Jump to content
Sign in to follow this  
digital-jedi

[RESOLU] Identifier si un mail reçu de commande est SPAM, PHISHING ou LEGIT

Recommended Posts

Bonjour,

J'ai reçu un mail de confirmation de livraison suite à commande d'un PC de 900€ que je n'ai pas faite.

Bon d'habitude, je supprime en tant que SPAM.

Là, c'est élaboré :

- email expéditeur : service-client AT chronopost.fr (semble LEGIT) (EDIT : okay, l'adresse officielle est service.client..., donc l'adresse email est erronée.)

- EDIT : okay, pas de N° de Chrono Chronopost, donc SPAM

- mon adresse email

- une adresse de livraison vers un BOUDER RACHID à Paris...

- mais surtout, une adresse de facturation, qui est mon adresse postale obsolète d'il y a 2 ans

- aucune faute d'orthographe ou de grammaire

L'entête de l'email est ci-dessous :

Spoiler

Delivered-To: xxxxxxxxxxxxxxx (supprimé)
Received: by 2002:a2e:97ce:0:0:0:0:0 with SMTP id m14-v6csp5143244ljj;
        Tue, 15 Jan 2019 07:30:07 -0800 (PST)
X-Google-Smtp-Source: ALg8bN7T/yvtw0y5aO/c00Macf8AkltFSBDBLcJdq6ZA72H0UudgFNGkTe6TsOStBFRNzJscQKsX
X-Received: by 2002:adf:91c3:: with SMTP id 61mr3491713wri.324.1547566207665;
        Tue, 15 Jan 2019 07:30:07 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1547566207; cv=none;
        d=google.com; s=arc-20160816;
        b=ztgaTTLBgCjEUjiWDVwAAnv5Q9w95ISMH8Q9ev3MVrpmwGGgUBLBODMCcIF5YPFYM4
         iQp+FUFWCZFjVCC16f+zR22bOSqovtPgzwo5jkgq3R5z5DFcryYlv+pyzDNQhyqCaum1
         pp/VHnPMJJTC9xvKwJZM8gY/V8TtxjGvfVpEZ5s/Kjo/NayHA78SKkcXflUxXQEIWa8u
         NMp8GAft18q1CnfEWoYGek7ck1KWGhoPEuK0ZnrR/JJdjwFu+7hAvCRXy1pdvnJX5yP3
         X6/myaO+padj0CUy1cpefX2O4wKE4BP7u2mW9Qb8kU+w4tmLstZBX2QAeDO99t5gki2v
         dwyw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:mime-version:date:subject:to:from
         :reply-to:message-id;
        bh=yCv/SMaxqPOn3b0Vu/JE0rxUIV4UsJy8ko32J6zq1Do=;
        b=u5HgLkQhRFebkfizPreCnOavC/S5pvyqZx8PS5WYjARsnKPVxeK8EIMA3mdBKNwpX1
         iV7lFThqpbyzLRhw7CQ83/kHtG7eAcRsKNdMojHv1oEsev13DQYCin2CLDshe33xnJF1
         xHCa4kTZ0DE1IMNo93+fGfQ2XcIA9/H3/Y34KD5MmIC7OadHlNw/bJnWiOVqpMk9SqCh
         RJf1wZBijxcLxnbTEB0+YmhVVfy0VPqB5MllvlMv6X8i9On+flYUCmrobd9PJNjM8prf
         WrTQNLnZEqAgqMZ7zE+KbJAKyGFO7irwg+DifpyvWGC0QArJtR9F0ylP1tztPlG2g9cm
         qvoA==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=softfail (google.com: domain of transitioning service-client@chronopost.fr does not designate 2a01:e0c:1:1599::11 as permitted sender) smtp.mailfrom=service-client@chronopost.fr;
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=chronopost.fr
Return-Path: <service-client@chronopost.fr>
Received: from smtp2-g21.free.fr (smtp2-g21.free.fr. [2a01:e0c:1:1599::11])
        by mx.google.com with ESMTPS id x191si21181086wmf.177.2019.01.15.07.30.07
        for <xxxxxxxxxxx supprimé>
        (version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
        Tue, 15 Jan 2019 07:30:07 -0800 (PST)
Received-SPF: softfail (google.com: domain of transitioning service-client@chronopost.fr does not designate 2a01:e0c:1:1599::11 as permitted sender) client-ip=2a01:e0c:1:1599::11;
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning service-client@chronopost.fr does not designate 2a01:e0c:1:1599::11 as permitted sender) smtp.mailfrom=service-client@chronopost.fr;
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=chronopost.fr
Received: from LAPTOP-2PUAGCHE (unknown [37.171.163.246]) by smtp2-g21.free.fr (Postfix) with ESMTP id 7811720040F for <xxxxxx supprimé>; Tue, 15 Jan 2019 16:30:04 +0100 (CET)
Message-ID: <06c73c51-43480-3e616875423495@laptop-2puagche>
Reply-To: Service Livraison Express <service-client@chronopost.fr>
From: Service Livraison Express <service-client@chronopost.fr>
To: xxxxxxx supprimé
Subject: xxxxx Confirmation de votre commande
Date: Tue, 15 Jan 2019 16:30:06 +0100
MIME-Version: 1.0
Content-Type: text/html; format=flowed; charset="iso-8859-1"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3

Ayant quand même des notions sur le web, comment j'identifie si Chronopost a vraiment envoyé ce mail ou non ?

Je veux dire comment analyser un message header pour trouver les traces d'un spam ?

Y en a-t-il dans ce message header ?

PS : J'ai transféré l'email frauduleux à abuse AT chronopost.fr comme proposé.

RESOLU : "authentification SPF : echec, pas de signature DKIM, donc DMARC echec", donc c'est un SPAM.

Edited by digital-jedi
Suppression de mes infos persos

Share this post


Link to post
Share on other sites
ARC-Authentication-Results: i=1; mx.google.com;
       spf=softfail (google.com: domain of transitioning service-client@chronopost.fr does not designate 2a01:e0c:1:1599::11 as permitted sender) smtp.mailfrom=service-client@chronopost.fr;
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=chronopost.fr

SPF : echec, pas de signature DKIM, donc DMARC echec

Je ne sais pas comment ton opérateur mail a laissé passé ça. Il semble qu'il ai designé comme expediteur "service-client@chronopost.fr" son mail expedié via le serveur google. c'est techniquement possible mais les sécurités actuelles ne devraient pas permettre à ce mail de tomber dans ta boite de réception.

  • Thanks 1

Share this post


Link to post
Share on other sites

En fait, je suis sur Gmail qui l'avait classé comme SPAM, mais dès fois il me classe des mails LEGIT en SPAM (à partir du moment où c'est une adresse hotmail ou laposte, il considère parfois que c'est un SPAM lol 😉 ).

Là, j'étais quand même intrigué car c'est le premier email SPAM qui reprend mon adresse postale.

Bon, je pense que ça vient de cette fuite pour mes infos :

https://www.nextinpact.com/brief/cdiscount---detournement-de-cartes-bancaires-et-interpellations-1868.htm

Et ma précédente adresse postale était en effet restée sur Cdiscount. Je viens de la supprimer. Quelle saloperie Cdiscount !

Edited by digital-jedi

Share this post


Link to post
Share on other sites

ah ok j'ai mal lu l'ordre des headers. Donc il a utilisé le serveur smtp free visiblement trop laxiste.

Share this post


Link to post
Share on other sites

mais du coup c'est débile  car il n'aura jamais de réponse à son mail.

à moins qu'il y ai une réponse de retour différente ou une url dans le mail qui renvoie vers un site de phishing...

Share this post


Link to post
Share on other sites

De toute façon avec Chronopost, le contenu est suffisant pour constater s'il y a fraude. Si c'était un vrai mail, il y aurait un numéro de suivi quelque part en son sein que l'on aurait pû vérifier sur le site officiel.

Après... des fuites il y en a partout, quand ce ne sont pas des reventes délibérées. Il y a deux ans, il y a eu une "crise" de ce genre et ça venait surtout d'Allemagne, dans ce genre là :

Spoiler

image.thumb.png.4100b7b6684032f181956e2398e18971.png

J'ai reçu exactement la même chose, avec mon vrai nom/prénom. Il se trouve qu'il y a 12 ans (environ), j'avais commandé un GPU à un site allemand... qui a fermé quelques années plus tard. J'imagine que la base client est dans la nature. Il n'y a rien à faire et j'en ai reçu 6 en tout sur 3 mois (plus rien après... mais j'imagine que mon identité circule toujours quelque part).

Le plus génant dans l'histoire, est que j'avais visité par inadvertance (à qui je vais faire croire ça...) le dit site le jour d'avant et donc là j'étais vraiment surpris par la coincidence :transpi:

Edited by TheKillerOfComputer

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×
×
  • Create New...