No original to found :(

EmilieC24 2022-04-20 10:49:42 UTC #1

Bonjour
Tous les jours ou presque je reçois un mail de support@ovh.com
D'après ce que j'ai compris c'est un script de mon hébergement qui envoie des jesaispasquoi à jesaispasqui.

E-mail : No original to found :(
Erreurs : 8
Message : No message provided

Qu'est-ce que c'est que ce bronx ?

1- Je n'ai pas de script automatisé, ou alors si, dans un genre de formulaire de contact, mais quand je l'utilise et qu'il y a une erreur, il y a un DESTINATAIRE et une erreur du genre "mailbox invalide", un truc clair quoi. Ce formulaire est sécurisé avec captcha recaptcha et à tes souhaits.
2- je ne vois pas où il peut y avoir un problème dans les logs, je ne sais même pas quoi / où chercher
3- je suis sur un hébergement mutualisé / multisite

---------------------------------------- LE MAIL --------------------------------------
SAS OVH - https://www.ovh.com/
2 rue Kellermann
BP 80157
59100 Roubaix

Bonjour,

Nous avons enregistré des retours en erreur sur les e-mails envoyés depuis votre hébergement lié au domaine maliciadarkwave.com en date du 2022-04-19:

E-mail : No original to found :(
Erreurs : 8
Message : No message provided

Vous avez la possibilité de consulter les rapports d'erreur depuis votre Espace Client > section "Hébergement" > rubrique "Scripts emails".
Si la fonction mail de votre hébergement est bloquée, via cette même section il vous sera possible de la réactiver.

Retrouvez plus d'information sur le suivi des emails automatisés sur ce guide :

Merci de votre compréhension.

L'équipe OVHcloud

Pour obtenir de l'aide, retrouvez toutes nos solutions en ligne sur notre Centre d'aide : https://help.ovhcloud.com/ Vous y retrouverez nos Guides, FAQ, Forum communautaire et Opérations de maintenance.

OVH SAS est une filiale de la société OVH Groupe SAS, SAS au capital de 10 069 020 euros, immatriculée au RCS de Lille Métropole sous le numéro 537 407 926 et dont le siège social est sis 2, rue Kellermann, 59100 Roubaix.
[ref=1.91ba9e86]

----------------------------------------- LES ENTETES -----------------------------
Return-Path: default2@undelivered.ovh.com
Delivered-To: contact@ecmedia.fr
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 20 Apr 2022 01:01:11 +0200
Received: from unknown (HELO output31.mail.ovh.net) (10.110.208.123)
by mail267.mgra1.mail.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 20 Apr 2022 01:01:11 +0200
Received: from vr28.mail.ovh.net (unknown [10.101.8.28])
by out31.mail.ovh.net (Postfix) with ESMTP id 4KjfRq1SSdzMM3wjL
for contact@ecmedia.fr; Tue, 19 Apr 2022 23:01:11 +0000 (UTC)
Received: from in45.mail.ovh.net (unknown [10.101.4.45])
by vr28.mail.ovh.net (Postfix) with ESMTP id 4KjfRp6kgHz2Sx7xg
for contact@ecmedia.fr; Tue, 19 Apr 2022 23:01:10 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=51.254.194.161; helo=mo401.mail-out.ovh.net; envelope-from=default2@undelivered.ovh.com; receiver=contact@ecmedia.fr
Authentication-Results: in45.mail.ovh.net;
dkim=pass (1024-bit key; unprotected) header.d=ovh.com header.i=@ovh.com header.b="e20f+iAA";
dkim-atps=neutral
Received: from mo401.mail-out.ovh.net (mo401.mail-out.ovh.net [51.254.194.161])
by in45.mail.ovh.net (Postfix) with ESMTPS id 4KjfRp62c2z1cw9ns
for contact@ecmedia.fr; Tue, 19 Apr 2022 23:01:10 +0000 (UTC)
Received: from smtpout01.ovh.ha.ovh.net (a2.ovh.net [213.186.33.62])
by mo401.mail-out.ovh.net (Postfix) with ESMTP id 97E2B35133C
for contact@ecmedia.fr; Wed, 20 Apr 2022 01:01:10 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ovh.com; s=mailout;
t=1650409270; bh=Dm/A9QuSU/zqGE0WT3VyN1Ao/9+tP6MWk91+a7orqXQ=;
h=Subject:To:From:Date:From;
b=e20f+iAAki9w4VWWSrMne6nHOO9g+0yStKrHB5SW0nqsqMHpnUpHnlGoN2m4hFouh
eIDXoeGIzNN3mJy1sY9atXXtEfcMuoB6xgwaCetFTlD9Bo2HrREZGccQ4GWoiBhwzo
CfNtIHU/BgnM10G2yTYDKZemhgQPZh0P2bR93RFI=
Received: from mozg-mutu5.ovh.ha.ovh.net (mozg-mutu5.ovh.ha.ovh.net [10.1.1.124])
by smtpout01.ovh.ha.ovh.net (Postfix) with ESMTP id 8B81023B;
Wed, 20 Apr 2022 01:01:10 +0200 (CEST)
Received: by mozg-mutu5.ovh.ha.ovh.net (Postfix, from userid 500)
id 8998720A5B; Wed, 20 Apr 2022 01:01:10 +0200 (CEST)
Content-Transfer-Encoding: 8bit
X-Ovh-Template: newHosting/fr/emailsOutOnError.model
Subject: =?ISO-8859-15?Q?[OVH-WEB]=20Emails=20sortants=20en=20erreur=20pour=20l'h=E9bergement=20maliciadarkwave.com?=
Content-Type: text/plain; charset=ISO-8859-15
Mime-Version: 1.0
To: contact@ecmedia.fr
From: support@ovh.com
Message-Id: 20220419230110.8998720A5B@mozg-mutu5.ovh.ha.ovh.net
Date: Wed, 20 Apr 2022 01:01:10 +0200 (CEST)
X-Ovh-Tracer-Id: 4554828073513343798
X-OVH-Remote: 51.254.194.161 (mo401.mail-out.ovh.net)
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 0
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedvvddrvddtgedgudejucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucenucfjughrpefgufgtggfvhfesthektddttddtleenucfhrhhomhepshhuphhpohhrthesohhvhhdrtghomhenucggtffrrghtthgvrhhnpeettedtteettdelgffhgffffedtleeufedvgfehhfefvedtieekvdeuhfelledutdenucffohhmrghinhepohhvhhdrtghomhdpohhvhhgtlhhouhgurdgtohhmnecukfhppeehuddrvdehgedrudelgedrudeiuddpvddufedrudekiedrfeefrdeivdenucevlhhushhtvghrufhiiigvpedtnecurfgrrhgrmhepmhhouggvpehsmhhtphdphhgvlhhopehinheghedrmhgrihhlrdhovhhhrdhnvghtpdhinhgvthephedurddvheegrdduleegrdduiedupdhmrghilhhfrhhomhepuggvfhgruhhlthdvsehunhguvghlihhvvghrvggurdhovhhhrdgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtoheptghonhhtrggtthesvggtmhgvughirgdrfhhr
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled
X-Ovh-Message-Type: OK
X-Antivirus: Avast (VPS 220420-0, 20/4/2022), Inbound message
X-Antivirus-Status: Clean

TTY 2022-04-20 12:55:55 UTC #2

Bonjour,
Peux de chance qu'OVH se trompe sur ce coup.
Vous devriez soigneusement vérifier votre site, je n'y voie d'ailleurs pas, les protections de formulaires dont vous parlez.
Un mail est-il envoyé à l'adresse (mail) saisie dans votre formulaire de contact ?

EmilieC24 2022-04-20 13:55:23 UTC #3

je n'ai pas dit qu'il se trompe, j'ai dit que je ne sais pas quoi chercher.
si vous avez regardé la page contact de ecmedia.fr, le traitement antispam se fait en PHP c'est donc complètement invisible . Mon script vérifie la provenance du bonhomme et la validité de ce qu'il remplit et ça m'enverrait un mail à moi. Pas un bidule muche E-mail : No original to found :(

TTY 2022-04-20 14:53:05 UTC #4

Peut être qu'en comparant l’horodatage des email VS les log d'accès du site web vous pourriez trouver une piste ?
Comme vous faite du dev, vous pourriez aussi loguer tous les email envoyés et regarder si il n'y en a pas qui sont mal formatés ?
...

EmilieC24 2022-04-21 10:30:21 UTC #5

je n'ai pas d'horodatage des mails envoyés, ni d'où ils viennent, je n'ai que ce ramassis incompréhensible 1 fois par jour :

E-mail : No original to found :(
Erreurs : Un chiffre variable
Message : No message provided

comment loguer tous les email envoyés ? sur tous les sites du multisite (j'en ai 4, et pas que des petits) ? formulaires et mails automatiques ? omg ! j'ai l'impression de chercher une aiguille dans une botte de foin.

TTY 2022-04-21 11:05:24 UTC #6

Mais si : by localhost with SMTP; 20 Apr 2022 01:01:11 +0200

Pour faire un log des mail envoyés, il faut modifier le code source PHP.
Je donne juste des pistes pour comprendre d'où vient le problème. Et c'est vrai que parfois c'est un sacré jeux de piste.

Mon hypothèse est que le formulaire est validé sans message ce qui provoque ces retours de mail d'OVH. Comparer les log accès au site et l'heure des email reçus peux aider à valider cette piste (ou inversement).

EmilieC24 2022-04-21 12:01:17 UTC #7

euh...
- si on prend en compte que c'est un multi site, j'ai au moins 7 formulaires.
- tous les formulaires sont traités avec PHP et bloqués si le message ou le mail sont vides ou mal formatés, donc ça ne passe même pas.
- j'ai des mails envoyés par des scripts seulement du genre "confirmation de commande" ou "confirmation d'insctiption" ce qui veut dire que moi en face, j'ai une commande ou une insctiption.

ce que je vois apparemment c'est que des mails sont envoyés n'importe comment à mon insu
Impossible de savoir quel script fait ça.....?

ça c'est les infos du mail que je reçois : le rapport OVH ! haha :'(

lequel ? Comment ? où ? quoi ?

C'est une vraie soupe, désolée, je patauge complètement là.

Maintenant si je me penche sur les LOGS de mon hébergement :
- Rien de pertinent dans ERROR
- Les logs FTP ne montrent rien de pertinent non plus , normal.
- Et alors les logs WEB : ok là c'est la jungle, je ne sais pas quoi chercher. "contact.php" ? "post" ? et ensuite j'en fais quoi ?

TTY 2022-04-21 12:17:34 UTC #8

Non, pas directement via un log par exemple. Il faut chercher.

Oui, ça, c'est la théorie. En pratique on peut avoir "des surprises"

Ok :)

Il faudrait voir cela avec le développeurs du site.

Pas de problème.

EmilieC24 2022-05-13 14:35:23 UTC #9

TTY:

EmilieC24:

ce que je vois apparemment c'est que des mails sont envoyés n'importe comment à mon insu
Impossible de savoir quel script fait ça.....?
Non, pas directement via un log par exemple. Il faut chercher.

EmilieC24:

tous les formulaires sont traités avec PHP et bloqués si le message ou le mail sont vides ou mal formatés, donc ça ne passe même pas.
Oui, ça, c'est la théorie. En pratique on peut avoir "des surprises"

EmilieC24:

ça c'est les infos du mail que je reçois : le rapport OVH ! haha :'(
[quote="EmilieC24, post:7, topic:52190"]
Pour faire un log des mail envoyés, il faut modifier le code source PHP.

lequel ? Comment ? où ? quoi ?
[/quote]

EmilieC24:

Et alors les logs WEB : ok là c'est la jungle, je ne sais pas quoi chercher. "contact.php" ? "post" ? et ensuite j'en fais quoi ?
Il faudrait voir cela avec le développeurs du site.

EmilieC24:

C'est une vraie soupe, désolée, je patauge complètement là.

Je ne sais toujours pas quoi chercher.
Je suis le développeur du site !

Fritz2cat 2022-05-13 15:07:19 UTC #10

Bonjour,

Qu'avez-vous essayé de trouver depuis les 3 semaines qui se sont passées ?

Mettez en concordance les logs web, et l'horodatage des mails suspects.

Vous avez une petite chance de trouver quelle page de votre site est coupable.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.