Le Club

- Le club

- Contact

- A Voir

- La boutique

- Espace Membre

Sorties - Voyages

- Sorties du club

- 30 Jahre Berlin 2015

- 25 ans du SYNCRO

- 20 ans SYNCRO

- Vos Voyages

- Vos Balades

Calendrier
A Voir - SPAM SPAM SPAM..SCAM PHISHING

Le SPAM est désagréable surtout quand il n'est pas possible de se désabonner et particulièrement quand le lien de désabonnement ne fonctionne pas.

Nous sommes les victimes sur notre adresse email d'une campagne de SPAM continue et importante.

Cette campagne dont nous avons tout lieu de croire que nous n'en sommes pas les seules victimes est une entreprise organisée utilisant de nombreux noms de domaine anodins pour passer à travers les filtres anti-SPAM classiques dont ceux de Free.fr  (Totalement inefficaces à ce sujet).

Elle semble atteindre particulièrement les clients du fournisseur d'accès FREE, notamment par l'intérêt particulier suscité par cette page auprès d'internautes venant de ce FAI (depuis Google, www.qwant.com, Bing, Duckduckgo ...). 

Aller à la Solution

Cette campagne est française, et vise sans doute à récupérer un maximum d'information sur les cibles visées.

Un caractère inhabituel, tant par l'ampleur, que par l'absence de remède apporté au fil du temps, à l'heure des filtres bayesiens et des signalements de SPAM..

Coincidence ou non l'analyse a posteriori montre un accroissement du SPAM après les premières tentatives de désabonnement.

Nous pensions qu'il s'agissait d'exporter ces données hors UE de préférence avant la mise en place en Mai 2018 de la nouvelle réglementation européenne sur la protection des données personnelles.
Ainsi cette vague de SPAM qui a débuté sur notre adresse fin 2017 a semblé un temps se suspendre après le 25 Mai, date d'entrée en vigueur de la RGPD, pour continuer cependant ensuite avec quelques variantes et une continuité certaine y compris dans l'intensité.


De multiples domaines sont utilisés lors de l'envoi ("Snowshoe Spamming") avec de plus quasi systématiquement un sous-domaine quelconque parmi plusieurs.

Ces domaines nécessitant une déclaration et un paiement ou un contrat peuvent apparaître (entre < > ) dans l'adresse De (en-tête From), mais aussi y être remplacés, signe évident de dissimulation par n'importe quoi !   comme par exemple par admin@dorimi.win.

Ils apparaissent cependant toujours dans les derniers en-têtes "Received"  inscrits par le fournissseur de mail ("ESP) Free (proxad.net ou free.fr) au début du message source (les premiers sont les derniers).

Sur les 200 environ noms de domaine différents reçus depuis le début de l'année 2018, seule une trentaine semblent actuellement actifs, toutefois en renouvellement permanent.  

Un échantillon avec la date de création du domaine et le "registrant" pour ceux (ré)apparus plus récemment :

aheadvideo.com  
bioofficial.com
boxadvance.net
buildwriter.com
castelcity.com
cascadedeal.com
canalteam.com
certifiedvoice.com
cheapmedicarequote.com
citydivine.com
clubcontract.com
CoronaBook.com
courseoffice.com
CulturalSearch.com
DeliverySky.com
demmde.com
developclick.com    
devvista.com            
DynamicBig.com2018-02-08 John Brady
eldiaplus.net 2018-01-30 Andrea Torres Ferrer
englishsafe.com
englishsys.com
ExoTracker.com
flexiblelive.com
footballauto.com
freemortagequotes.com
FunnyTracker.com
GiftArchitecture.com
GuardianSpot.com
hapinessworld.com
HardBridge.com
helpcyber.com
homeworked.net
infotemplate.com
JournalValue.com
MarshallBeauty.com
orderjournal.com
pageweekly.com
PaintTel.com 2018-01-19 Andrea Torres Ferrer
presscollector.com
QuickSunday.com
RadarWall.com
roboticbook.com
ScientificSmart.com
ShoppingBuild.com
shoppingtraders.com
storenetworking.com
StoryHarmony.com
StudyUltra.com
timesserver.com
toolsgirl.com
TutorShopping.com 2017-12-20 Abdelkader Takassa
UniversityRevolution.com
weekmobile.com
wikilist.xyz

ou

crucialworld.com
KnowSmile.com
MarketingShort.com
oxfordsmart.com
ScoreEye.com
timessupport.com
WorldwideBig.com
TimeHomepage.com
CovertStar.com
QualityRain.com
ProgressiveTime.com

ou

AmazonHaven.com 2018-01-19 Texas US
AmazonSquad.com  2018-01-19 John Brady
bioeveryday.com
BrokerGarden.com
buzzfeeddaily.org
canyonspace.com
clicstores.com
ConfidentialPower.com
DailyCenters.com  2018-01-18 yacine el houari
devsafety.com
DevSilver.com
gamekeyword.com
goboxnews.org        2018-01-29 Nabil CHANE
goodmorningusa.net
morningsystem.com2018-03-15 (Abdelkader TAKASSA)
navigatorhome.com
PerfectExtra.com
PerfectRev.com
RainbowPrice.com
scanenglish.com  2017-08-22 Nouzha Maknin
softnational.com
specialsecure.com 2017-12-09 Abdelkader Takassa
sportarchitects.com
stackpromo.com
traderphoto.com
us-travels.com
yoursort.info

ou

acheterweb.com
ClearMars.com 2018-01-19 Christophe Morestin
dreampopular.com
fanboston.com           
happyfunnylife.com
MarketingShort.com
newmissiononline.com
prioritylight.com
startnow.net
malltechs.com

ou encore

schoolarweb.com 2017-08-27
GeniusSpeed.com 2017-12-06 Abdelkader TAKASSA
FriendshipSpace.com 2018-02-08 (John Brady) 319 Ash Street Dallas Texas 75225 US
OpportunityStyle.com 2018-02-08 (John Brady) 319 Ash Street Dallas Texas 75225 US

AegisMarket.com 2018-01-19 (Christophe Morestin) 297 Gerald L. Bates Drive Woburn Maryland 01801 US
footballstyles.com 2018-04-10 (Christophe Morestin) 297 Gerald L. Bates Drive Woburn Maryland 01801 US

libertynature.com 2018-04-26 c0bfa7d2812147cb80aa896170122da4.protect@whoisguard.com
presslearning.com 2017-11-01 NOUZHA MAKNIN

alliancedream.com 2018-02-12 John Brady
creativitysocial.com 2018-03-28 Abdelkader TAKASSA
activesong.com 2018-04-03 Abdelkader TAKASSA
benefitsmaker.com 2017-09-13 ZS269655LWS-W
yoursport.info 2017-08-27 (Zaoui Said) LWS
newstech.co                 site en construction Virtono Networks
townhotels.net 2017-09-29 amezziane fatiha  LWS

albumsstore.com 2018-02-18 cb5692cdc77d41d5b69988035b7f7468.protect@whoisguard.com
dayssoft.com 2017-03-03 "Christophe Morestin"

validlive.com 2017-08-24 NOUZHA MAKNIN
softwaredate.com 2017-09-10 NOUZHA MAKNIN
wayangel.com 2018-02-28 NOUZHA MAKNIN

toolsstuff.com 2017-08-24 NOUZHA MAKNIN
newimagelife.com 2018-03-15 Abdelkader TAKASSA
qualityhope.com 2018-03-15 Abdelkader TAKASSA
WalkNetworks.com 2018-03-09 John Brady

groupriver.com 2017-07-27 NOUZHA MAKNIN cible
buzzsmiles.com 2018-02-18 global wideads k j k NA 92000 MA +94.8098 globalwideads01@gmail.com   site en construction (abuse@namecheap.com) shoppingin2018.com 2018-01-07 Fatiha AMEZZIANE
 
businessapex.com 2018-03-15 Abdelkader TAKASSA
rundevices.com 2017-12-01 Abdelkader TAKASSA

istartplaying.com 2017-09-29 amezziane fatiha (www.lws.fr)
kohlsmaildeals.trade  2017-11-23    whoisguard    P.O. Box 0823-03411 Panama
maildailytopdeals.trade 2017-11-23

canallove.com 2017-05-09 NOUZHA MAKNIN
softwareflag.com 2018-03-15 Abdelkader TAKASSA

et plus récemment (> 2018-05-15):

quietteam.com         2017-05-09 (Nouzha Maknin / ELASRIHamid?) CHEFCHAOUEN MA    
journeyvip.com        2018-02-15  (Nouzha Maknin / ELASRIHamid?) CHEFCHAOUEN

facepersonal.com    2018-05-07    0b1b080fa60a4f17bb019e02fe36a4c6.protect@whoisguard.com
EasyCouncil.com     2018-05-10 21fe9224af12413a90e2a9f24a9e4dda.protect@whoisguard.com
 

rulespress.com         2018-05-15

 

 

summerportal.com 2018-05-03 Texas US
 

Tous domaines remarquablement choisis pour être sous la responsabilité d'un propriétaire déclaré sous juridiction étrangère.

Il en est de même généralement des serveurs utilisés par les sous-domaines pour l'envoi  des SPAM.

Habituellement chaque sous-domaine est dénommé par un mot anglais et désigne une machine (adresse IP) précise.
Pour un même domaine les adresses Ip utilisées par les sous-domaines sont définies dans une plage précise souvent contigue et assez souvent réservée comme pour un réseau privé.

Il n'y a absolument aucun lien entre le domaine utilisé pour l'envoi du message et le thème ou l'objet du message.
Il y a semble-t-il un certain lien entre le domaine principal utilisé et la plage d'IP utilisée

De plus il semble être fait recours au moins partiellement au Cloud Amazon y compris pour les adresses et domaines.
<hilton@amazonaws.com>, ..  <mariayhl@amazonaws.com> ...
La politique de abuse@amazonaws.com comme pour d'autres hébergeurs étant notamment de transmettre le mail à son client ! l'envoi d'un mail à cette adresse  risque de confirmer toute adresse mail utilisée à cet usage ou citée, faciliter  la poursuite du SPAM par la pratiqye du "Listwashing " cependant les signalements peuvent être suivi d'effet de la part d'Amazon, sans que celà interdise totalement une reprise de cette activité aileurs sur le Cloud.

Les identifiants des adresses mail d'envoi sont variés avec parfois, souvent mais pas toujours, quelques valeurs récurrentes caractéristiques comme notamment :
user-ru ou supporl dans l'adresse d'envoi (en-tête "From")
ou lors d'utilisation de X-Mailgun (apparente ou réellle) des en-têtes caractéristiques comme notamment :
X-Mailgun-Tag: account-48260          (principalement,  il y a quelques variantes)
Sender: craftaway=gmail.com@ckmail4.com      ou craftaway=gmail.com@ckmail45.com (site donc adresse inexistant)


https://www.mailgun.com/receiving-spam-from-mailgun       abuse@mailgun.com


A défaut d'avoir constitué involontairement un "Honey Pot", nous aimerions au moins être considéré comme un "Spam Trap", ainsi que le désigne les brillants théoriciens de cette profession du marketing et les champions de la Déliverabilité !
Après plusieurs mois il ne semble pas qu'une quelconque capacité de "Listwashing" soit en place conformément à la pratique d'une opération de marketing sérieuse !

"Amis marketers" ne louez pas ces listes !


Il s'agit d'une belle organisation de dissimulation vis à vis des filtres anti-SPAM et d'un souci élaboré et prémédité de protection ou d'esquive juridique.

Il ne semble pas cependant que cette campagne de SPAM sévisse sous cette forme à l'étranger, et que nous soyons les victimes collatérales d'une action plus vaste, le marché visé est français, malgré les serveurs les noms de domaines utilisés, ou les adresses postales putatives de désinscription, les maladresses imputables à des sous-traitants à bas coût, l'acteur principal (si ce n'est le commanditaire) de cette campagne vise sans doute le marché français et ILIAD/FREE en particulier.
 

Il est recommandé de classer en SPAM tout les messages provenant de ces domaines et de tous leurs sous-domaines.

Ces noms de domaines utilisés, déclarés initialement (au début 2018) chez Goddady, (DNS domaincontrol.com) puis (à partir du printemps) chez Namecheap semblent constitués de manière systématique par 2 mots courants de langue anglaise accolés.

Bien qu'un serveur existe à l'adresse IP où est résolu le nom de domaine (comme pour les sous-domaines) aucun serveur web ouvert ne semble actif.

Ces domaines sont enregistrés sous quelques  identités dont l'authenticité (nom adresse téléphone) est douteuse et questionnable quand l'dentité du propriétaire, n'est pas systématiquement masquée par de redoutables techniques d'anonymisation renforcées depuis le 25 mai par la nouvelle politique de publication des registres Whois.

Attention ces noms correspondent à plusieurs homonymes.

John Brady             john.brady23@yahoo.com    319 Ash Street Dallas Texas 75225 US
Christophe Morestin vlz.serv@gmail.com 39, Square de la Couronne paris paris 75002 FR +33.102781125

On notera ici que ni l'adresse ni le numéro de téléphone n'existe ! (pourquoi le reste ?)
il semblerait que les données soient différentes dans des inscriptions récentes  (chekmedia.com 2018-04-13)
Christophe Morestin vlz.serv@gmail.com 297 Gerald L. Bates Drive  Woburn  Maryland  01801  US +1.77854928 

Abdelkader Takassa  company.serv13.us@gmail.com  Ab.takassa@gmail.com AV 09 AVRIL ZKT SANABIL N 33 Tetouan 93000 MAROC


Fatiha AMEZZIANE  contact@senttarget.com 05 hihi 2 loolap tetouan tetouan 92000 MA +212.688591426
(il est permis de douter de cette adresse ...)
mais aussi :
Amezziane Fatiha binarygadh@hotmail.com 18 rue omar ibn lkhetab larache  92000 Morocco
ou encore pour certains :
Zaoui Said lakchmiadam@gmail.com 18 rue omar ibn lkhetab larache  92000 Morocco

Nouzha Maknin     maknin.vlz@gmail.com          AV MACHICHI N52 QUA ADMINISTRATIF CHEFCHAOUEN 91000 MAROC   (makn@###.com) 

ou pour les plages d'IP ELASRIHamid LOT EL ASRI QUA CHORAFAE CHEFCHAOUEN 91000 MA

et aussi :
Yacine El Houari elasri.serv@gmail.com HAY EL JAMAA BOUSKORA Connecticut 21000 US +1.648272302
On notera ici la translation du Maroc au Connecticut !

Nabil CHANE chane.nabil@gmail.com HAY EL JAMAA Bp 332 Mdiq BOUSKORA 21000 MA +212.648272302
 (cet ingénieur d'application en génie informatique a ainsi sans doute trouvé un emploi au Maroc)


En fait il semble être devenu un manager de Volazi  Maroc depuis 2017 !  (cf https://www.zoominfo.com/people/Nabil/Chane).

On remarquera avec intérêt la présence du trigramme vlz (abrégé de Volazi ?) dans les adresses email données aux Registrar pour Christophe Morestin vlz.serv et  Nouzha Maknin     maknin.vlz .
de même que vlzhost.bounceme.net dans des liens cibles des mails.
 




Andrea Torres Ferrer
 
 

il est probable que les autres noms de domaines enregistrés dans les mêmes conditions soient susceptibles d'un même usage, en particulier les enregistrements nouveaux et récents puisque ceux-ci doivent être renouvelés pour bénéficier de l'effet de surprise.

Il s'agit d'une ferme d'envoi de SPAM répartie en bande organisée, dont la collection des messages envoyés prouve l'évidente cohérence par de nombreux éléments de contenu commun ou d'éléments techniques identiques. 


Le message peut éventuellement mais pas systématiquement mentionner une adresse de désabonnement :

616 Corporate Way Ste.2-9092
Valley Cottage, NY 10989


correspondant plutôt au désabonnement de l'offre

ou / et
USA 75 Arlington Street Suite 500, Boston, MA02116

correspondant plutôt au désabonnement de la liste 

soit en texte dans le corps du message (ce qui peut servir de motif de filtre) soit sous forme d'image incluse par un lien externe , furtive pour le filtrage, comme :

http://ardenpro.com/images_html/?dcbc4275iub8jr182/dccbb0.PNG USA 75 Arlington ...
ou
https://i.imgur.com/pKYbdDH.png      616 Corporate ...

Dans le cas où  vous seriez tenté d'envoyer une vraie lettre (snail mail) réfléchissez bien si vous voulez transmettre aussi (ainsi) votre ADN !

(s'il y a vraiment quelqu'un à ces adresses en lien avec ces mailings !)

Cette dernière adresse ne présente pas son destinataire, il est probable cependant qu'il s'agisse de TAOUFIK KHAMOULI, agent de :

VOLAZI, LLC     branche US de Volazi Maroc   (ou l'inverse ?)

si l'on en croit https://opencorporates.com/companies/us_ma/001251130  ou   http://corp.sec.state.ma.us/CorpWeb/CorpSearch/CorpSummary.aspx?FEIN=001251130 où figure cette même adresse !

www.volazi.com
 
CONTACT INFORMATION
USA
75 Arlington Street Suite 500, Boston, MA 02116
+1 (405) 586-5294
Morocco:
Tetouan
+212 5 39 97 43 99
 
Email:
contact@volazi.com
Recruitment:
rh@volazi.com
Pour la branche Marocaine : (cf http://www.charika.ma/societe-volazi-454809   https://ma.kompass.com/c/volazi/ma3336018g/)
Société à Responsabilité Limitée Capital : 100 000 DHS
Rc : 19741 (Tribunal de Tetouan)
ICE : 000305966000020
Av Des Far Imm Hania I 3ème Etage N°11 - Tetouan (M)
Avenue des FAR 93000 TETOUAN MARTIL Maroc
 
Saad Teyar Consultant
 



voire proposer un lien pour se désabonner apparemment inopérant comme :

(il est par prudence tout à fait déconseillé d'utiliser un tel lien pour désabonner votre adresse)

http://fanboston.com/unsub.php
http://zlatanymore.proxy8080.com/unsub.php
http://rundevices.com/unsub.php
http://learningsmile.com/unsub.php
http://productionfood.com/unsub.php
http://boycott.OrganizationLife.com    /unsub.php
http://planbsport.com/unsub.php
http://daycommunity.com/unsub.php
http://pic.ProductionFree.com/unsub.php
http://happinesssmart.com/unsub.php
http://springcontrol.com/unsub.php
http://95.211.206.199/unsub.php
http://0x45C5BAB4/unsub.php

http://contectcop.flashserv.net/unsub.php
http://nethiking.com/unsub.php
http://ground.acheterweb.com/unsub.php
http://prepared.groupfunny.com/unsub.php
http://callviews.com/unsub.php
http://activesong.com /unsub.php
http://diril.crabdance.com/unsub.php
http://ConfidentialPower.com/unsub.php
http://DailyCenters.com/unsub.php
http://specialsecure.com/unsub.php
http://quietteam.com/unsub.php
http://marketingshort.com/unsub.php
http://rapidcountry.com/unsub.php
http://ClearMars.com/unsub.php
http://intragood.com/unsub.php
http://ConnectQuiz.com /unsub.php
http://famousstudy.com/unsub.php    http://0x17f9a483/unsub.php i.e. http://23.249.164.131/unsub.php
http://173.82.18.50/unsub.php
http://52.23.93.223/unsub.php
http://sensiblepro.com/unsub.php
http://34.212.191.93/unsub.php
http://185.154.19.136/unsub.php
http://searchshort.com/unsub.php
http://coursegirls.com/unsub.php
http://0x17f9a483/unsub.php i.e. http://23.249.164.131/unsub.php
http://StrongHoliday.com/unsub.php
http://configured.forcave.com/unsub.php
http://swordauto.com/unsub.php

.......

Certaines adresses apparues un temps semblent spécifiques à l'offre proposée et correspondent vraisemblablement à un client sponsor payant de ce SPAMMING :

Unit 826, 8/F, Ocean Centre, Harbour City, No. 5 Canton Road, Tsimshatsui, Kowloon, Hong Kong
http://MarketingShort.com/unsub.php
http://boycott.OrganizationLife.com /unsub.php

BioTrim Labs, Attn: Returns PO Box 1201 Singapore, 918118, SG 
http://nilsearch.com/unsub.php 

TestroUltra, PO Box 1201 CHANGI AIRFREIGHT CENTRE SINGAPORE 918118
http://earthhealth.xyz/unsb.php?u=514-23143-14***-*********
http://MarketingShort.com /unsub.php

BudgetHyve - SmartNet Publishers Ltd., Office 21, The Generation Centre, Dane Street, Rochdale, Greater Manchester, OL12 6XB, UK
 

Si les envois sont réellement effectués à la demande de ces entreprises   on ne peut que leur recommander de s'abstenir d'utiliser un tel prestataire peu professionel et qui risque d'écorner leur image !

 

http://volazi.ddns.net/unsub.php      213.246.53.23 cascadedeal.com
213.246.53.0 - 213.246.53.255 Ikoula Hosting servers fr http://www.ikoula.fr abuse@ikoula.com   Spam : mailto:ikoula@ikoula.com

On remarquera ici l'utilisation (volontaire/involontaire) du terme volazi ! 
Cette adresse dynamique est toujours acceptée (elle n'est pas inexistante), mais se trouve redirigée maintenant vers l'IP 127.0.0.1  !
Il serait intéressant de savoir auprès de ddns.net quel est l'utilisateur de cette redirection.

De même quelques messages reçus comportent la dénomination volazi dans leurs éléments techniques non affichés.

voire proposer un lien (redirigé /) dissimulé qui aboutit à :

http://jewelbitcoin.net/unsub.php

Certains de ces liens présents aussi dans le message avec un paramètre (désignant l'offre) ne fonctionneront pas sans celui-ci.
Ils ne vous désabonneront (s'ils fonctionnent) qu'à cette offre et pas à la liste !


Le message indique indûment l'appartenance à une quelconque liste comme :
Letrainvert       (http://www.celibattant.com/fr/user/402/article/420)  

LesPrintempsIntemporels         (désabonnement inopérant !)

ou hypothétique

liste de récompenses AMAZON
liste de récompenses FREE

Les liens de désabonnement sont souvent doubles comme s'ils concernaient
- d'une part le commanditaire de l'action marketing qui n'a pas encore votre adresse tant que vous ne communiquez pas avec lui, mais qui ainsi se conforme à ses obligations juridiques, peut utiliser cette adresse pour éviter de l'utiliser lors d'autres mailing sur la base de listes ouvertes notamment,  voire cette adresse étant ainsi confirmée la revendre,
- d'autre part le  le spammeur actuel propriétaire de la liste, qui au mieux va vous désinscrire d'une sous liste thématique ou par marque, et ainsi préciser votre profil d'intérêt (i.e. de désintérêt), tout en continuant peut-être de vous abreuver de SPAM sur d'autres  sujets, comme si ces campagnes étaient indépendantes.
La désinscription engage normalement l'acteur à ne pas utiliser l'adresse pour le même genre de mailing, mais ne semble pas l'empêcher de la revendre à un autre acteur (plus cher ? puisqu'elle est qualifiée ! ) .....

Le double lien de désabonnement corresponds l'un à l'offre précise, qui fait l'objet d'un passage en paramètre numérique codé en base64, l'autre à la liste utilisée.

Au début (avril) les messages (texte) mentionnaient encore :

Ce message est transmis par la plateforme de routage d'.

Le gabarit utilisé comporte encore souvent cette mention, mais la discrétion du professionnel dans sa démarche l'a poussé à ne plus mentionner ces coordonnées. Le message complet aurait pu être :

Ce message est transmis par la plateforme de routage d'ITEMA. Vous pouvez joindre ITEMA en écrivant à : Service Email, itema, 18, rue Panhard et Levassor, 33510 Andernos les bains.

David BODY  Philippe APTER

  Son implication est cependant apparemment manifeste notamment par l'usage dans la partie texte des domaines

itemam.com    Body David +33.556260059  ovh@amoureux.com

newsperso.com
vireve.com
  (très rarement)
quemoi.com  (en avril)
(et leurs sous-domaines respectifs redirect.newsperso.com, redirect.vireve.com, redirect.quemoi, pour-vous.itemam.com)
qui se résolvent en   http://redirect.itemam.com
et aboutissent à xe-lb3.itemam.com     IP 176.31.40.14     OVH
                        ITEMA_ADMIN   Abuse contact for '176.31.40.0 - 176.31.40.31' is 'abuse@ovh.net'

ainsi que quelques rares fois :  picin.com, 

Cette entreprise développe son activité de mail (postmaster@itemam.com) avec notamment smtp-3-84.itemam.com     IP 178.32.85.211
qui utilise la plage 
178.32.85.0 - 178.32.85.255 itema datin website FR abuse@ovh.net
 
xe-argo-mark5.itemam.com   IP 37.59.246.231
37.59.246.224 - 37.59.246.255 OVH_47644306 ITEMA +33.556260059  abuse@ovh.net

ainsi que le mentionnent certains en-têtes

De même certains messages (notamment en Avril) mentionnent des images propres à ITEMA comme 
 
ou des liens comme 
http://redirect.newsperso.com/pixel/bpr.php?e=postmaster@itemam.com       (l'adresse remplacée est ici un exemple ! )
qui renvoie sur 
https://secure.audienceinsights.net    site déposé par ADTHINK MEDIA chez OVH
 
"Adthink accompagne les annonceurs dans l’acquisition de nouveaux clients en ligne grâce à un mix unique de solutions de publicité à la performance."

Cette sociéré cotée en Bourse et financée par prêt bancaire aurait-elle des dirigeants un peu trop incités à la performance ?
https://adthink.com/fr/solutions/customer-acquisition/
 
et ITEMA apparaît sur le Net comme pratiquant des méthodes marketing spécifiques : http://funnyspamiget.blogspot.com/2015/11/elisa-postmasteritemamcom-je-suis-ok.html


Les messages sont non seulement des messages de SPAM furtifs car utilisant des graphies approximatives lisibles par l'humain mais plus difficilement détectables par un robot (q.u.e.s.t.i.o.n.n.a.i.r.e en 1 minute), voire utilisant des codages =?UTF-8? non justifiés et dissimulateurs, (comme "=?UTF-8?Q?FRE?=E.fr" pour FREE.fr) ou insérant des caractères non affichés comme A(fdsgsg)m(fdsgsg)az(fdsgsg)o(fdsgsg)n pour Amazon, mais surtout des outils de PHISHING en proposant de remplir un questionnaire et fournir ses coordonnées bancaires (validées ainsi) par un paiement symbolique (3 €) dans l'espoir (illusoire) d'un cadeau ou d'un gain aléatoire (loterie) et son adresse (validée) pour l'indispensable livraison.


De plus certaines offres sont des arnaques, comme le signalent des sites appropriés. 

Les messages en français quoique généralement corrects orthographiquement donnent (volontairement ou involontairement) l'impression de ne pas être d'un locuteur natif, voire ne pas toujours avoir été préparé dans une chaîne préservant les caractères français spécifiques notamment accentués.

Des grandes marques françaises sont évoquées :
Monoprix
Intermarché
Carrefour  Carrffour
Auchan
Geant casino
E-Leclerc
Lidl
Aldi
Primark
Leroy Merlin   Leyroy-Merlin
Bricomarché  Bric0Marche
"AMOUREUX DU CHOCOLAT" : Nutella, Cote d'Or, Chocodor, FerreroRocher
amoureux des animaux : RoyalCanin, AssuranceChienChat

C-discount Cdiscount.fr  C.D.S.C.O.U.N.T  CDSCOUNT
Fnac   "FNA--C"   F-N-A-C 
Darty


Free.fr     Free-fr FREE-fr F_-R-_E-_E-.fr  F_-R_-E_--E.fr  F_R-_E-_E.fr  FREE./FR   ----F----_R-----_E-----_E.fr-----

Orange
Bouygues  BOUY-GUES
SFR

La Poste  La Post  LAPo-ste.Fr  LaPost.Fr  La Post~FR La-P0Ste LA P0ST.AG 

EDF    [E-D-F]
Engie.fr

LesFurets.com  LesFurettes.com

ou internationales :
Amazon   AMZ0N  A.M.A.Z.O.N
Ikea   I.k.e.a
 

ESSAYEZ GRATUITEMENT, PUIS GARDEZ LE PRODUIT! :
Samsung (S9)
LG Smartphone
Iphone X
Dyson.fr  V8             (https://www.signal-arnaques.com/scam/view/39676)
moulinex Campanion
Guerlain       La petit Robe noire
LOREAL
MissDior

McDonalds
Burgerking

Booking.com  BOOKING.FR
Ryanair
Air France
COUPE DU MONDE FIFA RUSSIE 2018
Netflix  NETFLEX*  Stream Direct  
Nike
Adidas
H-&-M
Zara
SWIFFER

SHELL
Total.fr   T.0.T.A.L
Station Esso

NOMAD BACKPACK
Tactical XM-L T6 lampe torche la plus puissante du m0nde
BOSE Soundlink

LipMax
AltaWhite Blanchissement 
Formula Swiss CBD cannabidiol Huile de Cannabis
CeluRaid Extreme  (oxyde nitrique pour body builder)
 

ou thèmes (classiques !) :

Investissements : Residence Etudiante, Bitcoins, LoiPinel
isolation de combles, 

sexe (Testo Ultra ...),
religion (Padre, Ange Gardien),
avenir voyance (SilenaVoyance, Daina Clairvoyante),
Jeux ("Enzo Casino"),

santé (Perte de poids (Garcinia)/cheveux),
sites de rencontres en ligne (HugAvenue, Pauline, Chloé, Cathy)
(ITEMA en est prestataire/prescripteur cf https://www.jdp-pub.org/avis/123amour-com-internet/     https://www.jdp-pub.org/avis/trescoquines-com-internet/).


La liste des marques et produits évoqués semble là pour rassurer le consommateur par des noms connus, mais il est peu probable que les marques connues en cause, en tel nombre, soient à l'origine de la démarche, voire même la cautionnent, l'autorisent, ou en aient connaissance.
II est même parfois précisé le contraire pour rendre plus difficiles certaines foudres juridiques ! (cf NIKE, AMAZON) :

"Ceci est une publicité
    La poste  | Air France | Companion Moulinex | BELLA VEI | Amazon | CDiscount | Lidl  | Auchan ...
est une marque commerciale déposée qui n'est pas associée à cette promotion"
 

L'utilisation de ces noms de marques connues est parasitaire et nuit sans  doute à leur image, il serait opportun que leurs services juridiques mènent indépendemment ou collectivement les actions nécessaires.

Les autres produits peu connus ou un peu marginaux dont la vente est spécifique bénéficient sans doute d'une visibilité accrue par le mailing, mais semblent aussi surtout là pour déterminer par des réponses spécifiques les goûts du destinataire.

Ce type de campagne de SPAM est en effet le moyen trouvé pour se constituer une base qualifiée de contact, si l'on n'est pas Facebook (ou Google) où si la cible n'y figure pas. 

Volontairement (ou involontairement ??)  le message texte ne corresponds absolument en rien au message HTML, ni à l'Objet du message, ce qui n'est pas le signe d'un opérateur de marketing honnête et professionnel à moins de vouloir s'adresser ainsi différemment à l'utilisateur final (html) d'une part et aux robots (Anti-SPAM), à l'administrateur système ou aux utilisateurs paranoïaques ou précautionneux d'autre part qui eux exploiteraient préférentiellement le format texte.

La partie texte est le plus souvent en double exemplaire ... encadrant la partie HTML (?utile).
Mais seule la pemière est affichée.
La raison en est sans doute l'utilisation d'un gabarit (Template) tout fait ou pompé d'un mailing récupéré (cf "Testpanel Deutschland"), où seule la partie HTML destinée à toucher le destinataire visé est remplacée / modifiée au gré des campagnes.

Celà attribuerait à la seule négligence, la parfaite constance de( la/s) partie(s) texte, qui parfois réduite à un simple lien http: (souvent malformé ou redondant)  constitue un marqueur caractéristique et depuis le 11 avril 2018l référence toujours sans exception un domaine d'ITEMA.

- soit sous forme de lien actif amenant à une publicité pour un site de rencontre (Pauline, Chloé, Cathy, HugAvenue ..) qui constitue un bénéfice pour celui-ci et un indice ou un signe de participation active effective à cette campagne.

- soit (plus récemment) sous forme de lien (notamment de désinscription) malformé comportant une adresse email iliad (free ou aliceadsl) qui n'est pas celle du destinataire ! la présence intentionelle de cet élément reste a priori  mystérieuse.
il pointe par redirection vers un serveur de ITEMA comme http://redirect.itemam.com/ouvert/emailadlog.php qui est actif et peut ainsi loguer la date, l'IP, les caractéristiques du poste transmises par le navigateur (agent OS taille écran pref linguistique ..) et les cookies itemam.com  avec un numéro de référence de la campagne !

Cette partie pourrait constituer un leurre de diversion afin d'accuser facilement (et ? à tort) la société ITEMA.
Les domaines et plages d'IP utilisées pour l'envoi et les liens cibles réels utiles dans la partie HTML (dans la mesure où ils restent anonymes) ne semblent pas pouvoir mettre en cause cette société.

Cela pourrait être aussi intentionnel afin de présenter une telle première ligne de défense .....

ou entretenir la confusion.

L'approche globale en de tels sujets étant à la fois technique, psychologique et juridique.

En fait le corps du message type comprends généralement (/initialement) 4 parties dont seule l'une des deux premières (totalement distinctes) semble normalement lisible soit la première en texte soit la deuxième en HTML suivant le parametrage du client mail,
Les deux dernières parties ne sont accessibles qu'en consultant le source original du message.

La première en texte pointe (initialement ) vers ITEMA et constitue une charge secondaire assez stable.
La deuxième en HTML constitue la charge variable publicité ou phishing / arnaque.
La troisième en texte est vide
La quatrième en HTML pointe également vers un domaine ITEMA.(mais en texte pur et pas dans une balise de lien HTML !)

Les références explicites à ITEMA sont apparues à partir d'Avril.
Au début de l'année 2018, jusqu'en Mars, les textes étaient parfois codés en Bin64.

La structure du message évolue au fil du temps et probablement des difficultés rencontrées dans sa délivrabilité.

En effet l'usage des marker images invisibles constitue un bon moyen outre la qualification des adresses mails, de vérifier en permanence par une approche statistique la bonne déliverabilité des mails suivant le schéma en cours employé, voire l'élément de retour indispensable dans un test A / B de différentes configurations.

C'est pourquoi il est important de configurer  par défaut le client mail ou le webmail pour ne pas lire les images externes ! 

Au moins s'assurer si on ne lit jamais ces messages que l'affichage automatique du début de message après le titre dans la boîte d'arrivée fait de même !

Ce SPAM polymorphe suit les lois de la théorie de l'Evolution en s'adaptant à son biotope pour survivre.

Dans cette approche un élément curieux est la présence résiduelle dans des messages parvenus, d'un morceau de texte constitué comme un lien http:// vers un domaine d'itema mais :
- constituant la seule référence à ITEMA dans tout le message.
- placé dans une partie HTML du message (et non texte)
- sous forme de texte dans le HTML et pas de lien href dans une ancre <a> ou lien src dans une balise <img>

Il s'agit là manifestement d'un élément non fonctionnel, dysfonctionnel,
Dans la partie texte ce texte serait sans doute affiché dans le mail comme cliquable par le destinataire et ainsi marginalement justifié.
Dans la partie HTML ce n'est pas le cas, et alors qu'il constitue par sa seule présence identique et répétée une tare majeure vis à vis de filtres simples, sa survivance ne peut être due qu' à un avantage certain en terme de délivrabilité.

De même que le filtrage de Zimbra ne donne pas accès aux liens URL à l'intérieur des balises HTML a et img, il est possible/probable que les filtres anti SPAM ne traitent que le texte html "Hors balise", ce qui nécessiterait la présence de ce lien sous forme texte !

Celà montre d'ailleurs que FREE n'a rien compris

- puisqu'un SPAM qui comprendrait ce lien seulement dans une balise HTML (et donc ne serait sans doute pas repéré ni protégé dans son acheminement par un test spécifique ad hoc) n'a pas de raison d'être juridiquement traité différement à moins de penser que les juges s'arrêtent au texte imprimé du mail !!! Le non acheminement d'un tel message engageant FREE aux mêmes  conséquences juridiques et astreintes !
Les Spammeurs eux ont semble-t-il bien compris le fonctionnement de FREE et assurent la Déliverabilité tant prisée en plaçant ce lien hors balise !!
Cette usage atypique systématique semble montrer que s'ils ne le font pas le message n'est pas diffusé ...

Peu leur importe, de même pour ITEMA , du moment que la vague passe ...

 

 

 


Il s'agit d'une Arnaque par les procédés employés.

Le message peut contenir des informations visiblement mensongères comme :
"Objet : = > RE: votre commande a ete effectuee."
ou
"Il ne reste plus que 22 paires de Adidas Original a attendre confirmation pour etre livrees"

ou un sujet bidon

Echec de facturation


La constitution des messages peut s'avérer déloyale vis à vis du destinataire en utilisant un lien identique pour le click d'acceptation, de désinscription, voire le marqueur invisible !


L'émetteur et l'objet du message peuvent apparaître composés en caractères idéographiques (utf-16) apparemment chinois mais sans aucune signification à cause d'une erreur du programme qui annonce un UTF16 et laisse les mots codés en Base64 format ce qui montre l'incompétence de cette équipe ... !

"Carrefour     Votre adresse livraison doit Etre analyser"

et de son assurance qualité car le défaut persiste ...
(it is extremely unusual to send email in utf-16 encoding, this is normally only used inside computers and apps.)

Celà amène à penser qu'il s'agit peut-être d'un résidu du codage intermédiaire entre deux serveurs/applications qui s'échangent les projets de mails.

A moins qu'il ne s'agisse d'une technique pour inciter le destinataire curieux à ouvrir le message pour en savoir plus au risque de masquer le message du commanditaire, tout en égarant sur l'origine du courriel.

Le message HTML outre les images significatives souvent prises sur des sites externes (non controlés par le spameur) est assez souvent truffé d'images monopixel 1x1 peu visibles servant de marker/tracker, pour connaitre l'ouverture éventuelle du message, avec sa date, son heure et son IP, (Une longue chaîne de caractère encodant vraisemblablement l'adresse email et l'id du message - en base64 contient des numéros correspondant vraisemblablement à l'offre, à la liste, à l'adresse visée- ), dans le cas où le destinataire laisse autorisé le chargement des images externes.

voire même d'image qui ne s'affiche pas du tout comme :
<img style="width:0px;height:0px;display:none;" 
src="http://communicationbrand.com/9623mc61821626tn10600ym32379uj151562=<hilton@amazonaws.com>"/>
mais est en l'espèce redirigée d'italie en ukraine à l'époque (cf https://urlscan.io/result/772e60d5-5ae6-4834-b817-64ad3d4c9331/) 

Le message est également souvent personnalisé dans le titre et/ou dans le corps du message par un intitulé "Syncro Club" qui montre que la base de départ ne contient pas que l'adresse mail mais déjà un Nom.

Il doit donc être à ce titre possible d'entamer une action pour accès aux données.

La charge proprement dite où l'on veut diriger le destinataire du message pour généralement

- lui faire remplir un questionnaire (étude prospective de 30 secondes ou Jeu gratuit sans obligation d'achat ou "enquète anonyme") :   data phishing

- lui proposer un produit marginal  (campagne tierce rémunératrice)

est répartie sur un nombre plus réduit de serveurs comme :

(tous vides à la racine et non identifiés sauf whois généralement anonymisé)

http://fanboston.com            69.175.42.92        fanboston.com
http://learningsmile.com        142.54.174.218        (educationsocio.com)
http://zlatanymore.proxy8080.com/    104.200.32.152        (windy.footballauto.com.32.200.104.in-addr.arpa)
http:/dardarkom.aprimo10.dnsd.info    66.165.225.125        (bedford.vitalapple.com)

http://daycommunity.com/        77.120.101.206        (206.101.120.77.colo.static.dcvolia.com)
http://happinesssmart.com        95.211.206.69        happinesssmart.com
http://unisex.quietteam.com        104.244.55.242    ping OK    unisex.quietteam.com

http://springcontrol.com        13.57.165.81    ??  No ping
http://simpletrck.com            34.209.178.87    ??  No ping   => Google ???  // The requested object was not found. //        (in https://download.dnscrypt.info/blacklists/domains/mybase.txt)//

http://lillynx.com/19944931896f71e208/aln//    =>    http://offer-subuliform.click/aff_c?offer_id=9181&aff_id=t_6055?subid1=471853&subid2=736873183&subid3=7279

sauf exception où il existe un (vrai) site
http://goodmorningusa.net        178.63.122.26        (static.26.122.63.178.clients.your-server.de)
ou
site en construction :
buzzsmiles.com 2018-02-18 global wideads k j k NA 92000 MA +94.8098 globalwideads01@gmail.com    (domaine abuse@namecheap.com)
77.81.106.0 - 77.81.106.255 abuse@virtono.com VIRTONO-NETWORKS-SRL Virtono Networks SRL Midiei,  nr. 9 Bl. M2, Sc. A, Ap. 15 Navodari Constanta 905700 ro

 

METROULTRA.COM 2018-04-19 GRAND CAYMAN KY

l'activité (notamment d'envoi) se développe sur des plages IP réservées récemment comme

104.149.165.160 - 104.149.165.167 Dev malead SIDI MOUMEN SIDI  BERNOUSSI Bouskora Casablanca 21000 MA 20180405 abuse@psychz.net
(activesong.com)
104.149.213.64 - 104.149.213.79 Dev malead SIDI MOUMEN SIDI  BERNOUSSI Bouskora Casablanca 21000 MA 20180404 abuse@psychz.net

qualityhope.com 92.42.104.162 (166,170,174) >
92.42.104.160 - 92.42.104.175 VELIANET-FR-DEVMALEAD FR ticket.velia.net 107177 2018-03-20 Dev malead HAY EL JAMAA 21000 BOUSKORA Morocco company.serv13.us@gmail.com velia.net
Höst  Nordrhein-Westfalen  DE (DEU)  Germany (ou Strasbourg ?)

 
morningsystem.com 134.119.180.114
deduction   115
darth.morningsystem.com 134.119.180.116
divided 117
carver.morningsystem.com 134.119.180.118

rewritten.morningsystem.com 134.119.180.119
public   120
omega  121

pointed.morningsystem.com 134.119.180.122
caribbean.morningsystem.com 134.119.180.123
outs.morningsystem.com 134.119.180.124
promote.morningsystem.com 134.119.180.125  
hollow       126>>
134.119.180.112 - 134.119.180.127 VELIANET-FR-DEVMALEAD FR ticket.velia.net 106957 2018-03-16 Dev malead HAY EL JAMAA 21000 BOUSKORA Morocco company.serv13.us@gmail.com velia.net
Höst  Nordrhein-Westfalen  DE (DEU)  Germany (ou Strasbourg ?)
(134.119.180.240 134.119.180.255 16 AS29066 VELIANET-FR-DEVMALEAD Dev malead Koeln DE    ORG-DM145-RIPE)      

 
108.170.34.226 > 108.170.34.224 - 108.170.34.231 ELASRIHamid LOT EL ASRI QUA CHORAFAE CHEFCHAOUEN 91000 MA 20180319 abuse@securedservers.com

108.170.39.158 > 108.170.39.144 - 108.170.39.159 ELASRIHamid LOT EL ASRI QUA CHORAFAE CHEFCHAOUEN 91000 MA 20180209 abuse@securedservers.com

printing.quietteam.com  104.244.54.3

unisex.quietteam.com 104.244.55.242
dominate.quietteam.com 104.244.55.250
sgd.quietteam.com 104.244.55.252   >>
104.244.54.0 - 104.244.54.7
104.244.55.240 - 104.244.55.255 Yacineel Houari HAY EL JAMAA BOUSKORA 21000 MA abuse@securedservers.com
widening.PaintTel.com  108.170.36.24
frenzy.PaintTel.com 108.170.36.28
expecting.PaintTel.com 108.170.36.29  >>
108.170.36.16 - 108.170.36.31 Yacineel Houari HAY EL JAMAA BOUSKORA 21000 MA 20180117 abuse@securedservers.com +1-480-422-2022 (Office)

ou
69.162.95.173 >
69.162.95.160 - 69.162.95.175 ELasri Hamid CHEFCHAOUEN OT 91000 MA abuse@limestonenetworks.com

alba.circlevip.com 69.162.110.108 >>
69.162.110.96 - 69.162.110.111 C06906604 2018-02-21  Yassine houari Bouskora OT 21000 MA abuse@limestonenetworks.com
 
74.63.243.178 >
74.63.243.176 - 74.63.243.191 ELasri Hamid CHEFCHAOUEN OT 91000 MA abuse@limestonenetworks.com

74.63.246. (242, 244, 248, 249, 251, 253) >
74.63.246.240 - 74.63.246.255 Abdelkader TAKASSA Tetouan OT 93000 MA abuse@limestonenetworks.com

Dallas Texas US (USA)
latinas.nethiking.com   216.245.220.12 >
216.245.220.0 - 216.245.220.15 Abdelkader TAKASSA Tetouan OT 93000 MA abuse@limestonenetworks.com
Dallas Texas US (USA)
 

Malgré l'abondant caractère marocain des propriétaires des plages d'IP utilisées  ci-dessus,  elles sont sur des serveurs aux Etats-Unis !!!   (merci traceroute) :
finals.chekmedia.com (69.162.95.173) dallas.

Mais l'activité d' "agent mailer" semble bien être une spécialité marocaine à voir les offres de recrutements.

 

ou probablement l'objet d'une sous-traitance répartie plus discrète (mais parfois en FRANCE même FREE/ILIAD !!) comme :

race.rulespress.com => 195.154.45.219 >
195.154.0.0 - 195.154.127.255 abuse@online.net FR-ILIAD-ENTREPRISES-CUSTOMERS Iliad Entreprises Customers FR
 

163.172.127.175, 163.172.84.194 >
163.172.0.0 - 163.172.255.255 ONLINE_NET_DEDICATED_SERVERS Dedicated Servers and cloud assignment abuse.online.net FR ONLINE SAS 8 rue de la ville l'eveque 75008 PARIS Mickael Marchand 8 rue de la ville l'eveque 75008 PARIS +33173502000 Online SAS Paris, France

accounted.specialsecure.com 212.129.2.179
postings.specialsecure.com 212.129.3.197
examiners.specialsecure.com 212.129.4.217
readers.specialsecure.com 212.129.5.186

critic.specialsecure.com 212.129.10.168
>>
212.129.0.0 - 212.129.31.255 Online Online SAS - Dedibox FR MNT-TISCALIFR-B2B ONLINE SAS 8 rue de la ville l'eveque 75008 PARIS Tiscali Telecom France Registry now known as Online S.A.S. / Iliad-Entreprises 8 rue de la ville l'�v�que 75008 Paris France abuse@iliad-entreprises.fr

 

closer.streetfolder.com  212.129.42.205
adjustment.scanenglish.com 212.129.57.245
fuckin.scanenglish.com 212.129.58.204    >
212.129.32.0 - 212.129.63.255 abuse@online.net  abuse@iliad-entreprises.fr

 

AmazonSquad.com (188.165.230.128) ns313906.ip-188-165-230.eu >
188.165.192.0 - 188.165.255.255       OVH SAS      FR       Dedicated Servers  abuse@ovh.net

164.132.159.229 >
164.132.159.128 - 164.132.159.255 OVH-DEDICATED-164-132-159-128-FO GB New London House, 6 London Street EC3R 7LP, LONDON UK abuse@ovh.net
217.182.53.197 >
217.182.53.192 - 217.182.53.255 OVH-DEDICATED-FO DE OVH GmbH Dudweiler Landstrasse 5 66123 Saarbrucken Deutschland abuse@ovh.net

213.246.53.23 >
213.246.53.23 213.246.53.0 - 213.246.53.255 IKOULA Ikoula Hosting servers 175 rue d'Aguesseau 92100 Boulogne Billancourt Fr www.ikoula.fr Spam : ikoula@ikoula.com abuse@ikoula.com +33184010250

52.47.190.210 >
52.47.0.0 - 52.47.255.255 AMAZON-CDG AT-88-Z Amazon Data Services France (ADSF) 67 Boulevard du General Leclerc Clichy 92110 FR ipmanagement@amazon.com

52.56.43.38 >
52.56.0.0 - 52.56.255.255 AMAZON-LHR AT-88-Z Amazon Data Services UK (ADSU) Amazon Development Centre London Leadenhall Court One Leadenhall Street London EC3V 1PP GB ipmanagement@amazon.com

 
94.242.202.149 >
94.242.192.0 - 94.242.255.255 LU-ROOT-20081021 LU ORG-RE8-RIPE root SA 3, op der Poukewiss 7795 Roost - Bissen LUXEMBOURG +35220500500 root SA (www.root.lu) AS5577
77.81.110.78 >
77.81.110.0 - 77.81.110.255 VIRTONO-NETWORKS-SRL Midiei,  nr. 9 Bl. M2, Sc. A, Ap. 15 Navodari Constanta 905700 ro abuse@virtono.com +40.735781391

patty.groupfunny.com            69.30.225.178 >
69.30.225.176 - 69.30.225.191 Dev malead (C06931821) 2018-03-24 201 E. 16th st North Kansas City MO 64116 US abuse@wholesaleinternet.net aaron@wholesaleinternet.com admin@wholesaleinternet.net
violations.groupfunny.com     69.197.186.179 >
69.197.186.0 - 69.197.186.255 WII-186-2-254 DataShack, LC (DL-9) 1321 Burlington Suite 501 North Kansas City MO 64116 US security@datashack.net



communicatingadvices.xyz    2018-04-05    CO    US    abuse@name.com (204.12.255.130)
tech.communicatingadvices.xyz 204.12.255.133
offer.communicatingadvices.xyz   204.12.255.134
offer.juke-deals.xyz 204.12.255.134  >>
204.12.255.128 - 204.12.255.135 2017-11-17 Mishen, Sergey (C06798507) North Kansas City US security@datashack.net
 

173.254.251.141(135) > 
173.254.251.128 - 173.254.251.159 BDWEB IT 3004 Irving Blvd Dallas TX 75247 US abuse@quadranet.com

gut.winnerlearn.com 184.154.4.247
184.154.19.32 >
184.154.0.0 - 184.154.255.255 SingleHop LLC (SL-1370) 230 S. Clark St. PO Box 415 Chicago IL US netops@singlehop.com

45.58.190.141 >
45.58.128.0 - 45.58.191.255 SHARK-7 Sharktech (SHARK-7) Las Vegas NV 89120 US abuse@sharktech.net

72.44.69.66 (67, 69, 73) MarketingShort.com >
72.44.64.0 - 72.44.79.255 MULTA-NET5 MULTACOM CORPORATION (MULTA) 16654 Soledad Canyon Rd #150 Canyon Country CA 91387 US abuse@multacom.com

199.58.87.31 >
199.58.84.0 - 199.58.87.255 LEASEWEB-USA-WDC-01 Leaseweb USA, Inc. (LU) Leaseweb USA, Inc. LU 9480 Innovation Dr Manassas VA 20109 US www.leaseweb.com abuse@us.leaseweb.com

46.165.242.100 >
46.165.240.0 - 46.165.247.255   Leaseweb  Leaseweb Deutschland GmbH   abuse@de.leaseweb.com. DE
 
185.118.166.194 >
185.118.166.0 - 185.118.167.255 RU-CHELYABINSK-SIGNAL-20150923 RU ru-chelyabinsk-signal-1-mnt Alexey Nevolin Ordzhonikidze str., 54-B 454091 Chelyabinsk RUSSIAN FEDERATION +7 3517299971
210.16.102.(114/117) >
210.16.100.0 - 210.16.103.255 SCALEBUZZ scalebuzz solutions pvt ltd IN scalebuzz@gmail.com


 

ainsi que d'autres assez diversifiés repris dans les pseudo-liens de désabonnement.

On peut remarquer que les liens sont souvent l'objet de redirection afin de masquer dans le source du message la cible réelle et la rendre incertaine à terme, si l'on ne dispose que de la seule mémorisation du texte source du message, (ou cloaking ? de la modifier en temps réel suivant l'IP qui consulte).


Par exemple pour un message concernant Bouygues  la cible http://diril.crabdance.com/?********
peut être analysée à l'aide d'un site spécialisé : https://urlquery.net/report/e682ce2f-6c13-47be-8e1a-810e90f77ad7

La présence de malware (fortinet) est détectée : centereasy.com

 

 

A voir la persistance de ce problème on pourraît être amené à penser que la société ILIAD et  Xavier Niel s'en fichent éperdument, si ce n'est que cette situation semble due entre autre à une décision du Tribunal de commerce de Paris  

https://www.doctrine.fr/d/TCOM/Paris/2017/KFV44BD66B5D17D129B926F

du 15 février 2017 suite à la requête contre FREE de la société ITEMA représentée par Me Julie Formery (julie.formery@ey-avocats.com)

Le SPAM ne semblant pas devoir être réglé plus rapidement que les déchets nucléaires.

https://www.legalis.net/jurisprudences/tribunal-de-commerce-de-paris-ordonnance-de-refere-du-15-fevrier-2017/

https://www.legalis.net/actualite/spam-deblocage-dadresses-ip-et-de-serveurs-dns-ordonne-a-free/

 

Si un principe veut que l'on ne se fasse pas justice soit même, encore faudrait-il que la justice fasse quelque chose, ou qu'au moins le fournisseur d'accès Internet propose un moyen technique simple pour que ses clients décident de ne plus recevoir ces messages, quelle que soit son interprétation des injonctions juridiques en cours 
outre le préjudice qu'il subit par la surcharge de ses serveurs.
 

 


En l'absence de solution cette situation peut aussi aboutir (volontairement ou involontairement) à discréditer la fourniture de mail par les fournisseurs d'accès Internet nationaux si la comparaison avec des offres mondialisées optimisées s'avèraient plus performantes à ce sujet.

En fait cette action supposée n'est pas seulement le fruit d'une imagination débordante puisqu'elle a déjà été à l'oeuvre l'année dernière et a abouti à la fermeture du fournisseur de mail vodafone en Nouvelle Zélande :  https://www.vodafone.co.nz/email/
au profit de Gmail et Outlook !!
Avec une incitation manifeste à confier ses données privées comme ses contacts !
 

Une sorte de Nudge habile et discret pour 'obliger' le transfert des mails sur des serveurs hors U.E ou dépendant d'acteurs hors U.E. ou plus accessibles, avec le "consentement" reconnaissant des intéressés !
 
Celà devrait interpeller la CNIL et les instances chargées ou motivées par les affaires d'intelligence économique.

 


Si Free/ILIAD semble le plus atteint est-ce parce que son anti-SPAM est défectueux, médiocre ou inadapté, ses clients moins futés, ou plus récalcitrants, ses données mieux protégées ou moins accessibles et/ou est-ce une action ciblée destinée à profiter à un concurrent sur le marché national ?

Le fonctionnement de l'Anti Spam de Free est curieux (est-il interne ? sous-traité ?)
Alors que de nombreuses caractéristiques devraient faire classer ces mails reçus en SPAM, tant par leur contenu, que par le signalement préalable de messages analogues, à tout le moins les classer en commercial ! Il n'en est rien 

Avec même quelque fois un classement d'inocuité apparemment répété 3 à 4 fois !!!!

X-ProXaD-SC: state=HAM score=0
X-ProXaD-Cause: (null)
X-ProXaD-SC: state=HAM score=0
X-ProXaD-Cause: (null)
X-ProXaD-SC: state=HAM score=0
X-ProXaD-Cause: (null)
X-ProXaD-SC: state=HAM score=0
X-ProXaD-Cause: (null)

Ce qui signifie un "forgeage" indubitable  du message au delà du premier, ou une fonctionnement altéré des serveurs de Free.fr.
 

La vague avait semblé un temps s'être un peu apaisée après le 25 Mai avec toutefois l'utilisation  nouvelle de 

malagasnews.com    2017-06-18  cf91cecf71b841b4a389fc50b66c3407.protect@whoisguard.com        (mariayhl)

staticimpact.net 2018-02-25 366aa182e9974805aa71d536f80883d6.protect@whoisguard.com Amazon Data Services UK (ADSU)

metalhosting.trade     2017-10-28    whoisguard  

parfois une méthode différente de passage de paramètres et avec de nombreux trackers (nat4trck1.com ...) sur des serveurs en Virginie !

des paramètres techniques montrant qu'il s'agit bien d'une origine commune comme notamment la poursuite de l'erreur des caractères "chinois" :

erreur par exemple de codage en Base 64
Subject:=?UTF-16?B?cAByAG8AZgBpAHQAZQB6ACAAZABlACAAYwBlAHQAdABlACAAbwBmAGYAcgBlACAAcwBwAOkAYwBpAGEAbABlAA==?=
 
cAByAG8AZgBpAHQAZQB6ACAAZABlACAAYwBlAHQAdABlACAAbwBmAGYAcgBlACAAcwBwAOkAYwBpAGEAbABlAA==
une rapide soumission de cette chaine à un site spécialisé https://www.base64decode.org/ donne en ce cas avec le choix de l'option   iso-8815 :
 
           profitez de cette offre spéciale
 

Mais aussi la reprise d'offres, TestroUltra (9230),  MON-PriX (9523) ,  (avec toujours des parties textes multiples mal formées pointant vers ITEMA)

Il serait intéressant de savoir si cette société participe à cette campagne où si elle réagit un peu envers l'utilisation actuelle de tout ou partie de ses modèles et de liens vers ses serveurs, comme elle a montrée qu'elle savait le faire juridiquement envers FREE, lors de blocage de ses envois.

Il n'est pas anodin que ces mails comprennent dans leur en tête d'acheminement  probablement trafiqués ("forgés") mention d'en-têtes  spécifiques comme 

X-ITEMAM-MID: 3477694216
X-ITEMAM-SID: 1
X-ITEMAM-SSID: 63745
X-ITEMAM-EMAIL: jlove@manucharge0ur3uxfree.fr
X-ITEMAM-ARGO: rago_mark5
X-ITEMAM-THREAD: rago_mark591
 

Si effectivement ces mails sont l'utilisation par un tiers de copies de ses modèles dans une action dont elle n'est pas partie, elle devrait agir auprès de FREE pour lui demander de les bloquer au risque de voir sa réputation entamée.

Elle pourrait aussi compte tenu de l'ampleur de cette campagne de mails et si elle n'en est pas partie modifier ses serveurs pour ne plus traiter les liens qui pointent ainsi vers ses serveurs, ou mieux, répondre par un message d'avertissement ad hoc.

Ainsi il semble depuis début juillet 2018 que les messages reçus ne comportent plus que le joker !




Reprise après le 25 Mai  ainsi depuis :
libertynature.com
PaintTel.com 

vers :
intragood.com 2018-05-15 76efa7e4687a454d80dac6d78faa3a8c.protect@whoisguard.com  

Les nouveaux domaines cibles semblent maintenant enregistrés principalement chez  NAMECHEAP INC abuse@namecheap.com avec l'anonymisation WhoisGuard Protected (par défaut la première année)

WhoisGuard, Inc. P.O. Box 0823-03411 Panama PA +507.8365503 http://www.whoisguard.com/report-spam.asp

Outre l'anonymisation la situation au Panama accroit la difficulté juridique des poursuites.

Encore plus fort (de FREE vers FREE !) :
Une pseudo enquête (sur) SFR du 2 juin 2018 :
message émis par :
adjustment.scanenglish.com ([212.129.57.245])
Abuse contact for '212.129.32.0 - 212.129.63.255' is 'abuse@online.net'   Online SAS (i.e. FREE/ILIAD)
    SFR Enquête du 2 juin 2018 (reçue le 3) : https://images2.imgbox.com/7f/b2/aKkcaFKV_o.png
(le lien est inclu ci-dessus -pas l'image- si vous cliquez vous signalez votre IP et cette page)
renvoi (dans la partie HTML) vers :
wholesaler.elementaltime.com (163.172.205.60)
Abuse contact for '163.172.0.0 - 163.172.255.255' is 'abuse@online.net'  ONLINE_NET_DEDICATED_SERVERS (i.e FREE)

  Le plus amusant est que la question posée n'a pour but que de vous faire cliquer (sans réfléchir-vous connaissez sans doute la réponse-) sur l'image, sans lien différencié suivant votre choix, pour démarrer le phishing .....

elementaltime.com   2018-04-26   67e5f16ecd4e4995a616eb084984798a.protect@whoisguard.com
 
de même   A croire que SFR et FREE ont fusionné ! : https://images2.imgbox.com/42/02/HZnJEftf_o.png

Mr Olivier du BESSET doit avoir des infos privilégiées !

mais venant de OVH finlande :    
revised.libertynature.com 193.70.16.229 >
193.70.16.192 - 193.70.16.255  OVH-DEDICATED-193-70-16-192-FO  Ips failover FI  OVH HOSTING OY    Helsinki  Finland  abuse@ovh.net

 

Avec des appâts graphiques pour les clients FREE comme pour l'offre 11100 :

https://i.imgur.com/QHNarXE.jpg    (FREE Cher client ....)   



ainsi que de domaines nouveaux toujours récents (WhoisGuard Protected !) :

pour l'envoi des messages (SPAM) :
optimusbook.com 2018-04-13 Christophe Morestin
chekmedia.com 2018-04-13 Christophe Morestin

shoppingmakers.com 2018-05-17 be8b3d21a02a444999b078c227ce8d4b.protect@whoisguard.com
hopecontrol.com 2018-05-18 c205b2daabee43f7a179b9a6b0ca4bfd.protect@whoisguard.com

ekaunseling.net 2018-02-25 69b76fc79d83474d933133cdb7d59ddd.protect@whoisguard.com
winnerlearn.com 2018-05-30 c6718ad60f234bb0a6c39ddfa4cfa43d.protect@whoisguard.com
 

interfaceCity.com 2018-05-21 9beeadb3f828454e8107359ce3b1f3e8.protect@whoisguard.com
berg.interfaceCity.com 151.106.51.72 >
151.106.51.64 - 151.106.51.79 2018-05-21    VELIANET-FR-MEGACHOIX Megachoix FR ticket.velia.net 112163
228 LEONHARD AVE, BAY SAINT LOUIS, MS 39520 SAINT LOUIS United States +1 16012861773 Company.serv6.us@gmail.com   (traceroute => Strasbourg ! velia.net france) tél US douteux,  adresse douteuse (voir Daniel FUST plus bas ..).
(? Mega Choix, Tétouan. 927 J'aime. Megachoix, le contrôle total de vos affaire...... curieux )
 

 
communicatingadvices.xyz 2018-05-31 CO US  =>  (204.12.255.130  Mishen, Sergey  =>  myupscale.xyz)
StrongHoliday.com 2017-12-06 Abdelkader TAKASSA Tetouan MA Goddady
77.120.117.153 => 77.120.117.0 - 77.120.117.255 VOLIA-DC2 colocation segment # 18 UA Ukraine, Kiev, Simyi Sosninnykh st. 13b abuse@volia.net

cleanspecials.com 2018-05-17  2525eb3643c1454aa6e7acdb4dc32af4.protect@whoisguard.com  (195.154.106.6)
195.154.0.0 - 195.154.127.255 ORG-ONLI1-RIPE FR-ILIAD-ENTREPRISES-CUSTOMERS Iliad Entreprises Customers FR ONLINE SAS abuse@online.net
perceive.cleanspecials.com 51.15.151.223
emoticons.cleanspecials.com 51.15.152.24
proclaimed.cleanspecials.com 51.15.152.61
51.15.0.0 - 51.15.255.255 ORG-ONLI1-RIPE ONLINE_NET_DEDICATED_SERVERS Dedicated Servers and cloud assignment abuse.online.net

arenamore.com 2018-05-30 d5bb537e2ca845ddbcc8f588d4d9599a.protect@whoisguard.com
 
Il serait bon qu'ILIAD/FREE
- fasse le ménage dans ses clients spammeurs en serveurs dédiés ou mutualisés ....
- utlise les données contractuelles sur ces clients en sa possession ainsi que les données techniques de preuve pour poursuivre
 
minors.servicefestival.com 54.190.236.181  Amazon
servicefestival.com 2018-05-15 fad9729b49e8470dbaaad04f21a79f55.protect@whoisguard.com
streetfolder.com 2018-06-07 57e63e4fa8954b919b90df88189052e7.protect@whoisguard.com
extrawomen.com 2018-04-12 Maryland US
circlevip.com 2018-02-15 CHEFCHAOUEN MA
 
FreedomContact.com 2018-05-10 030b3037b2f74f89ad2a81425570883d.protect@whoisguard.com
51.15.190.9 => 51.15.0.0 - 51.15.255.255     ONLINE_NET_DEDICATED_SERVERS   Dedicated Servers and cloud assignment, abuse reports : http://abuse.online.net
sugar.FreedomContact.com 163.172.224.138
163.172.0.0 - 163.172.255.255    ONLINE_NET_DEDICATED_SERVERS   Dedicated Servers and cloud assignment, abuse reports : http://abuse.online.net

positivefree.com 2018-04-26

footballstyles.com (74.63.216.182)
degrees.footballstyles.com (69.162.87.146)
agreement.footballstyles.com (69.162.87.148)
infections.footballstyles.com ([69.162.87.149])
posix.footballstyles.com (69.162.87.150)
arena.footballstyles.com (69.162.87.152)
mallorca.footballstyles.com (69.162.87.153)
colon.footballstyles.com (69.162.87.154)
infinity.footballstyles.com (69.162.87.156)
grow.footballstyles.com (69.162.87.157)
traced.footballstyles.com (69.162.87.158)
                One Provider Laval, QC OT H7L 5A5 CA abuse@limestonenetworks.com
69.162.87.144 - 69.162.87.159 mais >= DALLAS ge0-2.vl31.cr02-58.dllstx3.dallas-idc.com (208.115.252.230)  110.731 ms
74.63.216.180 - 74.63.216.183 mais >= DALLAS  ge0-2.vl31.cr02-58.dllstx3.dallas-idc.com (208.115.252.230)  111.845 ms  
 
 

discreetteam.com 2018-04-13 Maryland US
statemagic.com  20180528
155.94.247.192 - 155.94.247.255  BDWEB IT  3004 Irving Blvd   Dallas   TX  US  20180528   abuse@quadranet.com

shoppingdevice.xyz    2018-04-05    CO    US

TimePatient.com    2018-03-06      => 185.44.67.72             Massivegrid Ltd      UK     US              ???     Ostan-e Tehran, IR  Islamic Republic of Iran

coverdesign.xyz 2018-04-05 CO US
tech.coverdesign.xyz 192.151.155.13
192.151.155.8 - 192.151.155.15 DS-192-151-155-9-15 nash consulting (C06989376) 201 E. 16th st North Kansas City MO 64116 US 2018-05-25 brandon@wholesaleinternet.net security@datashack.net
ttf.WeekSystems.com 89.35.29.119
guidelines.WeekSystems.com 89.35.29.72
WeekSystems.com 2018-02-08
 

pour traiter le click (Phishing) :

Contrairement à l'envoi où le protocole SMTP requiert un nom de domaine, les liens cibles ne le nécessitent pas et peuvent être de simples adresses IP dont la valeur numérique peut même être donnée sous une forme inhabituelle !
(whois ne l'accepte pas mais ping l'accepte et le transcode)

onelifebeauty.com 2018-05-28 6157411c52694ac2a30d782f62a16d5a.protect@whoisguard.com

openrumble.com 2018-05-31 eb67ed6afff04a16867131ca567796d5.protect@whoisguard.com
ardenpro.com 2018-05-31 3994a367be2b4f2da7230a306d5f93e1.protect@whoisguard.com

mainpocket.com 2018-05-31 60043f16ea8a42349b9115408eb70b56.protect@whoisguard.com
=> 188.120.232.0 - 188.120.239.255    THEFIRST-NET   TheFirst-RU clients (WebDC Msk)  RU    
The First JSC    Office 2, 34a, Raduzhny m-r   Irkutsk   Russian Federation   abuse@abusehost.ru

 
CheckSecret.com 2018-05-14 ac018c9e4c714d8b8718b0fd32f69d60.protect@whoisguard.com

=>  52.202.10.32 Amazon Technologies Inc   Ashburn, Virginia, United States

VoiceBlack.com 2018-05-10 b0b2246b53154fa99aa41f207682a03b.protect@whoisguard.com  =>   173.82.110.155   US   abuse@multacom.com
voire directement une IP (le domaine n'est nécessaire que pour l'envoi des mails)
173.82.18.50      US   abuse@multacom.com

 
searchshort.com 2018-05-18 a72f80ca77744d3895212c36740d5378.protect@whoisguard.com
=> 77.120.114.0 - 77.120.114.255 Volia DC Ukraine, Kiev, Simyi Sosninnykh st. 13b UA abuse@volia.net
77.120.126.93  =>
77.120.126.64 - 77.120.126.95 CENSOR-NET Censor subnet in Volia DC UA Volia Datacentre 1/2 Kikvidze street, Kiev, Ukraine (UA) abuse@dc.volia.com

fully.restlessexploration.eu 185.228.225.119  (Chisinau    Moldavie)    abuse@uplink.in.md

FortuneSpeed.com 2018-01-19 John Brady 
ClearMars.com 2018-01-19 Christophe Morestin
184.95.53.154 =>   184.95.53.152 - 184.95.53.159 20180530 DANIEL BERNARDFUST 228 LEONHARD AVE, BAY SAINT LOUIS, MS 39520 SAINT LOUIS MS 39520 US abuse@securedservers.com
L'adresse ici (identique à celle de Megachoix ci-dessus) est aussi douteuse, la maison étant en vente .....(merci Google)
et l'habitant ayant déménagé à la réputation moyenne https://www.mylife.com/daniel-fust/e303706697280   (c'est beau Internet !).
Cette plage semble aussi référencée sous :
84.95.53.152 - 184.95.53.159 PINGPIPE-INTERNET-CORPORATION NET-184-95-53-152-1 PIC-163 2906 West Broadway Suite 416 Vancouver BC V6K 2G8 CA hostmaster@pingpipe.com
 

ConnectQuiz.com 2018-05-14 bb3005a7bcf148188fdb39ef2ddfb255.protect@whoisguard.com
iphonedailygroup.trade  2017-12-11

Utilisation de Zapto : Free Dynamic DNS - No-IP.com - Managed DNS Services  pour cacher un serveur malicieux connu !

fre.zapto.org 204.12.255.130  Mishen, Sergey =>  myupscale.xyz  (https://www.signal-arnaques.com/scam/view/106270     27 mars 2018)
 
famousstudy.com 2018-05-30 b39ed23496d843499a15a4c2379bf94f.protect@whoisguard.com  (23.249.164.131)
23.249.164.128 - 23.249.164.255 NET-23-249-164-128-1 Cheap Windows VPS (C06369996) 2017-03-05 325 Delaware Avenue Unit 300 Buffalo NY 14202 US netops@net3.co
on peut supposer que la plage IP est liée à cette activité car il existe aussi
financed.famousstudy.com 23.249.164.133
benjamin.famousstudy.com 23.249.164.137
 
 
pound.missionmagic.org 63.141.232.170
learn.missionmagic.org 63.141.232.171
evolving.missionmagic.org 63.141.232.172
timing.missionmagic.org 63.141.232.173
nope.missionmagic.org 63.141.232.174     >>
63.141.232.168 - 63.141.232.175 2018-02-09 elbaz, driss (C06898762) 201 E. 16th st North Kansas City MO 64116 US security@datashack.net
missionmagic.org 204.12.249.226 >
204.12.249.224 - 204.12.249.239 2018-02-09 elbaz, driss (C06898763) 201 E. 16th st North Kansas City MO 64116 US abuse@wholesaleinternet.net
missionmagic.org 2018-01-29 Nabil CHANE HAY EL JAMAA Bp 332 Mdiq BOUSKORA 21000 MA +212.648272302 chane.nabil@gmail.com

sensiblepro.com 2018-05-15 535d5b893f144dd8a8232be558e1eb23.protect@whoisguard.com

http://0x413C1BED/    soit IP  http://65.60.27.237/  Chicago, United States (US)

http://185.154.19.136/    (Spamhaus dangereux)
185.154.19.0 - 185.154.19.255    VPSOPENVZ-SRL-D   DK  ro-vpsopenvz-1-mnt   vpsopenvz.com  VPSOPENVZ SRL-D Viilor nr. 25 Navodari ROMANIA
 
communicatingadvices.xyz                        (https://i.imgur.com/Gads7If.png)
 
L'envoi et le traitement peuvent être regroupés sur le même serveur :
StoreTrick.com 2017-12-06 (Abdelkader Takassa)Tetouan MA abuse@godaddy.com  => 163.172.28.192 ONLINE SAS  ILIAD !
lap.StoreTrick.com 62.210.7.178
monophonic.StoreTrick.com 62.210.13.18
62.210.0.0 - 62.210.127.255 IE-POOL-BUSINESS-HOSTING IP Pool for Iliad-Entreprises Business Hosting Customers FR ONLINE SAS abuse@online.net
 
SurferMagic.com 2018-05-09 1520cfa5558644519065e433f744a069.protect@whoisguard.com   (185.154.19.136)
137  birthplace.SurferMagic.com 185.154.19.137    snorkeling.SurferMagic.com 
lonely.SurferMagic.com 185.154.19.138
endorsed.SurferMagic.com 185.154.19.139
185.154.19.0 - 185.154.19.255 VPSOPENVZ-SRL-D ORG-VS171-RIPE DK ro-vpsopenvz-1-mnt ORG-VS171-RIPE VPSOPENVZ SRL-D Viilor nr. 25 905700 Navodari ROMANIA vpsopenvz.com AS61412
Ce réseau de serveurs  est-il au Danemark ou en Roumanie ?  traceroute penche pour UK !!!
 
JumpDoctor.com 2018-05-14 a395c028748d4e35a4fa290d941ef5f8.protect@whoisguard.com
metres.JumpDoctor.com 34.238.206.79
clair.JumpDoctor.com 34.205.175.250  => Amazon

 
MeetVentures.com 2018-04-24 Connecticut US (95.110.224.40)
related.MeetVentures.com 95.110.225.125
libby.MeetVentures.com 95.110.226.200
rebecca.MeetVentures.com 95.110.226.206       =>
liners.FortuneSpeed.com 95.110.230.124
95.110.224.0 - 95.110.231.255 ARUBA-NET Aruba S.p.A. - L.C. Dedicated Servers IT 24036 Ponte San Pietro (BG) Italy abuse@staff.aruba.it

même si les domaines apparaissent différents :
profitlimited.me 2018-02-01 85.93.13.58 => 85.93.0.0 - 85.93.31.255 info@ip-interactive.de
remise-client.cf  =>  85.93.13.58 => 85.93.0.0 - 85.93.31.255 info@ip-interactive.de
 
 

L'implication de OVH (abuse@ovh.net) indirecte mais répétée est manifeste par sa contribution répartie à 

org-name:       Oktay ERCAN
address:        hostoky Web Hosting Solutions (Bilge Patent Ltd) Oruc Reis Mah. Tekstilkent Cad. Tekstilkent Ticaret Merkezi B-15 Blok No. 51  Esenler
address:        34235 Istanbul
address:        TR
abuse :   info@hostoky.net
 
En Espagne :
genetic.AmazonSquad.com => 178.32.193.2

inetnum:        178.32.193.0 - 178.32.193.3
netname:        OVH_167793915
country:        ES
descr:          Failover Ips
mnt-by:         OVH-MNT
created:        2018-02-08T12:26:25Z
address:        OVH Hispano    Calle Princesa, 22 2 Dcha   Madrid 28008  Spain
 

En Allemagne :

manifold.novaaffiliate.com 151.80.210.172 inetnum:        151.80.210.172 - 151.80.210.175
netname:        OVH_167718807
created:        2018-02-07T10:49:25Z
 
lebanese.DynamicBeach.com => 37.59.186.44
inetnum:        37.59.186.44 - 37.59.186.47
netname:        OVH_167793946
created:        2018-02-08T12:30:27Z
country:        DE
descr:          Failover Ips
mnt-by:         OVH-MNT
address:        OVH GmbH    Dudweiler Landstrasse 5   66123 Saarbrucken Deutschland
 
 
En France :
lao.DynamicBeach.com => 213.32.122.20
improving.DynamicBeach.com => 213.32.122.22
inetnum:        213.32.122.20 - 213.32.122.23
netname:        OVH_167793943
country:        FR
descr:          Failover Ips
mnt-by:         OVH-MNT
created:        2018-02-08T12:33:27Z
mnt-by:         OVH-MNT
address:        OVH SAS   2 rue Kellermann  59100 Roubaix  France

mais aussi directement :
En Lietuva :
forward-me.ga => 193.70.31.222 ip222.ip-193-70-31.eu
inetnum:        193.70.31.208 - 193.70.31.223
netname:        OVH-DEDICATED-FO
country:        LT
descr:          Failover IPs
created:        2017-10-05T13:45:04Z
org-name:       UAB OVH
address:        A.Jaksto g. 6A/8 16 LT-01105 Vilnius Lietuva
abuse-mailbox:  abuse@ovh.net
mnt-by:         OVH-MNT
 
OVH Octave Klaba devrait pouvoir limiter sa contribution à cet entreprise néfaste et fournir quelques éléments d'identification exploitables juridiquement.
 
Il est cependant dès maintenant tout à fait possible de se protéger soi-même très convenablement de cette vague de SPAM avec le webmail Zimbra en constituant un ensemble de filtres adaptés trés simples portant sur les éléments récurrents des messages (texte/source/original complet).

L'approche par l'émetteur (domaine/ IP) est plus difficile et chronophage, compte tenu de la furtivité par diversité mise en oeuvre, alors que la cohérence entre les messages prouve l'unicité de cette vague. Cependant si à défaut d'autre détermination, le FAI FREE songeait à ajouter le critère date de création du domaine dans son filtre de SPAM, il lui suffirait de classer en SPAM tout les messages issus de domaines de création récente (moins de 3 / 6 mois !) ou au moins de les pénaliser fortement dans son évaluation.
 
Une évolution souhaitable dans le webmail Zimbra de FREE serait de permettre la constitution de sous-dossiers dans le pseudo-dossier SPAM.

A l'heure actuelle si l'on veut classer les messages détectés par différents filtres successifs dans des dossiers différents pour détecter automatiquement ceux de caractéristiques nouvelles (domaine notamment), il n'est pas possible de les classer en SPAM (au risque de les mélanger) ce qui diminue pour le FAI leur classement en SPAM par les utilisateurs, et donc potentiellement l'auto adaptation de son filtrage.
Il est toutefois possible et donc recommandé de recourir à cette fin à un drapeau ou à des Tags qui présentent l'avantage de pouvoir être multiples.

Il est donc préférable de procéder par Tags en classant alors systématiquement les mails détectés en SPAM (pseudo dossier).
Il est permis d'espérer qu'ainsi les filtres du fournisseur amélioreront leur détection s'ils n'en sont pas dissuadés par d'autres règles.
 
Une fois arrivés dans la boîte mail, il n'est cependant plus possible de soumettre les messages reçus à une configuration nouvelle de filtre, ni possible avec l'outil recherche d'effectuer des recherches équivalentes sur le header ou les parties du message non affichées comme le filtre utilisateur en entrée le permet.
Alors qu'il est possible de faire des recherches sur le contenu des liens dans un message simple, celà n'est pas possible dans un message multipart !

Ces messages présentent de très fortes corrélations entre eux sur certaines de leurs parties, une analyse bayesienne adaptée devrait permettre de les détecter aisément quelque soit leur émetteur (domaine / Ip).

Une caractéristique du filtre utilisateur du webmail Zimbra de FREE est qu'il ne semble pas permettre de test sur le contenu des balises html, et en particulier les liens href pour <a> et src pour <img>.
Il est même posssible qu'il en soit ainsi (peut être pour des raisons de performance) du filtre anti-SPAM.
Ceci pourrait expliquer la présence d'éléments textes caractéristiques dans les messages reçus/parvenus.
 
La vague de SPAM se poursuit mais parfois même sans référencer des liens vers ITEMA ou alors curieusement de façon très discrète et faussement erronée :
(lien url hors balise a ou img et parfois après </html> quand celui-ci existe,  au bout de nombreux < /br> pour ne pas apparaître !)
Le seul but compréhensible est de se faire détecter par un filtre ANTI-SPAM pour être autorisé à passer !!!
avec une partie texte vide et vers les mêmes cibles.

ClearMars.com metalhosting.trade
 
depuis
dealsnewyork.trade 2017-11-23 soit 107.175.220.209   mta1.malagasnews.com 

malaganews.com est bien connu pour ce genre d'activité il conviendrait que Free bloque les mails provenant de ce domaine
ET aussi ceux dont l'IP arrive au même domaine !
 
En attendant l'ajout de tels domaines au filtre Zimbra utilisateur semble le meilleur palliatif compte tenue de la structure assez différente des messages, et faute de possibilité de placer un filtre sur les liens html cibles qui restent les mêmes.
 

Aussi apparaît depuis juin dans certains messages dans la partie texte (en remplacement de liens vers ITEMA) une adresse  de désinscription nouvelle 

Time and Date AS . PO Box 27 . Stavanger, Rogaland 4064 . Norway

associée à l'adresse topdomains1@yahoo.com et à des liens vers

https://www.timeanddate.com/astronomy/moon/strawberry.html
et
https://timeanddate.us2.list-manage.com

Ce qui traduit une moins grande visibilité de la présence (volontaire ou involontaire) d'ITEMA dans les mails reçus.
(sauf à considérer que la nouvelle adresse timea ndate commmence par un anagramme d'Itema !)

 

avec des liens de marquage dans des balises img 0px x 0px inaffichables,    après </html> !
vers par exemple
slai.win   2018-03-02

des cibles comme forward-me.ga  193.70.31.222 (OVH)
 

Le modèle de message évolue, en particulier  le domaine d'envoi qui apparaissait également sous la même forme dans Return-Path ou From (De:) n'apparait parfois plus dans ce dernier.

Il convient si l'on filtre sur le nom de domaine de le faire sur l'en-tête received pour lequel il n'et pas possible de remplacer le domaine d'envoi (même s'il est possible d'en rajouter ...)

 

Si cette vague française de SPAM en diversité de domaine d'envoi anonyme se poursuit en ciblant le prestataire français FREE il semble qu'une vague analogue (cf profitlimited.me) sévisse également  en Nouvelle Zélande pour Spark New Zealand Xtra Webmail  (local email provider) : https://www.geekzone.co.nz/forums.asp?forumid=39&topicid=218028&page_no=7   depuis peu (Mai)  et avant (début 2018)  et la suite ....

Les Kiwis  cf  https://www.geekzone.co.nz/forums.asp?forumid=39&topicid=218028&page_no=19     arrivent d'ailleurs indépendemment à la même conclusion :

Suggèrent (attention Nudge) de transférer les mails à travers Gmail  (et donc toutes ses données !) pour ne pas se casser la tête !
S'interrogent sur qui veut éloigner les clients de SPARK au profit de Gmail qui filtrerait ces spams !

 

Le monde de LInux semble aussi se mobiliser : https://linuxfr.org/users/fcartegnie/journaux/l-etrange-vague-de-spam-visant-free-fr

et même maintenant (26 juin) le monde FREE  :   https://www.freenews.fr/freenews-edition-nationale-299/services-web-180/chez-free-une-vague-de-spam-exploitant-une-faille-legale


Il ne s'agit pas d'une faille légale tout juste d'un cheval de troie par intimidation juridique avec anonymisation de l'utilisateur.

Xavier Niel nous avait habitué à plus de détermination par le passé.!

[Résolu]  Solution immédiate à court terme /

Il n'est nul besoin de configurer la réception des mails ILIAD à travers une application externe (Thunderbird ..) il suffit juste de rajouter un petit filtre dans Zimbra :(Préférences/ Filtre de mail/ Nouveau filtre)

Si une ou plusieurs des conditions ci-dessous sont satisfaites :
      Le corps du message contient : "newsperso.com".

Exécuter les actions suivantes :
    Ranger dans le dossier "Spam"

 

Puisque Free/ILIAD  semble ne pas vouloir détecter ces mails et les classer en SPAM !!

Ce palliatif individuel (à adapter éventuellement légèrement si la menace évolue) ne doit pas démotiver ILIAD de mettre en oeuvre une solution propre transparente pour l'utilisateur et d'initier les ripostes juridiques au plan  international, son activité de prestataire de mail étant violement attaquée par une telle campagne de SPAM ciblée.

L'installation immédiate de ce petit filtre chez tous les clients FREE (free.fr, aliceadsl.fr, libertysurf.fr ) est une mesure prophylaxique d'urgence qui s'impose.

.Il est dommage que Free ne semble pas utiliser ou s'inspirer de  https://www.spamhaus.org/whitepapers/dnsbl_function/

Cette approche semble permettre d'éliminer / marquer les SPAMs sans soumettre les courriels à un prestataire externe (de confiance ?).

Les domaines d'envoi sont nombreux (centaines ?) mais pas illimités en nombre,  leur détermination et suivi est une charge importante à titre individuel, mais pas pour un fournisseur de mail professionnel commercial important au niveau national,
leur renouvellement constant reste à un rythme limité (qq par jour au plus), leur détection automatisable avec des contributions externes mutualisables.

Quand au risque juridique, Il doit être évalué sans être timoré, classer en SPAM (ce qui permet au client de récupérer/examiner ces mails effectivement acheminés s'il y tient !) les mails issus d'une liste de domaines anonymes établie sur la base d'envois aux caractéristiques douteuses (dont le marqueur utilisé ci-dessus) ne devrait pas attirer les foudres d'un prestataire de marketing qui a obtenu une victoire juridique en référé dans un tribunal de commerce,  .
Il pourrait être habile de lui demander s'il est à l'origine de ces mails, si il a un quelconque intérêt à l'acheminement de ces mails en provenance de ces domaines ....(s'il voit une objection à leur classement en mail commercial, en SPAM, à leur refus ..)

De plus si l'on relit avec attention la Décision :

*******
...

Ordonnons à la SAS FREE de procéder au déblocage :
– des serveurs d’adresses IP, telles que :  ** (extrait whois actuel rajouté pour info)

178.33.215.0 à 178.33.215.255        OVH_54760954    OPTIDATAMAIL    18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR
5.135.244.0 à 5.135.244.255        OVH_59197918    OPTIDATAMAIL    18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR
178.33.78.128 à 178.33.78.255        OVH_49737914    ITEMA        18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR
188.165.165.32 à 188.165.165.63        OVH_41842759    ITEMA        18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR
5.196.104.192 à 5.196.104.255        OVH_67246447    ITEMA        18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR    
37.59.148.0 à 37.59.148.255        OVH_59197861    OPTIDATAMAIL    18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR
185.36.188.2 à 185.36.188.255        abuse@deltahost.com.ua
185.36.189.0 à 185.36.189.254        abuse@deltahost.com.ua
185.36.190.2 à 185.36.190.255        abuse@deltahost.com.ua
185.36.191.0 à 185.36.191.254        abuse@deltahost.com.ua
176.107.187.0 à 176.107.187.255        abuse@deltahost.com.ua
176.107.189.0 à 176.107.189.255        abuse@deltahost.com.ua
176.107.184.0 à 176.107.184.255        abuse@deltahost.com.ua
37.59.246.224 à 37.59.246.255        OVH_47644306    ITEMA        18 rue Panhard et Levassor    33510 ANDERNOS LES BAINS    FR    

– des noms de serveurs DNS utilisés dans les courriels de la société ITEMA, tels que :

itemam.com
...
vireve.com
...
newsperso.com
...
quemoi.com

Et de les maintenir accessibles aux clients d’adresse …@free.fr, …@aliceadsl.fr et…@libertysurf.fr pour l’envoi comme pour la réception de courriers,
*****

Les plages d'adresses IP citées attribuées à ITEMA ou régulièrement louées, ne sont pas celles qui diffusent actuellement les SPAM.
De même que celles-ci n'utilisent pas la plage ITEMA_ADMIN (OVH) qui n'y figure pas mais où s'établissent les noms de serveurs cités.

Les messages de SPAM n'indiquent aucunement qu'ils proviennent de la société ITEMA.
Les adresses IP d'envoi ne permettent aucunement de le supposer.

En conséquence il ne s'agit pas (de bonne foi) de courriels de la société ITEMA et les dispositions de la Décision ne peuvent s'appliquer à eux et leur blocage sur la présence de newsperso par exemple ne concerne pas un nom de serveur utilisé dans un courriel de la société ITEMA !!

De plus Ne pas bloquer ne veut pas dire :

Ne pas classer en SPAM
Ne pas classer en commercial email

L'astreinte est de 5000 € par jour, pour FREE avec 4 000 000  d'abonnés et leurs boîtes mail celà fait 0,04 € par abonné par mois au pire pour avoir une boîte mail tranquille en attendant le jugement sur le fonds !

Il n'est forteresse qu'un âne chargé d'or ne puisse approcher. - Philippe II de Macédoine.


Contrairement à ce que nous pensions initialement  la multiplicité des noms de domaine ne sert aucunement à passer à travers les filtres anti-SPAM  de Free.fr !
Puisqu'un passe Joker est utilisé !
En conséquence aucun apprentissage n'est apparemment effectué pour ces mails même classés en Spam par l'utilisateur.

Elle contribue tout juste à géner la deuxiéme ligne de défense des utilisateurs qui constitueraient eux-même manuellement un filtrage par émetteur en pénalisant par le nombre une approche exhaustive de ce type.
et à pallier l'indisponibilité éventuelle successive des serveurs loués pour l'opération suite aux signalement/dénonciation aux mails abuse des hébergeurs responsables.
Ce qui tends à confirmer qu'il s'agit bien de SPAM.

Un spammeur quelconque n'a que peu de moyen ni d'intérêt financier à  contraindre FREE
- il n'est pas bénéficiaire de l'astreinte.
- s'il peut constater que ses messages ne passent pas il ne peut pas prouver qu'ils viennent d'ITEMA ...

En revanche ITEMA (qui cependant proclame ne pas faire de SPAM)  pourrait s'il en était l'émetteur directement ou indirectement le prouver au tribunal et comme le tribunal ne semble pas se préoccuper qu'il s"agissse de spam ou pas,  sa menace pourrait sembler crédible.

De là à penser qu'ITEMA tient FREE par la barbichette, .......

ET  que la situation actuelle persistente est le résultat de cet état de chose ..

Si en effet ces messages ne proviennent pas d'ITEMA on voit mal ce que risque FREE à les classer en SPAM !
 

 

Petite évolution faisant naître un certain espoir :   classement en SPAM
X-ProXaD-SC: state=SPAM score=30           Avec Dkim et pas de joker !  (mêmes émetteur et contenu semblable mais mal foutu avec une partie telle que :

Content-Type: text/html;
Content-Type: text/plain;
Content-Type: text/css;   )

Il semblait d'après certaines sources que le classement en SPAM commençait avec un score de 100.

X-ProXaD-SC: state=SPAM score=150         peut être car usurpation manifeste de FREE  !   https://i.imgur.com/avvpk6Z.jpg   et date farfelue  !


france-discount.bid 2018-04-25 abuse@namecheap.com => 93.115.97.0 - 93.115.97.255 2018-01-26 FIRSTHEBERG Valenciennes FR abuse@firstheberg.com
Avec pour charge un phishing TOTAL préparé par un nom de domaine :        http://total-fr.ml/  (avec un site vide !)

juillet :
domaines d'envoi nouveaux :
itunesbox.com    2018-06-28    abuse@namecheap.com =>   155.94.247.194  QUADRANET-DFW  Dallas
oceanprof.com    2018-06-01    abuse@namecheap.com  =>  69.175.42.154   ESERVER SPACE INC. ESERV-CHI-1 (NET-69-175-42-0-1) 69.175.42.0 - 69.175.42.255
scoopmind.com    2018-05-31    abuse@namecheap.com => 162.255.119.32   NCNET-5  abuse@namecheaphosting.com
spotifyzone.com    2018-06-22         162.254.144.97   20180117 Dev malead    LOT EL ASRI QUA CHORAFAE      CHEFCHAOUEN  RI  91000  MA abuse@hivelocity.net
sustainohio.org 2018-02-25   =>  TR-BURSABIL    abuse@bursabil.com.tr
budgetopen.com 2018-05-07 403c5441e28b453cbadc1b7fe544b8e9.protect@whoisguard.com    Amazon Technologies Inc AT-88-Z

ensemblehouse.com   2018-04-18  Maryland US abuse@godaddy.com  => AMAZO-ZPDX9
searchFestival.com     2018-05-18        abuse@namecheap.com  =>   customer.kryptservers.com 67.229.24.186

mainpocket.com    2018-05-31    60043f16ea8a42349b9115408eb70b56.protect@whoisguard.com      =>    AMAZON-DUB   abuse@amazonaws.com

nordstaf.com 2017-08-03 4ced03920a93493188898d21e7b44ebe.protect@whoisguard.com =>  Centrilogic, Inc. (CENTR-60)  Rochester abuse@dacentec.com
             Sequence Media- P.O. Box 12006, Ortigas Center Post Office Emerald Ave., 1605 Pasig City Philippines
 
Sur des domaines et réseaux réservés récemment :
holakomaldis.club 2018-06-27      =>   IP 45.58.188.124  20180709 Leadsvoice BILAL-LKHLOUF av otman ben affan ztk 32 n 59 Tetouan 93000 MA leadsvoice@gmail.com (Sharktech (SHARK-7) Las Vegas US abuse@sharktech.net)
 
zikoziko.club 2018-06-27 abuse@namecheap.com         192.254.70.115
192.254.64.0 - 192.254.79.255 CUST-NET-8 Centrilogic, Inc. (CENTR-60) abuse@dacentec.com > BigBox Infosoft LLP (BIL-64) Bangalore IN abuse@bigboxhost.com
 
piskapola.icu 2018-06-27 whois.namecheap.com     Centrilogic, Inc. (CENTR-60) Rochester  abuse@dacentec.com

hwffg.guilospitla.club 204.27.60.56
guilospitla.club 2018-06-27
 

 

 
traitement
https://mysp.ac/                 MySpace LLC    CA   US
par exemple
https ://mysp.ac/4DccY => https  ://centereasy.com/? ****** #  phishing edf
https  ://mysp.ac/4DcYQ => https  ://pointexclusive.com/? ***  # phishing LIDL
https  ://mysp.ac/4DfoD => https  ://tcpenquete.com/feedback_fr_nd_d/index_7.php?*******                phishing cdiscount

centereasy.com 2017-12-05 L S LTD HONG KONG HK LUCKYSTREAMLTD@LUCKYSTREAMLTD.COM
pointexclusive.com 2017-10-05 L S LTD HONG KONG HK LUCKYSTREAMLTD@LUCKYSTREAMLTD.COM
 
tcpenquete.com 2018-06-12 08f0f98e7d1042e5a3db385fca5eb3ab.protect@whoisguard.com
159.65.87.145 159.65.0.0 - 159.65.255.255 DIGITALOCEAN-22 New York US abuse@digitalocean.com
Sur cette même IP il y a aussi urmenquete.com  2018-05-15
 
 
ces renvois passent notamment par :
pundstokiep.com 2018-03-13 pundstokiep.com@NameBrightPrivacy.com abuse@NameBright.com
=> adventure.wideless.com (69.10.37.226)
69.10.32.0 - 69.10.63.255 Interserver, Inc (INTER-83) US https://www.interserver.net/contact-information.html
 
désabonnement
https ://mysp.ac/4Dcca => http ://www.thebuyersdigest.com/o-gllf-d21-01844847a3bbc7f11d43ce76194c482e
 
bonkluista.us 2018-04-08 abuse@namecheap.com C098021DDA7CB4C348B9E5AF6FA95C9CA-NSR Youssef Haltout AV Otman ben affan zkt 32 N 59 Tetouan 93000 MA haltout.youssef.380@gmail.com
104.160.160.0 - 104.160.191.255 ST-LA Sharktech (SHARK-10) Los Angeles CA US abuse@sharktech.net

http://185.184.246.168/        Chisinau    REPUBLIC OF MOLDOVA  abuse@corporation.md

 


envoi et traitement :
malmarmara.club 2018-06-27       abuse@namecheap.com    HETZNER-DC
creep.dragonopen.com 31.41.218.183
hostels.dragonopen.com 31.41.217.19
dragonopen.com 31.41.217.19

0x1f29d913  => IP 31.41.217.19     31.41.216.0 - 31.41.223.255  BESTHOSTING-NET3    UA   abuse@besthosting.ua

 

 

 


voir aussi :
pour se conforter sur le classement en SPAM et le risque d'arnaque  :
https://www.signal-arnaques.com      https://www.signal-arnaques.com/scam/view/111771 (et autres références ...)
                                                         https://www.signal-arnaques.com/scam/view/112766  (et autres références ...)

Pour signaler en France, mais dont il ne semble pas falloir attendre grand chose :
https://www.signal-spam.fr/
https://www.internet-signalement.gouv.fr

Pour signaler si une marque est abusivement invoquée en espérant une réaction juridique autonome ou concertée :
Si le SPAM cite Leclerc : http://www.e-leclerc.com/catalogue/questions-frequentes/communications-frauduleuses
Si le SPAM cite Air France : https://www.airfrance.fr/FR/fr/common/transverse/footer/phishing.htm    (abuse@airfrance.fr)
Si le SPAM cite SFR  http://assistance.sfr.fr/internet-et-box/securite/signaler-phishing-sfr.html  (emailsuspect@sc.sfr.fr)

Pour signaler (US) semble le plus efficace (mais les IP trouvées ici ne semblent cependant pas blacklistées ..) :
https://www.spamcop.net 

Outils :
(en mode commande :  ping whois traceroute/tracert)
sans oublier votre moteur de recherche préféré  " "

https://fr.godaddy.com/whois
https://www.namecheap.com/domains/whois.aspx
https://gen.xyz/whois
http://whois.lws.net/

https://domainbigdata.com  (ie  https://domainbigdata.com/nj/CTVlPrAWrYPtF61DU106xw)

https://urlscan.io/
https://urlquery.net/

Références :

http://postmaster.free.fr/    (oui ça existe !)

http://antifraudintl.org/

http://www.badsender.com/2016/12/20/delivrabilite-email-lire-entete-smtp/
https://www.talosintelligence.com/reputation_center/

https://hackademics.fr/forum/r%C3%A9seau/autres-ae/5288-les-courriels-la-communication-internet-par-excellence   (ITEMA)

in USA  : http://suespammers.net/
for reference (2003)  http://www.cs.columbia.edu/~hgs/research/projects/spam/

auf deutsch :
http://www.netaras.at/


Date de création : 19/03/2018 à 15:47
Dernière modification : 17/07/2018 à 12:17
Catégorie : A Voir
Page lue 5862 fois


Imprimer l'article Imprimer l'article

 
Réactions à cet article


Réaction n°8 

par _Papy_Linux le 10/07/2018 à 16:17

Votre réponse contient ce qui est réalisé en bash depuis 2 ans :
- stockage, par mois,  en mode texte  des pourriels, avec date d'envoi à SignalSpam.
- extraction des ip suivi d'un whois selectif
- extraction des ip et liens de renvois.

Bien à vous


*

Réaction n°7 

par Papy_Linux le 09/07/2018 à 13:06

Magic Mail Monitor et Popman permettent d'importer en mode texte les courriels.
Une rapide analyse du header, et envoie vers SignalSpam si neçessaire pour traitement, comme proposé.
Ces 2 utilitaires permettent leurs destructions à distance.

Péponse :

Bonne suggestion
L'idéal serair sans doute une récupération des mails permettant un traitement en python par exemple.
Stocker les mails sous forme d'archive compressée (Zip par exemple) devrait en réduire la taille.

Un faible accroissement de la taille de l'archive après ajout serait une confirmation de ressemblance du SPAM au thesaurus.

Il est probablement interessant de conserver l'ensemble des SPAM pour analyse forensic a posteriori.
Voire de les laisser sur le serveur du fournisseur pour mieux constituer des preuves.

Certaines erreurs peuvent être interessantes.

 


*


Réaction n°6 

par marc le 04/07/2018 à 08:36

*Mon FAI est Free. Mon filtre classe systématiquement les mails en dossier "spam". Suite à votre remarque/conseil j'ajoute la condition "Le corps du message contient". Il y a en effet quelques constantes intéressantes. Ce spam craftaway est démoniaque mais avec un peu de patience et d'opiniâtreté  on arrive à le contenir.

RE: tout à fait
Certains spams ne contiennent pas le joker, mais alors ils comportent l'entête supplémentaire received forgé itemam.com
L'intérêt de filtrer au niveau de Zimbra est que le classement SPAM est effectif pour tout les ordinateurs, tablettes ou autres avec lesquels vous relevez votre courriel*


Réaction n°5 

par Laurent le 28/06/2018 à 10:52

Excellente analyse. Merci pour le travail effectué...
Il semble que le filtre anti-spam de Thunderbird finisse par bien apprendre à classer ces messages automatiquement dans le dossier Indésirables.
Personnellement, j'utilise SPAMCOP pour les signaler, mais dernièrement celui-ci a du mal à trouver les adresse abuse des IP utilisées pour les liens ou pour l'envoi.
Même sentiment que vous pour signal-spam, mais ça ne mange pas de pain, le signalement se fait en un clic avec Thunderbird...
Ça ne m'a pas empêché de me faire avoir en tentant de me désabonner à plusieurs reprises au début de cette "campagne" WYJconvertImgXHTML inc/img/smileys/mad.gif
Concernant les fournisseurs d'accès ou de messagerie, je pense que Free me semble assez respectueux de la confidentialité de ses données clients, contrairement à laposte.net par lequel je reçois assez régulièrement des offres "légitimes" qui n'en sont pas moins taggées SPAM par leurs serveurs,  c'est le comble !
Cordialement
*

Réaction n°4 

par STEPI le 25/05/2018 à 17:46

Re-bonjour.
Après plus de 15 jours de déboires, (on m'avais piraté une boite mail, et je recevais plus de 100 spams par jour), j'ai réussi à cibler les envoyeurs et les adresses pour se désinscrire. J'y croyais peu, mais ça valait le coup d'essayer. MIRACLE. Au bout de moins de 8 jours : pratiquement plus de spams. Ils diminuaient de jour en jour.
Je vous donne la liste, chaque adresse à utiliser tel quel, sans changer une lettre :
UTILISER CHAQUE ADRESSE, et INDIQUER VOTRE ADRESSE MAIL à EFFACER DE LEUR LISTE.
http://rundevices.com/unsub.php
http://marketingshort.com/unsub.php
http://qualityhope.com/unsub.php
http://scanenglish.com/unsub.php
...

 

ça a bien fonctionné pour moi. Bonne chance et informez moi si ça marche pour vous.



Réponse :
Après le 25 Mai la vague a semblé un temps s'être calmée    (date d'application du RGPD).

Il y a toujours un risque à se désinscrire (surtout pour un opérateur furtif qui ne semble pas avoir pignon sur rue).
*

DébutPrécédent [ 1 2 ] SuivantFin
 
Visites

 252323 visiteurs

 4 visiteurs en ligne

Connexion...
 MBR Membres : 114

Votre pseudo :

Mot de passe :



I Total visites: 252323  
Recherche




Apparence

Ce site dans votre langue

FrançaisAnglaisArabeBulgareCatalanChinois (simplifié)Chinois (traditional)CroateTchèqueDanoisNéerlandaisPhilipinFinlandaisAllemandGrecHébreuHindiIndonésienItalienJaponaisCoréenLettonLithuanienNorvégienPolonaisPortuguaisRoumainRusseSerbeSlovaqueSlovèneEspagnolSuèdoisUkrainienVietnamien

Plugin TranslatorBox par Dipisoft
Merci à Google Traduction
espace commercial

Logo Mecatechnic


Texte à méditer :   Qui veut voyager loin ménage sa monture.   Adriana Sklenaříková
W3C CSS Meric Skins © 2007 - Licence Creative Commons
^ Haut ^