IP Toxique en provenance de Free!

[Electrolyse]

Bonjour

Depuis quelques temps sur mon compte de messagerie free, je reçois des messages apparemment provenant de  , une succession de caractères utilisée comme exemple-passe-partout.

La source de message donne cette adresse:

212.27.42.88

En faisant des recherches, il s'avère que c'est une adresse toxique, déjà reconnue dans le passé pour ses tentatives d'arnaques:

http://www.lepost.fr/article/2009/12/21/18...e-phishing.html

et sur ce forum:

Le 212.27.42.88 passe à travers tout et n'existe pas...

il semble agir de l'intérieur de free...

-> http://www.ip-adress.com/whois/212.27.42.88

Quelqu'un a une idée de comment lutter contre et s'en débarrasser?

J'aime pas trop l'idée de dénoncer, au site signal-spam, par exemple, qui d'ailleurs ne me semble pas approprié...

Connaissez vous d'autres moyens pour lutter contre ces actions de bandits?

Je vais essayer de voir avec free ce qu'ils en pensent...

je vous tiens au courant,

Si vous avez des pistes!

[Amour]

Ce serait plutôt un serveur email Free qui déconne, surtout si l'email est vide...

Avez-vous essayé d'en parler à l'admin des emails, sur le newsgroup proxad.free.services.messagerie sur le serveur news.free.fr ?

[Electrolyse]

Hello Amour

Hors de France en ce moment et n'ayant pas d'abonnement payant chez free, les possibilités de contacts avec cette entreprise sont plus que limitées, je viens d'essayer...

Je ne connaissait pas ce forum, je vais m'y inscrire et basculer l'info.

Merci pour la suggestion!

[Amour]

En privé, souhaitez-vous me dire de quel compte email Free il s'agit, que je fasse passer l'information ?

[Carpe_Diem]

Tu as peut-être un pare-feu qui te permet de bloquer l'IP ?

Edit : oups... désolé et barré.

[fabien29200]

Tu as peut-être un pare-feu qui te permet de bloquer l'IP ?

Quel rapport avec le sujet ??

[Electrolyse]

Oui Fabien29200, Carpe diem, ces mails arrivent en direct sur ma messagerie free, que je consulte en nomade http.

Amour, merci, j\ai essayé de me connecter sur le forum messagerie de free, mais sans compte *a sous, pas possible de publier...

Voici l\entête type des messages reçus:

Return-Path: <darc1984urgy@sqltech.imaginet.fr>

Delivered-To: free.fr-xxxxxxxxxxxx@free.fr

Received: (qmail 6299 invoked from network); 25 Jan 2011 00:55:14 -0000

Received: from mx26-g26.free.fr (HELO sqltech.imaginet.fr) (212.27.42.88)

by mrelay2-g25.free.fr with SMTP; 25 Jan 2011 00:55:14 -0000

Received: from sqltech.imaginet.fr ([85.154.174.110])

by mx1-g20.free.fr (MXproxy) for xxxxxxxxx@free.fr ;

Tue, 25 Jan 2011 02:12:44 +0100 (CET)

X-ProXaD-SC: state=HAM score=0

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.xxxxxxx@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: tu en es ou ?

Date: Tue, 25 Jan 2011 14:45:16 -0300

(karine.xxxxxx@orange.fr est une adresse d\emprunt je pense)

Amour, si vous avez la possibilité de transmettre l\info au forum de free, ce serait muito bom

oui, je peux vous communiquer en privé mon adresse.

Comment puis je vous l\envoyer?

A tous merci

[Amour]

Si on lit bien :

Received: from sqltech.imaginet.fr ([85.154.174.110])

L'expéditeur est donc l'adresse IP 85.154.174.110, située dans le pays suivant : OMAN (touche le YEMEN).

Si vous pouvez juste me contacter par MP en me donnant les entêtes non modifiés ainsi que votre adresse email Free, je pourrai leur demander s'ils peuvent bloquer ce SPAM...

[Electrolyse]

Bonjour

Suite des mails tox:

En compilant les adresses des mails   voici une première liste des IP tox:

212.27.42.85

212.27.42.89

212.27.42.84

212.27.42.83

212.27.42.88

212.27.42.58

212.27.42.54

Ces IP ne sont pas toutes black-listées et pas partout:

212.27.42.5 l'est:

http://rbls.org/212.27.42.5

mais pas 212.27.42.58

http://rbls.org/212.27.42.58

ni

212.27.42.8

http://rbls.org/212.27.42.8

ou

212.27.42.88

http://rbls.org/212.27.42.88

ou

212.27.42.83

http://rbls.org/212.27.42.83

Ce sont des spams, tentatives de phising-malware, apparemment plus spécifiquement en français et récurrents:

une trace en 2005:

http://forums.freeks-association.org/index.php?/topic/36001-serveur-smtp-free-blackliste/

et se réactivent dans le temps:

http://www.projecthoneypot.org/ip_212.27.42.5

, actuellement pour : 212.27.42.5

mais pas (encore) pour : 212.27.42.8

En regardant de plus près, 212.27.42.5 est inscrit chez projecthoneypot mais pas chez spb

qui est utilisé par google, entre autre : http://www.spamhaus.org/sbl/sbl.lasso

Ces malwares-spam-phisphing, personnellement, ne me dérangent pas trop,

je sais m'en prévenir,

j'espère!

mais ici le   est utilisé a dessin de passer

les filtres et surtout certaines tentatives sont plus que nauséabondes, en tout cas pour moi:

Je n'arrive pas à signaler cela chez free.

N'ayant pas de compte payant chez eux, signaler sur un de leurs forums qu'une série de leurs adresses-serveur est piratée et que ces tentatives semblent partir de l'intérieur, est payant et cher.

Si une bonne âme avait la possibilité de le faire, en copié-collé...?

Amour merci, tu est remonté au Yemen?

malheureusement ces boites de retour semblent nombreuses.

Tu ne crois pas qu'avec la liste des IP, free pourrait voir qui a la main dessus?

je t'envoie un msg par Mp

A tous, une bonne journée!

--------------------------------------------------

Compile d'entêtes de mails   :

--------------------------------------------------

Return-Path: <pierre.valentin1tari@papeteries-gorge.fr>

Delivered-To: free.fr-****

Received: (qmail 5428 invoked from network); 25 Jan 2011 01:13:03 -0000

Received: from mx19-g26.free.fr (HELO papeteries-gorge.fr) (212.27.42.58)

by mrelay6-g25.free.fr with SMTP; 25 Jan 2011 01:13:03 -0000

Received: from papeteries-gorge.fr ([121.7.125.196])

by mx1-g20.free.fr (MXproxy) ; Tue, 25 Jan 2011 02:13:03 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=0

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: tu en es ou ?

Date: Wed, 26 Jan 2011 00:47:30 +0700

-------------------------------------------------

Return-Path: <yjzsfqmqdwwerxqekvsiby@dubus.fr>

Delivered-To: free.fr-****

Received: (qmail 32475 invoked from network); 22 Jan 2011 01:04:04 -0000

Received: from mx21-g26.free.fr (HELO dubus.fr) (212.27.42.83)

by mrelay3-g25.free.fr with SMTP; 22 Jan 2011 01:04:04 -0000

Received: from dubus.fr ([76.99.212.183])

by mx1-g20.free.fr (MXproxy) ; Sat, 22 Jan 2011 02:04:04 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=0

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: florence.rugnoz@free.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: je fume ou je veux

Date: Sat, 22 Jan 2011 20:55:46 +0300

---------------------------------------------------

Return-Path: <jim.garvenxixaa@mustinformatique.fr>

Delivered-To: free.fr-****

Received: (qmail 8326 invoked from network); 21 Jan 2011 05:44:10 -0000

Received: from mx22-g26.free.fr (HELO mustinformatique.fr) (212.27.42.84)

by mrelay3-g25.free.fr with SMTP; 21 Jan 2011 05:44:10 -0000

Received: from mustinformatique.fr ([202.176.91.73])

by mx1-g20.free.fr (MXproxy) ; Fri, 21 Jan 2011 06:44:10 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=50

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: sebastien.morveu@free.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: es tu pret

Date: Sat, 22 Jan 2011 01:29:48 +0300

---------------------------------------------

Return-Path: <wbethelotgofo@chezelle.fr>

Delivered-To: free.fr-****

Received: (qmail 4884 invoked from network); 20 Jan 2011 05:24:06 -0000

Received: from mx27-g26.free.fr (HELO chezelle.fr) (212.27.42.89)

by mrelay5-g25.free.fr with SMTP; 20 Jan 2011 05:24:06 -0000

Received: from chezelle.fr ([113.162.100.102])

by mx1-g20.free.fr (MXproxy) ; Thu, 20 Jan 2011 06:24:06 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=50

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: claude.rajuno@wandaoo.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: encore mieux

Date: Fri, 21 Jan 2011 06:03:24 +0800

X-Antivirus: avast! (VPS 110120-0, 01/20/2011), Outbound message

X-Antivirus-Status: Clean

----------------------------------------

Return-Path: <thuillierpajpobo@ish-lyon.cnrs.fr>

Delivered-To: free.fr-****

Received: (qmail 13738 invoked from network); 19 Jan 2011 06:33:17 -0000

Received: from mx23-g26.free.fr (HELO ish-lyon.cnrs.fr) (212.27.42.85)

by mrelay3-g25.free.fr with SMTP; 19 Jan 2011 06:33:17 -0000

Received: from ish-lyon.cnrs.fr ([113.160.43.210])

by mx1-g20.free.fr (MXproxy) ; Wed, 19 Jan 2011 07:33:17 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=25

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: des nouvelles

Date: Thu, 20 Jan 2011 02:12:29 +0300 ====> reçu le 19 janvier

---------------------------------------------

Return-Path: <yteocyxaa@tiba.fr>

Delivered-To: free.fr-****

Received: (qmail 21671 invoked from network); 19 Jan 2011 02:05:48 -0000

Received: from mx15-g26.free.fr (HELO tiba.fr) (212.27.42.54)

by mrelay8-g25.free.fr with SMTP; 19 Jan 2011 02:05:48 -0000

Received: from tiba.fr ([216.36.12.124])

by mx1-g20.free.fr (MXproxy) ; Wed, 19 Jan 2011 03:05:48 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=25

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: des nouvelles

Date: Wed, 19 Jan 2011 12:41:39 -0600

---------------------------------------------

Return-Path: <goamanse@robotique-services.fr>

Delivered-To: free.frxxxxxxxxxxxxxx@free.fr

Received: (qmail 27077 invoked from network); 25 Jan 2011 09:19:35 -0000

Received: from mx16-g26.free.fr (HELO robotique-services.fr) (212.27.42.55)

by mrelay2-g25.free.fr with SMTP; 25 Jan 2011 09:19:35 -0000

Received: from robotique-services.fr ([113.160.224.170])

by mx1-g20.free.fr (MXproxy) ; Tue, 25 Jan 2011 10:37:06 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=0

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: tu en es ou ?

Date: Tue, 25 Jan 2011 20:05:53 -0600

---------------------------------------------

Return-Path: <darc1984urgy@sqltech.imaginet.fr>

Delivered-To: free.fr-XXXXXXXXXXXXXXXXd@free.fr

Received: (qmail 6299 invoked from network); 25 Jan 2011 00:55:14 -0000

Received: from mx26-g26.free.fr (HELO sqltech.imaginet.fr) (212.27.42.88)

by mrelay2-g25.free.fr with SMTP; 25 Jan 2011 00:55:14 -0000

Received: from sqltech.imaginet.fr ([85.154.174.110])

by mx1-g20.free.fr (MXproxy);

Tue, 25 Jan 2011 02:12:44 +0100 (CET)

X-ProXaD-SC: state=HAM score=0

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: tu en es ou ?

--------------------------------------

Return-Path: <pasturel.pinn@sfo.asso.fr>

Delivered-To: free.fr-xxxxxxxxxxxxxxxx@free.fr

Received: (qmail 3703 invoked from network); 26 Jan 2011 06:48:19 -0000

Received: from mx15-g26.free.fr (HELO sfo.asso.fr) (212.27.42.54)

by mrelay9-g25.free.fr with SMTP; 26 Jan 2011 06:48:19 -0000

Received: from sfo.asso.fr ([202.40.189.66])

by mx1-g20.free.fr (MXproxy) ; Wed, 26 Jan 2011 07:48:19 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=60

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: claude.rajuno@wandaoo.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: 40% en moins

Date: Thu, 27 Jan 2011 01:40:19 +0200

-------------------------------------

Return-Path: <yves.flamionz@stagnum.fr>

Delivered-To: free.fr-xxxxxxxxxxxxx@free.fr

Received: (qmail 7437 invoked from network); 26 Jan 2011 00:57:03 -0000

Received: from mx15-g26.free.fr (HELO stagnum.fr) (212.27.42.54)

by mrelay5-g25.free.fr with SMTP; 26 Jan 2011 00:57:03 -0000

Received: from stagnum.fr ([189.60.145.246])

by mx1-g20.free.fr (MXproxy) ; Wed, 26 Jan 2011 01:57:03 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=60

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: claude.rajuno@wandaoo.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: 40% en moins

Date: Thu, 27 Jan 2011 05:24:45 +1200

---------------------------------------

Return-Path: <belleisa1ffiwy@softypack.fr>

Delivered-To: free.frxxxxxxxxxx

Received: (qmail 11637 invoked from network); 14 Jan 2011 20:52:28 -0000

Received: from mx23-g26.free.fr (HELO softypack.fr) (212.27.42.85)

by mrelay10-g25.free.fr with SMTP; 14 Jan 2011 20:52:28 -0000

Received: from softypack.fr ([201.168.48.119])

by mx1-g20.free.fr (MXproxy) ; Fri, 14 Jan 2011 21:52:28 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=50

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: stephane.jourdain@free.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: methode pour grandir.

Date: Sat, 15 Jan 2011 19:47:48 +0600

--------------------------------------

Return-Path: <geduranjushn@alease.fr>

Delivered-To: free.fr-xxxxxxxxxxxxxxxxxxxxx

Received: (qmail 16078 invoked from network); 18 Jan 2011 02:37:59 -0000

Received: from mx16-g26.free.fr (HELO alease.fr) (212.27.42.55)

by mrelay10-g25.free.fr with SMTP; 18 Jan 2011 02:37:59 -0000

Received: from alease.fr ([61.90.27.201])

by mx1-g20.free.fr (MXproxy) ; Tue, 18 Jan 2011 03:37:59 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=30

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: stephane.jourdain@free.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: ca marche ils en parlent meme sur facebook

Date: Tue, 18 Jan 2011 12:24:58 -0700

-------------------------------------

Return-Path: <nmillardzoyw@sigma-signalisation.fr>

Delivered-To: free.fr-********

Received: (qmail 23148 invoked from network); 18 Jan 2011 07:44:44 -0000

Received: from mx16-g26.free.fr (HELO sigma-signalisation.fr) (212.27.42.55)

by mrelay7-g25.free.fr with SMTP; 18 Jan 2011 07:44:44 -0000

Received: from sigma-signalisation.fr ([178.210.129.30])

by mx1-g20.free.fr (MXproxy) ; Tue, 18 Jan 2011 08:44:44 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=30

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: stephane.jourdain@free.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: ca marche ils en parlent meme sur facebook

Date: Wed, 19 Jan 2011 04:16:19 +0400

----------------------------------------

Return-Path: <kguezoorei@ads-com.fr>

Delivered-To: free.xxxxxxxxx

Received: (qmail 12104 invoked from network); 19 Jan 2011 02:17:32 -0000

Received: from mx15-g26.free.fr (HELO ads-com.fr) (212.27.42.54)

by mrelay1-g25.free.fr with SMTP; 19 Jan 2011 02:17:32 -0000

Received: from ads-com.fr ([60.31.195.4])

by mx1-g20.free.fr (MXproxy) ; Wed, 19 Jan 2011 03:27:45 +0100 (CET)

X-ProXaD-SC: X-ProXaD-SC: state=HAM score=25

X-ProXaD-SC: state=HAM score=0

MIME-Version: 1.0

To: karine.raouloud@orange.fr

User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Subject: des nouvelles

Date: Thu, 20 Jan 2011 05:22:08 +1000

[Amour]

Si je prends le dernier :

Received: from ads-com.fr ([60.31.195.4])

IP chinoise... donc le SPAM provient bien de serveurs externes

PS : je poste sur le forum de Free, au cas où ils lisent

[Cyduck]

juste pour info,   correspond au codage du caractère "espace" en html par exemple. Le fait que ca apparaisse dans le champ "De :" de tes mails reçus indique certainement que ce sont des envois générés automatiquement par un code, soit mal fait, soit qui est mal interprété à un moment donné.

[scientifik_u]

Et précision, vu que tu n'as pas l'air de comprendre la remarque d'Amour.

Tu te trompe complètement et ne sais pas lire la source de tes mails.

Il faut regarder la ligne "Received From" la plus vieille (la plus en bas).

Donc il n'y aucun spam envoyé par les serveurs de Free, ils sont reçus de l'extérieur ...

[Electrolyse]

@scientifik_u

en effet, clairement et merci tu es très aimable.

J'ai vu cela avec Amour, en privé.

Mais fais attention aux mots!

Tu te trompes dans leur conjugaison!

Tu ne sais pas écrire le français, à défaut de mails...

[top_nullus]

Dans chacune des entêtes il y a 'HELO' qui semble être un maillage commun ou une fonction d'identification d'une redirection de mail.

Tu devrais essayer de bloquer toutes les origines de type 'HELO'

il y a un autre point commun à tous ces spam "by mx1-g20.free.fr (MXproxy);"

Queles soluces as-tu apportées ?

[phia]

Vieille discussion également...