Bonjour, A part la PJ, le mail est propre, vient du bon serveur de messagerie, un piratage de boite mail fait correctement, ou un vps avec le SSH ouvert pas suffisamment sécurisé.
Le ven. 31 juil. 2020 à 05:42, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > > Refuznik a écrit : > > Rien reçu chez moi. > > Merci pour ton retour ! > > Les headers de l'un d'entre eux, pour ceux que çà intéresse. > Une douzaine les 3 derniers jours. Tous avec le même texte (identique) et > le même attachement vérolé. Ce qui est réconfortant, c'est que l'antivirus > "desktop" (Symantec) l'a attrapé, ce qui est pas cool ce que rien d'autre > ne l'a vu; ni le pare-feu (untangle) ni DNS (Cisco OpenDNS), ni mon CBBC, > ni les protections anti-merde dans M$ Exchange. Ce qui démontre encore une > fois qu'aucune solution seule n'est valable. La sécurité, c'est plus de > couches on en mets, mieux on se porte. > > Celui-ci vient du Brésil en apparence, mais j'ai vu des pays/TLD dont je > n'avais jamais entendu parler, çà sent le merdiciel à plein nez. En fait, > c'est relativement rare que ce genre de daube arrive dans ma BAL, donc si > les spécialistes de l'anti-spam pouvaient expliquer pourquoi, çà serait > sympa. > > Bon, la VM isolée pour ouvrir ce genre d'attachement, c'est pas fait pour > le cons non plus, hein ? snapshot avant d'ouvrir. > > Michel. > > Yàkàfokon : écrire le script qui blackliste l'IP en question, quoique je > n'ai jamais eu 2 fois la même merde en provenance de la même IP :-( > > Received: from vps-4655333.visafran.com.br (162.241.90.126) by > newserver.arneill-py.local (192.168.228.2) with Microsoft SMTP Server id > 14.3.487.0; Wed, 29 Jul 2020 15:08:47 -0700 > DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; > d=visafran.com.br; s=default; > h=Content-Type:MIME-Version:Subject:To:From: > > Date:Sender:Reply-To:Message-ID:Cc:Content-Transfer-Encoding:Content-ID: > > Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc > > :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe: > List-Subscribe:List-Post:List-Owner:List-Archive; > bh=KQvkg8zeqIVLnVrTfGk0Fxlx+i4yvezXcsmotoMDajE=; > b=0oipfcWohKsde+iN6Ux326Jrgh > > 9HmCaxxvc9GdcUeLyVkkCSVsFoJgG1P7BOLeSd2TaaG+TcrSKD+fDZ8q9k5CgiU0J0pANDvXeTwLN > > 67cDjYPsKbqOMm3LVNc5Z4DA8fGhdnM7yYVbYa1tNgAJROPKn4u6P0l1TVBhItdSZH5Achx/vC4IU > > uijXuFDlUQMxOfRbnrLc18PSdHPCZGjYsRy/opSKxmSvOnf1ubtWQOfwio/7aEWfj4zYYXOjzVWNX > > bKIgvAZaeOG3d8nhfHmb03ycDDlcUCNZ/hPwM38jHnUSkh/cEc1mA1H8O1VLpQMx1Sefyv7jq02El > 4sltjdKA==; > Received: from [190.60.223.10] (port=49025 helo=[10.0.0.10]) by > vps-4655333.visafran.com.br with esmtpsa (TLS1.2) tls > TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.93) (envelope-from > <pame...@visafran.com.br>) id 1k0uFM-0002Pq-LG for > mic...@arneill-py.sacramento.ca.us; Wed, 29 Jul 2020 19:08:25 -0300 > Date: Wed, 29 Jul 2020 17:08:23 -0500 > From: "frnog-requ...@frnog.org" <pame...@visafran.com.br> > To: Michel Py <mic...@arneill-py.sacramento.ca.us> > Subject: Fwd:RE: [FRnOG] [MISC] En cas d'arnaque on fait quoi ? > MIME-Version: 1.0 > Content-Type: multipart/mixed; > boundary="--14970269248382926520580401407695728" > X-AntiAbuse: This header was added to track abuse, please include it with > any abuse report > X-AntiAbuse: Primary Hostname - vps-4655333.visafran.com.br > X-AntiAbuse: Original Domain - arneill-py.sacramento.ca.us > X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] > X-AntiAbuse: Sender Address Domain - visafran.com.br > X-Get-Message-Sender-Via: vps-4655333.visafran.com.br: authenticated_id: > pame...@visafran.com.br > X-Authenticated-Sender: vps-4655333.visafran.com.br: > pame...@visafran.com.br > X-Source: > X-Source-Args: > X-Source-Dir: > Message-ID: > <84bbb91e-4c24-4eee-8e47-d9047bc73190@newserver.arneill-py.local> > Return-Path: pame...@visafran.com.br > X-MS-Exchange-Organization-AuthSource: newserver.arneill-py.local > X-MS-Exchange-Organization-AuthAs: Anonymous > X-MS-Exchange-Organization-PRD: visafran.com.br > X-MS-Exchange-Organization-SenderIdResult: Pass > Received-SPF: Pass (newserver.arneill-py.local: domain of > pame...@visafran.com.br designates 162.241.90.126 as permitted sender) > receiver=newserver.arneill-py.local; client-ip=162.241.90.126; > helo=vps-4655333.visafran.com.br; > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
