Encore un spammeur (Communiquez via email)

21/03/2006, 09h12

Bonjour,

un nouveau venu :

Subject: Communiquez via email
Reply-To: <info@emailbrokers.fr>
From: "emailBrokers" <info@emailbrokers.fr>

Le plus intéressant reste quand même
X-Mailer: MP5
Il est connu celui-là ?

Sinon il y avait aussi ces champs que je ne connaissais pas :
X-TRID: 000HZEGV
X-CAID: 00091K
X-CUID: 08J
X-AID: ASP0

Du temps qu'on y est, vous pourriez donner vos recettes de headers
checks pour filtrer les cochonneries ? Merci.

--
Sébastien Kirche

21/03/2006, 14h02

Dans le message <news:87zmjk6u0z.fsf@petisuix.seki.fr>,
*Sébastien Kirche* tapota sur f.c.m.serveurs :

Salut Sébastien,

> un nouveau venu :
>
> Subject: Communiquez via email
> Reply-To: <info@emailbrokers.fr>
> From: "emailBrokers" <info@emailbrokers.fr>

J'aime bien le terme utilisé pour le désabonnement : Lutte Anti-Spam. Ils
reconnaissent donc qu'ils spamment ?

> Le plus intéressant reste quand même
> X-Mailer: MP5
> Il est connu celui-là ?

Jamais vu. Inconnu aussi pour l'ami Google. Sûrement un robot maison.

> Sinon il y avait aussi ces champs que je ne connaissais pas :
> X-TRID: 000HZEGV
> X-CAID: 00091K
> X-CUID: 08J
> X-AID: ASP0

Jamais vu non plus. On se demande bien à quoi pourrait servir autant de ID
différents... Possible que ça soit un leurre pour tromper les anti-spams.

> Du temps qu'on y est, vous pourriez donner vos recettes de headers
> checks pour filtrer les cochonneries ?

J'utilise Spamassassin et SARE (SpamAssassin Rules Emporium) qui est mis à
jour quotidiennement.
Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir comment mon
antispam maltraite ce spécimen ?

Tu peux retrouver deux listes de règles ici :

http://mail.lacave.net/spamwares/

et là :

http://www.alussinan.org/filtres.html

--
Sébastien Monbrun aka TiChou

21/03/2006, 14h32

Le 21 March 2006 à 15:02, Sébastien Monbrun aka TiChou s'est exprimé
ainsi :

> > Sinon il y avait aussi ces champs que je ne connaissais pas :
> > X-TRID: 000HZEGV
> > X-CAID: 00091K
> > X-CUID: 08J
> > X-AID: ASP0
>
> Jamais vu non plus. On se demande bien à quoi pourrait servir autant
> de ID différents... Possible que ça soit un leurre pour tromper les
> anti-spams.

On retrouve une parties de ces valeurs dans le MID et l'enveloppe :
X-Envelope-From: MperfBouncesASP008J00091K000HZEGV@bp06.net Tue Mar 21 09:33:41 2006
Return-Path: <MperfBouncesASP008J00091K000HZEGV@bp06.net>
Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45]) by falbala.seki.fr (Postfix) with ESMTP id 54FB011804 for <frxv@frxv.se>; Tue, 21 Mar 2006 09:33:15 +0100 (CET)
Message-Id: <4q9c7f$5966ep@maili.bp06.net>

> J'utilise Spamassassin et SARE (SpamAssassin Rules Emporium) qui est
> mis à jour quotidiennement.

Pour le moment SpamAssassin ne tourne pas sur la Sun car ça me pompe
trop de ressources. Problème de lancement à chaque message qui doit se
réduire avec la version démon et le client c mais je n'ai pas pris le
temps de m'y coller. En ce moment je m'en sors avec relays.ord.org et
bogofilter pour les spams.

> Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir
> comment mon antispam maltraite ce spécimen ?

Fait.

> Tu peux retrouver deux listes de règles ici :
>
> http://mail.lacave.net/spamwares/
>
> et là :
>
> http://www.alussinan.org/filtres.html

Merci du tuyau.

--
Sébastien Kirche

21/03/2006, 14h39

>>>>> "S" == Sébastien Kirche <sebastien.kirche.no@spam.free.fr.invalid> writes:

S> Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45])

Euh, je ne voudrais pas dénoncer mais c'est un spammeur connu celui là
(bp06.net)

--

Guy Decoux

21/03/2006, 15h01

Le Tue, 21 Mar 2006 15:39:45 +0100, ts écrivit:
> S> Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45])
> Euh, je ne voudrais pas dénoncer mais c'est un spammeur connu
> celui là (bp06.net)

A part qu'ils ont aussi un bon nombre de lettres d'infos de
divers sites qui sont tout à fait normaux, voire également gèrent
toute la partie mail (genre, cdiscount)...

Arnaud.
--
Perso: http://launay.org/dotclear/
Hébergement: http://www.nocworld.com/

21/03/2006, 16h09

Dans le message <news:87irq77trl.fsf@petisuix.seki.fr>,
*Sébastien Kirche* tapota sur f.c.m.serveurs :

>> Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir
>> comment mon antispam maltraite ce spécimen ?

> Fait.

Pour information :

pts rule name description
--- ---------------------- ------------------------------------------------

0.1 HTML_TAG_EXIST_TBODY BODY: HTML has "tbody" tag
0.2 HTML_IMAGE_RATIO_02 BODY: HTML has a low ratio of text to image area
1.0 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
0.0 HTML_MESSAGE BODY: HTML included in message
0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
above 50% [cf: 100]
0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
[cf: 100]
2.2 MSGID_RANDY Message-Id has pattern used in spam
0.2 MIME_BOUND_NEXTPART Spam tool pattern in MIME boundary

--
Sébastien Monbrun aka TiChou

21/03/2006, 16h57

22/03/2006, 08h40

>>>>> "A" == Arnaud Launay <asl@launay.org> writes:

A> A part qu'ils ont aussi un bon nombre de lettres d'infos de
A> divers sites qui sont tout à fait normaux, voire également gèrent
A> toute la partie mail (genre, cdiscount)...

J'espère qu'ils savent qu'ils se font arnaquer : cette bécane ne re-essaye
pas plus de 3 fois, et ce dans un délai de 15 minutes, quand elle reçoit un
message d'erreur temporaire.

Mentalité de spammeur, comportement de spammeur.

--

Guy Decoux

21/03/2006, 09h12	#1
Sébastien Kirche Messages: n/a Hébergeur:	Encore un spammeur (Communiquez via email) Bonjour, un nouveau venu : Subject: Communiquez via email Reply-To: <info@emailbrokers.fr> From: "emailBrokers" <info@emailbrokers.fr> Le plus intéressant reste quand même X-Mailer: MP5 Il est connu celui-là ? Sinon il y avait aussi ces champs que je ne connaissais pas : X-TRID: 000HZEGV X-CAID: 00091K X-CUID: 08J X-AID: ASP0 Du temps qu'on y est, vous pourriez donner vos recettes de headers checks pour filtrer les cochonneries ? Merci. -- Sébastien Kirche

21/03/2006, 14h02	#2
Sébastien Monbrun aka TiChou Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) Dans le message <news:87zmjk6u0z.fsf@petisuix.seki.fr>, Sébastien Kirche tapota sur f.c.m.serveurs : Salut Sébastien, > un nouveau venu : > > Subject: Communiquez via email > Reply-To: <info@emailbrokers.fr> > From: "emailBrokers" <info@emailbrokers.fr> J'aime bien le terme utilisé pour le désabonnement : Lutte Anti-Spam. Ils reconnaissent donc qu'ils spamment ? > Le plus intéressant reste quand même > X-Mailer: MP5 > Il est connu celui-là ? Jamais vu. Inconnu aussi pour l'ami Google. Sûrement un robot maison. > Sinon il y avait aussi ces champs que je ne connaissais pas : > X-TRID: 000HZEGV > X-CAID: 00091K > X-CUID: 08J > X-AID: ASP0 Jamais vu non plus. On se demande bien à quoi pourrait servir autant de ID différents... Possible que ça soit un leurre pour tromper les anti-spams. > Du temps qu'on y est, vous pourriez donner vos recettes de headers > checks pour filtrer les cochonneries ? J'utilise Spamassassin et SARE (SpamAssassin Rules Emporium) qui est mis à jour quotidiennement. Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir comment mon antispam maltraite ce spécimen ? Tu peux retrouver deux listes de règles ici : http://mail.lacave.net/spamwares/ et là : http://www.alussinan.org/filtres.html -- Sébastien Monbrun aka TiChou

21/03/2006, 14h32	#3
Sébastien Kirche Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) Le 21 March 2006 à 15:02, Sébastien Monbrun aka TiChou s'est exprimé ainsi : > > Sinon il y avait aussi ces champs que je ne connaissais pas : > > X-TRID: 000HZEGV > > X-CAID: 00091K > > X-CUID: 08J > > X-AID: ASP0 > > Jamais vu non plus. On se demande bien à quoi pourrait servir autant > de ID différents... Possible que ça soit un leurre pour tromper les > anti-spams. On retrouve une parties de ces valeurs dans le MID et l'enveloppe : X-Envelope-From: MperfBouncesASP008J00091K000HZEGV@bp06.net Tue Mar 21 09:33:41 2006 Return-Path: <MperfBouncesASP008J00091K000HZEGV@bp06.net> Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45]) by falbala.seki.fr (Postfix) with ESMTP id 54FB011804 for <frxv@frxv.se>; Tue, 21 Mar 2006 09:33:15 +0100 (CET) Message-Id: <4q9c7f$5966ep@maili.bp06.net> > J'utilise Spamassassin et SARE (SpamAssassin Rules Emporium) qui est > mis à jour quotidiennement. Pour le moment SpamAssassin ne tourne pas sur la Sun car ça me pompe trop de ressources. Problème de lancement à chaque message qui doit se réduire avec la version démon et le client c mais je n'ai pas pris le temps de m'y coller. En ce moment je m'en sors avec relays.ord.org et bogofilter pour les spams. > Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir > comment mon antispam maltraite ce spécimen ? Fait. > Tu peux retrouver deux listes de règles ici : > > http://mail.lacave.net/spamwares/ > > et là : > > http://www.alussinan.org/filtres.html Merci du tuyau. -- Sébastien Kirche

21/03/2006, 14h39	#4
ts Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) >>>>> "S" == Sébastien Kirche <sebastien.kirche.no@spam.free.fr.invalid> writes: S> Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45]) Euh, je ne voudrais pas dénoncer mais c'est un spammeur connu celui là (bp06.net) -- Guy Decoux

21/03/2006, 15h01	#5
Arnaud Launay Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) Le Tue, 21 Mar 2006 15:39:45 +0100, ts écrivit: > S> Received: from mail.s45.bp06.net (mail.s45.bp06.net [62.39.107.45]) > Euh, je ne voudrais pas dénoncer mais c'est un spammeur connu > celui là (bp06.net) A part qu'ils ont aussi un bon nombre de lettres d'infos de divers sites qui sont tout à fait normaux, voire également gèrent toute la partie mail (genre, cdiscount)... Arnaud. -- Perso: http://launay.org/dotclear/ Hébergement: http://www.nocworld.com/

21/03/2006, 16h09	#6
Sébastien Monbrun aka TiChou Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) Dans le message <news:87irq77trl.fsf@petisuix.seki.fr>, Sébastien Kirche tapota sur f.c.m.serveurs : >> Tu pourrais m'envoyer ce mail en pièce jointe, histoire de voir >> comment mon antispam maltraite ce spécimen ? > Fait. Pour information : pts rule name description --- ---------------------- ------------------------------------------------ 0.1 HTML_TAG_EXIST_TBODY BODY: HTML has "tbody" tag 0.2 HTML_IMAGE_RATIO_02 BODY: HTML has a low ratio of text to image area 1.0 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words 0.0 HTML_MESSAGE BODY: HTML included in message 0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level above 50% [cf: 100] 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% [cf: 100] 2.2 MSGID_RANDY Message-Id has pattern used in spam 0.2 MIME_BOUND_NEXTPART Spam tool pattern in MIME boundary -- Sébastien Monbrun aka TiChou

21/03/2006, 16h57	#7
F. Senault Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) Le 21 mars à 10:12, Sébastien Kirche a écrit : > Le plus intéressant reste quand même > X-Mailer: MP5 > Il est connu celui-là ? Nope, mais il va devenir célèbre sous peu ! > Sinon il y avait aussi ces champs que je ne connaissais pas : > X-TRID: 000HZEGV > X-CAID: 00091K > X-CUID: 08J > X-AID: ASP0 Marrant, ça ressemble subtilement à quelques champs que j'ai mis de côtés dans mon fichier de spamwares sous l'intitulé suivant : \| ##### A gérer : champs dont la présence indique un spamware. \| # \| #.+ X-bounce-to\|X-SP-Track-ID\|X-IP\|X-INFO_AZ\|X-INFO_BZ\|X-INFO_CZ\|X-BounceTrace\| \| Error-path\|BCC\|X-ClickitTarget\|X-Advertisement\|X-Campaign\|X-Ezauth\|X-Message-ID1\| \| Complain-To\|X-MB-(M\|P)id\|X-Stormpost-To\|X-ENV-ID\|X-PMG-(UserID\|MsgID\|Recipient) Y'a sans doute des bourdes là dedans, note. Mais on peut y voir une forte concentration de "X-machinID"... Fred -- Note to self : "shoot first, ask questions later" does not work when armed with a fully automatic submachine gun. (Jay in FLEM : flem.dhs.org)

22/03/2006, 08h40	#8
ts Messages: n/a Hébergeur:	Re: Encore un spammeur (Communiquez via email) >>>>> "A" == Arnaud Launay <asl@launay.org> writes: A> A part qu'ils ont aussi un bon nombre de lettres d'infos de A> divers sites qui sont tout à fait normaux, voire également gèrent A> toute la partie mail (genre, cdiscount)... J'espère qu'ils savent qu'ils se font arnaquer : cette bécane ne re-essaye pas plus de 3 fois, et ce dans un délai de 15 minutes, quand elle reçoit un message d'erreur temporaire. Mentalité de spammeur, comportement de spammeur. -- Guy Decoux

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email