Jump to content

Recommended Posts

Bonjour,

J'ai depuis longtemps quitté gmail en tant que compte quotidien, mais je conserve une addresse gmail pour la majeure partie des sites de base (forums, sites marchands moyens, sites bof, etc.). J'ai mis en place une redirection automatique vers mon compte mail final, et gmail permet de faire un bon filtrage anti-spam.

Depuis quelques temps, je vois venir dans mes spams gmail des spams dont les titres sont mis en forme (css?), ce qui ne devrait pas pouvoir se produire, selon moi. Je met une capture d'écran en pièce jointe.

Je me pose 3 questions avec ces emails :

  1. Peut-on désactiver l'interprétation du CSS ou je-ne-sais-quoi dans gmail ? je n'ai pas trouvé d'option de ce genre.
  2. Outre du CSS ou ce je-ne-sais-quoi d'autre, un mail peut-il contenir du code JS qui serait exécuté rien qu'en l'affichant dans le webmail ?
  3. L'intégralité des spams que je reçoit provient de "your-server.de". Je n'ai pas réussi à trouver beaucoup d'infos sur l'hébergeur, qui semble être Allemand, mais une recherche rapide permet de constater que c'est une source privilégiée pour les spammeurs. Je me demande bien comment cette entreprise tient la route... Bref, est-ce que je peux bloquer définitivement ce domaine, ou bien il est aussi utilisé dans un contexte légal et normal par d'autres entreprises ?

Merci,

Nozalys

spamgmail.png

Edited by Nozalys
Link to post
Share on other sites

1/ C'est des glyphes défini par le W3C pour l'affichage d'un caractère par un navigateur :

"Ce que dit en résumé le W3C, c'est que le navigateur avant d'afficher le glyphe, vérifie ( en simplifiant ) si le caractère est présent dans la police spécifiée dans propriété CSS font-family ou balise HTML font. Si ce n'est pas le cas, ira chercher dans la police suivante déclarée et en dernier recours dans une des cinq familles de polices génériques : ' serif ', ' sans-serif ', ' cursive ', ' fantasy ', ' monospace '. "

exemple le dolars gras vert avant amazon dans ton image c'est le code html &#x1F4B2

liste de tous les codes spéciaux : https://outils-javascript.aliasdmc.fr/encodage-caracteres-speciaux-classement.php

2/ pas dans l'objet d'un mail à ma connaissance mais dans le corps de texte oui tout a fait. Une image spécialement conçu ou même une faille du webmail dois permettre une exécution de code malveillant c'est pour ça que je n'utilise pas les webmail d'ailleurs de manière générale et récupère les emails par imap pour éviter les failles des webmails notamment gmail qui dois être l'un des plus utilisé.

3/ un whois sur your-server.de fais renvoyer sur hetzner.com https://www.hetzner.com/

a voir c'est un hébergeur style OVH donc à moins qu'ils utilise un dedicated server pour your-server.de il y de forte chance qu'il soit sur un même server ayant du contenu legit, comme OVH quoi. Tu peux faire remonter que ce server envoi du spam ici https://abuse.hetzner.com/issues/new?lang=en

voir autre thread ici sur le forum

 

Link to post
Share on other sites

Ok donc ce sont des caractères spéciaux, et donc pas du CSS.

Le problème que j'ai sur le webmail de google, c'est que je suis obligé d'afficher le mail pour pouvoir accéder au lien "afficher la source", et voir le serveur mail d'origine. Je n'utilise pas de client IMAP car je ne vais que très rarement sur gmail, juste pour faire du ménage une fois par mois en gros.

Par contre j'imagine qu'aucun webmail n'est à l'abri d'une faille pouvant être exploité par du code JS/image dans le corps du texte qui s'affiche ?

Pour le whois, tu as fait un whois spécial pour obtenir www.hetzner.com ? Quand j'en fait la demande (www.whois.net), le whois est vide, j'ai juste "Domain: your-server.de ; Status: connect".

Je vais le signaler sur leur abuse, je dois attendre les prochains spam car j'ai fait le ménage.

Ils indiquent néanmoins :

Citer

Please note: We can only process spam reports by first forwarding them on to the originator of the spam, meaning our customer who is administering the server where the spam was sent from. We cannot skip over this step. Your spam complaint cannot continue forward unless it is first sent to the originator. Your report will ONLY be sent to the customer responsible for the spam if you agree to this by choosing "Yes".

Si le propriétaire du serveur fait ça volontairement, j'imagine que ça lui en touchera une sans faire bouger l'autre non ?

 

Link to post
Share on other sites

Avec un client imap (genre thunderbird) tu pourra aussi voir la source vu que le message est téléchargé en entier avec le header.

Exact aucun webmail n'est à l'abris après c'est comme d'habitude un petit webmail très peu utilisé aura peu de chance d'être ciblé par des pirates, à contrario d'un webmail très utilisé mais c'est quand même google et ils sont rapide pour boucher les failles alors difficile de dire s'il y a un risque réel ou pas.

le whois doit être fait sur le DENIC du pays en question pour avoir les infos, si tu le fait sur n'importe lequel genre whois.com il va te dire dans sa réponse que il ne te donne rien mais que tu peux le faire à cette adresse

http://www.denic.de/en/domains/whois-service/web-whois.html

donc tu le fais à cette adresse et il te retourne dans les informations ce que j'ai mis.

Si je comprends bien en mettant yes, il le forward juste effectivement au spammer donc peu de chance que ça change quoi que ce soit sauf si ce server à été compromis mais si tu met no, cela envoi la demande à hetzner qui va te recontacter si besoin de plus d'info.

Edited by ashlol
  • Thanks 1
Link to post
Share on other sites

Merci pour tes explications !

Je verrai quelle option prendre pour leur signaler les futurs spams, voire même bloquer le domaine totalement, je pense que sur cette adresse "poubelle" je ne risque pas de "manquer" un mail légitime important.

Link to post
Share on other sites

Bonsoir. Le gros problème c'est de risquer la perte d'un mail important SantenPDC qui pourrait arriver dans le spam et qui soit filtré et classé indésirable. Le seul moyen c'est toujours de faire un check quotidien surtout lorsqu'on gère une vitrine commerciale comme moi.   

Edited by Picanto
Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
×
×
  • Create New...