Mon email adresse pro utilisé pour envoi phising

ElhamA · June 10, 2023, 11:50am

Bonjour à tous,

J'ai reçu sur mon email professionnel elham@cardinal-coaching.com un message phishing semblant venir du même adresse email. (screen shot ci-dessous). Le message mentionne le nom de domaine multiples fois (expéditeur, signature, copyright en bas de page, corps du message)- seul le bouton phishing "update my account account here" n'est pas un hyperlien vers mon site.

- Nom de domaine : cardinal-coaching.com
- Hébergé chez OVHcloud avec MXPlan 10 hosting pour les emails
- J'ai un redirection permanent de cet email vers mon compte gmail.com perso dans lequel j'ai créé un profil d'envoi pour que je puisse lire et envoyer mes messages pro sans quitter gmail.
- Suite à l'incident, j'ai vérifié le webmail roundcube mais il n'y a aucun message qui semblait être parti depuis le webmail, et aucune activité étrange

Probablement lié- mon site (même domaine) a été piraté et effacé il y a 3 semaines et le hackeur a bloqué mon accès Wordpress. J'ai republié le contenu à partir de zero il y a 10 jours, et activé le double-identification sur mon compte OVH. Depuis le piratage mes stats montrent un trafic anormalement élévé sur le site (mais diminué un peu) qui continue même maintenant.

Que puis-je faire pour empêcher que mon email pro soit associé avec du phishing ??
Y a-t-il un moyen de bloquer cette copie d'adresse? (J'ai vérifié haveibeenpwnd.com et mon adresse email n'a pas été touché)

Voici le email reçu

Merci d'avance pour vos conseils,

TTY · June 12, 2023, 9:42am

Bonjour,
Quelqu'un utilise votre adresse mail pour envoyer des spam (votre boite n'est certainement pas piraté).
On ne peut pas empêcher ce type de comportement.

Vous pouvez tout de même tenter durcir votre SPF pour que ces faux email ne soit pas reçus par les destinataires :

de :
>"v=spf1 a mx include:mx.ovh.com ~all"

vers
>"v=spf1 include:mx.ovh.com -all"

ElhamA · June 12, 2023, 10:19am

Merci beaucoup pour le conseil, même si c'est frustrant de ne pas pouvoir l'empêcher.
Pouvez-vous me dire où sur le tableau de bord puis-je accéder aux paramètres SPF?
Merci !

TTY · June 12, 2023, 10:22am

Cela se trouve dans votre manager OVH -> web cloud -> votre domaine -> zone DNS

fritz2cat · June 12, 2023, 10:28am

Voici le email reçu

Si votre mail a été reçu sur les serveurs d'OVH vous ne devriez pas montrer une fenêtre Gmail sur un Mac.

A partir des serveurs d'OVH pouvez-vous extraire les en-têtes SMTP ; ainsi on verra si les installations d'OVH ont servi à injecter ce mail dans l'internet.

ElhamA · June 12, 2023, 2:03pm

Vous avez tout à fait raison ! Merci pour le rappel.<br />Sur l&#39;interface web fourni par OVH, les entêtes SMTP sont:<br />Return-Path: coaching.com&gt;<br />Delivered-To: elham&#64;cardinal-coaching.com<br />Received: from localhost (HELO queue) (127.0.0.1)<br />    by localhost with SMTP; 9 Jun 2023 19:51:33 &#43;0200<br />Received: from unknown (HELO output40.mail.ovh.net) (192.168.13.34)<br />    by 192.168.9.41 with AES256-GCM-SHA384 encrypted SMTP; 9 Jun 2023 19:51:33 &#43;0200<br />Received: from vr28.mail.ovh.net (unknown [10.101.8.28])<br />    by out40.mail.ovh.net (Postfix) with ESMTP id 4Qd7tX6FzNzTSKZmF<br />    for coaching.com&gt;; Fri, 9 Jun 2023 17:51:32 &#43;0000 (UTC)<br />Received: from in54.mail.ovh.net (unknown [10.101.4.54])<br />    by vr28.mail.ovh.net (Postfix) with ESMTP id 4Qd7tX4WTsz3NCN7Q<br />    for coaching.com&gt;; Fri, 9 Jun 2023 17:51:32 &#43;0000 (UTC)<br />Received-SPF: Softfail (mailfrom) identity&#61;mailfrom; client-ip&#61;45.137.22.67; helo&#61;hosted-by.rootlayer.net; envelope-from&#61;elham&#64;cardinal-coaching.com; receiver&#61;elham&#64;cardinal-coaching.com<br />Authentication-Results: in54.mail.ovh.net; dkim&#61;none; dkim-atps&#61;neutral<br />Received: from hosted-by.rootlayer.net (unknown [45.137.22.67])<br />    by in54.mail.ovh.net (Postfix) with ESMTP id 4Qd7tX39LWz2F98N2<br />    for coaching.com&gt;; Fri, 9 Jun 2023 17:51:32 &#43;0000 (UTC)<br />From: cardinal-coaching.com coaching.com&gt;<br />To: elham&#64;cardinal-coaching.com<br />Subject: [SPAM] FINAL WARNING!!! Identity Confirmation Request from cardinal-coaching.com<br />Date: 9 Jun 2023 19:51:32 &#43;0200<br />Message-ID: &lt;20230609195131.D632D4EDD594F92D&#64;cardinal-coaching.com&gt;<br />MIME-Version: 1.0<br />Content-Type: text/html<br />Content-Transfer-Encoding: quoted-printable<br />X-OVH-Remote: 45.137.22.67 ([45.137.22.67])<br />X-Ovh-Tracer-Id: 7396036489711975933<br />X-VR-SPAMSTATE: PHISHING<br />X-VR-SPAMSCORE: 364<br />X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedvhedrgedtkedguddukecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqggfjpdevjffgvefmvefgnecuuegrihhlohhuthemucehtddtnecuogfuuhhsphgvtghtffhomhgrihhnucdlgeelmdenogetfedtuddqtdduucdludehmdenogfrhhhishhhihhnghdqlfegvdehqddvgeculdeftddtmdenucfjughrpefhvffufffkgggtgfeshhhqfedttddttdenucfhrhhomheptggrrhguihhnrghlqdgtohgrtghhihhnghdrtghomhcuoegvlhhhrghmsegtrghrughinhgrlhdqtghorggthhhinhhgrdgtohhmqeenucggtffrrghtthgvrhhnpefhleegueehhfeljeevjeeggefhkeduueefuddtgeevudetgeeivddvteehudekueenucffohhmrghinhepihhpfhhsrdhiohenucfkphepgeehrddufeejrddvvddrieejnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthepgeehrddufeejrddvvddrieejpdhmrghilhhfrhhomhepoegvlhhhrghmsegtrghrughinhgrlhdqtghorggthhhinhhgrdgtohhmqedpnhgspghrtghpthhtohepuddprhgtphhtthhopegvlhhhrghmsegtrghrughinhgrlhdqtghorggthhhinhhgrdgtohhmpdfovfetjfhoshhtpehvrhdvkedpughkihhmpehprghsshdprhgvvhfkrfephhhoshhtvgguqdgshidrrhhoohhtlhgrhigvrhdrnhgvth<br />X-Ovh-Spam-Status: SPAM<br />X-Ovh-Spam-Reason: vr: PHISHING; dkim: disabled; spf: disabled<br />X-Ovh-Message-Type: PHISHING<br />X-Spam-Tag: YES<br /><br /><img src="upload://qvf2NuroAfeWGmhUNSjwxuLJlDG.png" width="690" height="387" loading="lazy" />

ElhamA · June 12, 2023, 2:09pm

Merci beaucoup - j'ai durci le SPF suivant vos conseils.

fritz2cat · June 12, 2023, 2:21pm

Received: from 1by.rootlayer.netby.rootlayer.net (unknown [45.137.22.67])
by in54.mail.ovh.net (Postfix)

Tout est dans cette phrase. Ce mail provient de softlayer et donc c'est extérieur à OVH.

Received-SPF: Softfail

Softfail provient de votre SPF:
"v=spf1 include:mx.ovh.com ~all"

Remplacez ~all par -all dans votre SPF et un tel mail sera bloqué de manière beaucoup plus générale. (-all est désigné par HardFail)

fritz2cat · June 12, 2023, 2:24pm

j'ai durci le SPF suivant vos conseils

Absolument pas. Je ne sais pas ce que vous avez fait.

Votre SPF n'est pas durci:

~# dig 1coaching.comcoaching.com @ns14.ovh.net txt

;; ANSWER SECTION:
1coaching.com.coaching.com. 600 IN TXT "v=spf1 include:mx.ovh.com ~all"

ElhamA · June 12, 2023, 2:48pm

Le commentaire précédent était en réponse à TTY qui avait fait le même suggestion. Vous avez raison que mon SPF n'était pas durci avant.
Donc j'espère en moins de 24 heures je serai un peu plus à l'abri.
Merci beaucoup à vous deux pour la réactivité !

TTY · June 12, 2023, 3:07pm

Attention à la confusion entre le tildé ~ et le tiret -
Il vous faut un tiret : -all