Phishing en Zimbra

marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   -  
Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención   -
Hola,
Desde hace unos quince días, recibo cada día varios mensajes de phishing que tienen todos la misma estructura de dirección de remitente y el mismo contenido.
Dirección: xxxxxx@free.fr donde xxxxx es una serie de caracteres más o menos aleatorios.
El asunto del mensaje también es una serie aleatoria de caracteres.

Anteayer recibí 8 mensajes, y anoche recibí 4.
No he encontrado un filtro que evite estos mensajes.

¿Alguien tiene una idea para eliminar estos mensajes automáticamente?

Gracias por su ayuda.




Configuración: Windows / Firefox 87.0

4 respuestas

  1. Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención   5 840
     
    Hola,

    Al buscar en los Newsgroup, encontré un filtro para realizar en Zimbra. Copio el texto:
    2 condiciones (asegúrate de poner "Si TODAS las condiciones siguientes se
    satisfacen")

    Encabezado nombrado | X-Originating-IP | coincide exactamente | []
    Encabezado nombrado | Message-Id | coincide con los caracteres de sustitución | <*JavaMail.root@zimbra*.priv.proxad.net>

    Sin los | los he puesto para separar los campos del filtro.
    La lógica del filtro: la 2ª condición indica un mensaje que pretende
    ser enviado por uno de los servidores zimbra de free.
    La primera es un encabezado que encontramos en los spams, mientras que los
    verdaderos servidores zimbra ponen la dirección IP del cliente web que ha utilizado
    zimbra.


    Para hacer el filtro en Zimbra:
    Lo que da como resultado:

    Para la acción a ejecutar, desaconsejo poner "Eliminar". Es mejor enviar a spam en caso de que el filtro sea demasiado estricto.

    Por ahora parece que funciona.

    Lo que se concibe bien se expresa claramente,
    Y las palabras para decirlo llegan fácilmente.
    (Boileau)
    2
    1. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11
       
      Hola,
      Gracias por tu respuesta, seguí tu consejo y puse en marcha este filtro, estoy esperando ver si es eficaz.
      0
    2. Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención   5 840 > marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención  
       
      Para probar el filtro, reintegré en los mensajes recibidos aquellos que se encontraban en el spam y apliqué el filtro a los mensajes recibidos.

      Resultado: Todos los spams que había reintegrado han vuelto a la carpeta de spam y solo esos. Por lo tanto, no hay errores ni omisiones.
      0
    3. pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención   8 723 > Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención  
       
      Buen trabajo Pierrot con el filtro Zimbra.
      0
    4. Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención   5 840 > pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención  
       
      ¡Sobre todo tuve la intuición de buscar en el lugar adecuado!
      Tuve la idea de la primera línea, pero no era lo suficientemente restrictiva, y corría el riesgo de haber bastantes errores.

      Parece que este problema también existe con el correo de Orange (y sin duda con otros). Debemos poder hacer filtros del mismo tipo.

      Creo que de todas formas, esta campaña de phishing cesará por sí misma en unos días o unas semanas como mucho. Será reemplazada por otra cosa. (Antes tuvimos los mensajes falsos que provenían del ayuntamiento de La Suze-sur-Sarthe).

      ¡Buenas noches!
      0
    5. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11 > Pierr10 Mensajes publicados 13830 Fecha de registro   Estado Moderador Última intervención  
       
      Hola,
      Muchas gracias Pierr10, el filtro ha funcionado, esta mañana tengo 4 mensajes en mi carpeta "filtrados", y son precisamente los que quería eliminar.
      Felicitaciones.
      0
  2. Panth33ra Mensajes publicados 23137 Fecha de registro   Estado Miembro Última intervención   Ambassadeur 2 365
     
    Hola,
    Consulta este enlace encontrado en el Foro CCM... https://forums.commentcamarche.net/forum/affich-35362978-je-suis-submerge-par-les-spams y verifica si puedes configurar tu correo Zimbra.

    --
    ASUS ROG G752 VSK | QuadCore Intel i7 7700HQ | 32 GB-DDR4 | 2 SSD M.2 500 GB | 2 HDD Seagate 2TB | GeForce GTX 1070M 8 GB | Pantalla de 17,3" (120 Hz) | DirectX 12 | Windows 10 (x64)
    0
    1. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11
       
      Soy yo quien había enviado este mensaje en 2018.
      Aquí, es otro problema, ya que el remitente nunca es el mismo.
      0
      1. Panth33ra Mensajes publicados 23137 Fecha de registro   Estado Miembro Última intervención   2 365 > marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención  
         
        La mensajería Zimbra se configura como todas las demás.
        0
      2. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11 > Panth33ra Mensajes publicados 23137 Fecha de registro   Estado Miembro Última intervención  
         
        Hola,
        ¿Qué hago con tu respuesta?
        0
  3. pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención   Ambassadeur 8 723
     
    Hola,

    He estado recibiendo el mismo mensaje en mis mensajerías desde hace unos días.
    No hagas clic en cancelar suscripción, ya que eso abre una página de rescate y bloquea el PC.
    Reinicia el explorador a través del administrador de tareas si ya es demasiado tarde con --► explorer.exe
    Archivo-►Ejecutar nueva tarea

    Estoy en FREE.




    He reportado el código fuente al lado de Signal spam

    Extracto del código fuente, ya que es muy largo.


    He bloqueado el nombre de dominio y el remitente en los no deseados con Windows mail.

    ¿Por qué reportar tus spam?

     Reportar un spam permite reunir toda la información técnica necesaria para la identificación de un spammer, ya sea que el reporte se refiera a un abuso de marketing o a un spam de naturaleza cibercriminal. Signal Spam se encarga de calificar tu reporte y redistribuir la información útil en la lucha contra el spam.


    ==► ¿Cómo reportar un correo electrónico o una URL?

    Un correo electrónico consta de 2 elementos:

      Las cabeceras (headers). Es la parte técnica que no ves. Necesita una manipulación para acceder a ella.
     El cuerpo (body) del mensaje. Es simplemente el contenido que lees cuando abres un correo electrónico.

    Estos 2 elementos forman juntos lo que llamamos el código fuente de un correo electrónico.
    Es lo que debes proporcionarnos para reportar un correo electrónico.


    Reportar con un módulo de reporte
    Instalar el módulo para Mac Mail
    Instalar el módulo para Outlook
    Instalar el módulo para Safari
    Instalar el módulo para Firefox
    Instalar el módulo para Google Chrome
    Instalar el módulo para Opera
    Instalar el módulo para Thunderbird

    Reportar sin módulo de reporte
    Si no deseas, o no puedes utilizar uno de nuestros módulos de reporte, debes copiar y pegar en el formulario presente en tu espacio personal, el código fuente del correo electrónico que deseas reportar.

    En la lista a continuación tu webmail o software de mensajería, y haz clic en él para acceder al tutorial:
    Gmail
    Laposte.net
    Mac Mail
    Numericable
    Orange
    Outlook.com
    SFR
    Thunderbird
    Yahoo

    A seguir:

    A+
    0
    1. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11
       
      Hola,
      Gracias por tu respuesta.
      Dado que cada mensaje proviene de un remitente diferente, supongo que debemos informar todos los mensajes a Signal Spam.
      Hubo un tiempo en que informaba a Signal Spam, pero como nunca recibí respuesta, dejé de hacerlo. Aun así, informé a Phishinginitiative, pero sin muchas esperanzas tampoco.
      No tengo Windows Mail, sino Zimbra como cliente de correo.
      Me hablas de "nombre de dominio", ¿puedes decirme qué es? ¿Ese nombre aparece en el código fuente que me enviaste?
      0
    2. pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención   8 723 > marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención  
       
      Hola marsupo,

      Cualquier servicio de correo electrónico tiene la sección '' no deseados '' para colocar correos basura, fraudes, estafas de todo tipo y otros, lo cual es práctico.
      Zimbra lo he probado un par de veces, el Webmail FREE no me ha convencido.
      Ya me ha pasado este tipo de correos fraudulentos, hasta ahora Signal Spam sin querer hacerles la pelota los ha bloqueado unos días después.
      En este último caso, los inundé de códigos fuente, porque no es el nombre del remitente el que bloquea sino el nombre de dominio.
      Ejemplo de nombre de dominio = @free.fr
      El remitente contaminante puede cambiar el nombre de su dirección de correo a voluntad, gracias a, sin duda, alias, pero no @free.fr
      Y hay otras líneas específicas en el código fuente de las que se basa Signal Spam para hacer la selección y bloquear este tipo de contaminantes.
      0
    3. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11 > pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención  
       
      Hola pistouri,
      Gracias por estas precisiones.
      No he identificado ninguna sección de "indeseables" en Zimbra, pero sé cómo crear filtros. Y el problema es precisamente que, al enfrentarme a estos mensajes, no sabía cómo poner en marcha un filtro. He implementado el filtro que encontró Pierr10, funciona muy bien.
      Ahora voy a hacer un informe a Signalspam para ver si pueden hacer algo con un spam que cambia cada vez de remitente, de asunto y de enlace de desinscripción. El único punto en común que hemos encontrado es el hecho de que el enlace de desinscripción siempre contiene la palabra "club".
      No me veo bloqueando el dominio "@free.fr", ya que eso bloquearía todos los mensajes de ese dominio, spam o no.
      Que tengas un buen día.
      0
    4. pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención   8 723 > marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención  
       
      No me veo bloqueando el dominio "@free.fr"

      free.fr o FR para ser más preciso respecto al nombre de dominio.

      Es signal spam quien lo hace.

      No sé con Zimbra cómo vas a encontrar el código fuente

      Con, por ejemplo, Windows Mail: nuevo correo no deseado recibido esta mañana.


      No deseado (bloquear el nombre de dominio)


      A+
      0
    5. marsupilami1947 Mensajes publicados 392 Fecha de registro   Estado Miembro Última intervención   11 > pistouri Mensajes publicados 19008 Fecha de registro   Estado Colaborador Última intervención  
       
      Hola,
      Gracias por estas nuevas precisiones.
      No tengo esta posibilidad con Zimbra, no hay ningún filtro previsto sobre el nombre de dominio.
      Que tengas un buen día.
      0
  4. laroute Mensajes publicados 152 Fecha de registro   Estado Miembro Última intervención   7
     
    Hola y gracias Xileh

    es el primer ejemplo que recibo "morgan", he seguido las recomendaciones y estoy esperando para ver los resultados

    gracias de nuevo

    @+
    0