Spams aléatoires

Top Page

Reply to this message
Author: BOITEUX, Frederic
Date:  
To: guilde@guilde.asso.fr
Subject: Spams aléatoires
    Bonjour,

C'est peut-être lié au phénomène décrit sur Linuxfr :
    https://linuxfr.org/users/fcartegnie/journaux/l-etrange-vague-de-spam-visant-free-fr


bonne lecture,
        Fred.

-----Message d'origine-----
De : Marc <xmarc@???> 
Envoyé : lundi 20 août 2018 13:41
À : guilde@???
Objet : #Adv#:Re: Spams aléatoires

J'ai fait une recherche dans mes corbeilles et je suis remonté jusqu'au premier de ces spams atypiques. Le premier que j'ai détecté qui contienne à peu près les mêmes motifs date de décembre 2017.
J'en ai reçu:
1 en décembre 2017
1 en janvier 2018
1 en février
3 en mai
1 en juin
4 en juillet
18 en août

Analyse des sources des messages :

Tous ont le sujet encodé en UTF-8 qui commence par :
Subject: =?utf-8?B?

Le champ 'X-Mailer' est la plupart du temps aléatoire sauf pour trois exceptions où celui ci est :
X-Mailer: OxiMailing 8.2.1

Le champ 'User-Agent' est aussi aléatoire pour les premiers, mais les 7 derniers sont tous :
User-Agent: Roundcube Webmail/1.2.7

Les champs 'X-UserAgent' ou 'X-Agent' quand ils existent sont toujours aléatoires

Il y a beaucoup de champs 'X-' suivi d'une ou deux lettres puis d'un tiret dont la payload est aussi aléatoire, exemples:
X-ME-xe-Yingdift: TrusthurLuhslitWindsunt
X-pk-Yirgrusp: SkooksmuspSmuhwefSkopchoss
X-j-GlawstrooptShifblek: ClassstrundMazsloostGaptcruftStodbroopt
X-ME-gr-Loodvon: ChowrondSnevclachSmicthor
X-bh-Stentvupt: BloskcriwSmectspoontWingsip
X-ve-Yiftdosp: BlostspahRadswadCroosssov

Il y a plusieurs motifs du sujet désencodé qui peuvent aider au filtrage comme '==' mentionné par Olivier et les derniers ont plutôt un dièse :
#Sloogzut#rien de cool



Je vais continuer de regarder ce qui peut encore être utilisé pour traquer finement ces mails. Je vous invite aussi à regarder dans vos mails si vous avez le même genre de patterns

Et bonne journée !

--
Marc BERLIOUX
"Outside of a dog, a man's best friend is a book.
Inside of a dog it is too dark to read." Groucho Marx

This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message.