SPF et phishing

NicolasD98 · July 10, 2020, 8:35pm

Bonjour,
Après avoir reçu des emails de phishing venant de mon propre domaine, j'ai alors rajouté des champs SPF et TXT pour le spf

duflodocus.fr.
600 TXT "v=spf1 include:mx.ovh.com ~all"
duflodocus.fr.
600 SPF "v=spf1 include:mx.ovh.com ~all"

Mais le problème c'est que j'ai l'impression que ça sert à pas grand chose car les emails de phishing semble venir de serveurs OVH … en tout cas j'en ai toujours et ça m’inquiète pour mes clients (sachant que je n'ai pas créé don@duflodocus.fr)

Exemple d’Entête email reçu :
[details=Résumé]
Delivered-To: duflodocus.fr-contact@duflodocus.fr
Received: from localhost (HELO queue) (127.0.0.1) by localhost with SMTP; 10 Jul 2020 19:35:22 +0200
Received: from unknown (HELO output6.mail.ovh.net) (10.108.117.208) by mail663.ha.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 10 Jul 2020 19:35:22 +0200
Received: from vr47.mail.ovh.net (unknown [10.101.8.47]) by out6.mail.ovh.net (Postfix) with ESMTP id 4B3Kty0KNzz19GKs for ; Fri, 10 Jul 2020 17:35:22 +0000 (UTC)
Received: from in24.mail.ovh.net (unknown [10.101.4.24]) by vr47.mail.ovh.net (Postfix) with ESMTP id 4B3Ktx5klVz1TrYhk for ; Fri, 10 Jul 2020 17:35:21 +0000 (UTC)
Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=51.210.129.74; helo=mta75.riccardoagretti.com; envelope-from=don@duflodocus.fr; receiver=contact@duflodocus.fr
Authentication-Results: in24.mail.ovh.net; dkim=none; dkim-atps=neutral
Received: from mta75.riccardoagretti.com (ip74.ip-51-210-129.eu [51.210.129.74]) by in24.mail.ovh.net (Postfix) with ESMTPS id 4B3Ktx35wrz5pPJg for ; Fri, 10 Jul 2020 17:35:21 +0000 (UTC)
Authentication-Results: mta1.riccardoagretti.com; spf=softfail
(trace: RE5TIHJlY29yZChzKToKICAgIGR1ZmxvZG9jdXMuZnIuIDYwMCBJTiBUWFQgInY9c3BmMS
BpbmNsdWRlOm14Lm92aC5jb20gfmFsbCIKICAgIGR1ZmxvZG9jdXMuZnIuIDYwMCBJTiBUWFQgImd
vb2dsZS1zaXRlLXZlcmlmaWNhdGlvbj10VkNIMEJPckV5b3puX1JkNHIwMTZHb2VuSUFndkxhZzRG
RGptOVh5N25JIgogICAgZHVmbG9kb2N1cy5mci4gNjAwIElOIFRYVCAiMXx3d3cuZHVmbG9kb2N1c
y5mciIKICAgIG14Lm92aC5jb20uIDYwMCBJTiBUWFQgInY9c3BmMSBwdHI6bWFpbC1vdXQub3ZoLm
5ldCBwdHI6bWFpbC5vdmgubmV0IGlwNDo4LjMzLjEzNy4xMDUvMzIgaXA0OjE5Mi45OS43Ny44MS8
zMiA/YWxsIgogICAgOC4xNDAuMTc4LjUxLmluLWFkZHIuYXJwYS4gODY0MDAgSU4gUFRSIHZwcy1h
NGZmZWVlZS52cHMub3ZoLm5ldC4KICAgIHZwcy1hNGZmZWVlZS52cHMub3ZoLm5ldC4gNDMyMDAgS
U4gQSA1MS4xNzguMTQwLjgKICAgIDguMTQwLjE3OC41MS5pbi1hZGRyLmFycGEuIDg2NDAwIElOIF
BUUiB2cHMtYTRmZmVlZWUudnBzLm92aC5uZXQuCiAgICB2cHMtYTRmZmVlZWUudnBzLm92aC5uZXQ
uIDQzMjAwIElOIEEgNTEuMTc4LjE0MC44Cg==) smtp.mailfrom=don@duflodocus.fr; dkim=none reason="message not signed"
[/details]

Avez-vous une idée de comment régler ce problème ? car en signalant à OVH fraude on a juste une réponse auto pour nous dire "Nous avons détecté que ceci est bien du phishing." … vachement utile.
Merci d'avance pour toutes aides.

system · July 10, 2020, 8:54pm

> 600 SPF "

oublier, périmé

> j'ai l'impression que ça sert à pas grand chose

voir dkim, donc smtp autres que Ovh?

NicolasD98 · July 10, 2020, 9:20pm

Champs SPF proposé par OVH ^^
Je vais me documenter pour le dkim, je ne connaissais pas.
Tout ce que je vois c'est que ça transite via des domaines comme riccardoagretti.com
Merci et Bonne soirée.

system · July 10, 2020, 9:45pm

> Champs SPF proposé par OVH ^^

et alors?
s'il n'y avait que ça de désuet chez Ovh…

fritz2cat · July 11, 2020, 10:11am

from mta75.riccardoagretti.com (ip74.ip-51-210-129.eu

Sauf que le serveur qui envoie se trouve chez OVH.
Si tu es certain que tous les e-mails de ton domaine sortent bien des installations d'OVH tu peux être plus strict dans ton SPF en indiquant -all au lieu de ~all

RaphaelK1 · July 24, 2020, 11:53am

Bonjour je reviens sur ce sujet car j'ai la même chose avec mon nom de domaine.
Depuis qu'OVH s'est fait piraté il y a 2 ans (2018) , je voulais savoir si OVH n'avait pas une responsabilité indirecte dans l'envoi massif de spam et phishing?
Si ma supposition est correcte, comment faire comprendre à OVH de prendre ses responsabilités et de blinder ses serveurs ou autres équipements ?
Je ne compte même plus le nombre de phishing, environ 3 à 4 par jour.
Cela vient de sites internets piratés du monde entier(très souvent du Wordpress) à des adresses mails ayant pour suffixes mon nom de domaine. Les adresses mails avec mon nom de domaine n'existent pas , j'ai vérifié, mais ne suis pas sur que l'outil utilisé soit efficace.
Je précise que j'ai enclenché le filtre anti-spam mais cela n'a aucun intérêt.

fritz2cat · July 24, 2020, 2:13pm

Depuis qu'OVH s'est fait piraté

C'est le forum qui s'est fait pirater (mais les mots de passe étaient hashés et probablement irrécupérables).
Le Whois des noms de domaine était public jusqu'à l'avènement du RGPD. Il y a plein d'endroits ou on peut trouver ton adresse e-mail.

NicolasD98 · September 19, 2020, 10:44am

Désolé, OVH ne ma pas notifié.
Je vais tester ça aussi, pour le moment je n'ais rien fait.
J'ai des amis où c'est pire (son propre compte email OVH, a été bloqué par OVH pour SPAM)

RaphaelK1 · September 29, 2020, 12:54pm

Bonjour Fritz2cat merci pour ta réponse.

Ce à quoi je veux en venir est : peut-on obliger OVH a signer ces emails (support OVH, @ovhcloud.com) . quand je pense à "signer" c'est éditer un code alpha numérique sur le manager du client . ce code servira a authentifier les emails en provenance d'OVH, seul à pouvoir envoyer un email contenant le mot SupportOVH, cloudOVH. Ainsi seul OVH sera l'envoyeur d'un email avec les mots OVH cloudOVH etc. Ensuite c'est aux serveurs d'OVH de faire le travail de tri.
Ainsi le client OVH n'a plus besoin de se demerder ou gerer l'antispam, ou creer des filtre sur son application mail pour trier tous ces phishings.