Phishing en Zimbra
marsupilami1947
Mensajes publicados
392
Fecha de registro
Estado
Membre
Última intervención
-
Pierr10 Mensajes publicados 13769 Fecha de registro Estado Modérateur Última intervención -
Pierr10 Mensajes publicados 13769 Fecha de registro Estado Modérateur Última intervención -
Hola,
Desde hace unos quince días, recibo cada día varios mensajes de phishing que tienen todos la misma estructura de dirección de remitente y el mismo contenido.
Dirección: xxxxxx@free.fr donde xxxxx es una serie de caracteres más o menos aleatorios.
El asunto del mensaje también es una serie aleatoria de caracteres.
Anteayer recibí 8 mensajes, y anoche recibí 4.
No he encontrado un filtro que evite estos mensajes.
¿Alguien tiene una idea para eliminar estos mensajes automáticamente?
Gracias por su ayuda.
Configuración: Windows / Firefox 87.0
Desde hace unos quince días, recibo cada día varios mensajes de phishing que tienen todos la misma estructura de dirección de remitente y el mismo contenido.
Dirección: xxxxxx@free.fr donde xxxxx es una serie de caracteres más o menos aleatorios.
El asunto del mensaje también es una serie aleatoria de caracteres.
Anteayer recibí 8 mensajes, y anoche recibí 4.
No he encontrado un filtro que evite estos mensajes.
¿Alguien tiene una idea para eliminar estos mensajes automáticamente?
Gracias por su ayuda.
Configuración: Windows / Firefox 87.0
4 réponses
Hola,
Al buscar en los Newsgroup, encontré un filtro para realizar en Zimbra. Copio el texto:
Para hacer el filtro en Zimbra:
Lo que da como resultado:
Para la acción a ejecutar, desaconsejo poner "Eliminar". Es mejor enviar a spam en caso de que el filtro sea demasiado estricto.
Por ahora parece que funciona.
Lo que se concibe bien se expresa claramente,
Y las palabras para decirlo llegan fácilmente.
(Boileau)
Al buscar en los Newsgroup, encontré un filtro para realizar en Zimbra. Copio el texto:
2 condiciones (asegúrate de poner "Si TODAS las condiciones siguientes se
satisfacen")
Encabezado nombrado | X-Originating-IP | coincide exactamente | []
Encabezado nombrado | Message-Id | coincide con los caracteres de sustitución | <*JavaMail.root@zimbra*.priv.proxad.net>
Sin los | los he puesto para separar los campos del filtro.
La lógica del filtro: la 2ª condición indica un mensaje que pretende
ser enviado por uno de los servidores zimbra de free.
La primera es un encabezado que encontramos en los spams, mientras que los
verdaderos servidores zimbra ponen la dirección IP del cliente web que ha utilizado
zimbra.
Para hacer el filtro en Zimbra:
Lo que da como resultado:
Para la acción a ejecutar, desaconsejo poner "Eliminar". Es mejor enviar a spam en caso de que el filtro sea demasiado estricto.
Por ahora parece que funciona.
Lo que se concibe bien se expresa claramente,
Y las palabras para decirlo llegan fácilmente.
(Boileau)
Panth33ra
Mensajes publicados
22989
Fecha de registro
Estado
Membre
Última intervención
Ambassadeur
2 335
Hola,
Consulta este enlace encontrado en el Foro CCM... https://forums.commentcamarche.net/forum/affich-35362978-je-suis-submerge-par-les-spams y verifica si puedes configurar tu correo Zimbra.
--
ASUS ROG G752 VSK | QuadCore Intel i7 7700HQ | 32 GB-DDR4 | 2 SSD M.2 500 GB | 2 HDD Seagate 2TB | GeForce GTX 1070M 8 GB | Pantalla de 17,3" (120 Hz) | DirectX 12 | Windows 10 (x64)
Consulta este enlace encontrado en el Foro CCM... https://forums.commentcamarche.net/forum/affich-35362978-je-suis-submerge-par-les-spams y verifica si puedes configurar tu correo Zimbra.
--
ASUS ROG G752 VSK | QuadCore Intel i7 7700HQ | 32 GB-DDR4 | 2 SSD M.2 500 GB | 2 HDD Seagate 2TB | GeForce GTX 1070M 8 GB | Pantalla de 17,3" (120 Hz) | DirectX 12 | Windows 10 (x64)
pistouri
Mensajes publicados
19008
Fecha de registro
Estado
Contributeur
Última intervención
Ambassadeur
8 719
Hola,
He estado recibiendo el mismo mensaje en mis mensajerías desde hace unos días.
No hagas clic en cancelar suscripción, ya que eso abre una página de rescate y bloquea el PC.
Reinicia el explorador a través del administrador de tareas si ya es demasiado tarde con --► explorer.exe
Archivo-►Ejecutar nueva tarea
Estoy en FREE.
He reportado el código fuente al lado de Signal spam
Extracto del código fuente, ya que es muy largo.
He bloqueado el nombre de dominio y el remitente en los no deseados con Windows mail.
¿Por qué reportar tus spam?
==► ¿Cómo reportar un correo electrónico o una URL?
Un correo electrónico consta de 2 elementos:
Reportar con un módulo de reporte
Instalar el módulo para Mac Mail
Instalar el módulo para Outlook
Instalar el módulo para Safari
Instalar el módulo para Firefox
Instalar el módulo para Google Chrome
Instalar el módulo para Opera
Instalar el módulo para Thunderbird
Reportar sin módulo de reporte
Si no deseas, o no puedes utilizar uno de nuestros módulos de reporte, debes copiar y pegar en el formulario presente en tu espacio personal, el código fuente del correo electrónico que deseas reportar.
En la lista a continuación tu webmail o software de mensajería, y haz clic en él para acceder al tutorial:
Gmail
Laposte.net
Mac Mail
Numericable
Orange
Outlook.com
SFR
Thunderbird
Yahoo
A seguir:
A+
He estado recibiendo el mismo mensaje en mis mensajerías desde hace unos días.
No hagas clic en cancelar suscripción, ya que eso abre una página de rescate y bloquea el PC.
Reinicia el explorador a través del administrador de tareas si ya es demasiado tarde con --► explorer.exe
Archivo-►Ejecutar nueva tarea
Estoy en FREE.
He reportado el código fuente al lado de Signal spam
Extracto del código fuente, ya que es muy largo.
He bloqueado el nombre de dominio y el remitente en los no deseados con Windows mail.
¿Por qué reportar tus spam?
Reportar un spam permite reunir toda la información técnica necesaria para la identificación de un spammer, ya sea que el reporte se refiera a un abuso de marketing o a un spam de naturaleza cibercriminal. Signal Spam se encarga de calificar tu reporte y redistribuir la información útil en la lucha contra el spam.
==► ¿Cómo reportar un correo electrónico o una URL?
Un correo electrónico consta de 2 elementos:
Las cabeceras (headers). Es la parte técnica que no ves. Necesita una manipulación para acceder a ella.
El cuerpo (body) del mensaje. Es simplemente el contenido que lees cuando abres un correo electrónico.
Estos 2 elementos forman juntos lo que llamamos el código fuente de un correo electrónico.
Es lo que debes proporcionarnos para reportar un correo electrónico.
Reportar con un módulo de reporte
Instalar el módulo para Mac Mail
Instalar el módulo para Outlook
Instalar el módulo para Safari
Instalar el módulo para Firefox
Instalar el módulo para Google Chrome
Instalar el módulo para Opera
Instalar el módulo para Thunderbird
Reportar sin módulo de reporte
Si no deseas, o no puedes utilizar uno de nuestros módulos de reporte, debes copiar y pegar en el formulario presente en tu espacio personal, el código fuente del correo electrónico que deseas reportar.
En la lista a continuación tu webmail o software de mensajería, y haz clic en él para acceder al tutorial:
Gmail
Laposte.net
Mac Mail
Numericable
Orange
Outlook.com
SFR
Thunderbird
Yahoo
A seguir:
A+
Hola,
Gracias por tu respuesta.
Dado que cada mensaje proviene de un remitente diferente, supongo que debemos informar todos los mensajes a Signal Spam.
Hubo un tiempo en que informaba a Signal Spam, pero como nunca recibí respuesta, dejé de hacerlo. Aun así, informé a Phishinginitiative, pero sin muchas esperanzas tampoco.
No tengo Windows Mail, sino Zimbra como cliente de correo.
Me hablas de "nombre de dominio", ¿puedes decirme qué es? ¿Ese nombre aparece en el código fuente que me enviaste?
Gracias por tu respuesta.
Dado que cada mensaje proviene de un remitente diferente, supongo que debemos informar todos los mensajes a Signal Spam.
Hubo un tiempo en que informaba a Signal Spam, pero como nunca recibí respuesta, dejé de hacerlo. Aun así, informé a Phishinginitiative, pero sin muchas esperanzas tampoco.
No tengo Windows Mail, sino Zimbra como cliente de correo.
Me hablas de "nombre de dominio", ¿puedes decirme qué es? ¿Ese nombre aparece en el código fuente que me enviaste?
Hola marsupo,
Cualquier servicio de correo electrónico tiene la sección '' no deseados '' para colocar correos basura, fraudes, estafas de todo tipo y otros, lo cual es práctico.
Zimbra lo he probado un par de veces, el Webmail FREE no me ha convencido.
Ya me ha pasado este tipo de correos fraudulentos, hasta ahora Signal Spam sin querer hacerles la pelota los ha bloqueado unos días después.
En este último caso, los inundé de códigos fuente, porque no es el nombre del remitente el que bloquea sino el nombre de dominio.
Ejemplo de nombre de dominio = @free.fr
El remitente contaminante puede cambiar el nombre de su dirección de correo a voluntad, gracias a, sin duda, alias, pero no @free.fr
Y hay otras líneas específicas en el código fuente de las que se basa Signal Spam para hacer la selección y bloquear este tipo de contaminantes.
Cualquier servicio de correo electrónico tiene la sección '' no deseados '' para colocar correos basura, fraudes, estafas de todo tipo y otros, lo cual es práctico.
Zimbra lo he probado un par de veces, el Webmail FREE no me ha convencido.
Ya me ha pasado este tipo de correos fraudulentos, hasta ahora Signal Spam sin querer hacerles la pelota los ha bloqueado unos días después.
En este último caso, los inundé de códigos fuente, porque no es el nombre del remitente el que bloquea sino el nombre de dominio.
Ejemplo de nombre de dominio = @free.fr
El remitente contaminante puede cambiar el nombre de su dirección de correo a voluntad, gracias a, sin duda, alias, pero no @free.fr
Y hay otras líneas específicas en el código fuente de las que se basa Signal Spam para hacer la selección y bloquear este tipo de contaminantes.
Hola pistouri,
Gracias por estas precisiones.
No he identificado ninguna sección de "indeseables" en Zimbra, pero sé cómo crear filtros. Y el problema es precisamente que, al enfrentarme a estos mensajes, no sabía cómo poner en marcha un filtro. He implementado el filtro que encontró Pierr10, funciona muy bien.
Ahora voy a hacer un informe a Signalspam para ver si pueden hacer algo con un spam que cambia cada vez de remitente, de asunto y de enlace de desinscripción. El único punto en común que hemos encontrado es el hecho de que el enlace de desinscripción siempre contiene la palabra "club".
No me veo bloqueando el dominio "@free.fr", ya que eso bloquearía todos los mensajes de ese dominio, spam o no.
Que tengas un buen día.
Gracias por estas precisiones.
No he identificado ninguna sección de "indeseables" en Zimbra, pero sé cómo crear filtros. Y el problema es precisamente que, al enfrentarme a estos mensajes, no sabía cómo poner en marcha un filtro. He implementado el filtro que encontró Pierr10, funciona muy bien.
Ahora voy a hacer un informe a Signalspam para ver si pueden hacer algo con un spam que cambia cada vez de remitente, de asunto y de enlace de desinscripción. El único punto en común que hemos encontrado es el hecho de que el enlace de desinscripción siempre contiene la palabra "club".
No me veo bloqueando el dominio "@free.fr", ya que eso bloquearía todos los mensajes de ese dominio, spam o no.
Que tengas un buen día.
No me veo bloqueando el dominio "@free.fr"
free.fr o FR para ser más preciso respecto al nombre de dominio.
Es signal spam quien lo hace.
No sé con Zimbra cómo vas a encontrar el código fuente
Con, por ejemplo, Windows Mail: nuevo correo no deseado recibido esta mañana.
No deseado (bloquear el nombre de dominio)
A+
Hola y gracias Xileh
es el primer ejemplo que recibo "morgan", he seguido las recomendaciones y estoy esperando para ver los resultados
gracias de nuevo
@+
es el primer ejemplo que recibo "morgan", he seguido las recomendaciones y estoy esperando para ver los resultados
gracias de nuevo
@+
Hola
De nada...
Y para quienes se pregunten la razón de este agradecimiento, es porque le sugerí a laroute que viniera a este tema, en respuesta a su pregunta aquí:
https://forums.commentcamarche.net/forum/affich-37157477-impossible-de-d-eliminer-ces-emails-ils-reviennent-a-chaque-fois
De nada...
Y para quienes se pregunten la razón de este agradecimiento, es porque le sugerí a laroute que viniera a este tema, en respuesta a su pregunta aquí:
https://forums.commentcamarche.net/forum/affich-37157477-impossible-de-d-eliminer-ces-emails-ils-reviennent-a-chaque-fois
Gracias por tu respuesta, seguí tu consejo y puse en marcha este filtro, estoy esperando ver si es eficaz.
Resultado: Todos los spams que había reintegrado han vuelto a la carpeta de spam y solo esos. Por lo tanto, no hay errores ni omisiones.
Tuve la idea de la primera línea, pero no era lo suficientemente restrictiva, y corría el riesgo de haber bastantes errores.
Parece que este problema también existe con el correo de Orange (y sin duda con otros). Debemos poder hacer filtros del mismo tipo.
Creo que de todas formas, esta campaña de phishing cesará por sí misma en unos días o unas semanas como mucho. Será reemplazada por otra cosa. (Antes tuvimos los mensajes falsos que provenían del ayuntamiento de La Suze-sur-Sarthe).
¡Buenas noches!
Muchas gracias Pierr10, el filtro ha funcionado, esta mañana tengo 4 mensajes en mi carpeta "filtrados", y son precisamente los que quería eliminar.
Felicitaciones.