Le site Abuse d'OVH est "maladroit" (voire harcèlement)

Bonjour @Fritz2cat et @FabL

De mon coté le 26 janvier, et envoyé à abuse@ovh.net

**Depuis un cluster029 de OVH !**
Extrait : **Cliquez <http://hfjxjqa.cluster029.hosting.ovh.net/assurance/>**

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Account-Key: account8
X-UIDL: 302700.TmCMqfucL+5f09x6wL,W4Hkn0rA=
Return-Path: assurance-maladie@info.ameli.fr
Received: from 1e8.priv.proxad.nete8.priv.proxad.net (LHLO
1e8.priv.proxad.nete8.priv.proxad.net) (172.20.243.203) by
1e8.priv.proxad.nete8.priv.proxad.net with LMTP; Thu, 26 Jan 2023 20:14:40 +0100
(CET)
Received: from mo40.1out.ovh.netout.ovh.net (1g26.priv.proxad.netg26.priv.proxad.net [172.20.243.85])
by 1e8.priv.proxad.nete8.priv.proxad.net (Postfix) with ESMTP id 5459363AFE
for free.fr>; Thu, 26 Jan 2023 20:14:40 +0100 (CET)
Received: from mo40.1out.ovh.netout.ovh.net ([178.32.120.105])
by 1g20.free.frg20.free.fr (MXproxy) with ESMTPS for xxxxxxxxx@free.fr
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256);
Thu, 26 Jan 2023 20:14:40 +0100 (CET)
X-ProXaD-SC: state=HAM score=15
X-ProXaD-Cause: (null)
Received: from director2.ghost.1out.ovh.netout.ovh.net (unknown [10.109.156.6])
by mo40.1out.ovh.netout.ovh.net (Postfix) with ESMTP id 0BB59B4EC4
for free.fr>; Thu, 26 Jan 2023 20:14:36 +0100 (CET)
Received: from ghost-submission-6684bf9d7b-x2tg2 (unknown [10.110.115.32])
by director2.ghost.1out.ovh.netout.ovh.net (Postfix) with ESMTPS id 78D951FD63;
Thu, 26 Jan 2023 19:14:32 +0000 (UTC)
Received: from bernadetteval.fr ([37.59.142.99])
by ghost-submission-6684bf9d7b-x2tg2 with ESMTPSA
id fhcDGhjR0mM5YwEAvTC/dA
(envelope-from info.ameli.fr>); Thu, 26 Jan 2023 19:14:32 +0000
Authentication-Results:garm.ovh; auth=pass (GARM-99G0031b4784c4-2bd3-46ff-a5a4-35acd9bc4ead,
E252F1FD88B7824DDFE82057A7F24B52FD625312) smtp.auth=willy@bernadetteval.fr
X-OVh-ClientIp:195.154.59.64
From: "Votre Assurance Maladie" info.ameli.fr>
To: "Votre Assurance Maladie" info.ameli.fr>
References:
In-Reply-To:
Subject: =?utf-8?Q?Votre_mise_=C3=A0_jour_est_inachev=C3=A9e?=
Date: Thu, 26 Jan 2023 20:14:35 +0100
Message-ID: <0f1001d931ba$6f9564c0$4ec02e40$@info.ameli.fr>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0F11_01D931C2.D15C16B0"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AQGA/qGrUWRoCMrVBrr8l0dC0taX5q9hd4Zg
Content-Language: fr
X-Ovh-Tracer-Id: 15067355504598230491
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 15
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedvhedruddvgedguddvfecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtd. . . . . .
X-Antivirus: Avast (VPS 230126-2, 26/1/2023), Inbound message
X-Antivirus-Status: Clean
. . . . . . . . . .

Cher(e)assur=C3=A9 (e),

Votre carte Vitale n'a pas =C3=A9t=C3=A9 mise =C3=A0 jour. Sachez qu'il =
est indispensable de mettre =C3=A0 jour votre carte Vitale afin =
d'=C3=A9viter tout probl=C3=A8me de remboursement. Cette action vous =
donne l'assurance d'un remboursement rapide et fiable.

Pour mettre =C3=A0 jour votre carte Vitale:=20

Cliquez <http://hfjxjqa.cluster029.hosting.ovh.net/assurance/> Mettez =
=C3=A0 jour votre carte Vitale ou

dans certains =C3=A9tablissements hospitaliers et cliniques.

X-OVh-ClientIp:195.154.59.64

ça c'est une plainte à adresser à poneytelecom/Scaleway

Cliquez http://hfjxjqa.cluster029.hosting.ovh.net/assurance/

ça c'est une plainte à envoyer via www.ovh.com/abuse/ et disant que c'est un phishing (hébergé chez OVH). Comme le domaine ovh.com appartient à OVH, peut-être OK1 va-t-il recevoir la plainte.

ça c'est une plainte à envoyer via www.ovh.com/abuse/ et disant que c'est un phishing (hébergé chez OVH). Comme le domaine ovh.com appartient à OVH, peut-être OK1 va-t-il recevoir la plainte.

Déjà fait le 26 janvier.

```text Le même arnaqueur est toujours actif, à partir d'un autre adresse à 3 IP de distance
(5.196.142.47 au lieu de 5.196.142.44.)
Ces 2 adresses failover sont enregistrées au nom de :
org-name: moler alex
org-type: OTHER
address: 15 allee de Lille
address: 75910 paris
address: FR
phone: +33.664653222


Je viens donc de me faire spammer sur un autre nom de domaine:

Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=5.196.142.47; helo=horizons-solidaires.fr; envelope-from=1zwdsf8@1solidaires.fr;solidaires.fr; receiver=postmaster@example.be
Authentication-Results: in71.mail.ovh.net;
dkim=pass (1024-bit key; unprotected) header.d=horizons-solidaires.fr header.i=@horizons-solidaires.fr header.b="JIw3EtLF";
dkim-atps=neutral
Received: from horizons-solidaires.fr (ip47.ip-5-196-142.eu [5.196.142.47])
by in71.mail.ovh.net (Postfix) with ESMTPS id 4PB7KP0tZhz23pB8j
for ; Tue, 7 Feb 2023 16:06:17 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=1670143678.solidaires;
d=horizons-solidaires.fr;
h=Date:To:From:Subject:Message-ID:List-Unsubscribe:MIME-Version:Content-Type:
Content-Transfer-Encoding;
bh=1DEzSJ+cr5MHwuXK8UQZjjKtRapefT1votWUC6nqOfw=;
b=JIw3EtLF6tM1ibLTfv4g0g/f3qNi/GPcVDo+pEUwKoQ0Ik42SuZHiSeZ/YEvqDlxChI3aBm2esqP
XNXDIhB6SSOmXjRPZv6BVTK/z/zRnBb24sDnh9HmC5rDLXSB7EtFFUY5Ezj22U7jn+u7EeHYf2kA
/2xlDLBSjMH19/CVx78=
Date: Tue, 7 Feb 2023 07:59:28 -0800
To: postmaster@example.be
From: =?UTF-8?Q?=E2=80=AE?==?UTF-8?Q?duolCHVO?= <1zwDsF8@1solidaires.fr>solidaires.fr>
Subject: =?UTF-8?Q?Soci=C3=A9t=C3=A9_Ovh_:_Renouvellement_de_votre_nom_du_domaine_?=
=?UTF-8?Q?example.be.?=
Message-ID: <0e645978efbbc38ea79cd0f72809b600@1solidaires.fr>solidaires.fr>
List-Unsubscribe: mailto:bounce113-Ut0vD6EUA98hLjZ@1solidaires.fr?subject=list-unsubscribesolidaires.fr?subject=list-unsubscribe
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="184649ce9086852b8efffa2827b68af29"
Content-Transfer-Encoding: 8bit
X-OVH-Remote: 5.196.142.47 (ip47.ip-5-196-142.eu)
X-Ovh-Tracer-Id: 8572883366707846532
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 0
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedvhedrudegkedgkeduucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucenucfjughrpeffvffhuffkjfggtgfgsegrkehjredttdejnecuhfhrohhmpejmughuohhlvefjggfquceoudiififfshfhkeeshhhorhhiiihonhhsqdhsohhlihgurghirhgvshdrfhhrqeenucggtffrrghtthgvrhhnpeethfeiuddvhfduhfffgfeihefgtddttdegheefgedugeetffethfejgfdtueetgeenucffohhmrghinhepghhmthgrgihishdrtghomhenucfkphephedrudeliedrudegvddrgeejnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthephedrudeliedrudegvddrgeejpdhmrghilhhfrhhomhepoeduiiifffhshfeksehhohhrihiiohhnshdqshholhhiuggrihhrvghsrdhfrheqpdhnsggprhgtphhtthhopedupdhrtghpthhtohepphhoshhtmhgrshhtvghrseguvghmvggvshdrsggvpdfovfetjfhoshhtpehvrhefvddpughkihhmpehprghsshdpghgvohfkrfephfftpdhrvghvkffrpehiphegjedrihhpqdehqdduleeiqddugedvrdgvuh
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled
X-Ovh-Message-Type: OK

This is a multi-part message in MIME format.

--184649ce9086852b8efffa2827b68af29
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit











OVHcloudGroupe français OVHcloud
Â
Â
  Paris le: 07/02/2023  Objet : Suppression de votre domaine example.be.                                 Â
Madame, Monsieur,
Vous recevez ce message car vous êtes le contact principale de votre nom d'hébergement; celui-ci va arriver à échéance au Registre WHO​​​​​IS.
Po​ur inform​ation, sans intervention de votre part, votre nom de do​​​maine retombera dans le domaine public vers le 20/02/2023(la date peut varier légère​ment selon les Regi​​​stres et les fuseaux hora​​​ires).
Vous pouvez procéder directement au r​​​en​​​​​​​​​​​​​​​ouv​​​​​ellem​​​ent par c​​​ar​​​te ban​​​caire à l'adresse suivante:
> éviter la suspension Nous vous remercions pour la confiance que vous nous accordez. Cordialement,L'équipe Ligne Web Services, disponible 7j/7 via votre espace client- Pour une assistance technique- Pour une assistance commercialeCeci est un mail automatique, vous ne pouvez pas y répondre.Contactez-nous directement via votre espace client via la rubrique ASSISTANCE. ```

OVH Faites quelques chose, le même énergumène est toujours en train de sévir:

Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=5.196.142.12;
helo=1solidaires.fr;solidaires.fr; envelope-from=xmfcwaqc@1solidaires.fr;solidaires.fr;
receiver=info@example.be
Authentication-Results: in40.mail.ovh.net;
dkim=pass (1024-bit key;
unprotected) header.d=1solidaires.frsolidaires.fr header.i=@1solidaires.frsolidaires.fr
header.b="wu6iHQr9";
dkim-atps=neutral
Received: from 1solidaires.frsolidaires.fr (ip12.ip-5-196-142.eu [5.196.142.12])
by in40.mail.ovh.net (Postfix) with ESMTPS id 4PGGR221tfz24VWx5
for ; Tue, 14 Feb 2023 09:40:30 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=1670143678.solidaires;
d=1solidaires.fr;solidaires.fr;
h=Date:To:From:Subject:Message-ID:List-Unsubscribe:MIME-Version:Content-Type:
Content-Transfer-Encoding;
bh=A4NpmVOnliTWCTyB+M5GhByZUzihusqgDBltLpIhU7U=;
b=wu6iHQr9mrdMcJ621UCaS+8Xz95UhZQXC73wrtas3vAtDHSK+J+Jl84/K/gnavEqTe6rQ+Z9bWB5
admVRlmeFLytuD0wDF0d+yHpJmiOPW3weA032NqhGF7BBtBKqr0dqwe4pQH7Lc0Tl0aW7FFdE4PX
NcZG23uQNBZn604bJ9I=
Date: Tue, 14 Feb 2023 01:39:45 -0800
To: info@example.be
From: =?UTF-8?Q?=E2=80=AE?==?UTF-8?Q?troppuSHVO?=
solidaires.fr>
Subject:
=?UTF-8?Q?Soci=C3=A9t=C3=A9_Ovh_:_Renouvellement_du_Certificat_SSL_pour_?=
=?UTF-8?Q?example.be?=
Message-ID: solidaires.fr>

Ping @FabL


ticket correctement créé par votre robot: QLDCPHJZVG
ticket mal créé ZKRSMFNBHW

Ping @FabL

ticket correctement créé par votre robot: QLDCPHJZVG
ticket mal créé ZKRSMFNBHW

De plus le titulaire du domaine 1solidaires.frsolidaires.fr est complice, sinon cet enregistrement DKIM ne serait pas là.

~# dig 1670143678.solidaires._domainkey.1solidaires.frsolidaires.fr txt @dns103.ovh.net

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> 1670143678.solidaires._domainkey.1solidaires.frsolidaires.fr txt @dns103.ovh.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13758
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;1670143678.solidaires._domainkey.1solidaires.fr.solidaires.fr. IN TXT

;; ANSWER SECTION:
1670143678.solidaires._domainkey.1solidaires.fr.solidaires.fr. 180 IN TXT "v=DKIM1;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDsSHq+Ba5DnPKJAauSJoTGO5vC6IFaG4UcqWbre5+uyoy7/ErwcxwokgdQ+5gJxugS5nnFLmpVImYUWv7uNDXMHnffPBmCiPF+YF9jtmp+hVnjciXpjmN9tIsABHqkVWhLf8ZfBiJNa21DDtaGFcbMEs0g8NT7IBv4LCKLLJINxQIDAQAB:3600"

;; Query time: 2 msec
;; SERVER: 2001:41d0:1:4a93::1#53(2001:41d0:1:4a93::1)
;; WHEN: Tue Feb 14 12:26:34 UTC 2023
;; MSG SIZE rcvd: 328

et hop encore un

Authentication-Results: in62.mail.ovh.net;
**dkim=pass** (1024-bit key;
unprotected) header.d=1solidaires.frsolidaires.fr header.i=@1solidaires.frsolidaires.fr
header.b="g+9KE2Hm";
dkim-atps=neutral
Received: from 1solidaires.frsolidaires.fr (ip33.ip-5-196-142.eu [**5.196.142.33**])
by in62.mail.ovh.net (Postfix) with ESMTPS id 4PGNpT0qbwz24Jx9r
for ; Tue, 14 Feb 2023 14:27:45 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; **s=1670143678.solidaires**;
d=1solidaires.fr;solidaires.fr;
...
Date: Tue, 14 Feb 2023 06:27:11 -0800
From: =?UTF-8?Q?=E2=80=AE?==?UTF-8?Q?troppuSHVO?= solidaires.fr>

Hello @Fritz2cat,

désolé pour le retour un peu tardif. (Mais je ne t'avais pas oublié :p )

"Voici le premier retour de la team Abuse :
Pour signaler une page de phishing on contacte l'hébergeur concerné. Si l'objectif est de signaler l'e-mail de phishing (en tant que tel) il faut effectuer une demande au fournisseur de l'ip par lequel le mail est envoyé."

Dans ton cas, je peux juste te confirmer que la demande a bien été prise en compte.

^FabL

il faut effectuer une demande au fournisseur de l'ip par lequel le mail est envoyé.

On est bien d'accord.

Le mail de phishing provient d'un VPS OVH.
Le formulaire "report phishing" ne veut pas entendre parler d'une adresse IP, comme si le phishing ne pouvait pas provenir du réseau OVH.

Alors on prend le formulaire "spam", car on peut y dénoncer une adresse IP.
Votre stupide robot envoie des mails très désagréables au contact NIC du domaine victime du spam/phishing en le menaçant parce qu'il ne respecte pas les conditions d'utilisation de son hébergement.
Et par ailleurs, puisque le truand spammeur continue, c'est que vous ne prenez pas les mesures qui s'imposent.

C'est à vous dégoûter d'utiliser le formulaire ovh.com/abuse.
C'est pour cela que j'expose le problème (et mes états d'âme) ici...

En ce qui concerne l'usurpation de l'identité d'OVHcloud, le process est de transmettre l'e-mail concerné à fraude@ovh.com, et non via le formulaire abuse.

https://docs.ovh.com/fr/customer/arnaques-fraude-phishing/#signaler-un-e-mail-de-phishing

^FabL

fraude@ovh.com

abuse@ovh.com, ça existe aussi ?
fraud@ovh.com, ça existe aussi ?

(ce sont les standards internationaux)

Hello !

fraud@ovh.com est bien fonctionnelle également :) . Quant à abuse@ovh.net, l'adresse est active, mais le bon process (en ce qui concerne OVHcloud) est de passer par le formulaire : https://www.ovh.com/abuse/#!/

^FabL

Bonjour @FabL

J'ai bien compris que OVH préfère que l'on passe par le formulaire : https://www.ovh.com/abuse/#!/

Personnellement, j'ai déjà reçu plusieurs mails d'arnaque depuis des sites hébergés chez OVH.

Pouvez-vous mesurer le temps passé :
* à transférer un MAIL à abuse@ovh.com (_comme la plupart du temps ailleurs)_ ?
* à utiliser votre formulaire ?

Personnellement je suis passé une seule fois passé par ce satané formulaire.
Les autres fois j'ai laissé pi**er.

Je vous propose un petit récapitulatif afin de maximiser le nombre de demandes traitées et finalisées.

----------
**Warning : Lors de vos remontées, veillez à ne PAS communiquer d'informations personnelles.**

**Ex : Si vous partagez une en-tête e-mail, veillez bien à masquer, les adresses e-mails, ip, noms de domaine vous concernant**

----------

**Cas numéro 1 :**

"Je reçois un e-mail de phishing sur mon adresse e-mail usurpant l'identité d'OVHcloud :"

Je transfère l'e-mail à l'une des adresses suivantes :

* fraude@ovh.com
* fraud@ovh.com

https://docs.ovh.com/fr/customer/arnaques-fraude-phishing/#en-pratique

----------

**Cas numéro 2 :**

Je constate qu'un serveur/hébergement OVHcloud fait transiter du SPAM :

J'utilise le formulaire Abuse (catégorie SPAM)
https://www.ovh.com/abuse/#!/

----------

**Cas numéro 3 :**

Je constate qu'une page de phishing est hébergée sur un serveur/hébergement OVHcloud :

J'utilise le formulaire Abuse (catégorie Hameçonnage : (phishing) )
https://www.ovh.com/abuse/#!/

----------

Pour le SPAM, il est également possible de passer par le site : https://www.signal-spam.fr/

Si OVHcloud est concerné, la demande sera automatiquement transférée chez nous.

----------

**Vais-je recevoir un retour ?**

Le plaignant n'est pas tenu informé des avancées. La suite du traitement se passe uniquement entre l'équipe Abuse et le propriétaire du service incriminé.

----------

**Combien de temps faut-il pour qu'une demande _complète et légitime soit traitée_** ?

Nous n'avons aucun délai à annoncer. Au vu de la multiplicité des cas, les délais sont extrêmement variables.

----------

**Ma demande n'a pas été traitée, que faire ?**

Vérifier que toutes les informations ont bien été transmises et que cela concerne bien OVHcloud.

Car dans beaucoup de cas, la demande n'est pas traitée car cela ne nous concerne pas ou est incomplète.

----------

**Est-ce que tout cela peut être amélioré ?**

Oui comme toute chose, il est toujours possible de faire mieux. Et c'est un sujet qui est pris au sérieux au sein d'OVHcloud.

Et tout comme vous, nous aimerions que tout aille beaucoup plus vite.

Je sais que vous aurez de nombreux cas à me partager, de nombreuses améliorations à me proposer. Vous comme moi, nous devrons être patients et nous devrons utiliser les moyens actuellement disponibles afin d'être **le plus efficace possible** dans nos remontées.

----------

**_Petit teasing._**



Nous sommes conscients que la documentation à ce sujet n'est pas très présente et qu'il peut être difficile de s'y retrouver.

Cela arrive très bientôt !

Je viendrai ajouter le contenu ici, dès que cela sera disponible. :)

Je transfère l'e-mail à l'une des adresses suivantes :
fraude@ovh.com
fraud@ovh.com

Merci @FabL

Mais pourquoi ne pas utiliser de préférence **abuse** comme tous les autres hébergeurs, ce qui donne : **abuse@ovh.com** ? ? ?

L'adresse est : abuse@ovh.net

(Visible dans le whois de n'importe quel domaine, ip etc OVHcloud)

Mais (pour l'instant) si tu souhaites maximiser tes chances, il faudra suivre les indications que j'ai précédemment mentionné.

Comme je l'ai dit plus haut @Gaston_Phone, il y a des choses qui sont perfectibles, d'autres à améliorer et d'autres à créer. Beaucoup de projets sont en cours, mais il va falloir s'armer de patience avant qu'ils aboutissent tous.

Note positive ! Tu disposes désormais des bons liens et outils pour faire les remontées que tu souhaiterais effectuer :)

abuse@ovh.net

Vous pourriez reconnaître les deux, me semble-t-il...
pourquoi faire simple quand on peut faire compliqué ?
pourquoi mx0.ovh.**net**, mx1.mail.ovh.**net**, mais spf: include:mx.ovh.**com** ?

tiens tiens le domaine abuse.ovh est encore disponible...