Phishing sous Zimbra

Signaler
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
-
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021
-
Bonjour,
Depuis une quinzaine de jours, je reçois chaque jour plusieurs messages de phishing qui ont tous la même structure d'adresse d'expéditeur et le même contenu.
Adresse : xxxxxx@free.fr dans laquelle xxxxx est une suite de caractères plus ou moins aléatoires.
L'objet du messages est également une suite aléatoire de caractères.

Avant hier j'ai reçu 8 messages, et cette nuit j'en ai reçu 4.
Je n'ai pas trouvé de filtre permettant d'éviter ces messages.

Quelqu'un a-t-il une idée pour éliminer ces messages automatiquement?

Merci de votre aide.







Configuration: Windows / Firefox 87.0

4 réponses

Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021
2 926
Bonjour,

En fouillant dans les Newsgroup, j'ai trouvé un filtre à réaliser sous Zimbra. Je recopie le texte :
2 conditions (bien mettre "Si TOUTES les conditions suivantes sont
satisfaites")

En-tête nommé | X-Originating-IP | correspond exactement | []
En-tête nommé | Message-Id | correspond aux caractères de substitution | <*JavaMail.root@zimbra*.priv.proxad.net>

Sans les | je les ai mis pour séparer les champs du filtre.
La logique du filtre : la 2ème condition indique un message prétendant
être envoyé par un des serveurs zimbra de free
La première est un en-tête qu'on trouve dans les spams, alors que les
vrais serveurs zimbra mettent l'adresse IP du client web qui a utilisé
zimbra.


Pour faire le filtre dans Zimbra :

Ce qui donne :


Pour l'action à exécuter, je déconseille de mettre "Détruire". Il vaut mieux envoyer dans les spams au cas où le filtre ferait du zèle !

Pour l'instant ça a l'air de marcher.

Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément.
(Boileau)
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021

Merci de ta réponse.
J'ai les sources de plusieurs messages, mais c'est très long et je ne sais pas où chercher. As tu des conseils à me donner pour la recherche d'analogie.
J'ai notamment cherché dans les messages filtrés ce que tu avais mis comme filtre, pour utiliser la valeur de cette zone dans les nouveaux messages, mais je n'ai pas trouvé.
Bonne journée
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021

Bonjour,
J'ai maintenant 3 messages nouvelle formule, un par jour depuis 3 jours.
Cordialement
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021
2 926 >
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021

Bonjour,

J'ai reçu 2 de ces spams "nouvelle formule". C'est un peu juste pour tenter de faire un filtre. Je suppose que je ne vais pas tarder à en recevoir d'autres.
Ils semblent venir d'adresses sfr piratées ou modifiées (ce n'est plus Free !).
Je n'y avais pas prêté attention, car Thunderbird les a envoyé directement dans les indésirables.
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021

Bonjour,
Je continue à recevoir un message par nuit.
J'ai modifié le filtre en mettant pour Message-ID: <*@wsfrf1420>
Qu'en penses-tu?
Cordialement
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021
2 926 >
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021

Bonjour,

Bonne idée. J'ai fait la même chose et ça à l'air de marcher.
Il faut supprimer dans le filtre la première ligne X-Originating-IP : il n'y a en fait pas d'en-tête.

Il faut tester pour voir ce que ça donne. Mais dans une semaine ou 10 jours, on sera sans doute passé à autre chose.
Messages postés
6018
Date d'inscription
mercredi 8 juillet 2020
Statut
Membre
Dernière intervention
14 avril 2021
637
Bonjour,
Consulte ce lien trouvé sur le Forum CCM... https://forums.commentcamarche.net/forum/affich-35362978-je-suis-submerge-par-les-spams et vérifie si tu peux configurer ta messagerie Zimbra.
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5
C'es moi qui avais lancé ce message en 2018.
Ici, c'est un autre problème, car l'expéditeur n'est jamais le même.
Messages postés
6018
Date d'inscription
mercredi 8 juillet 2020
Statut
Membre
Dernière intervention
14 avril 2021
637 >
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021

La messagerie Zimbra se configure comme toutes les autres.
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
6018
Date d'inscription
mercredi 8 juillet 2020
Statut
Membre
Dernière intervention
14 avril 2021

Bonjour,
J'en fais quoi de ta réponse?
Messages postés
14617
Date d'inscription
dimanche 14 juin 2015
Statut
Contributeur
Dernière intervention
14 avril 2021
6 847
Bonjour,

Je reçois le même message depuis quelque jour dans mes messageries depuis quelques jours.
Ne pas cliquer sur se désabonner car cela ouvre une page de rançon et bloque le PC.
Relance l'explorateur par le gestionnaire des tâches si c'est trop tard avec --► explorer.exe
Fichier-►Exécuter une nouvelle tâche


Je suis chez FREE.




J'ai signalé le code source du côté de Signal spam

Extrait du code source, car c'est très long.


J'ai bloqué le nom de domaine et l'expéditeur dans les indésirables avec Windows mail.

Pourquoi signaler vos spams ?

Le signalement d’un spam permet de recueillir toutes les informations techniques nécessaires à l’identification d’un spammeur, soit que le signalement concerne un abus marketing, soit qu’il concerne un spam de nature cyber-criminelle. Signal Spam se charge de la qualification de votre signalement et de redistribuer les informations utiles à la lutte contre le spam.


==► Comment signaler un e-mail ou une URL ?

Un e-mail se compose de 2 éléments :

    Les en-têtes (headers). C’est la partie technique que vous ne voyez pas. Elle nécessite une manipulation pour y avoir accès.
 Le corps (body) du message. C’est tout simplement le contenu que vous lisez lorsque vous ouvrez un e-mail.

Ces 2 éléments forment ensemble ce que nous appelons le code source d’un e-mail.
C’est ce que vous devez nous fournir afin de signaler un e-mail.


Signaler avec un module de signalement
Installer le module pour Mac Mail
Installer le module pour Outlook
Installer le module pour Safari
Installer le module pour Firefox
Installer le module pour Google Chrome
Installer le module pour Opera
Installer le module pour Thunderbird

Signaler sans module de signalement
Si vous ne souhaitez pas, ou ne pouvez pas utiliser un de nos modules de signalement, il vous faut copier-coller dans le formulaire présent dans votre espace personnel, le code source de l’e-mail que vous souhaitez signaler.

Liste ci-dessous votre webmail ou logiciel de messagerie et cliquez dessus afin d’accéder au tutoriel:
Gmail
Laposte.net
Mac Mail
Numericable
Orange
Outlook.com
SFR
Thunderbird
Yahoo

À suivre :

A+
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
14617
Date d'inscription
dimanche 14 juin 2015
Statut
Contributeur
Dernière intervention
14 avril 2021

Bonjour pistouri,
Merci pour ces précisions.
Je n'ai pas identifié de rubrique "indésirables" dans Zimbra, mais je sais mettre en place des filtres. Et le problème est justement que confronté à ces messages, je ne savais pas mettre en place un filtre. J'ai mis en place le filtre trouvé par Pierr10, il fonctionne très bien.
Je vais maintenent faire un signalement à Signalspam pour voir si ils peuvent faire quelque chose avec un spam qui change à chaque fois d'expéditeur, d'objet et de lien de désinscription. Le seul point commun que nous avons trouvé est le fait que le lien de désinscription contient toujours le mot "club"
Je me vois mal bloquer le domaine "@free.fr", car cela bloquerait tous les messages de ce domaine, spam ou non.
Bonne journée
Messages postés
14617
Date d'inscription
dimanche 14 juin 2015
Statut
Contributeur
Dernière intervention
14 avril 2021
6 847 >
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021

Je me vois mal bloquer le domaine "@free.fr"    

free.fr ou FR pour être plus précis pour le nom de domaine.

C 'est signal spam qui le fait.

Je ne sais pas avec Zimbra comment tu vas trouver le code source

Avec par exemple Windows Mail: nouveau pourriel reçu ce matin.


Indésirable  (bloquer le nom de domaine)


A+
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5 >
Messages postés
14617
Date d'inscription
dimanche 14 juin 2015
Statut
Contributeur
Dernière intervention
14 avril 2021

Bonjour,
Merci pour ces nouvelles précisions.
Je n'ai pas cette possibilité avec Zimbra, aucun filtre n'est prévu sur le nom de domaine.
Bonne journée
Messages postés
6524
Date d'inscription
mardi 13 février 2018
Statut
Contributeur
Dernière intervention
14 avril 2021
2 926 >
Messages postés
14617
Date d'inscription
dimanche 14 juin 2015
Statut
Contributeur
Dernière intervention
14 avril 2021

Bonjour Pistouri,

Je ne sais pas avec Zimbra comment tu vas trouver le code source

- Pour afficher le code source de la page, il suffit de faire un clic droit sur le contenu du message, dans la zone de visualisation (pas sur une image !), pour trouver Afficher le code source de la page.

- Pour afficher la source du message, faire un clic droit sur la ligne du message (dans la liste des messages) et choisir Montrer l'original.
Messages postés
282
Date d'inscription
samedi 7 décembre 2013
Statut
Membre
Dernière intervention
10 avril 2021
5
Bonjour,
J'ai suivi les instructions de Pierr10, j'ai obtenu le code source et l'original.
Mais quelles sont les informations qui me sont utiles dans toutes ces lignes?
Messages postés
142
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
1 avril 2021
6
bonjour et merci Xileh

c'est bien le premier exemple que je reçois "morgan" j'ai suivi les recommandations et jattends pour voir le resultats

merci encore

@+
Messages postés
14710
Date d'inscription
dimanche 10 janvier 2016
Statut
Modérateur
Dernière intervention
14 avril 2021
4 513
Bonjour

Pas de quoi...

Et pour qui s'interrogerait sur la raison de ce remerciement, c'est parce que j'ai suggéré à laroute, de venir sur ce topic, suite à sa question ici :

https://forums.commentcamarche.net/forum/affich-37157477-impossible-de-d-eliminer-ces-emails-ils-reviennent-a-chaque-fois