Hello, je m’arrache les cheveux pour comprendre un cas de figure fou.
J’ai un client que je connais bien qui me forward une de mes newsletters qu’il a reçu dans laquelle tous les liens pointent vers un site chinois. donc manifestement un spam. mais néanmoins c’est MA news.
je récupère les headers suivants (j’ai modifié les ips à moi, email etc bien entendu. ce qui est laissé en clair n’est pas à moi)
je précise un truc étrange en plus : l’expéditeur est au format MON_USER_A_MOI@9.evanjelikfm.com
le domaine ne correspond pas au mien en revanche la structure user@9. est la même que pour mes envois
Subject : *** SPAM *** Youssef, retrouvez en replay sur sujet du truc ! =====> ici c'est mon objet sauf que mon client ne s'appelle pas Youssef
Date : Thu, 23 Feb 2023 11:05:12 GMT
From : NOM_DE_MON_PROJET <MON_USER_A_MOI@9.evanjelikfm.com>
To : Julien (c'est nom de mon client) <julien@orange.fr>
Content-Type : multipart/alternative
Authentication-Results : evanjelikfm.com; spf=pass (sender IP is IP.DE.MON.SERVEUR) smtp.mailfrom=MON_USER_A_MOI@9.evanjelikfm.com smtp.helo=MON.SERVEUR.A.MOI.com
X-me-contentID : 506
Received-SPF : pass (evanjelikfm.com: connection is authenticated)
Precedence : bulk
Message-ID : <i4f161f00eb2088bfw63101m799462ef@MON.SERVEUR.A.MOI.com>
MIME-Version : 1.0
Received : from opme11d3d08aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3b08aub.idf.fr.intraorange with LMTP id gH3OEGhI92NbOQAAskQK3Q (envelope-from <dganmoep@evanjelikfm.com>); Thu, 23 Feb 2023 12:05:12 +0100,from opme11ppr10aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3d08aub.idf.fr.intraorange with LMTP id GPyZEGhI92OGHAAAiip+bg (envelope-from <dganmoep@evanjelikfm.com>) for <MELOFR-200-RvIIbXoiAhhKEBOXXY0WnPyED0+Ztf+TeFOJk17FDxM=>; Thu, 23 Feb 2023 12:05:12 +0100,from opmta1mti76nd1 ([10.79.3.107]) by opme11ppr10aub.idf.fr.intraorange with LMTP id uLpoEGhI92PESwAAWZDZTA (envelope-from <dganmoep@evanjelikfm.com>) for <julien@orange.fr>; Thu, 23 Feb 2023 12:05:12 +0100,from evanjelikfm.com ([85.113.14.118]) by smtp.orange.fr with ESMTP id V9MJpq6ftIYo8V9PIp2yQY; Thu, 23 Feb 2023 12:05:07 +0100
X-ME-Entity : ofr
X-me-spamlevel : med
X-ME-bounce-domain : orange.fr
X-ME-engine : default
X-bcc : julien@orange.fr
X-Mailer : PHPMailer 5.2.26 (https://github.com/PHPMailer/PHPMailer)
X-ME-IP : 85.113.14.118
X-ME-Helo : evanjelikfm.com
Content-Transfer-Encoding : 8bit
X-me-spamcause : (300)(1000)gggruggvucftvghtrhhoucdtuddrgedvhedrudekuddgvddvucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucehtddtnecuogfuphgrmhfkphculdeftddtmdenucfjughrpeffvffhrhfukffophggtgfgsegrkefsreehtdejnecuhfhrohhmpefovghnshhuvghlshcuuegvshhinhhsuceotghomhhntghoseelrdgvvhgrnhhjvghlihhkfhhmrdgtohhmqeenucggtffrrghtthgvrhhnpeejkeeiueegleeuhedtvdfhveeigfevhfetfedvheduhedtvddtvddvgfekveevgfenucffohhmrghinhepvghsphhrihhtjhgrphhonhdrtghomhenucfkphepkeehrdduudefrddugedruddukeenucfuphgrmhfkphepkeehrdduudefrddugedruddukeenucevlhhushhtvghrufhiiigvpeduvdenucfrrghrrghmpehhvghlohepvghvrghnjhgvlhhikhhfmhdrtghomhdpihhnvghtpeekhedruddufedrudegrdduudekpdhmrghilhhfrhhomhepughgrghnmhhovghpsegvvhgrnhhjvghlihhkfhhmrdgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtohepnhgrhhhmrghnohesohhrrghnghgvrdhfrh
Reply-To : NOM_DE_MON_PROJET <retour@evanjelikfm.com>
Return-Path : <dganmoep@evanjelikfm.com>
En voyant mon IP dans Authentication-Results je suis allé vérifier dans mes logs sur le serveur si j’avais un envoi aux heures du message vers ce destinataire, et il n’y a rien. idem sur l’ID du message. Pourtant j’ai bien des emails envoyés avant et après dans les logs.
Ma conclusion est que le mail n’a aps été envoyé par mon serveur. Or que fait mon IP dans le header Authentication-Results ?
j’ai vérifié sur mon serveur, le domaine evanjelikfm.com n’existe pas.
J’ai vérifié les zones de evanjelikfm.com > il n’y a pas de SPF. c’est un domaine hébergé chez 1&1 avec aucun suite dessus (page d’accueil standard ionos)
NOTA : tout ce qui part de mon serveur est signé DKIM.
ma question : comment est-ce possible ?
usurpation de headers ?
adware sur l’ordi du client ?
avez vous déjà eu ça ?
merci