J'ai un mail d'une boite qui n'existe pas ! - virus Sober.Y

Bonjour à tous,

je viens de recevoir un mail à cette adresse : zfreemailer@mondomaine.fr alors qu’elle existe même pas !!!

D’après mes recherches, ce mail est en faite une propagation du virus Sober.Y
voir ici : http://www.avira.com/fr/threats/print.php/…sec/full/lang/9

L’adresse de destination est zfreemailer@… et le nom du fichier-joint est downloadm.zip

Ce que je n’arrive pas à comprendre, c’est comment mon client de messagerie a téléchargé un mail d’une adresse inexistante ? :ouch:

@+ et merci d’avance pour vos infos…

:bounce:

ton client email telecharge ce qu’il trouve sur le serveur de messagerie.

La question est de savoir comment le mail est arrivé jusqu’à ton compte dans le serveur de messagerie.

multiples raisons: serveur infecté, adresse caché dans la source du message etc…

Je comprends pas bien… :confused: le client mail (OutlookExpress) charge ce qu’il trouve sur le serveur pour un compte donné (dans mon cas : contact@… )
De plus, je charge aussi un compte wanadoo.

Lorsque je double clic sur l’adresse de destination zfreemailer@… c’est bien zfreemailer@mondomaine.fr qui apparait dans les propriétés.

Les autres boîtes mails du domaine se semblent pas infecté…

Comment voir s’il y a une adresse cachée ?

@+

commence par regarder la source du message => click droit sur mail => protprietes => details.

Le probleme est plutot: comment le mail fait pour que le serveur smtp (serveur d’envoi d’email, le POP ne servant qu’à rapatrier les mails chez toi) l’accepte en tant que mail pour ton compte à toi.

Tout simplement parce que le serveur de messagerie de ta boite e-mail n’est pas protégé.
Vivement de Microsoft mette en place le Sender ID pour supprimer ce genre de message.

Plus d’infos :

Actuellement, Exchange Server 2003 base ses filtrages anti-spam sur la technologie Intelligent Message Filter qui se charge d’analyser chaque email reçu. Avec le Sender ID, Microsoft devrait renforcer ce filtrage. Développé par Microsoft avec l’aide de quelques partenaires, le Sender ID est un protocole qui permettra de vérifier que le nom de domaine de l’adresse mail de l’expéditeur indiqué dans le mail reçu est bien celui qui a été exploité pour envoyer le mail. Le but du Sender ID est de mettre fin à la pratique du “spoofing” qui consiste à masquer le nom de domaine “originel” par un autre domaine. Cette technologie devrait permettre de renforcer l’authentification des expéditeurs. Microsoft espère ainsi repérer plus facilement les spammeurs et ceux qui s’adonnent aux arnaques par méthode de phishing.

http://www.clubic.com/actualite-20649-exch…-sender-id.html

Merci pour vos interventions… c’est sympa ! :oui:

J’utilise en version d’évaluation MDaemon 8.1.3 sur plateforme Windows XP SP2.

Voici la source du mail :

Je vous le montre parce que je ne suis pas du tout expert comme vous… alors si vous pouviez m’expliquer les zones rouges et les grandes lignes… ça serait super cool… :jap:

Je précise que je posséde un boîte mail principale : myname@mondomaine.fr avec un alias : contact@mondomaine.fr

Merci d’avance pour vos réponses.

@+ :hello:

Attends… là j’ai un doute :ane:

si ça se trouve c’est bien plus simple qu’on ne le pense :ane:

en fait (ce que je n’avais pas compris au debut) tu as un domaine du style domaine.fr avec un alias machin@domaine.fr ?

Et là tu as simplement reçu un mail qui etait adresse à schmurtz@domaine.fr ?

donc reste à voir dans la gestion de ton domaine si le "probleme" vient de là :wink:

Dans ce cas le probleme n’en est pas forcement un ;).
Il suffit pour cela que dans la gestion de ton domaine il ai ete active la redirection globale qui correspond à ton domaine soit @domaine.fr.

Dans ce cas tout email a destination de ton domaine, quel qu’il soit, qui ne correspond pas à un alias declaré est envoyé vers une boite par defaut. ainsi tu pourrai avoir des xyz@doamine.fr mais aussi des bidule@domaine.fr et des truc@domaines.fr qui arriveront tous sur le meme compte.

Tous les flux web, mails et autres sont redirigés vers notre IP fixe public…

Je suis d’accord avec toi sur le principe des redirections de mails… sauf que ni myname@mondomaine.fr ni contact@mondomaine.fr sont l’adresse par défaut qui est normalement postmaster@mondomaine.fr

Donc le mail arrive notre serveur MDaemon : OK mais pourquoi il l’a transférer vers une adresse quelconque ? C’est ça que je ne comprends pas … :pt1cable:

J’avais pas compris non plus au début !

hum etrange… il doit y avoir une cou##le dans le potage là :riva:
Peut-etre voir avec le fournisseur du domaine pour cela ?

Et si tu fais l’essai d’envoyer un mail vers une adresse inexistante ? genre blabla@mondomaine.fr

Ah ben ça me rassure un peu :paf:

:whistle: désolé pour le mal entendu du début…

j’ai déjà essayé d’envoyer un mail vers zfreemailer@mondomaine.fr… Le DNS de fournisseurs m’a renvoyer le mail précisent que le destinataire n’a pas été trouvé…

Le scan antivirus n’a rien trouvé sur la machine du serveur mail.

@+ :riva:

bizarre ça… si tu dit que tu as une redirection par defaut sur les alias non declaré il devrait l’accepter :heink:

ghost mail

Je ne vois pas trop le rapport… désolé

Moi je cherche simplement à comprendre comment ce mail s’est retrouvé dans une boîte quelconque.

@+ :jap:

Bonjour,

Il ya des grandes chances que l’adresse : zfreemailer@mondomaine.fr soit une adresse de liste de diffusion et qu’une de vos adresses e-mails soit comprise dedans…
En ce qui concerne ce qui est en rouge vous avez a la fois des verifications de DomainKeys, et X-Lookup-Warning: MAIL lookup on postmaster@paris-normandie.fr does not match 62.39.164.12
c’est une verification PTR ( dns reverse) faites par le logiciel MDaemon.

Phil.
Quat