Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 18/09/2016, à 20:59

nordier

Thunderbird - boite courriel probablement piratée

Bonsoir,
Je viens de recevoir une alerte pour un message rejeté par le serveur . Mais je n'ai jamais envoyé ce message et je ne connais pas le destinataire, qui ne figure pas dans mon carnet d'adresses. J'ai changé le mot de passe mais ce n'est sans doute pas suffisant, car cette aventure m'est déjà arrivée il y a quelques mois. Quelqu'un sait-il où se cache le malware et comment l'éliminer?
Merci d'avance


Ubuntu 22.04 et win10
Ordi portable ASUS K756U RAM 8Go - DD1To - SSD 128Go
NAS Syno. Freebox. Imprimante Epson XP-4105

Hors ligne

#2 Le 18/09/2016, à 21:58

Zakhar

Re : Thunderbird - boite courriel probablement piratée

Tu n'as probablement aucun virus. tongue

C'est juste un machin pour te faire croire que tu as un virus qui envoie un message te faisant croire qu'un de tes mails a été rejeté par le serveur. Le message ne contiendrait pas une pièce jointe (sans doute bourrée de virus W$ ... mais par précaution ne pas toucher) qui aurait soi-disant été rejetée aussi ?


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#3 Le 18/09/2016, à 23:36

nordier

Re : Thunderbird - boite courriel probablement piratée

Il y a effectivement une PJ "forwardedmessage.eml" que je n'ai pas ouverte. Je suis sous Linux depuis une douzaine d'années et n'est jamais eu de virus.
Correction de mon msg initial: j'ai bien envoyé un message à une soixantaine de destinataires, dont ne faisait pas partie celui du message d'alerte. Est-ce donc un de ceux-là qui peut être contaminé?
Merci de ta réponse qui me tranquillise.


Ubuntu 22.04 et win10
Ordi portable ASUS K756U RAM 8Go - DD1To - SSD 128Go
NAS Syno. Freebox. Imprimante Epson XP-4105

Hors ligne

#4 Le 23/09/2016, à 20:26

Zakhar

Re : Thunderbird - boite courriel probablement piratée

C'est tout à fait possible.

Si tu as fais un mailing (intentionnel) il est possible (probable) qu'un des destinataires soit virussé et t'ait renvoyé, avec un "émetteur au hasard", on peut facilement le faire puisque c'est juste "déclaratif, un mail avec le virus en PJ.

Dans Thunderbird tu peux faire "Affichage" / "Code source du message" et tu auras peut-être plus d'indices sur l'émetteur réel, ou au moins les rebonds du mail.

A tous les coups aussi, si tu scannes la PJ reçue (avec un A/V W$) tu y trouveras des saletés.

Donc à 99,9999% que ça ne vient pas de toi, mais d'un correspondant virussé qui cherche à propager son virus.


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#5 Le 23/09/2016, à 22:04

nordier

Re : Thunderbird - boite courriel probablement piratée

Voici le code source. Qu'en dis-tu?
NB: t.j@gmail.com: c'est moi

Delivered-To: t.j@gmail.com
Received: by 10.103.72.22 with SMTP id v22csp557883vsa;
        Sun, 18 Sep 2016 04:59:29 -0700 (PDT)
X-Received: by 10.194.112.233 with SMTP id it9mr19064718wjb.176.1474199969764;
        Sun, 18 Sep 2016 04:59:29 -0700 (PDT)
Return-Path: <>
Received: from mo172.mail-out.ovh.net (2.mo172.mail-out.ovh.net. [178.33.107.154])
        by mx.google.com with ESMTPS id g19si13258503wjn.167.2016.09.18.04.59.29
        for <t.j@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 18 Sep 2016 04:59:29 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of postmaster@mo172.mail-out.ovh.net designates 178.33.107.154 as permitted sender) client-ip=178.33.107.154;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of postmaster@mo172.mail-out.ovh.net designates 178.33.107.154 as permitted sender) smtp.helo=mo172.mail-out.ovh.net
Received: by mo172.mail-out.ovh.net (Postfix)
    id 4E76DFF81F0; Sun, 18 Sep 2016 13:59:29 +0200 (CEST)
Date: Sun, 18 Sep 2016 13:59:29 +0200 (CEST)
From: MAILER-DAEMON@mo172.mail-out.ovh.net (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: t.j@gmail.com
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
    boundary="073CAFF81F1.1474199969/mo172.mail-out.ovh.net"
Content-Transfer-Encoding: 8bit
Message-Id: <20160918115929.4E76DFF81F0@mo172.mail-out.ovh.net>

This is a MIME-encapsulated message.

--073CAFF81F1.1474199969/mo172.mail-out.ovh.net
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host mo172.mail-out.ovh.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<tinluigi@aol.com>: host mailin-01.mx.aol.com[64.12.88.132] said: 521 5.2.1 :
    AOL will not accept delivery of this message. (in reply to end of DATA
    command)


Ubuntu 22.04 et win10
Ordi portable ASUS K756U RAM 8Go - DD1To - SSD 128Go
NAS Syno. Freebox. Imprimante Epson XP-4105

Hors ligne

#6 Le 26/09/2016, à 22:22

LeoMajor

Re : Thunderbird - boite courriel probablement piratée

bonjour,

A première vue, il s'agit une notification conforme à ce qu'on peut attendre, suite à une erreur de session smtp.
Là, c'est le ehlo qui passe, évalué, second choix SPF, en l'absence du mailfrom/return path, normalement évalué en premier.

Ensuite, cela se gâte.
Il manque le message initial, la cause de la notification.

Message initial  ; {
mail from t.j@gmail.com
rcpt to: tinluigi@aol.com
les entêtes header from, header to, peuvent afficher autre chose, à l'écran.
à l'envoi;  Received.. from ...mo172.mail-out.ovh.net en bas du message initial, probablement

le mx.aol.com will not accept delivery of this message. (in reply to end of DATA command)
->mx smtp.aol.com 25 à la réception
Received from.. mx.aol.com..
évaluation tardive dans la session smtp (smtpd end of data )
->smtpd_end_of_data_restrictions,  policy service,  postfix-policyd-spf, greylist, ....,  aussi règle sieve , -> REJECT

}

est-ce que tu connais tinluigi@aol.com ?
le message est mal forgé ( mail from t.j@gmail.com alors que le smtp d'envoi mo172.mail-out.ovh.net ; pas bon, spf pas conforme )

boite courriel probablement piratée

non. pas la peine de changer les mots de passe.
C'est probablement une tentative de phishing en changeant les enveloppes ou/et en utilisant/essayant une autre identification (pas la tienne) sur le serveur smtp émetteur. 

aol gmail ont une politique anti-spam, même si l'interprétation visuelle dans les webmails, smartphones, tablettes, laisse à désirer.

Hors ligne