J'ai fait une recherche dans mes corbeilles et je suis remonté jusqu'au
premier de ces spams atypiques. Le premier que j'ai détecté qui
contienne à peu près les mêmes motifs date de décembre 2017.
J'en ai reçu:
1 en décembre 2017
1 en janvier 2018
1 en février
3 en mai
1 en juin
4 en juillet
18 en août
Analyse des sources des messages :
Tous ont le sujet encodé en UTF-8 qui commence par :
Subject: =?utf-8?B?
Le champ 'X-Mailer' est la plupart du temps aléatoire sauf pour trois
exceptions où celui ci est :
X-Mailer: OxiMailing 8.2.1
Le champ 'User-Agent' est aussi aléatoire pour les premiers, mais les 7
derniers sont tous :
User-Agent: Roundcube Webmail/1.2.7
Les champs 'X-UserAgent' ou 'X-Agent' quand ils existent sont toujours
aléatoires
Il y a beaucoup de champs 'X-' suivi d'une ou deux lettres puis d'un
tiret dont la payload est aussi aléatoire, exemples:
X-ME-xe-Yingdift: TrusthurLuhslitWindsunt
X-pk-Yirgrusp: SkooksmuspSmuhwefSkopchoss
X-j-GlawstrooptShifblek: ClassstrundMazsloostGaptcruftStodbroopt
X-ME-gr-Loodvon: ChowrondSnevclachSmicthor
X-bh-Stentvupt: BloskcriwSmectspoontWingsip
X-ve-Yiftdosp: BlostspahRadswadCroosssov
Il y a plusieurs motifs du sujet désencodé qui peuvent aider au filtrage
comme '==' mentionné par Olivier et les derniers ont plutôt un dièse :
#Sloogzut#rien de cool
Je vais continuer de regarder ce qui peut encore être utilisé pour
traquer finement ces mails. Je vous invite aussi à regarder dans vos
mails si vous avez le même genre de patterns
Et bonne journée !
--
Marc BERLIOUX
"Outside of a dog, a man's best friend is a book.
Inside of a dog it is too dark to read." Groucho Marx