gratifiant > linux.debian.user.french

G2PC (10/12/2019, 12h40)
Bonjour,

J'utilise Exim4, et, une configuration non aboutie ( Pas de Dkim / Dmarc / SPF peut être mal configurée )
L'envoie de mail semble fonctionner comme je le souhaite, pour récupérer mes accès CMS par exemple, lors de la création d'un utilisateur.

Depuis quelques jours, j'ai des spams récurrents, du même type,sur l'un de mes comptes mails, qui semble lié à une seule installation de CMS ( site ) si je ne me trompe pas.
Le domaine du site concerné semble être green-nrj.com

Comment comprendre ce mail (copie plus bas) que je reçois trop régulièrement, presque 10 fois par jour ?
Au delà de la nécessité de mettre en place Dkim / Dmarc / SPF correctement, je suis étonné de toujours retrouver l?adresse " for <gt>; " dans les mails reçu.

S'agit t'il d'un mail forgé, qui ne serait pas émis par mon propre serveur ? J'ai tenté de trouver des logs de cet envoie dans les logs de exim4, mais, je n'ai pas l'impression que Exim4 ait stocké un log pour cet envoi.
Je constate également que le mail que j'ai reçu ce jour ( le 10décembre ) , semble avoir été émis à l'origine le 4 décembre : for <gt>; Wed, 4 Dec 2019 16:10:13 +0000 (UTC)

Je lis en lecture diagonale qu'il s'agit d'un BOUNCE : X-VR-SPAMSTATE: BOUNCE

J'ai fais une recherche rapide sur rfc822 mais si j'ai bien compris, ce n'est pas / plus une norme d'actualité, qui a été remplacée / améliorée. Je ne sais pas comment prendre en compte cette information à cet instant :
X-Postfix-Sender: rfc822; alternative
...
Final-Recipient: rfc822; gt
Original-Recipient: rfc822;gt
Action: failed

Je constate que les mails sont à chaque fois différents :
Ceci est un message expédié via par :
KlBLFYODHIjaipk <vincenzachampagne>

J'ai désactivé hier le formulaire d'inscription qui était accessible depuis le menu.
Je me demande si il s'agit d'une faille dans un formulaire, ou, dans le template, qui permettrait d'envoyer des mails depuis ce site.
Actuellement, il reste toujours le formulaire de récupération de mot de passe, ou, d'identification, en front.

Je pourrais d'ailleurs enlever le lien vers cet espace de connexion qui ne me sert pas pour ne laisser que celui de l'administration.
J'aimerais tout de même pouvoir mieux comprendre pourquoi je me prend ce mail de façon répétitive :

Return-Path: <>
Delivered-To: alternative
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 9 Dec 2019 18:30:47 +0200
Received: from unknown (HELO output24.mail.ovh.net) (10.108.115.77)
by mail136.ha.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 9 Dec 201918:30:47 +0200
Received: from vr4.mail.ovh.net (unknown [10.101.8.4])
by out24.mail.ovh.net (Postfix) with ESMTP id 47WpbC32Wwz6XjCQZ
for <alternative>; Mon, 9 Dec 2019 16:30:47 +0000 (UTC)
Received: from in70.mail.ovh.net (unknown [10.101.4.70])
by vr4.mail.ovh.net (Postfix) with ESMTP id 47WpbC1rxPz2CcCN
for <alternative>; Mon, 9 Dec 2019 16:30:47 +0000 (UTC)
Received-SPF: None (no SPF record) identity=no SPF record; client-ip=188.165.52.203; helo=3.mo69.mail-out.ovh.net; envelope-from=<>; receiver=alternative
Authentication-Results: in70.mail.ovh.net; dkim=none; dkim-atps=neutral
Received: from 3.mo69.mail-out.ovh.net (3.mo69.mail-out.ovh.net [188.165.52.203])
by in70.mail.ovh.net (Postfix) with ESMTPS id 47WpbC1CKwzZ1113
for <alternative>; Mon, 9 Dec 2019 16:30:47 +0000 (UTC)
Received: by mo69.mail-out.ovh.net (Postfix)
id 3B5EF7369E; Mon, 9 Dec 2019 17:30:41 +0100 (CET)
Date: Mon, 9 Dec 2019 17:30:41 +0100 (CET)
From: MAILER-DAEMON (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: alternative
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="E294F744AD.1575909041/mo69.mail-out.ovh.net"
Content-Transfer-Encoding: 8bit
Message-Id: <20191209163041.3B5EF7369E>
X-Ovh-Remote: 188.165.52.203 (3.mo69.mail-out.ovh.net)
X-Ovh-Tracer-Id: 8554306018541371540
X-VR-SPAMSTATE: BOUNCE
X-VR-SPAMSCORE: 10000
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedufedrudeltddgkeeluc etufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdp vefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucfpoh htihhfihgtrghtihhonhculddutddttddtmdenucfjughrpeff hffuvfggtgfgsehpkedtredttddvnecuhfhrohhmpefotefknf fgtfdqffetgffoqffpsehmoheiledrmhgrihhlqdhouhhtrdho vhhhrdhnvghtucdlofgrihhlucffvghlihhvvghrhicuufihsh htvghmmdenucffohhmrghinhepohhvhhdrnhgvthdrihhmnecu kfhppedukeekrdduieehrdehvddrvddtfeenucfrrghrrghmpe hmohguvgepshhmthhppdhhvghlohepihhnjedtrdhmrghilhdr ohhvhhdrnhgvthdpihhnvghtpedukeekrdduieehrdehvddrvd dtfedpmhgrihhlfhhrohhmpedprhgtphhtthhopegrlhhtvghr nhgrthhivhgvsehgrhgvvghnqdhnrhhjrdgtohhmnecuvehluh hsthgvrhfuihiivgeptd
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: BOUNCE; dkim: disabled; spf: disabled
X-Ovh-Message-Type: BOUNCE

This is a MIME-encapsulated message.

--E294F744AD.1575909041/mo69.mail-out.ovh.net
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host mo69.mail-out.ovh.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<gt>: connect to gmail.fr[216.58.207.69]:25: Connection timed out

--E294F744AD.1575909041/mo69.mail-out.ovh.net
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; mo69.mail-out.ovh.net
X-Postfix-Queue-ID: E294F744AD
X-Postfix-Sender: rfc822; alternative
Arrival-Date: Wed, 4 Dec 2019 17:10:14 +0100 (CET)

Final-Recipient: rfc822; gt
Original-Recipient: rfc822;gt
Action: failed
Status: 4.4.1
Diagnostic-Code: X-Postfix; connect to gmail.fr[216.58.207.69]:25: Connection
timed out

--E294F744AD.1575909041/mo69.mail-out.ovh.net
Content-Description: Undelivered Message
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit

Return-Path: <alternative>
Received: from player726.ha.ovh.net (unknown [10.108.16.63])
by mo69.mail-out.ovh.net (Postfix) with ESMTP id E294F744AD
for <gt>; Wed, 4 Dec 2019 17:10:14 +0100 (CET)
Received: from green-nrj.com (195.ip-139-99-173.eu [139.99.173.195])
(Authenticated sender: alternative)
by player726.ha.ovh.net (Postfix) with ESMTPSA id 99153CD5C6CB
for <gt>; Wed, 4 Dec 2019 16:10:13 +0000 (UTC)
Date: Wed, 4 Dec 2019 17:10:09 +0100
To: gt
From: Green NRJ - Alternatives ! <alternative>
Reply-To: KlBLFYODHIjaipk <vincenzachampagne>
Subject: =?utf-8?Q?Green_NRJ_-_Alternatives_pour_une_soci=C3=A9t=C3=A9_collabora ti?=
=?utf-8?Q?ve_et_=C3=A9cologique.:_TfuGRrFcNAjlZ?=
Message-ID: <73b0937cc8afbda8aa1cdd0ec1babd6b>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Ovh-Tracer-Id: 15737265948321485867
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 0
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedufedrudejledgkeeguc etufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdq fffguegfifdpvefjgfevmfevgfenuceurghilhhouhhtmecuhe dttdenucenucfjughrpeffvffhrhfukfggtgfgsehtkehjtddt tdejnecuhfhrohhmpefirhgvvghnucfptfflucdqucetlhhtvg hrnhgrthhivhgvshcuvccuoegrlhhtvghrnhgrthhivhgvsehg rhgvvghnqdhnrhhjrdgtohhmqeenucffohhmrghinhepghhrvg gvnhdqnhhrjhdrtghomhenucfkpheptddrtddrtddrtddpudef ledrleelrddujeefrdduleehnecurfgrrhgrmhepmhhouggvpe hsmhhtphdqohhuthdphhgvlhhopehplhgrhigvrhejvdeirdhh rgdrohhvhhdrnhgvthdpihhnvghtpedtrddtrddtrddtpdhmrg hilhhfrhhomheprghlthgvrhhnrghtihhvvgesghhrvggvnhdq nhhrjhdrtghomhdprhgtphhtthhopehgthesghhmrghilhdrfh hrnecuvehluhhsthgvrhfuihiivgeptd

Ceci est un message expédié via par :
KlBLFYODHIjaipk <vincenzachampagne>

agWACOQMyPwIU

--E294F744AD.1575909041/mo69.mail-out.ovh.net--
Frédéric MASSOT (10/12/2019, 16h10)
Le 10/12/2019 à 11:30, G2PC a écrit :
> Bonjour,
> J'utilise Exim4, et, une configuration non aboutie ( Pas de Dkim / Dmarc / SPF peut être mal configurée )
> L'envoie de mail semble fonctionner comme je le souhaite, pour récupérer mes accès CMS par exemple, lors de la création d'un utilisateur.
> Depuis quelques jours, j'ai des spams récurrents, du même type, sur l'un de mes comptes mails, qui semble lié à une seule installation de CMS ( site ) si je ne me trompe pas.
> Le domaine du site concerné semble être green-nrj.com
> Comment comprendre ce mail (copie plus bas) que je reçois trop régulièrement, presque 10 fois par jour ?
> Au delà de la nécessité de mettre en place Dkim / Dmarc / SPF correctement, je suis étonné de toujours retrouver l?adresse " for <gt>; " dans les mails reçu.
> S'agit t'il d'un mail forgé, qui ne serait pas émis par mon propre serveur ? J'ai tenté de trouver des logs de cet envoie dans les logs de exim4, mais, je n'ai pas l'impression que Exim4 ait stocké un log pour cet envoi.
> Je constate également que le mail que j'ai reçu ce jour ( le 10 décembre ) , semble avoir été émis à l'origine le 4 décembre : for <gt>; Wed, 4 Dec 2019 16:10:13 +0000 (UTC)


Regarde les formulaires sur ton site web, le formulaire "envoyer à un
ami" n'a pas de captcha.
G2PC (11/12/2019, 17h10)
> Regarde les formulaires sur ton site web, le formulaire "envoyer àun
> ami" n'a pas de captcha.


C'est juste effectivement.
Je peux voir à enlever ce paramètre, ou, à ajouter un captcha.

Par contre, est ce vraiment la cause de ce spam que je reçois ?
Si je fais un test pour m'envoyer l'url de la page, par mail, via ce
formulaire, je réceptionne bien le mail.

Il faut que je tente d'obtenir un bounce, en envoyant un des articles et
son URL à l'adresse inconnue que j'ai identifié dans la source du
message réceptionné ( vincenzachampagne ), pour vérifier si
j'obtiens la même chose.

Normalement, je devrais recevoir le même bounce que précédemment.
Discussions similaires