Bonjour,
Depuis une quinzaine de jours, je reçois chaque jour plusieurs messages de phishing qui ont tous la même structure d'adresse d'expéditeur et le même contenu.
Adresse : xxxxxx@free.fr dans laquelle xxxxx est une suite de caractères plus ou moins aléatoires.
L'objet du messages est également une suite aléatoire de caractères.
Avant hier j'ai reçu 8 messages, et cette nuit j'en ai reçu 4.
Je n'ai pas trouvé de filtre permettant d'éviter ces messages.
Quelqu'un a-t-il une idée pour éliminer ces messages automatiquement?
En fouillant dans les Newsgroup, j'ai trouvé un filtre à réaliser sous Zimbra. Je recopie le texte :
2 conditions (bien mettre "Si TOUTES les conditions suivantes sont satisfaites")
En-tête nommé | X-Originating-IP | correspond exactement | [] En-tête nommé | Message-Id | correspond aux caractères de substitution | <*JavaMail.root@zimbra*.priv.proxad.net>
Sans les | je les ai mis pour séparer les champs du filtre. La logique du filtre : la 2ème condition indique un message prétendant être envoyé par un des serveurs zimbra de free La première est un en-tête qu'on trouve dans les spams, alors que les vrais serveurs zimbra mettent l'adresse IP du client web qui a utilisé zimbra.
Pour faire le filtre dans Zimbra :
Ce qui donne :
Pour l'action à exécuter, je déconseille de mettre "Détruire". Il vaut mieux envoyer dans les spams au cas où le filtre ferait du zèle !
Pour l'instant ça a l'air de marcher.
Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément.
(Boileau)
J'ai surtout eu le flair pour chercher au bon endroit !
J'avais eu l'idée de la première ligne, mais ce n'était pas assez restrictif, et il risquait d'y avoir pas mal d'erreurs.
Il semble que ce problème existe aussi avec la messagerie Orange (et sans doute d'autres). On doit pouvoir faire des filtres du même genre.
Je pense que de toutes façons, cette campagne de phishing va cesser d'elle-même dans quelques jours ou quelques semaines au plus. Elle sera remplacée par autre chose. (Avant on avait eu les faux messages émanant de la mairie de La Suze-sur-Sarthe).
Bonjour,
Un grand merci Pierr10, le filtre a fonctionné, j'ai ce matin 4 messages dans mon dossier "filtrés", et ce sont bien ceux que je voulais éliminer.
Félicitations.
J'ai un peu honte , mais j'avoue ne pas avoir tout compris (X originating ip -message id ), je reçois toujours autant de spams que je filtre comme je peux , mais rien ne les stoppe .....
Tu suis exactement ce que j'ai indiqué dans le message <5>. Reprends ce qui est dans la zone grisée.
Quand tu réalises le filtre, tu dois remplir toi-même les champs qui sont en blanc. Tout ce qui est sur fond bleu est dans les listes déroulantes.
Attention sur la première ligne du filtre il faut taper [ et ] ce qui donne sans espace [].
Pour mettre la deuxième ligne, cliquer sur le + vert.
Bien sûr ! C'est pour ça que le filtre n'est pas basé sur le nom de l'expéditeur mais sur les en-têtes des messages.
- Reprends ce que j'ai décrit dans les captures d'écran : Préférences > Filtres > Nouveau filtre
- Sélectionne les champs bleus et remplis les zones blanches
- Donne un nom au filtre.
- Indique qu'il faut ranger les éléments trouvés dans le dossier spam (ou indésirables).
Ensuite c'est terminé (OK).
Tu peux éventuellement tester le filtre sur un dossier où tu sais qu'il y a des spams.
Merci pour vos réponses ( et votre patience ) , mais y a t-il une technique pour empêcher donc bloquer ces spams avant qu'ils n'arrivent pas dans la messagerie ?
Seul Free peut bloquer les spams, mais ne le fera pas pour cette raison.
Si vous mettez un filtre en place au niveau du webmail, les messages n'arriveront plus dans les courrielleurs (ils seront déjà dans les spams). C'est le mieux que l'on puisse faire.
C'est l'objet du filtre que j'ai indiqué.
Ce filtre agit directement sur le contenu des serveurs de Free.
Si dans le filtre tu choisis l'option Détruire, tu ne verras absolument pas les spams. Tu ne sauras même pas s'il y en a eu. Mais par précaution, il vaut mieux les envoyer dans le dossier Spams (au cas où il y ait une erreur de filtrage).
Bonjour Pierr10,
Je reviens vers toi car les messages ont recommencé.
Ils ont changé quelque chose, et le filtre ne bloque plus (changé de messagerie et de lien de réponse)
Que dois-je te donner comme informations pour que tu construises un nouveau filtre?
J'ai cherché dans le source du message, mais je n'ai pas trouvé ce qui pourrait convenir par analogie au filtre actuel.
Cordialement
Je constate simplement que le rythme de ce type de spam se ralentit. Je n'ai rien reçu cette nuit. C'est ce qui arrive habituellement, et ils vont être remplacés par autre chose.
Pour l'instant je n'ai pas encore reçu, donc je ne sais pas s'il est possible de faire un nouveau filtre n'ayant pas les sources des messages. (Il faut en avoir reçu plusieurs pour trouver des analogies).
Merci de ta réponse.
J'ai les sources de plusieurs messages, mais c'est très long et je ne sais pas où chercher. As tu des conseils à me donner pour la recherche d'analogie.
J'ai notamment cherché dans les messages filtrés ce que tu avais mis comme filtre, pour utiliser la valeur de cette zone dans les nouveaux messages, mais je n'ai pas trouvé.
Bonne journée
J'ai reçu 2 de ces spams "nouvelle formule". C'est un peu juste pour tenter de faire un filtre. Je suppose que je ne vais pas tarder à en recevoir d'autres.
Ils semblent venir d'adresses sfr piratées ou modifiées (ce n'est plus Free !).
Je n'y avais pas prêté attention, car Thunderbird les a envoyé directement dans les indésirables.
Bonne idée. J'ai fait la même chose et ça à l'air de marcher.
Il faut supprimer dans le filtre la première ligne X-Originating-IP : il n'y a en fait pas d'en-tête.
Il faut tester pour voir ce que ça donne. Mais dans une semaine ou 10 jours, on sera sans doute passé à autre chose.
Je reçois le même message depuis quelque jour dans mes messageries depuis quelques jours.
Ne pas cliquer sur se désabonner car cela ouvre une page de rançon et bloque le PC.
Relance l'explorateur par le gestionnaire des tâches si c'est trop tard avec --► explorer.exe Fichier-►Exécuter une nouvelle tâche
Je suis chez FREE.
J'ai signalé le code source du côté de Signal spam
Extrait du code source, car c'est très long.
J'ai bloqué le nom de domaine et l'expéditeur dans les indésirables avec Windows mail.
Pourquoi signaler vos spams ?
Le signalement d’un spam permet de recueillir toutes les informations techniques nécessaires à l’identification d’un spammeur, soit que le signalement concerne un abus marketing, soit qu’il concerne un spam de nature cyber-criminelle. Signal Spam se charge de la qualification de votre signalement et de redistribuer les informations utiles à la lutte contre le spam.
Les en-têtes (headers). C’est la partie technique que vous ne voyez pas. Elle nécessite une manipulation pour y avoir accès. Le corps (body) du message. C’est tout simplement le contenu que vous lisez lorsque vous ouvrez un e-mail.
Ces 2 éléments forment ensemble ce que nous appelons le code source d’un e-mail. C’est ce que vous devez nous fournir afin de signaler un e-mail.
Signaler avec un module de signalement Installer le module pour Mac Mail
Installer le module pour Outlook
Installer le module pour Safari
Installer le module pour Firefox
Installer le module pour Google Chrome
Installer le module pour Opera
Installer le module pour Thunderbird
Signaler sans module de signalement Si vous ne souhaitez pas, ou ne pouvez pas utiliser un de nos modules de signalement, il vous faut copier-coller dans le formulaire présent dans votre espace personnel, le code source de l’e-mail que vous souhaitez signaler.
Liste ci-dessous votre webmail ou logiciel de messagerie et cliquez dessus afin d’accéder au tutoriel:
Gmail
Laposte.net
Mac Mail
Numericable
Orange
Outlook.com
SFR
Thunderbird
Yahoo
Bonjour,
Merci de ta réponse.
Chaque message étant d'un expéditeur différent, je suppose qu'il faut signaler tous les messages à Signal Spam.
Il fut un temps où je signalais à Signal Spam, mais n'ayant jamais aucun retour, j'ai arrêté de le faire. J'ai quand même signalé à Phishinginitiative, mais sans grand espoir non plus.
Je n'ai pas windows mail, mais Zimbra comme messagerie.
Tu me parles de "nom de domaine", peux-tu me dire ce que c'est, est-ce ce nom apparait dans le code source que tu m'as envoyé?
N'importe quels courrielleurs disposent de la rubrique '' indésirables '' pour y mettre les pourriels, phishings, arnaques en tout genre et autres ce qui est pratique.
Zimbra testé une ou deux fois, le Webmail FREE ne m'as pas convaincu.
Cela m'ait déjà arrivé ce genre de mail frauduleux, jusqu'à présent Signal Spam sans leur jeter des fleurs les a bloqués quelques jours plus tard.
Sur ce dernier coup, je les aie inondé de codes sources, parce que ce n'est pas le nom de l'expéditeur qui bloque mais le nom de domaine.
Exemple nom de domaine = @free.fr L'expéditeur pollueur peut ainsi changer le nom de son adresse mail, à volonté grâce sans doute a des alias, mais pas @free.fr Et il y à d'autres lignes spécifiques dans le code source dont se base Signal Spam afin de faire le tri et bloquer ce genre de pollueur.
Bonjour pistouri,
Merci pour ces précisions.
Je n'ai pas identifié de rubrique "indésirables" dans Zimbra, mais je sais mettre en place des filtres. Et le problème est justement que confronté à ces messages, je ne savais pas mettre en place un filtre. J'ai mis en place le filtre trouvé par Pierr10, il fonctionne très bien.
Je vais maintenent faire un signalement à Signalspam pour voir si ils peuvent faire quelque chose avec un spam qui change à chaque fois d'expéditeur, d'objet et de lien de désinscription. Le seul point commun que nous avons trouvé est le fait que le lien de désinscription contient toujours le mot "club"
Je me vois mal bloquer le domaine "@free.fr", car cela bloquerait tous les messages de ce domaine, spam ou non.
Bonne journée
Je ne sais pas avec Zimbra comment tu vas trouver le code source
- Pour afficher le code source de la page, il suffit de faire un clic droit sur le contenu du message, dans la zone de visualisation (pas sur une image !), pour trouver Afficher le code source de la page.
- Pour afficher la source du message, faire un clic droit sur la ligne du message (dans la liste des messages) et choisir Montrer l'original.
Bonjour,
J'ai suivi les instructions de Pierr10, j'ai obtenu le code source et l'original.
Mais quelles sont les informations qui me sont utiles dans toutes ces lignes?
- Messages postés
-
282
- Date d'inscription
- samedi 7 décembre 2013
- Statut
- Membre
- Dernière intervention
- 10 avril 2021
5 > Pierr10J'ai les sources de plusieurs messages, mais c'est très long et je ne sais pas où chercher. As tu des conseils à me donner pour la recherche d'analogie.
J'ai notamment cherché dans les messages filtrés ce que tu avais mis comme filtre, pour utiliser la valeur de cette zone dans les nouveaux messages, mais je n'ai pas trouvé.
Bonne journée
- Messages postés
-
282
- Date d'inscription
- samedi 7 décembre 2013
- Statut
- Membre
- Dernière intervention
- 10 avril 2021
5 > Pierr10J'ai maintenant 3 messages nouvelle formule, un par jour depuis 3 jours.
Cordialement
- Messages postés
-
6524
- Date d'inscription
- mardi 13 février 2018
- Statut
- Contributeur
- Dernière intervention
- 14 avril 2021
2 926 > marsupilami1947J'ai reçu 2 de ces spams "nouvelle formule". C'est un peu juste pour tenter de faire un filtre. Je suppose que je ne vais pas tarder à en recevoir d'autres.
Ils semblent venir d'adresses sfr piratées ou modifiées (ce n'est plus Free !).
Je n'y avais pas prêté attention, car Thunderbird les a envoyé directement dans les indésirables.
- Messages postés
-
282
- Date d'inscription
- samedi 7 décembre 2013
- Statut
- Membre
- Dernière intervention
- 10 avril 2021
5 > Pierr10Je continue à recevoir un message par nuit.
J'ai modifié le filtre en mettant pour Message-ID: <*@wsfrf1420>
Qu'en penses-tu?
Cordialement
- Messages postés
-
6524
- Date d'inscription
- mardi 13 février 2018
- Statut
- Contributeur
- Dernière intervention
- 14 avril 2021
2 926 > marsupilami1947Bonne idée. J'ai fait la même chose et ça à l'air de marcher.
Il faut supprimer dans le filtre la première ligne X-Originating-IP : il n'y a en fait pas d'en-tête.
Il faut tester pour voir ce que ça donne. Mais dans une semaine ou 10 jours, on sera sans doute passé à autre chose.