1/ Il y a 1 seule reference message-ID. Soit c'est la message d'origine, soit il a été modifié comme nouveau message, au niveau du client de messagerie.
(**B)
2/ le mail_from, rcpt to, correspondent à l'enveloppe, les adresses routables.
mail_from
andre.xxx@orange.fr
rcpt_to
pitmix@gmail.com
Le sender_domain est orange.fr (
andre.xxx@orange.fr, mailfrom, le return_path est normalement autodéduit du mailfrom)
3/ ce qui est affiché à l'écran n'est pas forcément en rapport avec l'enveloppe
From:
andre.xxx@orange.fr
To:
pitmix@gmail.com
jusque là, tout est normal.
4/ 1er évènement; l'envoi
Received: from webmail.wibox.fr (unknown [10.11.254.30])
by smtpout08.lasotel.net (Postfix) with ESMTPA id E88DE20077F
for <
pitmix@gmail.com>; Wed, 24 Aug 2016 07:31:52 +0200 (CEST)
l'émetteur réel utilise un webmail, semble-t-il, (sous-classe IP 10.11.254.30, donc IP inexploitable, pour les logs admin, ou géolocalisation. id E88DE20077F est viable
il utilse une AUTHentification (ESMTPA) sur le smtpout08.lasotel.net.
Il n'y a pas de sous-traitement de la requête (pas de relais, pas de MTA orange, pas de smtpd_sasl_authenticated_header).
(**A)
--> 1er soupçon de spam, d'usurpation d'identité. la machine smtpout08.lasotel.net n'a pas autorité pour le domaine de courrier orange.fr.
5/ 2ème évènement ; la réception, livraison
Received: from smtpout08.lasotel.net (smtpout08.lasotel.net. [178.18.56.11])
by mx.google.com with ESMTP id li10si6845360wjb.23.2016.08.23.22.31.53
for <
pitmix@gmail.com>;
Tue, 23 Aug 2016 22:31:53 -0700 (PDT)
Received-SPF: neutral (google.com: 178.18.56.11 is neither permitted nor denied by best guess record for domain of
andre.xxx@orange.fr) client-ip=178.18.xx.xx;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 178.18.xx.xx is neither permitted nor denied by best guess record for domain of
andre.xxx@orange.fr) smtp.mailfrom=
andre.xxx@orange.fr
le rcpt_to correspond à
pitmix@gmail.com. permit_auth_destination valide la session chez les mx.google.com.
cependant gmail met des réserves spf, qui sont toutefois assez courantes.
host -t spf orange.fr
orange.fr has no SPF record
host -t txt orange.fr
orange.fr descriptive text "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"
->référencement google mais sans rapport dns txt spf.
Lorsque qu'il n'y pas de spf pour un domaine de courrier, aussi équivalent à ?all, le MTA qui réceptionne, accepte le message avec ou sans réserves, selon sa sensibilité (yahoo, laposte, gmail, orange..., n'auront pas forcément la même vision en politique de spam), de la simple alarme, notification, à un classement spam, à la suppression du message. gmail affiche par webmail, un truc du genre "la source du message n'est pas vérifié".
Le softfail spf (~all) et hardfail (-all), donnent des consignes plus franches et claires, mais cependant le MTA, qui réceptionne, est libre de les appliquer, les interprêter. softfail, c'est le message accepté mais classé spam. hardfail, est proche de discard (supprimer), conceptuellement, ou classé spam, certainement, par conservatisme.
" is neither permitted nor denied " est normal pour ?all ou spf absent pour sender_domain orange.fr
en revanche 178.18.56.11 (Received-SPF ... Authentication-Results ...), est incongru, incohérent, à cause de **A, et aussi selon la logique MX.
dig -x 178.18.56.11 +short
smtpout08.lasotel.net
autorisé pour les domaines de courrier lasotel.net, wibox.fr.
host -t mx lasotel.net
lasotel.net mail is handled by 10 mx1.lasotel.net.
lasotel.net mail is handled by 20 mx2.lasotel.net.host -t mx wibox.fr
wibox.fr mail is handled by 10 mx1.lasotel.net.
wibox.fr mail is handled by 20 mx2.lasotel.net.
wibox.fr renvoie aussi
http://www.wibox.fr/
Leur webmail est roundcube, comme l'indique aussi ton message (User-Agent: Roundcube Webmail/1.1.0).
C'est plutôt peu commun d'utiliser un webmail pour faire du phising. Bizarre. cas (**B) (message modifié comme nouveau message ??)
est-ce que tu connais quelqu'un qui a une wibox ?
ensuite dans l'hypothèse ou wibox.fr, lasotel.net, incorporent, dans leur spf respectif, ceux d'orange.fr
host -t txt lasotel.net
lasotel.net has no TXT record
host -t spf lasotel.net
lasotel.net has no SPF record
host -t spf wibox.fr
wibox.fr has no SPF record
host -t txt wibox.fr
wibox.fr descriptive text "v=spf1 include:spf.mailjet.com include:smtp.lasotel.net ~all"
host -t spf spf.mailjet.com
spf.mailjet.com has no SPF record
host -t txt spf.mailjet.com
spf.mailjet.com descriptive text "v=spf1 ip4:178.33.111.144 ip4:178.33.137.208/28 ip4:178.33.221.0/24 ip4:37.59.69.128/25 ip4:37.59.249.0/24 ip4:87.253.232.0/21 ip4:5.135.24.0/24 ?all"
host -t mx orange.fr
orange.fr mail is handled by 10 smtp-in.orange.fr.
host smtp-in.orange.fr
smtp-in.orange.fr has address 193.252.22.65
smtp-in.orange.fr has address 80.12.242.9
host -t a smtp.orange.fr
smtp.orange.fr has address 193.252.22.84
smtp.orange.fr has address 193.252.22.86
host -t a smtpauth.orange.fr
smtpauth.orange.fr has address 193.252.22.84
smtpauth.orange.fr has address 193.252.22.86
il n'y a rien qui correspond. wibox.fr, lasotel.net ne sont pas autorisés nativement à utiliser les smtp d'orange.
martin.pierre@wibox.fr ne peut pas les utiliser.
6/ Mon hypothèse est que
spam.com@wibox.fr, authentifié sur smtpout08.lasotel.net et change les enveloppes . permit_sasl_authenticated valide la session. le message part. Le spammeur profite des confusions de la politique SPAM en messagerie (sujet très vaste où il n'y pas vraiment de consensus, d'obligations, et de "loi cadre" ), en particulier celle d'Orange.fr, et de la candeur des utilisateurs. C'est du phising.
ou **B, tu as mal rapporté le message d'origine ?!
Tu peux te plaindre chez orange, qui a un service online anti-spam .
