PHISHING massif et personnalisé + détournement de MAILER-DAEMON SFR

Hello @Romulus72 

Oui du phishing, et touchant SFR, ça existe et il y en a plein (ton message sur le forum n'est pas le seul actuellement d'ailleurs).

> C'est donc bien l'adresse MAILER-DAEMON de sfr.fr qui a été piratée !

Bien que peu probable, ce n'est pas impossible c'est vrai, mais rien dans tes observations ne le démontre sans le moindre doute.

Il est en effet relativement facile, voir ICI, (pour ne pas dire trivial avec certains serveurs SMTP d'expédition de mail, à fortiori quand tu utilises ton propre serveur SMTP, ce qu'une équipe de piratage organisé n'aurait pas de mal à configurer) de forger un faux mail dont l'expéditeur est ni plus ni moins que MAILER-DAEMON@sfr.fr sans qu'aucun autre nom de boîte mail n'apparaisse et laisse donc croire que c'est bien vrai.

Sauf que, dans mon scénario simpliste, une analyse plus approfondie (des multiples champs de l'en-tête indiquant le trajet du mail de serveur en serveur) montrerait qu'il a emprunté un chemin différent de celui passant habituellement par les serveurs d'expédition officiels de SFR.

Bref, en l'état, il faudrait des éléments supplémentaires pour démontrer ça.

à+

Bonjour Ryry,

Merci pour ta réponse. Si l'adresse de l'expéditeur peut être simulée, alors, peut-être que le MAILER-DAEMON de SFR n'est pas en cause. 

Voilà, ci-dessous, les entêtes du mail en question (j'ai effacé mon adresse email, mon nom et une autre adresse email d'un destinataire qui me paraissait être celle d'un particulier).

Si toi ou quelqu'un d'autre peut m'apporter des infos pour mieux comprendre la situation, je lui en serai reconnaissant. 

Return-Path : <>

Received : from msfrf2608.sfr.fr (msfrf2608 [10.18.203.22])
by msfrb0302 (Cyrus v2.3.16) with LMTPA;
Tue, 07 Jan 2020 10:48:32 +0100
X-Sieve : CMU Sieve 2.3
X-Bcc : [ mon adresse email ]

Received : from filter.sfr.fr (localhost [69.94.135.244])
by msfrf2608.sfr.fr (SMTP Server) with ESMTP id 670861C0B781D
for <nce000000000000000013820203@back03-mail02-01.sfrmc.priv.atos.fr>; Tue, 7 Jan 2020 10:46:14 +0100 (CET)

Received : from before.evidence.fr (unknown [69.94.135.244])
by msfrf2608.sfr.fr (SMTP Server) with ESMTP id 396031C0AF832
for <[ mon adresse email ]>; Tue, 7 Jan 2020 10:46:14 +0100 (CET)

Received : from before.evidence.fr (unknown [69.94.135.244])
by msfrf2608.sfr.fr (SMTP Server) with ESMTP
for <[ mon adresse email ]>; Tue, 7 Jan 2020 10:46:02 +0100 (CET)

Received : from msfrf2637.sfr.fr (msfrf2623 [10.18.203.37])
by msfrb1003 (Cyrus v2.3.16) with LMTPA;
Thu, 17 Oct 2019 10:55:53 +0200

Received : from filter.sfr.fr (localhost [127.0.0.1])
by msfrf2623.sfr.fr (SMTP Server) with ESMTP id 2AD2E1C0BBB02
for <nce000000000000000013661040@back10-mail01-02.sfrmc.priv.atos.fr>; Thu, 17 Oct 2019 10:55:53 +0200 (CEST)

Received : by msfrf2623.sfr.fr (SMTP Server) id 0FC731C0BBC2B:
Thu, 17 Oct 2019 10:46:01 +0200 (CEST)
Date : Thu, 17 Oct 2019 10:46:01 +0200 (CEST)

From : Felecetations [ mon nom ] ............<MAILER-DAEMON@sfr.fr>
Subject : VOTRE COLIS FR3428632-19 EST EN ROUTE
To : [ l'adresse email d'un particulier ]
Auto-Submitted : auto-replied
MIME-Version : 1.0
Message-Id : <20191017084601.OFC731COB8C28@msfrf2623.sfr.fr>
Content-Type : text/html; charset="ISO-8859-1"
Content-Transfer-Encoding : 8bit
X-me-spamwebmail : SPAM-FROM

Hello,

Là tu cumules plusieurs en-têtes de mails au cours de mois, mais chacun d'entre eux est anormalement court.

• Tu as juste repris quelques lignes des en-têtes ?
• Ton mailer ne te montre pas tout ? (moi par exemple, sous Thunderbird, je crois bien activer l'option "Montrer l'en-tête complet" pour voir une bonne douzaine de ligne d'en-tête par mail, et souvent avec 3-4 champs received montrant le cheminement du mail avant d'arriver dans ma boite...

Là c'est un peu court, trop court même...

à+

Merci pour ta réponse rapide.

Je ne sais pas ce que tu vois, dans mon commentaire, mais je fournis 7 champs Received et une trentaine de lignes en tout.

Ce sont néanmoins les seules entêtes auxquelles ma boîte mail SFR me donne accès par la fonction "Affichez les entêtes" et intitulées "Entêtes du mail".

Bref, les entêtes fournies ne concernent qu'un seul mail (sinon, je l'aurai précisé... mon but n'est pas d'embrouiller).

Allo ?... Il y a quelqu'un ?  

Hello @Romulus72 

> Bref, les entêtes fournies ne concernent qu'un seul mail (sinon, je l'aurai précisé... mon but n'est pas d'embrouiller).

Alors je ne m'y retrouve pas bien car

• on voit nettement au début une date du 7 janvier 2020
• et dans le milieu une date du 17 octobre 2019

c'est pourquoi je me suis demandé s'il s'agissait bien d'infos d'un même mail.

Si oui, il a donc voyagé plus de 2 mois, et autant dire qu'il ne provient probablement pas directement de SFR ça c'est sûr alors...

à+

Hello @JEYJEY2912 

> Je reçois une dizaine de phishing par jour provenant d'un adresse mailer Daemon de SFR.La répétition quotidienne devient énervante.Mon téléphone ne permettant pas de créer une règle sur les indésirables, existe t il une solution ?

As-tu la possibilité de créer ce genre de filtre en amont, dans l'interface webmail de ta messagerie ?

Ainsi ils seraient déviés à la source de ta messagerie et n'arriveraient pas sur ton téléphone...

à+

Merci pour ta réponse.

Je m'étais également interrogé sur les dates, mais je manque de connaissances pour analyser des entêtes.

À ce jour, les mails de MAILER-DAEMON@sfr. ont cessé (intervention de SFR ?), mais je continue évidemment à recevoir le même phishing d'autres adresses, dont "mailer-daemon@amazon.com".

À part changer d'adresse mail, je ne vois pas trop quoi faire.

Bonne journée !