Usurpation de news par des spameurs, un truc ésotérique m'arrive...

LoulouL · Mars 6, 2023, 10:01

Hello, je m’arrache les cheveux pour comprendre un cas de figure fou.
J’ai un client que je connais bien qui me forward une de mes newsletters qu’il a reçu dans laquelle tous les liens pointent vers un site chinois. donc manifestement un spam. mais néanmoins c’est MA news.

je récupère les headers suivants (j’ai modifié les ips à moi, email etc bien entendu. ce qui est laissé en clair n’est pas à moi)

je précise un truc étrange en plus : l’expéditeur est au format MON_USER_A_MOI@9.evanjelikfm.com
le domaine ne correspond pas au mien en revanche la structure user@9. est la même que pour mes envois


Subject : *** SPAM *** Youssef, retrouvez en replay sur sujet du truc ! =====> ici c'est mon objet sauf que mon client ne s'appelle pas Youssef
Date : Thu, 23 Feb 2023 11:05:12 GMT
From : NOM_DE_MON_PROJET <MON_USER_A_MOI@9.evanjelikfm.com>
To : Julien (c'est nom de mon client) <julien@orange.fr>
Content-Type : multipart/alternative
Authentication-Results : evanjelikfm.com; spf=pass (sender IP is IP.DE.MON.SERVEUR) smtp.mailfrom=MON_USER_A_MOI@9.evanjelikfm.com smtp.helo=MON.SERVEUR.A.MOI.com
X-me-contentID : 506
Received-SPF : pass (evanjelikfm.com: connection is authenticated)
Precedence : bulk
Message-ID : <i4f161f00eb2088bfw63101m799462ef@MON.SERVEUR.A.MOI.com>
MIME-Version : 1.0
Received : from opme11d3d08aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3b08aub.idf.fr.intraorange with LMTP id gH3OEGhI92NbOQAAskQK3Q (envelope-from <dganmoep@evanjelikfm.com>); Thu, 23 Feb 2023 12:05:12 +0100,from opme11ppr10aub.idf.fr.intraorange ([10.79.3.107]) by opme11d3d08aub.idf.fr.intraorange with LMTP id GPyZEGhI92OGHAAAiip+bg (envelope-from <dganmoep@evanjelikfm.com>) for <MELOFR-200-RvIIbXoiAhhKEBOXXY0WnPyED0+Ztf+TeFOJk17FDxM=>; Thu, 23 Feb 2023 12:05:12 +0100,from opmta1mti76nd1 ([10.79.3.107]) by opme11ppr10aub.idf.fr.intraorange with LMTP id uLpoEGhI92PESwAAWZDZTA (envelope-from <dganmoep@evanjelikfm.com>) for <julien@orange.fr>; Thu, 23 Feb 2023 12:05:12 +0100,from evanjelikfm.com ([85.113.14.118]) by smtp.orange.fr with ESMTP id V9MJpq6ftIYo8V9PIp2yQY; Thu, 23 Feb 2023 12:05:07 +0100
X-ME-Entity : ofr
X-me-spamlevel : med
X-ME-bounce-domain : orange.fr
X-ME-engine : default
X-bcc : julien@orange.fr
X-Mailer : PHPMailer 5.2.26 (https://github.com/PHPMailer/PHPMailer)
X-ME-IP : 85.113.14.118
X-ME-Helo : evanjelikfm.com
Content-Transfer-Encoding : 8bit
X-me-spamcause : (300)(1000)gggruggvucftvghtrhhoucdtuddrgedvhedrudekuddgvddvucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucehtddtnecuogfuphgrmhfkphculdeftddtmdenucfjughrpeffvffhrhfukffophggtgfgsegrkefsreehtdejnecuhfhrohhmpefovghnshhuvghlshcuuegvshhinhhsuceotghomhhntghoseelrdgvvhgrnhhjvghlihhkfhhmrdgtohhmqeenucggtffrrghtthgvrhhnpeejkeeiueegleeuhedtvdfhveeigfevhfetfedvheduhedtvddtvddvgfekveevgfenucffohhmrghinhepvghsphhrihhtjhgrphhonhdrtghomhenucfkphepkeehrdduudefrddugedruddukeenucfuphgrmhfkphepkeehrdduudefrddugedruddukeenucevlhhushhtvghrufhiiigvpeduvdenucfrrghrrghmpehhvghlohepvghvrghnjhgvlhhikhhfmhdrtghomhdpihhnvghtpeekhedruddufedrudegrdduudekpdhmrghilhhfrhhomhepughgrghnmhhovghpsegvvhgrnhhjvghlihhkfhhmrdgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtohepnhgrhhhmrghnohesohhrrghnghgvrdhfrh
Reply-To : NOM_DE_MON_PROJET <retour@evanjelikfm.com>
Return-Path : <dganmoep@evanjelikfm.com>

En voyant mon IP dans Authentication-Results je suis allé vérifier dans mes logs sur le serveur si j’avais un envoi aux heures du message vers ce destinataire, et il n’y a rien. idem sur l’ID du message. Pourtant j’ai bien des emails envoyés avant et après dans les logs.

Ma conclusion est que le mail n’a aps été envoyé par mon serveur. Or que fait mon IP dans le header Authentication-Results ?

j’ai vérifié sur mon serveur, le domaine evanjelikfm.com n’existe pas.
J’ai vérifié les zones de evanjelikfm.com > il n’y a pas de SPF. c’est un domaine hébergé chez 1&1 avec aucun suite dessus (page d’accueil standard ionos)

NOTA : tout ce qui part de mon serveur est signé DKIM.

ma question : comment est-ce possible ?
usurpation de headers ?
adware sur l’ordi du client ?
avez vous déjà eu ça ?

merci

hotlinefr · Mars 13, 2023, 7:13

Hello,

J’ai eu le cas 5 ou 6 fois sur des newsletters de clients depuis 1 mois.
La seule explication que j’ai trouvé c’est qu’un destinataire lambda de la newsletter chope un virus qui s’amuse avec les newsletters qu’il a reçu et son carnet d’adresse.

LoulouL · Mars 13, 2023, 7:28

Quelque part ça le rassure de voir que je ne suis pas le seul.
Tu as aussi ton IP dans le header authentication ?

En effet je pensais à un virus sur le pc du client en question mais ça peut aussi bien etre un de ses contacts… d’ailleurs il n’était pas dans la cible de la news initiale.

Si quelqu’un a plus d’idées ou de détails on est preneurs

Merci pour la réponse en tout cas.

Morph · Mars 13, 2023, 8:33

Certains headers peuvent être modifiés comme on veut, mais la ça me parait fort quand même.

Est-ce que cet email a remplacé un email de ta newsletter ou est-ce que ton client a reçu ta newsletter et cet email en plus ?

Est-ce que c’est le seul client qui a eu ça ?
(c’est peut-être de son coté qu’il y a eu une faille de sécurité)
Est-ce qu’il utilise une messagerie particulière ?un antipam ? un client de messagerie spécifique ?

Qu’es-ce que tu utilises exactement (outil, serveur,…) pour envoyer tes emails ?

LoulouL · Mars 14, 2023, 6:57

Hello
J’ai eu deux retours de la sorte.
Le premier n’était meme pas dans ma bdd.

Le second est un client proche qui n’était pas dans les destinataires lors de lenvoi de ma news initiale.
Il est chez orange et consulte ses emails en ligne.

Je passe par un soft home made avec des serveurs dediés.

Je log tout ce qui part de mon appli et je n’ai aucune trace de cet envoi vers lui.

Dans MES news les liens sont shorten afin que
Je puisse avoir des stats sur les clicks. Dans la news version spam ce sont des liens direct.

On dirait vraiment que le html + headers a été repris tel quel en modifiant uniquement les liens.

Je precise que IP.DE.MON.SERVEUR est l ip du serveur qui heberge mon soft d’envoi. Ce soft se connecte en smtp à plusieurs serveurs qui envoient au destinataire de la news. Pour etre précis.

Morph · Mars 14, 2023, 7:56

Intéressant, piste à creuser : qu’est-ce qui les relie ?
Celui que tu ne connais pas est revenu vers toi à partir d’une adresse email présente dans la newsletter ?

Est-ce que ces serveurs SMTP ont des logs ?

Développé en PHP ?

ljvd · Mars 14, 2023, 5:52

La réponse est dans ton entête
X-Mailer : PHPMailer 5.2.26 (GitHub - PHPMailer/PHPMailer: The classic email sending library for PHP)

The vulnerability allows a remote attacker to compromise the affected system.

The vulnerability exists due to insufficient validation of user-supplied input within the setLanguage() method when processing the $lang_path parameter on a Windows system. A remote attacker can pass specially crafted input to the application, set a UNC path via the affected parameter and execute arbitrary PHP code on the system.

Mitigation
Install updates from vendor’s website.
Vulnerable software versions
PHPMailer: 2.0.3 - 6.4.1

LoulouL · Mars 15, 2023, 7:00

@Morph
Aucun lien entre les deux personnes si ce n’est quelles sont dans le même domaine d’activité.
Je precise que celui que je ne connais pas a eu le meme souci mais sur une autre news, il y a 3 semaines environ.
Le gars a vu notre logo et nous a envoyé un mail incendiaire sur contact…

Ça +1 pour la piste du virus qui renvoie de news à un carnet d’adresse. Cette personne etant probablement en contact avec un de nos destinataires. (Mais pourquoi my fucking ip ? Lol)

Les serveurs smtp on des logs, j’ai tout epluché. Rien…

@ljvd en effet c’est du php mais la fonction incriminée n’est pas utilisée et en plus c’est en accès privée, donc je ne pense pas que ça vienne de là. Je vais neanmoins update la lib.

D’autant que si il y avait une faille vraiment exploitée jenverrai des millions de mails à longueur de journée. Ça se verrai.