Hello, je m’arrache les cheveux pour comprendre un cas de figure fou.
J’ai un client que je connais bien qui me forward une de mes newsletters qu’il a reçu dans laquelle tous les liens pointent vers un site chinois. donc manifestement un spam. mais néanmoins c’est MA news.
je récupère les headers suivants (j’ai modifié les ips à moi, email etc bien entendu. ce qui est laissé en clair n’est pas à moi)
je précise un truc étrange en plus : l’expéditeur est au format [email protected]
le domaine ne correspond pas au mien en revanche la structure user@9. est la même que pour mes envois
Subject : *** SPAM *** Youssef, retrouvez en replay sur sujet du truc ! =====> ici c'est mon objet sauf que mon client ne s'appelle pas Youssef
Date : Thu, 23 Feb 2023 11:05:12 GMT
From : NOM_DE_MON_PROJET <[email protected]>
To : Julien (c'est nom de mon client) <[email protected]>
Content-Type : multipart/alternative
Authentication-Results : evanjelikfm.com; spf=pass (sender IP is IP.DE.MON.SERVEUR) [email protected] smtp.helo=MON.SERVEUR.A.MOI.com
X-me-contentID : 506
Received-SPF : pass (evanjelikfm.com: connection is authenticated)
Precedence : bulk
Message-ID : <[email protected]>
MIME-Version : 1.0
Received : from opme11d3d08aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3b08aub.idf.fr.intraorange with LMTP id gH3OEGhI92NbOQAAskQK3Q (envelope-from <[email protected]>); Thu, 23 Feb 2023 12:05:12 +0100,from opme11ppr10aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3d08aub.idf.fr.intraorange with LMTP id GPyZEGhI92OGHAAAiip+bg (envelope-from <[email protected]>) for <MELOFR-200-RvIIbXoiAhhKEBOXXY0WnPyED0+Ztf+TeFOJk17FDxM=>; Thu, 23 Feb 2023 12:05:12 +0100,from opmta1mti76nd1 ([10.79.3.107]) by opme11ppr10aub.idf.fr.intraorange with LMTP id uLpoEGhI92PESwAAWZDZTA (envelope-from <[email protected]>) for <[email protected]>; Thu, 23 Feb 2023 12:05:12 +0100,from evanjelikfm.com ([85.113.14.118]) by smtp.orange.fr with ESMTP id V9MJpq6ftIYo8V9PIp2yQY; Thu, 23 Feb 2023 12:05:07 +0100
X-ME-Entity : ofr
X-me-spamlevel : med
X-ME-bounce-domain : orange.fr
X-ME-engine : default
X-bcc : [email protected]
X-Mailer : PHPMailer 5.2.26 (https://github.com/PHPMailer/PHPMailer)
X-ME-IP : 85.113.14.118
X-ME-Helo : evanjelikfm.com
Content-Transfer-Encoding : 8bit
X-me-spamcause : (300)(1000)gggruggvucftvghtrhhoucdtuddrgedvhedrudekuddgvddvucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucehtddtnecuogfuphgrmhfkphculdeftddtmdenucfjughrpeffvffhrhfukffophggtgfgsegrkefsreehtdejnecuhfhrohhmpefovghnshhuvghlshcuuegvshhinhhsuceotghomhhntghoseelrdgvvhgrnhhjvghlihhkfhhmrdgtohhmqeenucggtffrrghtthgvrhhnpeejkeeiueegleeuhedtvdfhveeigfevhfetfedvheduhedtvddtvddvgfekveevgfenucffohhmrghinhepvghsphhrihhtjhgrphhonhdrtghomhenucfkphepkeehrdduudefrddugedruddukeenucfuphgrmhfkphepkeehrdduudefrddugedruddukeenucevlhhushhtvghrufhiiigvpeduvdenucfrrghrrghmpehhvghlohepvghvrghnjhgvlhhikhhfmhdrtghomhdpihhnvghtpeekhedruddufedrudegrdduudekpdhmrghilhhfrhhomhepughgrghnmhhovghpsegvvhgrnhhjvghlihhkfhhmrdgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtohepnhgrhhhmrghnohesohhrrghnghgvrdhfrh
Reply-To : NOM_DE_MON_PROJET <[email protected]>
Return-Path : <[email protected]>
En voyant mon IP dans Authentication-Results je suis allé vérifier dans mes logs sur le serveur si j’avais un envoi aux heures du message vers ce destinataire, et il n’y a rien. idem sur l’ID du message. Pourtant j’ai bien des emails envoyés avant et après dans les logs.
Ma conclusion est que le mail n’a aps été envoyé par mon serveur. Or que fait mon IP dans le header Authentication-Results ?
j’ai vérifié sur mon serveur, le domaine evanjelikfm.com n’existe pas.
J’ai vérifié les zones de evanjelikfm.com > il n’y a pas de SPF. c’est un domaine hébergé chez 1&1 avec aucun suite dessus (page d’accueil standard ionos)
NOTA : tout ce qui part de mon serveur est signé DKIM.
ma question : comment est-ce possible ?
usurpation de headers ?
adware sur l’ordi du client ?
avez vous déjà eu ça ?
merci