Bonjour,
J'ai un problème d'utilisation abusive de ma boite e-mail dont je me suis aperçu par la réception d'emails de bounce renvoyés par les boites désactivées (mailer daemon).
Mon questionnement est que je ne sais pas si mon mot de passe a été piraté (je vais le réinitialiser) ou si c'est un mailing qui nomme mon adresse sans utiliser mon accès SMTP en faisant appel à un autre serveur OVH et en contournant ainsi le SPF v=spf1 include:mx.ovh.com ~all
Par ailleurs, j'aimerais connaitre l'ampleur de l'utilisation abusive.
Je me dis que l'idéal serait de pouvoir consulter les requêtes MX faite avec mon compte mail via un LOG MX mais je ne vois pas trop si ces logs existent, je trouve juste les fameux logs : web ftp error cgi out ssh cron
Merci d'avance pour vos conseils !
E-mails et solutions Office - Où trouver mes logs MX ?
Related questions
- Compte bloqué pour Spam, impossible de le débloquer
120590 
03.01.2024 08:02
- Email frauduleux au nom de OVH
118005 13.08.2017 18:14
- Changer le mot de passe email depuis roundcube
117899 24.06.2017 14:28
- Autodiscover et Microsoft Outlook 2016
93899 23.11.2016 15:15
- Question sur antispam OVH
92383 17.03.2017 16:11
- OVH sur un iPhone "Échec de l'envoi de l'e-mail : l'adresse de l’expéditeur est incorre
90854 07.08.2017 08:45
- Arrêt de la commercialisation du MX plan
85906 30.11.2017 11:26
- Mail non délivrés ou en spam chez nos clients
82123 15.11.2017 10:30
- Envois de mails / erreur 521
79652 05.04.2017 11:42
- Comment configurer une entrée DNS de type DKIM chez OVH ?
78796 12.03.2019 17:41
Bonjour,
Je ne pense pas qu'il soit possible d'utiliser les SMTP d'OVH sans utiliser des identifiants.
Bien sur, rien n’empêche d'utiliser votre adresse pour envoyer des email, mais pas via les SMTP d'OVH et du coup cela ne correspondra pas avec l'entrée SPF (include:mx.ovh.com).
Merci pour votre réponse. Vous suggérez donc que mes accès SMTP auraient été piratés?
Quant à la deuxième hypothèse, l'email de spam aurait été reçu depuis ce serveur :
Received:
from mxplan3.mail.ovh.net
D'où mon questionnement !
Merci,
C'est une hypothèse en effet.
Pouvez vous envoyer le code source de l'email en question ?
@Fritz2cat connaît bien ces sujets et pourra sûrement nous apprendre plus.
Si c'est un spam, il n'y a aucune donnée personnelle (peut-être juste une adresse mail, n'hésitez pas à masquer partiellement)
Merci de poster l'en-tête SMTP du spam dans son intégralité.
Merci! Et voici (contact@mondomaine.com étant mon adresse masquée) :
Sujet :
Read: Guide des métiers du digital : plus de 30 métiers en plein boom passés au crible
De :
contact mondomaine.com>
Date :
28/09/2022, 10:31
Pour :
"infos@bonvoilatypique.fr" bonvoilatypique.fr>
Return-Path:
mondomaine.com>
Received:
from mxplan3.mail.ovh.net (unknown [10.108.4.25]) by mo548.1out.ovh.netout.ovh.net (Postfix) with ESMTPS id 133832315B for bonvoilatypique.fr>; Wed, 28 Sep 2022 08:31:14 +0000 (UTC)
Received:
from DAG3EX2.mxp3.local (172.16.2.6) by DAG3EX2.mxp3.local (172.16.2.6) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2507.12; Wed, 28 Sep 2022 10:31:13 +0200
Received:
from DAG3EX2.mxp3.local ([fe80::48f0:45fb:343f:d25b]) by DAG3EX2.mxp3.local ([fe80::48f0:45fb:343f:d25b%4]) with mapi id 15.01.2507.012; Wed, 28 Sep 2022 10:31:13 +0200
Thread-Topic:
Guide des métiers du digital : plus de 30 métiers en plein boom passés au crible
Thread-Index:
AQHY0jvbhBbSSvM7AE6kCFTWijceNw==
ID du message :
<2a24a05bf5a946c9a2edecb3f1f62e41@mondomaine.com>
Accept-Language:
fr-FR, en-US
Content-Language:
fr-FR
Content-Type:
multipart/report; boundary="_000_2a24a05bf5a946c9a2edecb3f1f62e41mondomainecom_"; report-type=disposition-notification
X-Ovh-Tracer-Id:
455426513388431502
X-VR-SPAMSTATE:
OK
X-VR-SPAMSCORE:
0
X-VR-SPAMCAUSE:
gggruggvucftvghtrhhoucdtuddrgedvfedrfeegkedgtdehucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucenucfjughrpefhvffuthffkfgtggesphdtjhertddtudenucfhrhhomheptghonhhtrggtthcuoegtohhnthgrtghtsehgrgifrhgvtghorhguihhnghhsrdgtohhmqeenucggtffrrghtthgvrhhnpeeihfekkefgheetveffffejiedtueeltdelheejleeufeeugffhiefgfedvudevffenucfkpheptddrtddrtddrtdenucevlhhushhtvghrufhiiigvpedtnecurfgrrhgrmhepmhhouggvpehsmhhtphhouhhtpdhhvghlohepmhigphhlrghnfedrmhgrihhlrdhovhhhrdhnvghtpdhinhgvtheptddrtddrtddrtddpmhgrihhlfhhrohhmpegtohhnthgrtghtsehgrgifrhgvtghorhguihhnghhsrdgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtohepihhnfhhoshessghonhhvohhilhgrthihphhiqhhuvgdrfhhrpdfovfetjfhoshhtpehmohehgeek
Version de MIME:
1.0
A priori ça sort bien des serveurs d'OVH.
Je ne pense pas que ce soit du spam.
Un spammeur n'enverrait pas ses mails depuis un domaine français hébergé sur un dédibox Scaleway.
J'ai trouvé votre adresse mail réelle dans les en-têtes cryptés, je vous envoie un mail.
Ok ! merci, j'ai réinitialisé mon mot de passe en attendant.
Après un bref échange en privé, il semblerait que ce soit un mail pseudo-commercial reçu de la part de infos@bonvoilatypique.fr , et ces gens sont incapables de faire fonctionner leur serveur web hébergé sur un Plesk Scaleway.
En outre infos@bonvoilatypique.fr demande un accusé de réception, et leur serveur mail smtp.bonvoilatypique.fr n'est pas configuré correctement pour accepter les accusés de réception qu'ils ont eux-même demandés !!
Boulets à bannir: bonvoilatypique.fr , bonvoilatresbien.fr
Je ne pense pas car infos@bonvoilatypique.fr est bien le destinataire du message et mon compte est bien l'expéditeur, je suis juste informé de l'échec ce message par le bounce de l'accusé, je ne reçois pas moi-même de spam.
Par ailleurs, j'ai reçu une dizaine de messages de bounce avec à chaque fois un destinataire différent.
Je me questionne juste sur le scénario d'envoi. Est-ce qu'il usurpe mes identifiants ou pas?
Quoiqu'il en soit, j'ai changé mon mot de passe.
A suivre
C'est exactement un accusé de réception/lecture, dont le sujet commence par "Read:"