Piratage de compte email ?

[dbourni]

Bonjour à tous,

 

Depuis environ 3 semaines des personnes reçoivent des spams qui semblent être envoyés par mon adresse email. Bien entendu ce n'est pas moi qui les envoie.

Les destinataires sont les adresses emails présentes dans les emails de ma boite de réception IMAP. Il y a donc quelqu'un qui parvient à voir mes emails, ce ne sont pas des adresses emails au hazard.

Je n'arrête pas de changer de mot de passe (avec des majuscules, minuscules, chiffres et ponctuations) mais quelques jours après de nouveaux emails sont envoyés.

 

1and1 me répond qu'il s'agit d'une usurpation d'adresse email mais que personne n'a accédé à mes emails. J'ai du mal à le croire car les destinataires sont bien des personnes à qui j'ai écrit depuis 3 ou 4 ans.

 

Je souhaiterais savoir ce que vous en pensez ?

 

Merci d'avance.

PS : Je ne parviens pas à changer ce super pseudo sur les forums NextImpact :-(

[Arcy]

T'as regardé du coté de l'adresse de secours ? Si tu utilises la double authentification, le numéro de portable a été changé ?

 

Et si tu utilises 1&1, il existe un autre compte qui permettrait l'accès à tes courriers ?

[lord.inut]

Bonjour,

 

Que ton e-mail apparaisse comme expéditeur ne veut pas dire que tu les as expédié. Il suffit que ton PC ou le PC de quelqu'un qui t'a dans son carnet d'adresse soit infecté par un malware.

[Skywa]

Salut;

Faudrait récupérer un mail envoyé a tes contacts et analyser l 'header du mail : serveur SMTP, IP et méthode authentification sont précisés.

[Carpe_Diem]

Bonjour et bienvenue sur le forum NextINpact.

 

Je n'ai pas de réponse pour ton problème.

Pour changer le pseudo, je crois qu'il faut voir avec un admin.

[RaphAstronome]

Salut;

Faudrait récupérer un mail envoyé a tes contacts et analyser l 'header du mail : serveur SMTP, IP et méthode authentification sont précisés.

 

Oui, c'est la meilleure manière de savoir si c'est un hack ou simplement que ton adresse à été mis dans l'en-tête "From:".

Fais tout de même une analyse anti-malware la plus complète possible.

[digital-jedi]

Bonjour 0df09735b5bf47919273c6586 et bienvenue sur le forum !

hypothèses :

- ils ont accédé une première fois à ton compte et pompé tous tes contacts, et ensuite n'ont plus besoin d'avoir accès à ton compte pour envoyer un email à tes contacts avec comme information d'entête ton adresse email (comme le disent lord.inut et Skywa)

- ils ont accédé au compte d'un de tes proches et ont pompé ses contacts (équivalents aux tiens), et ils ont juste utilisé la dernière adresse email active dans cette messagerie (donc la tienne), et ils appliquent le même procédé de modification d'entête (pour que le compte piraté ne sache pas qu'il l'est).

Tu n'as pas une information d'activité de compte comme dans Gmail ?

https://support.google.com/mail/answer/45938?hl=fr

[dbourni]

Merci à tous pour vos réponses.

Je n'ai pas de double authentification (à ma connaissance) car ce n'est pas une adresse Gmail, Yahoo... c'est une adresse avec mon propre nom de domaine hébergé chez 1and1.

Je ne pense pas que cela vienne d'un malware sur mon poste car je n'ai que des Mac et iPhone (Sorry), même si, je le sais, je ne suis pas 100% à l'abri.

J'ai changé plusieurs fois de mot de passe et depuis quelques jours cette usurpation ne se produit plus. Si cela reviens je me pencherai sur la question avec plus de sérieux. Je vous ferai part des en-têtes d'emails.

Encore merci.

 

0df09735b5bf47919273c6586​ :-)

​

[digital-jedi]

Et donc, as-tu fait ce qui est demandé en post #4 ?

[dbourni]

Oui mais il semble que ce soit une usurpation d'identité.

Le "pirate" a du se connecter à mon compte IMAP un jour ou l'autre car il a récupéré la liste de mes destinataires, mais désormais il continue d'envoyer des spams alors que j'ai supprimer l'adresse email (j'ai supprimer l'adresse et fait une redirection vers une autre adresse). Il mets mon adresse en expéditeur et en "Response to".

Je ne parviens pas à voir l'adresse IP et le smtp.

Je ne sais vraiment pas comment faire face à cette usurpation d'adresse email.

[digital-jedi]

Salut,

Je ne parviens pas à voir l'adresse IP et le smtp.

Comment ça ?

As-tu récupéré comme demandé en post #4 pour la 2e fois l'email complet reçu d'un contact ?

http://help.1and1.com/e-mail-and-office-c37589/1and1-mail-basic-c37590/getting-started-c85087/view-e-mail-message-headers-a648375.html

https://toolbox.googleapps.com/apps/messageheader/

[dbourni]

Salut,

Comment ça ?

As-tu récupéré comme demandé en post #4 pour la 2e fois l'email complet reçu d'un contact ?

http://help.1and1.com/e-mail-and-office-c37589/1and1-mail-basic-c37590/getting-started-c85087/view-e-mail-message-headers-a648375.html

https://toolbox.googleapps.com/apps/messageheader/

Oui bien sur, désolé, et tu as raison il y a l'IP (qui vient de Malaisie dans l'exemple ci-dessous).

J'ai aussi reçu des "Mail delivery failed" des messages qui n'ont pas pu être remis aux destinataires.

L'en-tête est la suivante (par exemple) :

 

Received: from WIN-NPPN1JPV75J ([60.49.50.234]) by mrelay.perfora.net

(mreueus002) with ESMTPSA (Nemesis) id 0M2v8i-1adRmp3hPa-00shmP; Sun, 11 Oct

2015 02:32:04 +0200

From: MON NOM <MON EMAIL>

To: "NOM DESTINATAIRE" <EMAIL DESTINATAIRE>

 

J'ai remplacer ci-dessus mon vrai nom par MON NOM, mon adresse email par MON EMAIL, et le correspondant par NOM DESTINATAIRE et EMAIL DESTINATAIRE.

 

L'adresse IP n'est jamais la même. J'ai par exemple 187.149.27.129 qui vient du Mexique, 201.184.36.111 de Colombie...

 

Que puis-je faire avec ces infos ? 

[Carpe_Diem]

Je comprends pourquoi tu as fait une redirection, mais c'est un placébo sur une jambe de bois.

Supprimes ce compte e-mail et sa redirection et crées en un nouveau que tu transmettra par tel à tes interlocuteurs favoris et de confiance (ils sont peut-être eux aussi dans la ligne de mire via un "réponse à tous").

Et ne plus e-mailer qu'en CCC avec AR à partir de la nouvelle adresse.

 

Pas sûr du résultat, mais ça coûte rien sinon un peu de temps.

[Skywa]

Salut,

 

Merci pour le retour d'info concernant les headers. D’après ce que je vois il s'agit d'un envoi de mail authentifié chez 1&1.

Il y a de fortes chances que ton compte soit en effet compromis.

 

Il faudrait tester depuis un livecd ( ubuntu live par exemple ) de changer le mot de passe de ton compte email et ne plus y accéder et voir si ça revient.

Si le même genre de mail revient alors il y a de fortes chances que le serveur soit compromis sinon c'est surement un keylogger sur ta machine ou un mot de passe déjà utilisé ailleurs ( scan malwarebytes en mode sans échec peut éventuellement le trouver).

 

Bon courage.