Comment identifier un spammer / lire un whois

[digital-jedi]

Bonjour,

Je suis spammé par différents noms de domaines :

AJOUT : Exemples avec extraits des infos whois :

https://www.whois.com/whois/provideambidextre.fr - Nao Interactive - Caroline Serer (issu de verif.com) - 25 AV DU HUIT MAI 1945 address: 95200 SARCELLES - OVH

https://www.whois.com/whois/yoplheidlmnclteiian.fr - LMedia address - Sebastien Serer (tiens, tiens !!) - 20b Rue Louis Philippe address: 92200 Neuilly Sur Seine - OVH

https://www.whois.com/whois/objetsalamode.fr - anonymous - OVH

https://www.whois.com/whois/gymnocephaleagrege.fr - ShoppySmart - 28b avenue du 8 mai 1945 address: 95200 Sarcelles (!!) - +33.669370508 - sebastien@shoppysmart.fr - OVH

https://www.whois.com/whois/nouveautewebdujour.fr anonymous - OVH

https://www.whois.com/whois/afferentpeteux.fr  - Nao Interactive - 25 AV DU HUIT MAI 1945 address: 95200 SARCELLES -+33.669370508 e-mail: figo079@hotmail.com - OVH

https://www.whois.com/whois/masculinargentifere.fr - Anonymous - Registrar : Infomaniak Network SA - address: Rue Eugène-Marziano 25 address: 1227 Les Acacias country: CH

AJOUT : Etc

Ça s'était calmé, et ça reprend de plus belle.

Toutes les adresses de désinscription à ces spams (auquel je me désinscris à chaque fois) sont en red.xxxxxxx.fr

Je vois une liste récurrente dans les whois avec :

L'email juste au dessus est systématiquement différent.

registrar OVH signifie-t-il qu'il est enregistré chez OVH ?

Ai-je raison d'avoir contacté OVH sur  ? OVH ne m'a pourtant jamais répondu.

AJOUT : est-ce que s'il y a marqué nic@nic.fr à chaque fois, ça identifie qu'il s'agit toujours du même spammer ?

Merci pour votre aide.

PS :

Beaucoup de gens croient que parce que l'adresse de désinscription est en red.xx.fr, cela est associé à des partenaires commerciaux de RED SFR, mais cela ne semble pas être le cas. 

https://communaute.red-by-sfr.fr/t5/Mon-compte-client/SPAM-Mails-publicitaires/td-p/289765/page/2#redclicid=A_MDRI_forum-5

https://communaute.red-by-sfr.fr/t5/Mon-compte-client/Mailing-list-RED-SPAM/m-p/344940/highlight/true#M268

AJOUT :

https://www.verif.com/societe/NAO-INTERACTIVE-820525442/

https://www.infogreffe.fr/entreprise-societe/820525442-nao-interactive-780216B024790000.html

http://entreprises.lefigaro.fr/shoppy-smart-95/entreprise-847884046

[refuznik]

Il y a 3 heures, digital-jedi a écrit :

Toutes les adresses de désinscription à ces spams (auquel je me désinscris à chaque fois) sont en red.xxxxxxx.fr

Déja ça c'est le truc à ne jamais faire puisque tu valides dans ce cas que ton adresse mail est active.

Tu as bien fait de contacter le abuse d'OVH d'ailleurs n'hésite pas à le faire pour chaque mail. Par contre le site d'envoi est chez Amazon donc via les liens que tu as donné tu as 2 adresses IP et donc il faut aussi contacter Amazon (j'ai mis le abuse de amazon en lien) :

34.213.251.22 :

 

Divulgâcheur

 

ip: "34.213.251.22"

hostname: "news.rurgiechie.fr"

city: "Portland"

region: "Oregon"

country: "US"

loc: "45.5235,-122.6762"

postal: "97294"

timezone: "America/Los_Angeles"

asn: Object

asn: "AS16509"

name: "Amazon.com, Inc."

domain: "amazon.com"

route: "34.208.0.0/12"

type: "business"

company: Object

name: "Amazon Technologies Inc."

domain: "amazon.com"

type: "business"

abuse: Object

address: "US, WA, Seattle, Amazon Web Services Elastic Compute Cloud, EC2, 410 Terry Avenue North, 98109-5210"

country: "US"

email: "abuse@amazonaws.com"

name: "Amazon EC2 Abuse"

network: "34.192.0.0/10"

phone: "+1-206-266-4064"

 

 

35.167.42.201 :

 

Divulgâcheur

 

ip: "35.167.42.201"

hostname: "mta.rurgiechie.fr"

city: "Portland"

region: "Oregon"

country: "US"

loc: "45.5235,-122.6762"

postal: "97294"

timezone: "America/Los_Angeles"

asn: Object

asn: "AS16509"

name: "Amazon.com, Inc."

domain: "amazon.com"

route: "35.160.0.0/13"

type: "business"

company: Object

name: "Amazon.com, Inc."

domain: "amazon.com"

type: "business"

abuse: Object

address: "US, WA, Seattle, Amazon Web Services Elastic Compute Cloud, EC2, 410 Terry Avenue North, 98109-5210"

country: "US"

email: "abuse@amazonaws.com"

name: "Amazon EC2 Abuse"

network: "35.160.0.0/13"

phone: "+1-206-266-4064"

 

 

Dernier point que tu peux aussi faire un rapport à spamcop https://www.spamcop.net/

 

Par contre vu que ton adresse mail est grillé il y a 100% de chance plus tard de recevoir du spam pas forcement de la même personne.

 

Petit edit en passant :

Es-tu sur pour tous ces noms de domaine ? En effet il y en a un qui est inactifs bref je te conseillerais de regarder le contenu des mails et ne pas te fier seulement à l'adresse qui apparait.

[digital-jedi]

En fait, je fais systématiquement la désinscription car pour certaines listes mails de diffusion publicitaire légitimes, cela fonctionne.

Mais dans le cas de ce spammer avec adresse de redirection red.xxx.fr, évidemment non, donc je vais arrêter.

 

Quel nom de domaine est inactif ?

 

D'après les spams et les whois, une des sociétés de spam est :

http://entreprises.lefigaro.fr/shoppy-smart-95/entreprise-847884046

Shoppy Smart à Sarcelles 28b avenue du 8 Mai 1945

M. Jérémy JACONO, 101, chaussée de Hal, 1640 Rhode Saint-Genèse Belgique.

 

Je vais concaténer des infos et les renvoyer à OVH.

 

[Oliewan]

Bonjour,

J'ai été dans le même cas il n'y a pas si longtemps.

Le "red.xxx." n'est en effet pas pour red by sfr, je l'ai compris plutot pour "retail" ou "redistribute". J'ai été spammé par inscriptions sur des newsletters commerciales, par des pubs diverses et ma boite mail devenait ingérable.

Ce que j'ai fait pour lutter contre ces spams :

1. J'ai commencé par me désinscrire systématiquement mais ca n'a fait qu'empirer les choses, j'ai vite arrêté.

2. Contacté le service abuse de OVH mais je n'ai jamais eu de réponse de leur part et mes rapports sont restés lettre morte. Autant pisser dans un violon, mais je pense qu'il faut le faire quand même.

3. Inscrit sur signal spam avec signalisation systématique. Le plug-in dans Thunderbird et rapide à activer, autant s'en servir. Par ce biais j'ai vite plus eu de spams de type viagra.

Vu que les progrès étaient ... "lents", j'ai choisi d'attaquer à la source. J'ai d'abord cherché les boites de pubs qui spamment mais elles sont basées à Londres, donc aucun retour. Faut dire que ces boites qui expliquent à leurs clients comment ils évitent de désinscrire les clients*, forcément ça fait pas confiance. J'ai donc contacté les clients des spammeurs à la place. J'ai systématiquement cherché le point de contact pour chaque client dont le contenu du mail était français ou pour un produit français. Avec un mail courtois mais très ferme, les réponses sont vite arrivées. Indice 😤 les entreprises françaises sont sujettes à la loi française... Des mails de prise en compte (des banques ou des opérateurs (comme Red by sfr, d'ailleurs) sont arrivés puis les spams se sont calmés. Aujourd'hui j'en ai encore 1 ou 2 par jour mais c'est supportable.

Ce fut très long et fastidieux mais ma situation a évolué dans le bon sens.

 

* Je peux expliquer comment ces publicitaires opèrent mais ma répons est déjà longue, non ?

[refuznik]

Il y a 5 heures, digital-jedi a écrit :

Quel nom de domaine est inactif ?

Bah entre autre yoplheidlmnclteiian.fr  qui n'est pas configuré (d'ailleurs rien n'est mis en place dessus). Tu as plusieurs noms de domaine qui n'ont même pas de MX donc qui n'envoie pas de mail donc tu ne peux rien contre eux.

D'ailleurs tu pars sur une mauvaise base de travail (et surtout ovh va refuser ta demande) en te basant :

- Sur le nom de domaine qui apparait en clair dans tes mails au lieu de te baser sur le nom effectifs qui envois. Comme j'ai dit dans mon précédent post ouvre chaque mail pour avoir les vrai entêtes du mail. Sous Outlook c'est bouton Actions, sélectionnez Autres actions puis Afficher la source. Sous gmail c'est Afficher l'original. Sous Thunderbird c'est le menu Affichage et Code source du message. Ainsi on aura les adresses du SPF, DKIM, DMARK et smtp.mailfrom.  Et il faut se baser là-dessus pour commencer à savoir qu'elles sont les domaines qui envoient vraiment.

- Le registrar, bon on sait que pour les domaines cités c'est OVH mais pour le contenu des champs (comme pour les mails) on peux mettre ce que l'on veut comme conneries dedans pour faire croire n'importe quoi. 

PS : le nic@nic.fr veut simplement dire que OVH est enregistré à l'afnic pour délivrer des noms de domaine.

 

 

 

 

[digital-jedi]

Salut,

Merci pour les réponses.

J'ai bien mis en place Signal Spam depuis 1 an, sans aucun retour de leur part évidemment.

Je vais voir pour les adresses IPs et headers,  mais c'est moins simple que ce que je pensais du coup. 😅

Exemple :

 

SPF :	PASS avec IP 5.253.91.88
DKIM :	'PASS' avec le domaine provideambidextre.fr
DMARC :	'PASS'

Et le SMTP renvoit bien au domaine.

[Oliewan]

Signal Spam ne répond jamais mais j'ai bien constaté une diminution drastique des spams.

Pour ton info ton spammeur c'est Queryline, une boite de marketing basé en Angleterre. Mais c'est pas la seule. On la retrouve sur les forums traitant des spam red.xxxx.xx. Ils ont (au moins) 500 domaines d'envoi de spam. A chaque désinscription, ils t'abonnent au domaine suivant. Et c'est légal, semble t'il... Se désinscrire est donc contre productif. Taper sur les entreprises clientes me semble bien plus efficace et jouissif.

[digital-jedi]

Wow wow wow, ralentis!

Par quel site web tu arrives à Queryline, et par quels infos j'ai données ?

 

PS : note pour moi :

https://forum.sfr.fr/t5/votre-messagerie-sfr-mail/spam-provenant-de-sfr/m-p/2003296#M52505

https://bertrand.belguise.net/blog/articles/2017/finalement-le-spam-sest-arrete-queryline-fr/

[Oliewan]

Comme j'ai eu affaire aux mêmes spammeurs, je l'avais trouvé sur le net. Ici par exemple : https://bertrand.belguise.net/blog/articles/2017/finalement-le-spam-sest-arrete-queryline-fr/

 

Edit : ma recherche portait sur les les mots clés : "spam red.xxx. queryline" qui m'a donné ca comme lien : https://forum.sfr.fr/t5/votre-messagerie-sfr-mail/spam-provenant-de-sfr/td-p/1992252 en plus de l'autre juste au dessus. Ils sont assez parlants

[digital-jedi]

Bonjour,

@Oliewan

@refuznik

Pour revenir sur ce sujet, je ne comprends pas pourquoi vous me parlez d'adresses IP, et de queryline. Je n'ai pas réussi à faire le lien.  pour votre aide.

Citer

Sur le nom de domaine qui apparait en clair dans tes mails au lieu de te baser sur le nom effectifs qui envois. Comme j'ai dit dans mon précédent post ouvre chaque mail pour avoir les vrai entêtes du mail. Sous Outlook c'est bouton Actions, sélectionnez Autres actions puis Afficher la source. Sous gmail c'est Afficher l'original. Sous Thunderbird c'est le menu Affichage et Code source du message. Ainsi on aura les adresses du SPF, DKIM, DMARK et smtp.mailfrom. 

SPF, DKIM, DMARK et smtp sont tous associés aux domaines en clair de chaque newsletter (voir exemple plus bas).

Les newsletters de spams que je reçois sont associés aux sociétés ShoppySmart, LipskyMedia et NaoInteractive. Ce ne sont pas des usurpations d'identité ou quoi que ce soit. 

Infomaniak est en fait un hébergeur, et j'ai réussi à faire le lien avec un autre spammer masqué pour le relier à l'un des trois :

Masqué : https://www.whois.com/whois/masculinargentifere.fr

nic-hdl: ANO00-FRNIC

type: PERSON

contact: Ano Nymous

Révélé : https://www.whois.com/whois/nicydays.fr

nic-hdl:     AW3655-FRNIC
type:        PERSON
contact:     Alex Wagner
address:     23, avenue du 8 mai 1945
address:     95230 Sarcelles
country:     FR
phone:       +33 6 69 05 08 37
e-mail:      alex@naointeractive.fr

Ces 3 sociétés passent en général par la même Emailing Platform SLIP-Software (car dans le header, il y a souvent marqué Feedback-ID: data_sendout_:...SLIPSOFTWARE). 

Ces 3 sociétés ont été créés avec un capital de 1000€ et comptent une seule personne.

Donc ce sont ces sociétés qui doivent être mis en demeure par SignalSpam (je les ai signalé), ou OVH.

Un exemple : Email original associé à ce domaine : https://www.whois.com/whois/nicoisaporeux.fr

SPF :	PASS avec IP 212.83.133.211 En savoir plus
DKIM :	'PASS' avec le domaine email.nicoisaporeux.fr En savoir plus
DMARC :	'PASS' En savoir plus

Divulgâcheur

Delivered-To: xxxxxxxxxxxxxxxx
Received: by 2002:a2e:a36b:0:0:0:0:0 with SMTP id i11csp320436ljn;
        Tue, 24 Mar 2020 23:33:31 -0700 (PDT)
X-Google-Smtp-Source: ADFU+vsLSaBwcOWCFxnOF5gTn6Nk7qVbw0pM9mGfYg24fdrkGzGDWU1IDN34qiFgbImIafRpfpht
X-Received: by 2002:adf:f2c4:: with SMTP id d4mr1605340wrp.194.1585118011652;
        Tue, 24 Mar 2020 23:33:31 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1585118011; cv=none;
        d=google.com; s=arc-20160816;
        b=iTVcSgc...
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=message-id:mime-version:subject:list-unsubscribe:date:reply-to:to
         :from:domainkey-signature:dkim-signature;
        bh=pNj0nB3y7YG/5mXykXMmij6/IZsCSRmWrWKhBfH7FkQ=;
        b=C63sC...
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@email.nicoisaporeux.fr header.s=key header.b=tOlvy9YK;
       spf=pass (google.com: domain of bounce@email.nicoisaporeux.fr designates 212.83.133.211 as permitted sender) smtp.mailfrom=bounce@email.nicoisaporeux.fr;
       dmarc=pass (p=QUARANTINE sp=REJECT dis=NONE) header.from=nicoisaporeux.fr
Return-Path: <bounce@email.nicoisaporeux.fr>
Received: from e10.nicoisaporeux.fr (e10.nicoisaporeux.fr. [212.83.133.211])
        by mx.google.com with ESMTPS id j196si4939388wmj.176.2020.03.24.23.33.31
        for <xxxxxxxxxxxx>
        (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
        Tue, 24 Mar 2020 23:33:31 -0700 (PDT)
Received-SPF: pass (google.com: domain of bounce@email.nicoisaporeux.fr designates 212.83.133.211 as permitted sender) client-ip=212.83.133.211;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@email.nicoisaporeux.fr header.s=key header.b=tOlvy9YK;
       spf=pass (google.com: domain of bounce@email.nicoisaporeux.fr designates 212.83.133.211 as permitted sender) smtp.mailfrom=bounce@email.nicoisaporeux.fr;
       dmarc=pass (p=QUARANTINE sp=REJECT dis=NONE) header.from=nicoisaporeux.fr
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=key; d=email.nicoisaporeux.fr; h=From:To:Reply-To:Date:Content-Type:List-Unsubscribe:Subject:MIME-Version:Message-ID; i=send@email.nicoisaporeux.fr; bh=1HKq0qJPPg5U+8qHV6akIolMt4M=; b=tOlvy9YKlxUlli9o3yoU/L4eVcSfhGoyaLUOouMMMxoQgfbmt2d3/zdK5hhMCqAtrCWc/KRyKtBg
   5/CruT/NDUKnpWmcHtm8puZl338UWRjf6JnWj6ICYprrME7wSCXpBu+JXeymTBWHzOzvqhTZy5Kx
   Im7t4XoVXrI4Lxb+Mbk=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=key; d=email.nicoisaporeux.fr; b=fis+RVmbGYK1f6mOTg5WPyKoW+fQ2HrCLY8eH6YIEzgcM0TucpTsIGlgYlyAfIdAEaiALXqdagUK
   H20nfTNzzNQWL+aYGHwSvlktM5keV4hqeEJSGi6tY8qN3LMYTfknnpp9UurleyCeM17jSh+s+189
   aWMfGH96t/btpZxkC5k=;
Received: by e10.nicoisaporeux.fr id hfbtjm0001gs for <xxxxxxxxxxxxx>; Wed, 25 Mar 2020 07:31:31 +0100 (envelope-from <bounce@email.nicoisaporeux.fr>)
From: AssuranceAuto <send@email.nicoisaporeux.fr>
To: <xxxxxxxxxxxxxxxxxxx>
Reply-To: reply@email.nicoisaporeux.fr
Date: Wed, 25 Mar 2020 07:31:03 CET
Content-Type: multipart/alternative; boundary="_=1585117863_56135834e4191c4c1504b8d5897b9638=_"
List-Unsubscribe: <mailto:bounce@email.nicoisaporeux.fr?subject=Unsubscribe%201585117863.5e7afaa7efcfc8.14895815@link.nicoisaporeux.fr>, <http://link.nicoisaporeux.fr/p/u/Y31Zd2Ns0Rx2jAajlhMoK6rtFnA-m0DGmFHGTzsj7Ddk97N4FajGB_VbCvcvWhm_OOOZyW3BlUTFFr0cH6TTrLS-WJlgs48Xzxt2mqnT9Uk_YQ9XcdiBSJcdjr5A4z-X>
Subject: A vous de comparer
MIME-Version: 1.0
X-Customer-ID: bcbe3365e6ac95ea2c0343a2395834dd
Message-ID: <1585117863.5e7afaa7efcfc8.14895815@link.nicoisaporeux.fr>

--_=1585117863_56135834e4191c4c1504b8d5897b9638=_
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64

PGh0bWw+...

Je vais également commencer à contacter leurs clients, c'est à dire le contenu des pubs que je reçois.