Bonjour.
Ceci concerne la téléphonie et je ne trouve de toute façon pas d'autres lieu pour demander.
Je viens de recevoir un mail que j'aurais qualifié tout de suite comme Phishing mais dans le corps du message il n'y a pas d'URLs suspects, tout référence concerne OVH.
« On » veut que je fournisse une pièce d'identité allemande, autrement mon service de téléphonie serait susspendu.
J'ai envie de vous citer tout le mail ici, mais pour l'instant indique seulement que le serveur qui injecte le message appartient à combell.com en Belgique.
Est-ce une entreprise qui envoie des mails pour OVH ? J'ai tout vu, je crois tout.
Dites quelque chose.
Merci.
Mon message à abuse@ovh.com a été rejeté comme pas assez explicite pour pouvoir traiter l'affaire. J'ai pourtant inclus tout le mail d'origine avec toutes les entêtes.
Il n'y a nulle part une autre possibilité de faire un rapport…
Dites moi juste que mon téléphone ne sera pas coupé. Au moins ça.
Dites moi juste que mon téléphone ne sera pas coupé. Au moins ça.
Pas de panique @MichaelU
**Ne jamais cliquer sur les liens dans les MAILS de ce genre.**
Mais, via le Manager : https://www.ovh.com/manager contrôler votre compte.
Est-ce une entreprise qui envoie des mails pour OVH ?
OVH envoie ses mails de marketing par des boîtes externes.
Mais pour du transactionnel, ça ressemble à un phishing.
Combell n'accepte pas les spammeurs, mais il suffit qu'un client se fasse hacker...
Les headers m'intéressent. Ne pas oublier la balise `</>` pour préserver les caractères spéciaux.
Merci Fritz2cat
J'ai adressé ma demande aussi à Combell et ai déjà reçu la réponse robotisée standard.
Les entêtes du mail suivent au-dessous. Mais ce qui est intéressant (pour moi) c'est que toutes les URLs dans le mail me dirigent vers OVH. J'ai la routine d'extraire aussi les src-attributs dans le HTML et n'ai pas vu un seul lien vers autre chose que OVH. Je ne sais biensûr pas si toutes les URLs sont effectivement valides.
EDIT : J'avoue de n'avoir pas réagi à “news.ovhcloud.com”, mais comme le whois ne fournit rien, j'ai lancé une requête avec “host”, ce qui me donne l'adresse “91.230.178.195”, ce qui est Selligent en Belgique. En court: news.ovhcloud.com == Selligent SA. Qu'est-ce que c'est ce … Qui fait quoi, ici?
J'ai envoyé le mail aussi à abuse@emsecure.net.
Voici les entêtes du mail
From info@news.ovhcloud.com Tue Jul 13 06:17:52 2021
Return-Path: news.ovhcloud.com>
Delivered-To: michael.uplawski@uplawski.eu
Received: from pops.lautre.net [80.67.160.70]
by kurti.uplawski.eu with POP3 (fetchmail-6.4.0.beta4)
for (single-drop); Tue, 13 Jul 2021 06:17:52 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by erza.lautre.net (Postfix) with ESMTP id 37CEEFFA73
for ; Mon, 12 Jul 2021 19:40:20 +0200 (CEST)
Authentication-Results: erza.lautre.net;
dkim=pass (1024-bit key; unprotected) header.d=news.ovhcloud.com header.i=@news.ovhcloud.com header.b="dusI+VMa";
dkim-atps=neutral
X-Virus-Scanned: Debian amavisd-new at erza.lautre.net
X-Spam-Flag: NO
X-Spam-Score: -1.021
X-Spam-Level:
X-Spam-Status: No, score=-1.021 tagged_above=-10 required=5.31
tests=[BAYES_00=-1.9, DKIMWL_WL_HIGH=0.001, DKIM_SIGNED=0.1,
DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, FROM_EXCESS_BASE64=0.979,
HTML_MESSAGE=0.001, RCVD_IN_DNSWL_NONE=-0.0001, SPF_HELO_PASS=-0.001,
SPF_PASS=-0.001] autolearn=ham autolearn_force=no
Received: from erza.lautre.net ([127.0.0.1])
by localhost (erza.admin.lautre.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id Vki0ZRg0JbTQ for ;
Mon, 12 Jul 2021 19:40:17 +0200 (CEST)
Received: from webgridb222.emsecure.net (webgridb222.emsecure.net [37.148.183.222])
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by erza.lautre.net (Postfix) with ESMTPS id 3FC1DFFA71
for ; Mon, 12 Jul 2021 19:40:17 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=news.ovhcloud.com; s=sim; x=1626716416; i=@news.ovhcloud.com;
h=from:to:subject:date:reply-to:message-id:list-unsubscribe:
list-unsubscribe-post:feedback-id:list-id:mime-version:
content-type; bh=UM2nuJFnvp/jKxElGT+7Ex+Mbbq7W+yz70Bd3VPIgBM=;
b=dusI+VMad/0CygVHWJMYGpqG8WI7BcMNZfcThr59iGjP8S7BTfd63/8diwrvfm
TWvkKzjRYaijxqhqTza0sUi1AZ7FRGLHP4jUxofXx8k9O1ddrxV4WzS/qqBg8ImV
Ch0MzxDT0IDLw8eP6taqokS3uFy2WmbwCj9p6o5mUG2Bc=
From: =?utf-8?B?T1ZIY2xvdWQgVMOpbMOpY29t?= news.ovhcloud.com>
To: "Uplawski"
Subject: =?utf-8?B?SU1QT1JUQU5UIDogW1TDqWzDqXBob25p?=
=?utf-8?B?ZV0gTsOpY2Vzc2l0w6kgZGUgbWlzZSDDoA==?=
=?utf-8?B?IGpvdXIgZGUgdm9zIGNvb3Jkb25uw6k=?=
=?utf-8?B?ZXMgYXZhbnQgbGUgMjIvMDcvMjE=?=
Date: Mon, 12 Jul 2021 17:40:16 +0000
Reply-To: "info@services.ovhcloud.com" services.ovhcloud.com>
Message-ID: webgridb222.emsecure.net>
X-GRID-REF: 8A66B7582E9A48E5AC85DC32E810B6FA.PATT3L844_22887999_yiPT6RkjWwmOJomA4/HKXVrt7QlLld14jNoQF6G/u6zZhpDfecCgyig3f7IjaXgYtsVk62yLId-TmMubdk/nEEWJJgA5hU4s7xn6LHyCrho=
X-GRID-QID: 169
List-Unsubscribe: <https://news.ovhcloud.com/optiext/optiextension.dll?ID=qYZqXzK0oUn7mpc1gyQHgUzyvLzYmxm9zRWAS55uplAVtcGGylbATr7VcjvORa3bYbPqWxRfeXV2Qc0nxe_Xn1Pvl8eO8>,
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-MA-Reference: SIM_q5tq0FH6FkZtuAW3erloQqfMR24DuRLqTteIbIgfRNayQKTWu
X-MA-Instance: SIM_q5tq0FH6FkZtuAW3erloQqfMR24DuRLqTteIbIgfRNayQKTWu.300a94e77ec3425df6eef34ff83a6f3a
X-rpcampaign: OVH_3427_5_9014
Feedback-ID: 22887999:3427:SLGNT
List-ID: <24.3427.news.ovhcloud.com>
X-MailingID: 3427_844
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="NexPart_001"
X-Bogosity: Unsure, tests=bogofilter, spamicity=0.507483, version=1.2.5
Status: RO
Content-Length: 28617
Lines: 458
J'ai adressé ma demande aussi à Combell
Vérification du SPF
~# dig services.ovhcloud.com txt
;; ANSWER SECTION:
services.ovhcloud.com. 3600 IN TXT "v=spf1 a mx include:spf.slgnt.eu -all"
le nom de domaine ressemble bien à Selligent à quelques voyelles près.
Donc il est clair que OVH ne fait même pas confiance à sa propre plateforme d'envoi, ou bien ils ont sous-traité toute la rédaction du mailing.
le nom de domaine ressemble bien à Selligent à quelques voyelles près.
michael@kurti:~$ host services.ovhcloud.com
services.ovhcloud.com has address 91.230.178.195
services.ovhcloud.com mail is handled by 1 mx1.slgnt.eu.
Simplement posez un ticket et demandé confirmation et des explications. Après vous verrez.
@DavidB91: Je vais faire ça. Maintenant.
Mais franchement, les tickets du passé étaient – en trop grande partie – traité d'une manière au moins étonnant. Jusqu'au point qu'un lien invalide – pour lire les conditions d'un contrat – est expliqué par le fait que je n'ai pas choisi de « moyen de payement ». Le support de OVH est situé quelque part, mais ce n'est pas sur ma planète.
Et entre-temps j'apprends que l'adresse abuse@combell.com, qui est publié avec les donnés de la base de RIPE, est invalide ou n'existe pas. On se donne discret.
<blockquote><br />Je vais faire ça. Maintenant.<br /></blockquote><br /><br />J'ai regardé dans mes mails et j'en ai bien reçu au moins un de la même provenance:<br /><br />Il s'intitule: "Mise à jour et sécurisation de vos informations personnelles"<br /><br />Voici les en-têtes, à peine édités:<br /><br /> Received: from webgridb222.emsecure.net (webgridb222.emsecure.net [37.148.183.222])<br /> by *.eu (Postfix) with UTF8SMTPS id 4C249FF5F9<br /> for <*>; Fri, 4 Jun 2021 13:28:51 +0000 (UTC)<br /> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;<br /> d=services.ovhcloud.com; s=sim; x=1623418130;<br /> i=@services.ovhcloud.com; h=from:to:subject:date:reply-to:<br /> message-id:list-unsubscribe:list-unsubscribe-post:feedback-id:<br /> list-id:mime-version:content-type; bh=NoniE9hY3nefcnjN1yiUqUwCIt<br /> +skvv0zjvhuFbcB2c=; b=WDRbHcvH/kUYO6lSJqjug3FjHreEY0OGonr9PA4SmX<br /> CoE33ZdGhPZKwLiOiQVWARIxlwnhyHagq/yQlptYA3vPaYy9P7lSStUTAVj6v0Rn<br /> Bq01e+kdt4TEBY5Vkky1gIHBnnHCsuNHp/UAs3JLC3+6FdMFz+8XkAslhcrOwG45<br /> 4=<br /> From: "OVHcloud" services.ovhcloud.com><br /> To: *<br /> Subject: =?utf-8?B?TWlzZSDDoCBqb3VyIGV0IHPDqWN1cmlz?=<br /> =?utf-8?B?YXRpb24gZGUgdm9zIGluZm9ybWF0aQ==?=<br /> =?utf-8?B?b25zIHBlcnNvbm5lbGxlcw==?=<br /> Date: Fri, 04 Jun 2021 13:28:50 +0000<br /> Reply-To: "info@services.ovhcloud.com" services.ovhcloud.com><br /> Message-ID: webgridb222.emsecure.net><br /> X-GRID-REF: 8A66B7582E9A48E5AC85DC32E810B6FA.PA4_22592476_SgKuHBNNTgk6CANw9cl3R7nbtkwmKE7QP0LEzDb6BeE3iQ/lP9ZkA7UVWfG1iYaaFeLwXORm6-0Zh9/57gcDqLRJPOuVdE=<br /> X-GRID-QID: *<br /> List-Unsubscribe: <https://services.ovhcloud.com/optiext/optiextension.dll?ID=cGHcJaOP*>, <br /> List-Unsubscribe-Post: List-Unsubscribe=One-Click<br /> X-MA-Reference: *<br /> X-MA-Instance: SIM_*<br /> X-rpcampaign: OVH_3223_5_*<br /> Feedback-ID: *:3223:SLGNT<br /> List-ID: <24.3223.services.ovhcloud.com><br /> X-MailingID: 3223_*<br /> MIME-Version: 1.0<br /> Content-Type: multipart/alternative;<br /> boundary="_NexPart_001_"<br /><br />Voici le texte du message, qu'il faut obligatoirement lire dans la section HTML car la section texte contient uniquement un lien pour lire en ligne sur le site web de l'agence de marketing:<br /><br /><br /><br /><br />----------<br /><br />Madame, Monsieur,<br /><br />Nous vous invitons à vérifier l'exactitude des données en liens avec notre compte xx9999-ovh tels que votre adresse de facturation, votre courriel ou encore votre moyen de paiement, le cas échéant.<br /><br />En effet, il est important qu'OVHcloud dispose d'informations exactes.<br /><br />Pensez également à changer votre mot de passe régulièrement, au minimum une fois par un an, et à activer l’authentification double facteur afin de sécuriser au mieux votre compte.<br /><br />OVHcloud met à votre disposition différents guides afin de faciliter la prise en compte de ce courriel :<br /><br />➢ Gérer vos informations personnelles<br /><br />➣ Modifier votre mot de passe<br /><br />➣ Authentification double facteur<br /> <br />Bien cordialement,<br /><br />L'équipe OVHcloud<br /><br /><br />----------<br /><br />Ce mail est assurément authentique. Mon login xx9999 dans le texte n'est pas sorti de nulle part.<br /><br />Il y a plusieurs trucs qui m'énervent là-dedans: <br /><br />* OVH annonce que tous les mails authentiques comportent votre login dans le sujet. Raté: ici il n'y est pas.<br />* La section texte est vide et oblige à lire sur un site web . Jamais je ne clique ce type de liens.<br />* Les 3 liens dans le texte du mail HTML pointent vers un traceur (exemple: https://services.ovhcloud.com/optiext/optiextension.dll?ID=cGHcHD..cGHcHDcGHcHDcGHcHDcGHcHDcGHcHDcGHcHDcGHcHD...<br />* Ce mail est manquant dans l'espace client: section "Service e-mails"<br />* Ceci n'a rien à vois, depuis 2 mois j'ai des rappels de paiements de factures impayées alors que j'ai enregistré un moyen de paiement depuis longtemps, la carte de crédit en question expire en 2022...
Bonjour @MichaelU @Fritz2cat,
Je vous confirme que l'e-mail est bien légitime, et que nous demandons des documents pour la conservation des lignes avec un numéro Allemand (indicatif 49).
Cela est lié à une réglementation des autorités Télécom Allemandes, et nous devons nous assurer que les clients qui détiennent les numéros Allemands concernés en ont le droit.
@MichaelU pour faire le point avec vous à ce sujet, je viens de créer le ticket numéro 2632966, et je vous invite à y donner suite, depuis l'espace client, ou en répondant à mon e-mail.
@Fritz2cat je viens de vous envoyer un message privé, pour récupérer les informations du compte concerné, et faire le point avec vous au sujet de cette demande. Je vous invite à donner suite à mon message privé.
Merci d'avance.
Maxime.R
> Je vous confirme que l'e-mail est bien légitime, et que nous demandons des documents pour la conservation des lignes avec un numéro Allemand (indicatif 49).
> Cela est lié à une réglementation des autorités Télécom Allemandes, et nous devons nous assurer que les clients qui détiennent les numéros Allemands concernés en ont le droit.
Maintenant vous allez m'expliquer dans cette discussion, comment je suis concerné, svp.
Balourd et gauche sont deux nouveaux vocables que j'ai appris aujourd'hui.
> A compter du 22 juillet 2021, si nous ne disposons pas des pièces requises,
> nous serons contraints de suspendre votre service de téléphonie le temps de
> nous fournir ces pièces
Est-ce que je vous explique en quoi votre mail, mise-à part la forme et la manière de transmission, est misérable et inhabile ?
Coupez cette ligne, faites le maintenant. Merci.
Pour la communauté: Il s'agit apparemment d'une ligne FAX que j'ai utilisé dès 2013. Je ne me souviens plus pourquoi c'était un numéro « allemand » et je ne me suis même plus souvenu que elle existe.
OVH ont trouvé pertinent de me menacer de suspendre « ma ligne téléphonique ». C'est ça et comme ça que je connais le support.