Spams qui passent au travers des filtres
... / Spams qui passent au trav...
< Previous question
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Question

Spams qui passent au travers des filtres

E
by
ECM
Created on 2026-02-24 10:04:50 in Offre MX Plan

Bonjour,

Depuis les environs du 10 février, je constate sur plusieurs adresses e-mails différentes (différents domaines, mais tous hébergés chez OVH avec un MX plan) la réception de spams qui passent au travers des barrières de filtrage.

Sur certains domaines, la solution Mailinblack est même installée, mais ces mails ne passent pas par chez eux (les dns sont correctement paramétrés). J'ai contacté leur support qui me répond la chose suivante :
"Il s’agit d’un spam « en direct », c’est-à-dire qu’il est émis depuis un serveur OVH, reste au sein de leur infrastructure et est directement délivré à votre messagerie OVH. Dans ce cas, nos solutions ne peuvent pas intervenir, car nous n’avons pas la main sur l’infrastructure d’OVH pour bloquer ce type de message.
Nous vous recommandons de prendre rapidement contact avec votre hébergeur afin de leur signaler cette faille, pour qu’ils puissent identifier et bloquer l’émetteur de ces e-mails."

J'ai contacté le support OVH via un ticket et ils m'ont répondu qu'ils allaient voir s'il était nécessaire d'affiner le filtrage.

Ces spams sont soit-disant envoyés des adresses suivantes :
paiement@ovhcloud.com
fidelite@ovhcloud.com
info@news.ovhcloud.com
offre@lidl.fr 
contact@lidl.fr
noreply@vinci-autoroutes.com
...

Je n'ai pas vraiment de solution à part éventuellement bloquer ces adresses dans les logiciels de messagerie (mais c'est du cas par cas) et attendre le retour du support à qui j'ai envoyé les .eml.

Je voulais savoir si d'autres personnes ont le même problème.

Merci, bonne journée.
Upvotes (0)
29 Views
3 Replies ( Latest reply on 2026-02-24 19:40:46 by
janus57
)

Bonjour,

 

il faudrait au minimum un entête complet pour savoir si le mail est bien émis en interne sur l'infra mail de OVH, et si c'est le cas il faut faire un abuse et pas passer par le support.

 

Par contre si le pirate envoie directement au serveur OVH les mails en contournant votre solution (MIB je présume) alors là vous ne pouvez rien faire sur une infra mutualisé, il faut un prestataire qui puisse faire du filtrage en entrée.

 

Cordialement, janus57
Helpful (0)
E

Bonjour,

Merci pour ces informations.

Voici une entête en exemple, j'avoue que je ne sais pas vraiment les décrypter :

Return-Path: <confirmation@lidl.fr>
Delivered-To: xxx@xxx.com
Received: from localhost (HELO queue) (127.0.0.1)
	by localhost with SMTP; 24 Feb 2026 10:49:42 +0200
Received: from unknown (HELO output31.mail.ovh.net) (192.168.13.44)
  by 192.168.9.44 with AES256-GCM-SHA384 encrypted SMTP; 24 Feb 2026 10:49:42 +0200
Received: from vr31.mail.ovh.net (unknown [10.101.8.31])
	by out31.mail.ovh.net (Postfix) with ESMTP id 4fKrxx6Ssvz2w9sQ
	for <xxx@xxx.com>; Tue, 24 Feb 2026 08:49:41 +0000 (UTC)
Received: from in37.mail.ovh.net (unknown [10.101.4.37])
	by vr31.mail.ovh.net (Postfix) with ESMTP id 4fKrxx1wPJz1NBHc
	for <xxx@xxx.com>; Tue, 24 Feb 2026 08:49:41 +0000 (UTC)
Received: from 144-163-27-19.dthn.centurylink.net (unknown [62.3.69.156])
	by in37.mail.ovh.net (Postfix) with ESMTP id 4fKrxF45dbz1ktnR;
	Tue, 24 Feb 2026 08:49:05 +0000 (UTC)
X-Disposition-Quarantine: Quarantined due to DMARC policy
Authentication-Results: mx.mail.ovh.net;
    arc=none (no signatures found);
    dkim=invalid (signature is expired, 1024-bit rsa key sha256) header.d=news.ovhcloud.com header.i=@news.ovhcloud.com header.b=gP22nUuR header.a=rsa-sha256 header.s=sim;
    dmarc=fail policy.published-domain-policy=reject policy.published-subdomain-policy=reject policy.applied-disposition=quarantine policy.evaluated-disposition=reject policy.override-reason=local_policy (p=reject,sp=reject,has-list-id=yes,d=quarantine,d.eval=reject,override=local_policy) policy.policy-from=p header.from=lidl.fr;
    spf=fail smtp.mailfrom=Confirmation@lidl.fr smtp.helo=144-163-27-19.dthn.centurylink.net
Received-SPF: fail
    (lidl.fr: Sender is not authorized by default to use 'Confirmation@lidl.fr' in 'mfrom' identity (mechanism '-all' matched))
    receiver=in37.mail.ovh.net;
    identity=mailfrom;
    envelope-from="Confirmation@lidl.fr";
    helo=144-163-27-19.dthn.centurylink.net;
    client-ip=62.3.69.156
Content-Type: multipart/mixed; boundary="===============8466285241696129433=="
MIME-Version: 1.0
From: =?utf-8?B?TElETCBDb25maXJtYXRpb24=?= <Confirmation@lidl.fr>
To: contact@lidl.fr
Subject: =?utf-8?B?QUNUSU9OIFJFUVVJU0UgOiBMaXZyYWlzb24gZGUgdm90cmUgRW5zZW1ibGUgUGFya3NpZGUgLSAjRlI5NTEzNjU0MA==?=
Date: Tue, 24 Feb 2026 00:49:05 -0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=news.ovhcloud.com; s=sim; x=1768216953; i=@news.ovhcloud.com; h=from:to:subject:date:reply-to:message-id:list-unsubscribe:list-unsubscribe-post:feedback-id:list-id:mime-version:content-type; bh=/mSado04RyPF4j3sQSrgNUsoig81yyP4KdhfGpOJvnY=; b=gP22nUuRV7cqBttwlPEhYkhHEo+wK/l9nZViuZEjZOxJm4EniAJiPmTryvfCr3 O2Qa/Ca5L3O1KpzJWQ9PIg90N2j4+K2QBJleok20bQd35pvyunLQ4FmR0tqRxTnH fylX4Yv5lPbxxZt4vhW2uhu36pBf/A1MJGy+mciaHFdMs=
Reply-To: "contact@lidl.fr" <contact@lidl.fr>
List-Unsubscribe: <https://news.ovhcloud.com/optiext/optiextension.dll?ID=FjcQoSn_-5ya7SF9JiGVODF_ZLLpbqT9UYkb1k2kKIHdG2Q-fw5dqPrrxBNIUVIbqt-WvZhiJDLifprgfYU>, <mailto:listunsubscribe@slgnt.eu?subject=UNSUB.300a94e77ec3425df6eef34ff83a6f3a.FjcQoSn_-5ya7SF9JiGVODF_ZLLpbqT9UYkb1k2kKIHdG2Q-fw5dqPrrxBNIUVIbqt-WvZhiJDLifprgfYU>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-GRID-REF: 8A66B7582E9A48E5AC85DC32E810B6FA.PATT3L844_890140d64f0f4992a0d89ea4c8a46cdb_ihRx7KQBU-YPZrpw/zporSxAJi1ut/qNnfinwLQ1VuQS8dbZnGJKQUI0NXePM45jFOFPOth8tTCJS4UHIYXdlZDlWs/pVIxYcrE-GfupbQs=
X-GRID-QID: d1920f07a5d347d3a745ebd79eafb6ed
X-MA-Reference: SIM_AZzA5SrF3lHQVsJZ_YBn_cDfe7obyYrhCjVxzdQOS72Vk7h64
X-MA-Instance: SIM_AZzA5SrF3lHQVsJZ_YBn_cDfe7obyYrhCjVxzdQOS72Vk7h64.300a94e77ec3425df6eef34ff83a6f3a
X-rpcampaign: OVH_4978_42_23042
Feedback-ID: 890140d64f0f4992a0d89ea4c8a46cdb:4978:SLGNT
List-ID: <24.4978.news.ovhcloud.com>
X-MailingID: 4978_844
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============8466285241696129433=="
X-Ovh-Tracer-Id: 11456875977299319085
X-VR-SPAMSTATE: MCE
X-VR-SPAMSCORE: 17
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled
X-Ovh-Message-Type: MCE
Organization: OVHcloud
User-Agent: OVHcloud nces
X-Mailer: OVHcloud nces
X-OVH-Remote: 136.55.22.175 ([136.55.22.175])
Message-ID: <PATT3L844_8c50eb6b-0a9e-4563-9170-d2c2984ff7a3@webgridb223.emsecure.net>
X-OVH-Remote: 62.3.69.156 ([62.3.69.156])
X-VR-SPAMSTATE: PHISHING
X-VR-SPAMSCORE: 600
X-VR-SPAMCAUSE: dmFkZTFmlP9RXkgU4UmSwPnV/lBHnSrN+Gcy0Bx+GVo+Jdy+GmHq4o23u+fHrOE60Q3lPq8DnfRWj63dbt3KWf1R+SOUVg7HH+eK07043lF+2e9bNtg/crbEqQoymGyoltJo1MmLYD/cVJOZxg5X7XqVmaqnXZ9V8dG5xVLRPKyvljaCuwA9QiwNQPFO0fqX90ChB9V/xW0r8e2FCX3izbyDjRE39LBVbF7aKz3R3scaDf1nvCr8lqQpJjF6ODllOfOt5vNsTBRwJiNmS6TA5EjnyWo14ERG9cT968UlWBw587tHiMh47GqfQD/vzqNNqXpchu2QsiBG8jaN9FcyYYPbK1TagCX+BAoDHqxMwk24NkVld8HMz6zeh2sTILrPQXAKkCpcqQMOywi+xwMZxDh2XFuyksphnww95ouA1aIjk9SoqFsAS9EVA4MC49R0R748Zgkp4Q7aLF700pMQXYSXSEpISIvMYxN2bJTOllYTEPS2cKoFT6KD8JYZg1U1m1qYFYj+7sqdvJageAnkHAEBpmToYQ6blwrogMSINzzqWpgopzKc7w1s7UeqZEx2eGFehaUNC8M3Wv1xd71xuqwsoBGwvVQiVMliuo+eKqYc6GQszHN+h71amk7GoQhZHeHtC7L18kyxpC/IePnzp6thuOYpk6lNG7QXdMniicCJlcivIkUMK3SHTf4p8C10zwvOn8YfElkb3k8qashE37impRG7pl8v0IBeTe2tGVU3v+Ql6yNQV4L4J7tMQuTSQbylHHzYTS87c/upsFUJBdjRAbRCyqngj59Ly3l1l9VJkVdEVQ6BOUVJpR8pxTFxrzwWqkIYUdgt1IEqgY0NywBJwRISwSFM5TrVWvUCEFDFQ00nKDNKUFWxzSZttXXLihBnlIm2Qf71aFucvfhiGnaWtG0u0x6hQ9P9yYDiWWCArNJ9LWURND9GvieJ3bMuqCX9buRG13D0UZhSxKyjaP
 cN1s1r3IAOyIj+RwWcQMifzN0WlFlVqc0s7uuNkvQW7nXDTBk
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled
X-Ovh-Message-Type: MCE
Helpful (0)

Bonjour,

C'est un mail expédié depuis un serveur tiers (ici : 62.3.69.156 qui appartient à un FAI en UK) directement à OVH, donc non, il n'est pas émis depuis une machine OVH, contrairement à ce qui vous a été dit.

Par contre il y a plusieurs indicateurs qui font que pour moi, OVH aurait dû le rejeter ou directement le supprimer.

Déjà le domaine usurpé (ici lidl.fr) présente une entrée DMARC en "reject" et derrière le mail a un SPF et DKIM faux, donc JAMAIS le mail n'aurait dû atteindre votre boite de réception, surtout qu'il y a un mix entre de l'usurpation de lidl et OVH.

Là c'est la configuration de l'antispam de OVH qui pas bien fait du tout, car même leur moteur le détecte en hameçonnage … (X-VR-SPAMSTATE: PHISHING ).

Ce que je vais dire est très moche, mais il faut remonter chaque mail au support OVH ou alors penser à changer de prestataire si OVH ne fait rien.

Cordialement, janus57
Helpful (0)

Join discussion