> Refuznik a écrit :
> Rien reçu chez moi.
Merci pour ton retour !
Les headers de l'un d'entre eux, pour ceux que çà intéresse.
Une douzaine les 3 derniers jours. Tous avec le même texte (identique) et le
même attachement vérolé. Ce qui est réconfortant, c'est que l'antivirus
"desktop" (Symantec) l'a attrapé, ce qui est pas cool ce que rien d'autre ne
l'a vu; ni le pare-feu (untangle) ni DNS (Cisco OpenDNS), ni mon CBBC, ni les
protections anti-merde dans M$ Exchange. Ce qui démontre encore une fois
qu'aucune solution seule n'est valable. La sécurité, c'est plus de couches on
en mets, mieux on se porte.
Celui-ci vient du Brésil en apparence, mais j'ai vu des pays/TLD dont je
n'avais jamais entendu parler, çà sent le merdiciel à plein nez. En fait, c'est
relativement rare que ce genre de daube arrive dans ma BAL, donc si les
spécialistes de l'anti-spam pouvaient expliquer pourquoi, çà serait sympa.
Bon, la VM isolée pour ouvrir ce genre d'attachement, c'est pas fait pour le
cons non plus, hein ? snapshot avant d'ouvrir.
Michel.
Yàkàfokon : écrire le script qui blackliste l'IP en question, quoique je n'ai
jamais eu 2 fois la même merde en provenance de la même IP :-(
Received: from vps-4655333.visafran.com.br (162.241.90.126) by
newserver.arneill-py.local (192.168.228.2) with Microsoft SMTP Server id
14.3.487.0; Wed, 29 Jul 2020 15:08:47 -0700
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=visafran.com.br; s=default;
h=Content-Type:MIME-Version:Subject:To:From:
Date:Sender:Reply-To:Message-ID:Cc:Content-Transfer-Encoding:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=KQvkg8zeqIVLnVrTfGk0Fxlx+i4yvezXcsmotoMDajE=;
b=0oipfcWohKsde+iN6Ux326Jrgh
9HmCaxxvc9GdcUeLyVkkCSVsFoJgG1P7BOLeSd2TaaG+TcrSKD+fDZ8q9k5CgiU0J0pANDvXeTwLN
67cDjYPsKbqOMm3LVNc5Z4DA8fGhdnM7yYVbYa1tNgAJROPKn4u6P0l1TVBhItdSZH5Achx/vC4IU
uijXuFDlUQMxOfRbnrLc18PSdHPCZGjYsRy/opSKxmSvOnf1ubtWQOfwio/7aEWfj4zYYXOjzVWNX
bKIgvAZaeOG3d8nhfHmb03ycDDlcUCNZ/hPwM38jHnUSkh/cEc1mA1H8O1VLpQMx1Sefyv7jq02El
4sltjdKA==;
Received: from [190.60.223.10] (port=49025 helo=[10.0.0.10]) by
vps-4655333.visafran.com.br with esmtpsa (TLS1.2) tls
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.93) (envelope-from
<pame...@visafran.com.br>) id 1k0uFM-0002Pq-LG for
mic...@arneill-py.sacramento.ca.us; Wed, 29 Jul 2020 19:08:25 -0300
Date: Wed, 29 Jul 2020 17:08:23 -0500
From: "frnog-requ...@frnog.org" <pame...@visafran.com.br>
To: Michel Py <mic...@arneill-py.sacramento.ca.us>
Subject: Fwd:RE: [FRnOG] [MISC] En cas d'arnaque on fait quoi ?
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--14970269248382926520580401407695728"
X-AntiAbuse: This header was added to track abuse, please include it with any
abuse report
X-AntiAbuse: Primary Hostname - vps-4655333.visafran.com.br
X-AntiAbuse: Original Domain - arneill-py.sacramento.ca.us
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - visafran.com.br
X-Get-Message-Sender-Via: vps-4655333.visafran.com.br: authenticated_id:
pame...@visafran.com.br
X-Authenticated-Sender: vps-4655333.visafran.com.br: pame...@visafran.com.br
X-Source:
X-Source-Args:
X-Source-Dir:
Message-ID: <84bbb91e-4c24-4eee-8e47-d9047bc73190@newserver.arneill-py.local>
Return-Path: pame...@visafran.com.br
X-MS-Exchange-Organization-AuthSource: newserver.arneill-py.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: visafran.com.br
X-MS-Exchange-Organization-SenderIdResult: Pass
Received-SPF: Pass (newserver.arneill-py.local: domain of
pame...@visafran.com.br designates 162.241.90.126 as permitted sender)
receiver=newserver.arneill-py.local; client-ip=162.241.90.126;
helo=vps-4655333.visafran.com.br;
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
