés de lecture sans votre consentement. La plupart des serveurs ne l'envoient pas, ou bien vous demandent la permission avant de l'envoyer.

Cherchez dans vos réglages de serveur si vous pouvez désactiver cela.
Si vous ne trouvez pas, faites un ticket incident pour que OVH vous fasse un changement au niveau du serveur, en respect du RGPD et de la vie privée. Aucun spammeur ne devrait savoir que vous recevez mais ne lisez pas ses mails.

 
Helpful (1)
Replies (0)
8 Replies ( Latest reply on 2025-03-18 07:44:08 by
Neothila
)

Bonjour,

Quand le mail vous a été retourné, il cotient le message d'origine en pièce jointe.

Cette pièce jointe est essentielle pour pouvoir poser un diagnostic et identifier la provenance de l'injection de ce mail dans les serveurs mail de l'internet. Il faut en extraire les en-têtes SMTP.

 
Helpful (0)
N

Bonjour,

Merci beaucoup pour votre réponse rapide.

Malheureusement aucune pièce jointe dans ces mails. Vous êtes sûr qu'il est censé y en avoir une ?
Cela m'arrive de temps en temps de faire une faute de frappe en tapant l'adresse d'un destinataire, je reçois ce même type de message d'erreur en retour ("Mail Delivery System") et il n'y a jamais eu de pièce jointe. Sauf que cette fois-ci ce n'est pas moi qui ait envoyé les messages, c'est bien ce qui m'inquiète. Je vous joins une capture d'écran.

Merci

  • Mail Delivery System.png 1.1M
Helpful (0)
N

Merci de votre réponse !

Je ne savais pas qu'Outlook n'était pas recommandable, travaillant sous Windows et avec des adresses mail Exchange, je trouvais cohérent de rester dans un environnement Microsoft en utilisant Outlook. Je n'ai rien contre Thunderbird. En tout cas le problème est le même dans le webmail d'OVH, pas de pièce jointe (je vous joins la capture d'écran). Le mail est présenté de manière identique à Outlook. Donc soit il n'y a vraiment pas la pièce jointe dont vous parlez, soit le webmail d'OVH ne vaut pas mieux qu'Outlook.

En fouillant un peu dans Outlook j'ai pu aller dans "Propriétés -> En-têtes Internet" et j'ai trouvé des informations ressemblant à votre exemple, je vous colle tout :

Received: from DAG7EX3.indiv5.local (172.16.2.73) by DAG7EX2.indiv5.local
 (172.16.2.72) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1748.10 via Mailbox
 Transport; Sun, 9 Mar 2025 09:15:13 +0100
Received: from CAS21.indiv5.local (172.16.1.21) by DAG7EX3.indiv5.local
 (172.16.2.73) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1748.10; Sun, 9 Mar
 2025 09:15:13 +0100
Received: from output47.mail.ovh.net (164.132.34.47) by ex5.mail.ovh.net
 (172.16.1.21) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.1748.10 via Frontend
 Transport; Sun, 9 Mar 2025 09:15:13 +0100
Received: from vr23.mail.ovh.net (unknown [10.101.8.23])
    by out47.mail.ovh.net (Postfix) with ESMTP id 4Z9Xrc5yPVzbHFnNL
    for <monadresse@amoi.fr>; Sun,  9 Mar 2025 08:15:12 +0000 (UTC)
Received: from in60.mail.ovh.net (unknown [10.101.4.60])
    by vr23.mail.ovh.net (Postfix) with ESMTP id 4Z9Xrc4yQNz4fkwcg
    for <monadresse@amoi.fr>; Sun,  9 Mar 2025 08:15:12 +0000 (UTC)
Received: from 11.511.mail-out.ovh.net (11.511.mail-out.ovh.net [178.33.248.74])
    by in60.mail.ovh.net (Postfix) with ESMTPS id 4Z9Xrc4X6bz1X2SW
    for <monadresse@amoi.fr>; Sun,  9 Mar 2025 08:15:12 +0000 (UTC)
Authentication-Results: in60.mail.ovh.net;
    dkim=none (no signatures found);
    dmarc=fail policy.published-domain-policy=none policy.applied-disposition=none policy.evaluated-disposition=none (p=none,d=none,d.eval=none) policy.policy-from=p header.from=mo511.mail-out.ovh.net;
    spf=none smtp.mailfrom="" smtp.helo=11.511.mail-out.ovh.net;
    x-tls=pass smtp.version=TLSv1.3 smtp.cipher=TLS_AES_256_GCM_SHA384 smtp.bits=256
Received-SPF: none
    (11.511.mail-out.ovh.net: No applicable sender policy available)
    receiver=in60.mail.ovh.net;
    identity=helo;
    helo=11.511.mail-out.ovh.net;
    client-ip=178.33.248.74
Received: by mo511.mail-out.ovh.net (Postfix)
    id 4Z9Xrc3ShNz1Fmc; Sun,  9 Mar 2025 08:15:12 +0000 (UTC)
Date: Sun, 9 Mar 2025 08:15:12 +0000
From: Mail Delivery System <MAILER-DAEMON@mo511.mail-out.ovh.net>
Subject: Undelivered Mail Returned to Sender
To: <monadresse@amoi.fr>
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
    boundary="4Z6Sds4VPxz1MwM.1741508112/mo511.mail-out.ovh.net"
Message-ID: <4Z9Xrc3ShNz1Fmc@mo511.mail-out.ovh.net>
X-OVH-Remote: 178.33.248.74 (11.511.mail-out.ovh.net)
X-Ovh-Tracer-Id: 5624995937131529705
X-VR-SPAMSTATE: BOUNCE
X-VR-SPAMSCORE: 10000
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgeefvddrtddtgdduudehleefucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucfpohhtihhfihgtrghtihhonhculddutddttddtmdenucfjughrpeffhffuvfggtgesphdttdertddtvdenucfhrhhomhepofetkffngfftqdfftefgoffqpfesmhhoheduuddrmhgrihhlqdhouhhtrdhovhhhrdhnvghtucdlofgrihhlucffvghlihhvvghrhicuufihshhtvghmmdenucggtffrrghtthgvrhhnpeeukeefgeekjeeifeelteeifeffleeijedtvdffveduvdfhudevgfeghedtfeehvdenucffohhmrghinhepohhvhhdrnhgvthdrihhmpdhlrggtohhmrhgvuhhsshhivgdrfhhrnecukfhppedujeekrdeffedrvdegkedrjeegnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthepudejkedrfeefrddvgeekrdejgedphhgvlhhopeduuddrheduuddrmhgrihhlqdhouhhtrdhovhhhrdhnvghtpdhnsggprhgtphhtthhopedupdhrtghpthhtohepsggvnhhjrghmihhnsehgrhgrvghnnhdrfhhrpdfovfetjfhoshhtpehvrhdvfegmpdgukhhimhepnhhonhgvmgdpshhpfhepnhhonhgvmgdprhgvvhfkrfepuddurdehuddurdhmrghilhdqohhuthdrohhvhhdrnhgvthgmpdhgvghokffrpefhtf
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: BOUNCE; dkim: OK; spf: unknown
X-Ovh-Message-Type: BOUNCE
Return-Path: <>
X-MS-Exchange-Organization-Network-Message-Id: 0eb26c0a-5f8d-46a1-9670-08dd5ee28440
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-ABP-GUID: 24e42c7f-8e36-422f-8835-cdd0d8d0fc90
X-MS-Exchange-Organization-AuthSource: CAS21.indiv5.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.6326971
X-MS-Exchange-Processed-By-BccFoldering: 15.02.1748.010

J'ai pris la précaution de remplacer les quelques occurrences avec mon mail   par "monadresse@amoi.fr".
Est-ce que tout ça veut dire quelque chose pour vous ?

Merci pour votre aide

  • Attachment has been removed
Helpful (0)

Bon. Je retire (une partie de) ce que j'ai dit.

Avec un serveur Exchange, le choix du client Outlook s'impose, pour bénéficier de la valeur ajoutée de Exchange par rapport à IMAP+SMTP.

En plus, le forum fait du zèle:

 

Malheureusement les en-têtes SMTP fournies sont celles du message d'erreur de OVH vers G****NN.FR et non celles du message original ayant causé le message d'erreur.

Le site "lacomreussie.fr" n'est pas digne de confiance. Leur site tourne sur un serveur hollandais d'un hébergeur estonien, et leur site n'est qu'une maquette vide.

 

 
Helpful (0)
N

Bonjour,

 

Merci pour votre retour, vous me rassurez quant à l'utilisation d'Outlook.
Oui je me doute bien que l'expéditeur n'est pas fiable, c'est visiblement une adresse qui génère du SPAM.

Du coup j'ai installé Thunderbird pour pour voir fournir les bonnes infos.
Voici la capture d'écran du mail vu par Thunderbird :

Et la capture d'écran de la fameuse pièce jointe "eml" :

Je ne comprends pas tout, je vois mon adresse partout, est-ce que la personne a bien usurpé mon identité pour envoyer le mail ? Suis-je le destinataire ou l'expéditeur, ou les deux ? En cherchant dans mes mails je m'aperçois que je reçois des SPAM de cette adresse "infos@lacomreussie.fr", entre autres. Mais ce que je ne comprends pas c'est pourquoi je reçois des mails quand leurs messages n'arrivent pas au destinataire (enfin c'est ce que je comprends) ?

Merci

PS : j'ai tenté de mettre les images directement dans ma réponse comme vous, je ne sais pas si ça va marcher je vous les mets en pièce jointe également

  • Thunderbird - Screen mail.png 1.19M
  • Thunderbird - Screen pièce jointe.png 601.9K
Helpful (0)
S

Vous recevrez une réponse quand OVH aura réactivé le compte fritz2cat

La raison du message d'erreur est connue.

 
Helpful (0)

Bonjour,

Voici l'explication.

1) lacomréussie vous envoie un mail (dont le contenu n'a pas d'importance ici). Ce qui est important, c'est que dans ce mail il a été demandé un accusé de réception (ou plutôt un accusé de lecture, read receipt)

2) vous avez effacé ce mail sans le lire

3) le serveur Exchange a envoyé, sans vous en demander la permission, un accusé de non-lecture. L'envoi de cette notification a pu se produire lorsque vous avez effacé le mail, mais plus probablement lorsque vous avez vidé la corbeille.

4) le serveur mail de lacomreussie ne répond pas, et le mail de notification "unread" a sans doute traîné entre 1 et 5 jours dans une file d'attente des mails en échec et à ré-essayer périodiquement.

5) ceci explique que vous ayez envoyé un mail à lacomréussie.

En conséquence je trouve qu'il y a ici une violation de la vie privée. Aucun serveur ne devrait envoyer les accusés de lecture sans votre consentement. La plupart des serveurs ne l'envoient pas, ou bien vous demandent la permission avant de l'envoyer.

Cherchez dans vos réglages de serveur si vous pouvez désactiver cela.
Si vous ne trouvez pas, faites un ticket incident pour que OVH vous fasse un changement au niveau du serveur, en respect du RGPD et de la vie privée. Aucun spammeur ne devrait savoir que vous recevez mais ne lisez pas ses mails.

 
Helpful (1)
N

Bonjour,

Merci beaucoup pour ce décryptage ! Je comprends mieux à présent.

En effet c'est un problème, d'autant plus que dans Outlook la case "ne jamais envoyer de confirmation de lecture" est bien cochée. Le souci n'est donc a priori pas côté client, mais bien côté serveur (mais je n'ai trouvé aucun paramètre à configurer). Je vais contacter OVH.

Merci pour tout
Helpful (0)

Join discussion