Spam is 90 Percent of All Email.

Le groupe HerbalKing était responsable de l'envoi de milliards de courriers électroniques non sollicités à travers le monde. Il a été partiellement enrayé en octobre 2008.

Ce groupe organisé possédait plusieurs botnets regroupant 35.000 machines zombies leur permettant d'expédier jusqu'à 10 milliards de spams par jour.

Selon une étude de GOTO Software, éditeur de Vade Retro (solution anti-spam), les spams sont demeurés très présents cet été 2009.

Au 14 août 2009, une des périodes les plus calmes de l'année, 97,9 % des emails reçus par un large panel d'entreprises ont été identifiés comme spams par les serveurs de Vade Retro.

Note : plusieurs de nos Clients nous ont rapporté des "anomalies de courrier" en ces termes :

"nous recevons des messages publicitaires indésirés (viagra, illegal pharmacy, replica, illegal softaware, ...) expédiés par notre propre adresse".

Nous leur signalons que ce phénomène est monnaie courante et qu'il est à ranger dans les "avatars sans grand danger".

Exemple : de vinosoft @n[removed].com à vinosoft @n[removed].com :

Quel est le danger ?

Prenons une situation catastrophique : le spammeur qui usurpe votre adresse email envoie des messages à caractère pédopornographique à Autrui.

Les destinataires de ces messages portent plainte aux Autorités compétentes (comme la CCU en  Belgique).

En étudiant les "headers" du message, ces mêmes Autorités se rendont rapidement compte :

- d'une première anomalie : l'expéditeur du spam illicite signale une adresse de "Return-Path:" qui n'est pas la vôtre (vinosuscripciones @sylstore.com = un domaine "en Español", hébérgé aux USA) :

- et d'une seconde anomalie : l'expéditeur du spam illicite se trouve en Angleterre qui n'est pas le pays de votre résidence "informatisée" : X-Originating-IP: [81.87.2.97] =

Il vous restera, peut-être, toutefois, à prouver que vous n'avez pas mis les pieds au Royaune-Uni le jour de l'expédition de ce courrier répréhensible.

Headers :

Return-Path: <vinosuscripciones@sylstore.com>

Delivered-To: 418-vinosoft@n[removed].com
Received: (qmail 17972 invoked from network); 16 Mar 2008 00:38:23 +0100
Received: from unknown (HELO pczone-ba936cfc) (78.154.210.14) by gollum.mailclub.fr with SMTP; 16 Mar 2008 00:38:22 +0100

X-Originating-IP: [81.87.2.97]
X-Originating-Email: [vinosoft@n[removed].com]
X-Sender: vinosoft@n[removed].com
Message-Id: <20080316053825.9676.qmail@pczone-ba936cfc>
To: <vinosoft@n[removed].com>
Subject: RE: Discount. Coupon #wkrov
From: <vinosoft@n[removed].com>

Prenons une situation vécue, désagréable, mais nettement moins catastrophique : le spammeur a envoyé des messages publicitaires indésirés, apparamment de notre part, à des Personnes qui nous connaissent : des Clients, des Fournisseurs, des Amis, ...

Ces destinataires nous préviennent de ce désagrément et joignent (sur notre demande, si nécessaire) les fichiers.eml (ou les headers) des spam's en question. Il nous suffira de leur transmettre l'information argumentée qu'il s'agit bien d'une usurpation de notre adresse, à notre insu.

Une autre situation : un spammeur envoie des messages publicitaires indésirés, en masse, apparamment de votre part, à des Tiers. Excédés, ces Destinataires portent plainte chez votre Fournisseur d'accès à Internet. Celui-ci (FAI, ISP) doit, avec une facilité déconcertante*, pouvoir déterminer que ce n'est pas votre abonnement chez lui qui est l'expéditeur de ces pourriels et ainsi vous mettre hors de cause.

* Avec l'IP, la date et l'heure, un ISP peut identifier l'expéditeur si il appartient à son réseau.

Headers :

Received: from mailgate004.isp.belgacom.be (mailgate004.isp.belgacom.be [195.238.6.89]) by maildelivery017.isp.belgacom.be (Postfix) with ESMTP id 527B2C0AF for <vinosoft@[a_belgian_isp].be>; Sun, 2 Mar 2008 08:40:33 +0100 (CET)
Authentication-Results: in.mx.skynet.be; dkim=neutral (message not signed) header.i=none

Received: from 71-84-222-241.static.rvsd.ca.charter.com (HELO daryl-sl641rw6g) ([71.84.222.241])

L'expéditeur vinosoft@[a_belgian_isp].be a vraiment peu de chance de se localiser aux Etats-Unis

by in.mx.skynet.be with SMTP; 02 Mar 2008 08:40:32 +0100
Content-Return: allowed - X-Mailer: CME-V6.5.4.3; MSN - Message-Id: 20080301034030.120945.qmail@daryl-sl641rw6g
To: <vinosoft@[a_belgian_isp].be>
Subject: Best Sales 2008!
From: vinosoft@[a_belgian_isp].be

Plusieurs de nos Clients nous ont rapporté des désagréments de messagerie en ces termes :

"nous recevons jusqu'à 10 courriers indésirés par jour"

Nous ne pouvons que leur sigaler qu'ils ne sont pas les seuls; notre record étant de 568 spam's / 24 heures.

Notre période la plus noire : une moyenne de 306 spam's / jour pendant un mois.

Plus récent : en 24 heures, sur une seule adresse email,

23 spam's dont nous ne sommes ni le premier destinataire ni le destinataire en Cc :

Nous ne connaissons aucun des destinataires affichés. Aucun de ces pourriels n'est libellé dans notre langue.

Sujets : casino, replica, pharmacy/apotheke, illegal software, ...

Spam "stérile".

Traduction, svpl.

Juin - Août 2007

Nouvelle technique de spam (du moins, dans nos boîtes) : le PDF (afin [d'essayer] de contourner les filtres antispam)

Le message ne contient aucun texte

Un fichier PDF est attaché, contenant le corps du spam (arnaque type "stock alert").

Infos : le spam PDF : le prochain cauchemar de l'internaute ... le spam PDF explose

Received: from [80.123.140.170] (unverified [80.123.140.170]) by mail.register.be
(Rockliffe SMTPRA 7.0.3) with ESMTP id <B0034533559@mail.register.be> for <[removed].info>; Thu, 9 Aug 2007 13:21:59 +0200
Message-ID: <B0034533559@mail.register.be>
Received: from ibm-t22-richie ([157.155.4.184]) by [80.123.140.170] with Microsoft SMTPSVC(6.0.3790.1830); Thu, 9 Aug 2007 13:22:17 +0200
Received: from ibm-t22-richie ([191.233.88.63]) by huhnke.dk.local (8.13.2/8.13.2) with SMTP id bFnMJTvDgT4335; Thu, 9 Aug 2007 13:22:04 +0200
X-Mailer: QUALCOMM Windows Eudora Version 7.1.0.9
Date: Thu, 9 Aug 2007 13:22:03 +0200
To: [removed].info
From: "Naling" <Jez289@huhnke.dk>
Subject: Active stocks

Mai 2007, spam exploitant l'usurpation d'adresse

Le spammeur dit s'appeler "Tracy Villa" tout en s'attribuant l'adresse email "info@[modified]notredomaine.be"

Il envoie un spam (Viagra, Cialis et al ...) à cette même adresse (qui est la nôtre) "info@[modified]notredomaine.be"

Ce spam est difficile à bloquer dans Outlook Express car nous ne pouvons bloquer l'adresse de l'expéditeur qui est une des nôtres.

Il reste toutefois deux techniques :

- bloquer les termes "C1alis" "Pharm4cy" "St0re" "He4lth" "c4re" par une règle dans Outlook Express

- laisser spamihilator faire le travail car tous ces termes ont été appris par ce logiciel en temps que spam à plus de 70% de probabilités (ils sont utilisés tellement couramment par les spammeurs de "online pharmacy")

Return-Path: <chris@cjkm.com>
Delivered-To: info@[modified]notredomaine.be
Received: (qmail 23304 invoked by uid 1008); 20 May 2007 09:53:00 +0200
Received: from ns4.combell.net (HELO backup.smtp02.combell.com) (62.213.205.142) by smtp02.combell.com with DES-CBC3-SHA encrypted SMTP; 20 May 2007 09:53:00 +0200
Received: (qmail 21677 invoked by uid 510); 20 May 2007 09:34:43 +0200
Received: from 69-77-192-162.dhcp-dsl.d1.wall.gwtc.net (69.77.192.162) by backup.smtp02.combell.com with SMTP; 20 May 2007 09:34:43 +0200
X-Originating-IP: 243.58.211.113 by smtp.69.77.192.162; Sun, 20 May 2007 03:53:24 -0500
Message-ID: <fwbhogGJDWTFinfo@[modified]notredomaine.be>
From: "Tracy Villa" <info@[modified]notredomaine.be>
Reply-To: "Tracy Villa" <info@[modified]notredomaine.be>
To: info@[modified]notredomaine.be
Subject: Your C1alis 0rder #124360
Date: Sun, 20 May 2007 03:53:24 -0500
We Present you a US Licensed Online Pharm4cy St0re. Check US He4lthc4re Inc. at: http://www.nn[modified]ii.com/

Expéditeur du spam selon Received: from 69-77-192-162.dhcp-dsl.d1.wall.gwtc.net (69.77.192.162)

L'adresse de l'expéditeur mentionnée en "Return-Path:" mentionne le domaine cjkm.com

cjkm.com (72.10.57.156) - Media Temple, Inc. - 8520 National Blvd. - Building A - Culver City, CA - USA
NOC Hosting Operations - dnsadmin@mediatemple.net

Le site de pharmacie illégale référencé est chinois :

IP 58.83.6.219 - henyang hylink technology co., LTD - lusheng wang - wls@chinanetlink.com

Mai 2007, spam [market arnaque] exploitant l'usurpation d'adresse

Le spammeur dit s'appeler "Manager Concepcion" tout en s'attribuant l'adresse email "vinosoft@[modified].info"

Il envoie un spam à cette même adresse (qui est la nôtre) "vinosoft@[modified].info"

Return-path: <vinospinadd@codetel.net.do>
X-Spam-Score: 5
Received: from host105-0-dynamic.20-87-r.retail.telecomitalia.it (unverified [87.20.0.105]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with SMTP id <B0049185560@mail.register.be> for <vinosoft@[modified]online.info>; Sun, 20 May 2007 17:09:59 +0200
X-Originating-IP: [23.408.9.04]
X-Originating-Email: [vinosoft@[modified].info]
X-Sender: vinosoft@[modified].info
Return-Path: vinosoft@[modified].info
Received: (qmail 41413 by uid 581); Sun, 20 May 2007 05:09:56 +0100
Message-Id: <20070520060956.41415.qmail@host105-0-dynamic.20-87-r.retail.telecomitalia.it>
To: <vinosoft@[modified].info>
Subject: Market Frankfurt
From: Manager Concepcion <vinosoft@[modified].info>

Avril-mai 2007 : une vague asiatique

Exemple-1 :

Return-Path: <maidook@shanghaimail.info>
Received: from compute2.internal (compute2.internal [10.202.2.42]) by store36m.internal (Cyrus v2.3.8-fmsvn11108) with LMTPA;  Tue, 01 May 2007 02:26:08 -0400
X-Sieve: CMU Sieve 2.3 - X-Mail-from: maidook@shanghaimail.info
Received: from shanghaimail.info (unknown [211.166.11.44]) by mx4.messagingengine.com (Postfix) with ESMTP id 9E0FAAEAA0  for  <adresse@emailuser.net>; Tue, 1 May 2007 02:26:07 -0400 (EDT)
Subject: =?ISO-2022-JP?B?jaGCzI77k/yDdoOJg1gzMJaciX6BQom9gsmOZ4KigtyCt4KpgUg=?=
From: maidook@shanghaimail.info
To: adresse@emailuser.net
Message-ID: 20070501152628
 

Exemple-2 :

Return-Path: <yasuko4589@sina.com>
Received: from compute2.internal (compute2.internal [10.202.2.42]) by store36m.internal (Cyrus v2.3.8-fmsvn11108) with LMTPA; Sun, 22 Apr 2007 01:35:49 -0400
X-Sieve: CMU Sieve 2.3 - X-Mail-from: yasuko4589@sina.com
Received: from SPK12.localdomain (unknown [219.241.57.251]) by mx2.messagingengine.com (Postfix) with ESMTP id F022E1DDFCA for <adresse@emailuser.net>; Sun, 22 Apr 2007 01:35:48 -0400 (EDT)
Received: by SPK12.localdomain (Postfix, from userid 48) id C9B3C8F9B8E; Sun, 22 Apr 2007 14:33:21 +0900 (JST)
To: adresse@emailuser.net
Subject: =?ISO-2022-JP?B?iq6Pbo+XkKuBaTUwkeOBaoLMg0mDb4NUg32CqjI0jp6K1IKojNKC8I1MgrCCxIKokdKCv4K1gsSC3IK3gUI==?=
From: <yasuko4589@sina.com>
Resent-Sender: yasuko4589@sina.com
Message-ID: <20070422143320.45668@sina.com>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
Resent-Message-Id: <20070422053320.C9B3C8F9B8E@SPK12.localdomain>
Resent-Date: Sun, 22 Apr 2007 14:33:20 +0900 (JST)
Resent-From: yasuko4589@sina.com (Apache)
Date: Sun, 22 Apr 2007 01:35:49 -0400

Plutôt stérile, vu notre méconnaissance de ces langues !

Pollution numérique par excellence, le spam (ou envoi massif de publicités non-sollicitées par email) se « modernise » pour tenter de contrer les logiciels et autres filtres « anti-spam » dédiés aux messageries électroniques -> Invention en date des spammeurs, le « spam en images ». : le principe de ces nouveaux spams est simple, plutôt que d'envoyer un email composé de texte (qu'un filtre / logiciel pourra reconnaître en décortiquant et en analysant chaque mot et chaque caractère), les spammeurs envoient leurs publicités sous la forme d'un fichier image. Le but étant bien sûr de contourner les filtres anti-spam qui ne sont pas ou peu capable d'analyser « visuellement » le contenu et le message que peut faire passer un fichier image ... Clubic (20/11/2006) ... & 18/12/2006.

Nouvelle technique des spammeurs (du moins dans nos mailboxes, 10/2006)

Depuis début octobre 2006, nous recevons ce type de message :

Ces messages sont de type "courrier non distribué"; ils sont très utiles lorsqu'ils sont "vrais" en ce sens qu'il avertissent l'expéditeur que (en général) : il a fait une erreur dans l'intitulé de l'adresse de son correspondant ou que la mailbox de son correspondant est pleine. Cette info lui permet 1/ de savoir que son message n'est pas arrivé et 2/ de corriger le tir.

Dans les messages ci-dessus, on notera que les adresses des destinataires sont toutes inventées (cfr. image "Fréquence de ce type de nuisance" - ci-dessous). On notera également la grossièreté d'imagination des spammeurs en matière de terminologie pour ces fausses adresses (fgxpnw - nitxnx - cqq - ... : je dirais même : c'est cucu :-) ; sans parler de la stupidité des sujets choisis comme "podium vasectomy" ou "hole" ou "spaced out nuts" ou "drag race" ou "{Definitely Spam?} unequally" ou "habitation dispassionate" ou "retort [PMX:#####]" (des termes qui ne peuvent pas  correspondre à un sujet expédié par nos soins). Donc, pour un Utilisateur qui fait un peu attention, tout lui signale que ce message n'a aucun intérêt et qu'il peut donc être détruit sans lire le spam joint.

Fréquence de ce type de nuisance : +/- 25 à 30 par jour (pour deux domaines visés)

La technique de ces spammeurs est d'envoyer un message de non-distribution que le logiciel antispam ne rejettera pas car contenant de nombreux termes considérès comme "normalement présents dans les messages non-spam". Dans certains cas, les spammeurs utilisent aussi la technique d'ajouter à leur message un grand nombre de ces "termes normalement présents dans les messages non-spam" afin que le filtre d'apprentissage ne les rejette pas (car ce filtre fait la balance entre "spam terms" et "non spam terms" pour établir sa probabilité finale de rejet comme spam-message. En plus, le message à transmettre est fourni sous forme d'image et non de texte : comme l'antispam n'est pas équipé d'un OCR, les "termes spam" ne sont pas détectés.

Le courrier du Mailer-Daemon ou du Postmaster contient le vrai message que les spammeurs veulent nous transmettre; exemple :

1/ Message du postmaster @ allstarcorp.com = System Administrator

à l'adresse inventée Will Hart <fgxpnw@vinosoft.com>

concernant la non distribution de notre soit-disant message ayant pour sujet "podium vasectomy"

2/ le message joint, partie 1 : les termes "non spam" (de diversion)

3/ le message joint, partie 2 : le spam sous forme d'image (guacamole.gif) : "market arnaque"

La plupart des "spam's joints" à des "failure notice" contiennent l'IP expéditrice; quelques exemples - répartis sur 4 jours, contenant tous la même image (reproduite ci-dessus - "ARSS.PK") :

Received: from 208-176-136-85.user.auna.net (unknown [85.136.176.208]) by mx.poczta.interia.pl (Postfix) with SMTP id 9621C1AA995 for <tslabaszewski@interia.pl>; Sun, 15 Oct 2006 11:03:46 +0200 (CEST)
Received: from 85.136.199.164 ([85.136.199.164]) by 208-176-136-85.user.auna.net with Microsoft SMTPSVC(6.0.3790.0); Sun, 15 Oct 2006 11:12:30 +0200
Message-ID: <4531F97B.4060403@synergy.com.br>
Date: Sun, 15 Oct 2006 11:03:55 +0200
From: Edna Nieves <pnhz@vinosoft.be>

&

Received: from smtp2.uslec.com ([10.2.16.38]) by smtp4.uslec.com with Microsoft SMTPSVC(6.0.3790.1830); Sun, 15 Oct 2006 03:44:42 -0400
Received: from smtp1.uslec.com ([66.43.140.70]) by smtp2.uslec.com with Microsoft SMTPSVC(5.0.2195.6713); Sun, 15 Oct 2006 03:44:55 -0400
Received: from c1m31.emaildefenseservice.com (Not Verified[216.40.36.64]) by smtp1.uslec.com with NetIQ MailMarshal (v5.5.5.9) id <B00669579c>; Sun, 15 Oct 2006 03:44:54 -0400
Received: from cpe-67-10-24-39.houston.res.rr.com [67.10.24.39] (HELO cpe-67-10-24-39.houston.res.rr.) by c1m31.emaildefenseservice.com (mxl_mta-1.3.8-10p10) with SMTP id 7e6e1354.19391.124.c1m31; Sun, 15 Oct 2006 03:44:39 -0400 (EDT)
Received: from 67.10.82.214 ([67.10.82.214]) by cpe-67-10-24-39.houston.res.rr.com with Microsoft SMTPSVC(5.0.2195.5329); Sun, 15 Oct 2006 02:48:05 -0500
Message-ID: <4531E6F2.4020703@vinosoft.com>
Date: Sun, 15 Oct 2006 02:44:50 -0500
From: Helena Juarez <cqiykl@vinosoft.com>

& USA, more

Note : "rr" (Road Runner), Comcast & Verizon nous sont familiers (ils sont repris dans notre liste "Spammeurs Ricains en Chef")

& Amérique du Sud :

& Europe

& Asie

& Afrique

Question que nous nous posons : les spammeurs se font-ils passer pour des Postmaster's ou envoient-ils réellement leur saloperies à des adresses volontairement inexistantes pour que les vrais Postmaster's nous les réexpédient ?

La réponse nous paraît être OUI car nous recevons, dans la même période de nombreux messages, de ces Postmaster's, ne contenant pas le message d'origine (le spam - cfr. la taille de 2 à 7 Ko) et nous signalant principalement que le message envoyé par "adresse_inventée ou adresse_usurpée @ vinosoft" a été rejeté par le filtre antispam (Spam Firewall) du destinataire ou pour "over quota" (mailbox full) :

Exemples :

"mailbox full"

"spam firewall"

Received: from 68.42.201.130 ([68.42.201.130]) by c-68-42-134-104.hsd1.mi.comcast.net with Microsoft SMTPSVC(5.0.2195.6713); Sat, 14 Oct 2006

Même type de plaisanterie qu'en octobre 2006 (ci-dessus) : "spam-attaque" du domaine ACWEB.BE, 24 février 2007

Toutes les adresses @acweb.be sont inventées; les spam's attachés sont tous du même type :

D'un ridicule : l'image n'est même pas lisible.

Par agrandissement, on obtient :

Type de pollution identique à la vague d'octobre 2006 : "market arnaque".

Received: from abo-60-17-69.bdx.modulonet.fr ([85.69.17.60]) by mail.nanuya.com with Microsoft SMTPSVC(6.0.3790.211); Sat, 24 Feb 2007 08:14:21 -0800
Received: from Francelulv@acweb.be (lsdbot [176.169.7.47]) Sat, 24 Feb 2007 16:36:48 +0100
Message-Id: <E55028A0.000005.00087@lsdbot>
From: "Francelulv@acweb.be" <Francelulv@acweb.be>
Subject: Lille addition
Return-Path: Francelulv@acweb.be

abo-60-17-69.bdx.modulonet.fr (85.69.17.60) - BORDEAUX Cable Modem Users

Un faux message de Microsoft ?

Return-path: <poltransplant@poczta.onet.pl>
Received: from 204-9-235-211.sytekcom.com (unverified [204.9.235.211]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0012457586@mail.register.be> for <admin@vinosoft.com>; Mon, 16 Oct 2006 03:53:57 +0200

Date: Mon, 16 Nov 2006 01:53:45 +0360
From: support@microsoft.com
X-Mailer: The Bat! (v2.04.7) Business
Reply-To: poltransplant <poltransplant@poczta.onet.pl>
Message-ID: <394422152.20061016015345@poczta.onet.pl>
To: admin@vinosoft.com
Subject: Please update Microsoft Internet Explorer

Ce qui nous amène à la quasi-certitude de la fausseté de ce message :

1/ notre adresse de "Microsoft Partner" n'est pas admin @ vinosoft

2/ le site référencé (Internet Explorer 7 worldwide page) est www.microsoft.com.al2g.info (220.191.76.97) qui est en Chine (CHINANET-ZJ Hangzhou node network Zhejiang Telecom) - cela fait très peu Microsoft même si le look est trompeur :

3/ l'expéditeur qui se fait passer pour support @ microsoft est " Return-path: poltransplant @ poczta.onet.pl " - cela fait très peu Microsoft.

4/ L'IP expéditrice est dans le réseau UPSALA COOP TELEPHONE : cela fait très peu Microsoft.
 

Maintenant, quel est le but de ce spam ?

Mystère complet.

SPAMIHILATOR

Notre record : 568 spam's en un jour (14 juillet 2006)

Notre record en matière de "probabilité de spam" : 1.510 %

Return-path: <lnhyvegiplc@nasicnet.com>
X-Spam-Score: 0
Received: from b204.nasicnet.com (unverified [211.16.219.168]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0004255523@mail.register.be> for <administrator@vinosoft.com>; Sun, 3 Sep 2006 11:25:42 +0200
From: "Downloads" <lnhyvegiplc@nasicnet.com>
To: administrator@vinosoft.com
Subject: Viagra, Cialis, Levitra for lowest prices!
Date: Sun, 3 Sep 2006 18:25:29 -0900
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0005_01C6CF86.55AE4750"
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: AcbPhlWvIK8d4BGAQeWQB3qhsdKkFw==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2869
Message-Id: <2AB94ED6BDFA4AD.AE14E80471@nasicnet.com>

Return-path: <dnvjzfhfxxd@hinet.net>
X-Spam-Score: 0
Received: from 59-116-0-132.dynamic.hinet.net (unverified [59.116.0.132]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0004268376@mail.register.be> for <bghayhodcduddsquxqp@vinosoft.be>; Sun, 3 Sep 2006 14:01:06 +0200
From: "FLAVA: Ear" <dnvjzfhfxxd@hinet.net>
To: bghayhodcduddsquxqp@vinosoft.be
Subject: Viagra, Cialis, Levitra for lowest prices!
Date: Sun, 3 Sep 2006 20:00:53 -0800
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0003_01C6CF93.A9716180"
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: AcbPk6lxRxZiVjfcRpyubGISNXS/VA==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2869
Message-Id: <051D87396758C48.2C980E33D4@hinet.net>

Notre dose en août 2006 : une moyenne de 305 spam's par jour

Updates de septembre-octobre 2006

Légères accalmies* du 06/09 au 21/09/2006 et du 06/10 au 12/10/2006 (moins de 200 spam's / jour)

* sans explication plausible

-

Spam Attack : 312 messages des Postmasters pour non distribution des courriers envoyés

par une adresse_inventée @ un_de_nos_domaines : rawvinosoftpl @ vinosoft.com,

le même jour, 25/10/2006, entre 11:45 et 12:55 (70 minutes): 267 / heure.

.........

....

Quelques mots clés dans les faux messages envoyés par l'adresse inventée : Anatrim, Watch the pounds disappear, Healthy living with less fat, Mood up weight down, Less weight - more pleasure and joy, ... tous sont des termes associés à des spam's de publicité pour un site hébérgé en Chine  (www.kols.st) proposant "anatrim : a dietary supplement that suppresses appetite"  www.anatrim.org

Selon les informations extraites des notifications des Postmaters :

Tous ces messages sont expédiés par :

Received: from 212.35.125.180 (HELO mail.register.be) ....

212.35.125.180 : est bien l'adresse IP de mail.register.be qui est le service de courrier de notre Registrar !

From: "VARIABLE" <rawvinosoftpl@vinosoft.com> - X-Mailer: The Bat!

The Bat! is a popular email client that allows to work with unlimited number of the mailboxes, has powerful sorting filters, fully customizable message templates, Mail Dispatcher and many more other features (http://www.ritlabs.com/en/products)
 

Mesure (radicale) prise : suppression du catch-all sur le domaine attaqué le 25/10/2006 à 13:15.

Catch-all Email Account : An email account which allows any email of the form, any@domain.com, to be forwarded or placed into a single email address. For example, webmaster@you.com, info@you.com and anything@you.com, will all be sent to the same email address. Often hosts allow you to also specify particular email addresses to be forwarded to different email addresses, in addition to the catch-all email which sends any other email address to one designated email address.

Effet de la suppression temporaire du Catch-all :

Août - Septembre 2006 : +/- 305 spam's / jour

Octobre 2006 : +/- 210 spam's / jour

Suppression du Catch-all (25/10/2006) -> +/- 115 spam's / jour

Références sur Internet

http://www.hebergeur.be/stats-spam-virus.php

Nod32 : [virus HTML/Phishing.gen trojan]

Return-path: <customersupport_948898564739064id@53.com>
X-Spam-Score: 0
Received: from 212.35.125.180 (unverified [59.188.140.29]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with SMTP id <B0004288299@mail.register.be> for <vinosoft@acwebsa.com>; Sun, 3 Sep 2006 18:15:36 +0200
Message-ID: <B0004288299@mail.register.be>
Received: from zipolite.com (unknown [68.104.145.206]) by sedoparking.com with SMTP id ALR4J6NH76 for <vinosoft@acwebsa.com>; Sun, 03 Sep 2006 09:15:24 -0800
From: "FIFTH THIRD BANK 2006" <supprefnum6677607683id@53.com>
To: "Vinosoft" <vinosoft@acwebsa.com>
Subject: [virus HTML/Phishing.gen trojan] Please read this message Sun, 03 Sep 2006 21:12:24 +0400
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
X-NOD32Result: Infected, HTML/Phishing.gen trojan
X-Removed: Removed by NOD32 Antivirus System

Documentation sur le SPAM : http://www.spamsquad.be/fr/fiches/00.html (BE)

SpamSquad est un groupe de réflexion informel composé de personnalités issues du monde académique, de représentants des pouvoirs publics, de juristes et de professionnels du secteur, il se penche sur les méthodes de mesure du phénomène de spam et sur l'élaboration de solutions communes destinées à le contrer.

Avatar de messagerie, filtre antispam

Depuis plusieurs années, un de nos Clients ("Client1"), disposant d'un abonnement adsl dynamique chez Belgacom, voit tous ses messages électroniques refusés d'envoi lorsque l'adresse "n'importe_qui" @vinosoft.com est le destinataire ! Sans explication trouvée jusqu'à ce jour.

L'avatar ci-dessous pourrait être mis en rapport avec cette situation désagréable.

Un de nos Clients "Client2, Lilian[removed]) dispose d'une adresse email dans notre domaine @ vinosoft.com

Son message à notre intention est rejeté par un filtre antispam :

Raison : l'adresse IP 81.240.183.77 est dans une liste noire exploitée par un plug-in de Spamihilator

Cette liste noire est fournie par no-more-funn.moensted.dk

Or cette adresse IP est celle qui a été attribuée à notre Client par Belgacom (adsl dynamique).

Lorsqu'il a établit sa connexion ADSL à son domicile sur le PC VinoSoft Workstation dénommée "LILIAN2007"

Received: from outmx004.isp.belgacom.be (unverified [195.238.4.101]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0054197238@mail.register.be> for <vinosoft@vinosoft.com>; Wed, 27 Jun 2007 09:55:29 +0200
Received: from outmx004.isp.belgacom.be (localhost [127.0.0.1]) by outmx004.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l5R7tT7q008442 for <vinosoft@vinosoft.com>; Wed, 27 Jun 2007 09:55:30 +0200 (envelope-from <lilian[removed] @vinosoft.com>)
Received: from LILIAN2007 (77.183-240-81.adsl-dyn.isp.belgacom.be [81.240.183.77]) by outmx004.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with SMTP id l5R7tMIx008315 for <vinosoft@vinosoft.com>; Wed, 27 Jun 2007 09:55:22 +0200 (envelope-from <lilian[removed] @vinosoft.com>)
Message-ID: <001a01c7b890$96b934f0$0201a8c0@LILIAN2007>
From: "LILIAN" <lilian[removed] @vinosoft.com>
To: "VinoSoft Computers Brussels" <vinosoft@vinosoft.com>

à méditer, cela pourrait être un phénomène similaire qui bloque l'expédition des messages à notre destination par notre "Client1" ?

L'adresse IP attribuée par Belgacom à ce Client1 pourrait tomber dans le range des IP bloquées par une Blacklist ?