Une adresse Mail piraté ? + soucis techniques

XavierD58 2021-03-24 11:50:30 UTC #1

Bonjour,

Je suis employé au sein d'une TPE dans le domaine de la culture. Nous avons plusieurs mails pro utilisés sous un seul nom de domaine.
Contexte
Il y a plusieurs semaines mon patron a eux des problèmes ( plus d'envoi ni reception) avec ces mails. L'érreur était liée à un incident OVH qui depuis est résolu mais il n'as pas récupéré l'usage de sa boite mail réservée à l'administratif. Il travaille sur Mac et utilise Mail comme gestionnaire de boites mail.
Il s'est rendu dans un Apple Store où ils lui ont supprimé la dite adresse mail de son appli Mail pour la re-faire rentrer mais alors il est notifié que les identifiants ne sont pas les bons ( donc n'as pu récuperer la dite boite mail supprimée). En revanche il parvient à s'y connecter via son Iphone mais ne peux que recevoir et pas envoyer de mail. Il a aussi accès à la boite depuis le Webmail OVH ( pas effectué de tests d'envoi/reception).
Problème majeur
Le sujet traîne mais j'ai reçu hier un mail SPAM sur notre adresse publique ( contact @ ... )
" Chère contact
Nous avons remarqué une ERREUR le 22 MARS 2021, sur votre compte.
Il doit être mis à jour et vérifié sinon votre compte de messagerie sera définitivement fermé.
Mettez à jour et vérifiez votre adresse e-mail
Thanks,
Le service de messagerie continuera normalement si la connexion réussit
REMARQUE: votre compte sera désactivé s'il est ignoré!"

bref rien de nouveau pour les mail frauduleux le problème c'est que l'adresse de l'expéditeur est justement la fameuse adresse administrative que nous ne parvenons pas a rétablir.

Pouvez-vous m'indiquer la marche a suivre et vérifier si elle est victime de piratage ?

janus57 2021-03-24 18:27:39 UTC #2

Bonjour,

il faudrait le header du mail reçus, mais il y a +90% de chance que ce soit une usurpation.

Cordialement, janus57

XavierD58 2021-03-25 08:41:02 UTC #3

Bonjour, par Header vous entendez d'objet du mail ?
si oui c'est "La fermeture du compte"

Fritz2cat 2021-03-25 16:07:55 UTC #4

Voici un exemple de header, provenant d'un authentique spammeur qui m'emm* depuis des mois et OVH n'a toujours pas passé à la H.

Received: from ltf.tickeam.properties (unknown [92.222.50.168])
	by in50.mail.ovh.net (Postfix) with ESMTPS id 4F5C1N042zz11qnn0
	for <x>; Wed, 24 Mar 2021 15:33:11 +0000 (UTC)
Received: by ticam.properties (Postfix, from userid 48)
	id B7F893A5C; Wed, 24 Mar 2021 16:33:11 +0100 (CET)
To: x
Subject: =?UTF-8?B?RW52aWUgZCdlYXUgZnJhaWNoZSA/?=
Content-Type: multipart/alternative;
 boundary="------------x"
Reply-To: fontaine@ltf.tickeam.properties
From: Eau Reseau ou Bonbonne <fontaine@ltf.tickeam.properties>
MIME-Version: 1.0
Message-Id: <x@ticam.properties>
Date: Wed, 24 Mar 2021 16:33:11 +0100 (CET)
X-Ovh-Remote: 92.222.50.168 ([92.222.50.168])
X-Ovh-Tracer-Id: x
X-VR-SPAMSTATE: MCE
X-VR-SPAMSCORE: 17
X-VR-SPAMCAUSE: x
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled
X-Ovh-Message-Type: MCE
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 17
X-VR-SPAMCAUSE: x
X-Spam: Yes

XavierD58 2021-03-26 12:11:18 UTC #5

Ok désolé avec une petit recherche c'est fait oui voici le header :
(Edit : il m'est indiqué que je ne peux inserer que 2 liens par page lorsque j'insere le header dans le corps du message je ne vois pourtant pas de lien à l'interieur de celui ci).

Fritz2cat 2021-03-26 12:37:01 UTC #6

Mettez tout entre balises < />
et rempalcez @ par X dans les adresses mail et message ID.

XavierD58 2021-03-26 12:43:29 UTC #7

Return-Path:
Delivered-To: contactXxavierderichemont.com
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 22 Mar 2021 16:42:08 +0200
Received: from unknown (HELO output28.mail.ovh.net) (10.110.103.204)
by mail263.mgra1.mail.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 22 Mar 2021 16:42:08 +0200
Received: from vr38.mail.ovh.net (unknown [10.101.8.38])
by out28.mail.ovh.net (Postfix) with ESMTP id 4F3xzN37J0zDj0Zyv
for ; Mon, 22 Mar 2021 14:42:08 +0000 (UTC)
Received: from in77.mail.ovh.net (unknown [10.101.4.77])
by vr38.mail.ovh.net (Postfix) with ESMTP id 4F3xzJ08vZz1X6BkL
for ; Mon, 22 Mar 2021 14:42:04 +0000 (UTC)
Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=45.137.22.41; helo=xavierderichemont.com; envelope-from=adminXxavierderichemont.com; receiver=contactXxavierderichemont.com
Authentication-Results: in77.mail.ovh.net; dkim=none; dkim-atps=neutral
Received: from xavierderichemont.com (unknown [45.137.22.41])
by in77.mail.ovh.net (Postfix) with ESMTP id 4F3xzH6sttz11WsSl
for ; Mon, 22 Mar 2021 14:42:03 +0000 (UTC)
From: xavierderichemont.com
To: contactXxavierderichemont.com
Subject: [SPAM] La fermeture du compte
Date: 22 Mar 2021 07:42:03 -0700
Message-ID: <20210322074203.99D96653523FFE2AXxavierderichemont.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=NextPart000_0012_FB4D147A.A32DF4DA"
X-Ovh-Remote: 45.137.22.41 ([45.137.22.41])
X-Ovh-Tracer-Id: 12446823472331438010
X-VR-SPAMSTATE: SPAM
X-VR-SPAMSCORE: 649
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgeduledrudeggedgieeiucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucgorfhhihhshhhinhhgqdfkphculdeftddtmdenogfuuhhsphgvtghtffhomhgrihhnucdlgeelmdenogfuphgrmhfuuhgsjhgvtghtucdlfedttddmnecujfgurhephffvufffkfggtgesrgdtfecvtddtudenucfhrhhomhepgigrvhhivghruggvrhhitghhvghmohhnthdrtghomhcuoegrughmihhnseigrghvihgvrhguvghrihgthhgvmhhonhhtrdgtohhmqeenucggtffrrghtthgvrhhnpefghfekgffgtddugeeftefgkeelgeevgfelvdehvddtieekuefhieektdeuvdefgeenucffohhmrghinhepghhoohhglhgvrghpihhsrdgtohhmnecukfhppeeghedrudefjedrvddvrdegudenucfrhhhishhhihhnghfkphepgeehrddufeejrddvvddrgedunecurfhhihhshhhinhhgkfhppfgvthifohhrkhepgeehrddufeejrddvvddrgedunecuufhprghmufhusghjvggtthepnfgruchfvghrmhgvthhurhgvucguuhcutghomhhpthgvnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehmohguvgepshhmthhppdhhvghlohepihhnjeejrdhmrghilhdrohhvhhdrnhgvthdpihhnvghtpeeghedrudefjedrvddvrdeguddpmhgrihhlfhhrohhmpegrughmihhnseigrghvihgvrhguvghrihgthhgvmhhonh
htrdgtohhmpdhrtghpthhtoheptghonhhtrggtthesgigrvhhivghruggvrhhitghhvghmohhnthdrtghomh
X-Ovh-Spam-Status: SPAM
X-Ovh-Spam-Reason: vr: SPAM; dkim: disabled; spf: disabled
X-Ovh-Message-Type: SPAM
X-Spam-Tag: YES

Fritz2cat 2021-03-26 12:56:39 UTC #8

L'adress IP 45.137.22.41 est au Bangladesh...

Bon, y'a pas photo.

XavierD58 2021-03-26 15:18:21 UTC #9

Ok donc c'est un simple détournement de l'affichage ou il a vraiment utilisé mon adresse ?
SVP je suis vraiment néophyte.
Merci.

Fritz2cat 2021-03-26 15:37:17 UTC #10

Technique fréquente, un spammeur met ce qu'il veut.
Dans un mail tout peut être falsifié.

XavierD58 2021-03-28 11:12:11 UTC #11

ok merci mais est-ce que cela veux dire qu'il as accès à ma boite mail et qu'il l'as piraté pour autant ?
Selon vos propos ce n'est qu'une falsification de l'identité ?

Fritz2cat 2021-03-28 11:16:44 UTC #12

non

oui

XavierD58 2021-03-29 06:39:55 UTC #13

Merci pour votre aide.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.