je reçois un spam, et je cherche à m'en débarasser, curieux
il provient, soit-disant, du MAILER-DAEMON@free.fr :
De: MAILER-DAEMON@free.fr
Objet: failure notice
Date: 2 mai 2004 21:50:27 GMT+02:00
À: monPrenom.monNom@free.fr
Return-Path: <>
Delivered-To: online.fr-monPrenom.monNom@free.fr
Received: (qmail 1044 invoked for bounce); 2 May 2004
19:50:27 -0000
c'est original car il contient mon adresse réelle comme Return-Path: dit
qu'il provient de moi et l'envoie à une adresse du genre 42
monPrenom.monNom@free.fr càd mon adresse légérement modifiée...
Hi. This is the qmail-send program at free.fr.
I'm afraid I wasn't able to deliver your message to the following
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<42monPrenom.monNom@free.fr>:
Sorry, no mailbox here by that name. (#5.1.1)
--- Below this line is a copy of the message.
Return-Path: <yvon.thoraval@free.fr>
Received: (qmail 32569 invoked from network); 2 May 2004 19:50:15 -0000
Received: from ca-sqy-3-140.w80-8.abo.wanadoo.fr (HELO nyarlathotep.net)
(80.8.56.140)
by mrelay5-1.free.fr with SMTP; 2 May 2004 19:50:15 -0000
Date: Sun, 02 May 2004 21:50:27 +0100
To: "" <42yvon.thoraval@free.fr>
From: "monPrenom.monNom" <monPrenom.monNom@free.fr>
Subject: Changes..
Message-ID: <ppuvgbteirsaozxuzxk@free.fr>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------argjahpotdfyowcpdeoe"
Car là, ce n'est pas dans les en-têtes, mais dans le body, rusé le vers (aucun effet chez moi je suis sur MacOS X...)
J'arrive à effacer des envois de virus en filtrant sur la valeur de boundary, dans le Content-Type d'en-tête --- Mfilter ne donne pas accès au corps.
Ce que j'ai mis comme filtre :
De : Return-path : moi
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>".
Là, impossible de trier le 1% de vrai sur les seuls en-têtes. Faute de trouver mieux, je me suis fait mon script « Joe purge son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon avant de les effacer... la première page du vrai-faux bounce est largement suffisante pour collectionner les adresses de zombies.
-- Jacques L'helgoualc'h
yvon.thoravalNO-SPAM@free.fr (Yvon Thoraval) a dit :
Thierry Schollier <snabuun@alussinan.org> wrote:
Ce n'est pas un spam, mais un virus simulant un bounce.
OK, merci, je n'ai pas vu, sur le mfilter de free comment filtrer :
Car là, ce n'est pas dans les en-têtes, mais dans le body, rusé le vers
(aucun effet chez moi je suis sur MacOS X...)
J'arrive à effacer des envois de virus en filtrant sur la valeur
de boundary, dans le Content-Type d'en-tête --- Mfilter ne donne
pas accès au corps.
Ce que j'ai mis comme filtre :
De : MAILER-DAEMON@free.fr
Return-path : moi
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus
compris, aux adresses usurpées :-/, mais alors le Return-Path
est à "<>".
Là, impossible de trier le 1% de vrai sur les seuls en-têtes.
Faute de trouver mieux, je me suis fait mon script « Joe purge
son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon
avant de les effacer... la première page du vrai-faux bounce
est largement suffisante pour collectionner les adresses de
zombies.
Car là, ce n'est pas dans les en-têtes, mais dans le body, rusé le vers (aucun effet chez moi je suis sur MacOS X...)
J'arrive à effacer des envois de virus en filtrant sur la valeur de boundary, dans le Content-Type d'en-tête --- Mfilter ne donne pas accès au corps.
Ce que j'ai mis comme filtre :
De : Return-path : moi
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>".
Là, impossible de trier le 1% de vrai sur les seuls en-têtes. Faute de trouver mieux, je me suis fait mon script « Joe purge son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon avant de les effacer... la première page du vrai-faux bounce est largement suffisante pour collectionner les adresses de zombies.
-- Jacques L'helgoualc'h
[ Fr d ]
tu n'est sûrement pas le seul, je suis aussi envahi de faux messages d'erreur comme celui ci-dessous et qui évidemment contiennent des virus ......... c'est grossier et minable ! Frédéric
Ce message a été envoyé à un groupe qui n'existe pas. Veuillez vérifier l'orthographe du nom de groupe.
Pour en savoir plus, envoyez un e-mail à ou allez sur http://help.yahoo.com/help/fr/groups/
---TMO9-FbqX7ffS4Du4tUPqfnXRgGKJrzy0wNkTD Content-Type: message/rfc822 Content-Transfer-Encoding: base64 ...... et le virus suit ...............
tu n'est sûrement pas le seul,
je suis aussi envahi de faux messages d'erreur comme celui ci-dessous
et qui évidemment contiennent des virus
......... c'est grossier et minable !
Frédéric
tu n'est sûrement pas le seul, je suis aussi envahi de faux messages d'erreur comme celui ci-dessous et qui évidemment contiennent des virus ......... c'est grossier et minable ! Frédéric
Ce message a été envoyé à un groupe qui n'existe pas. Veuillez vérifier l'orthographe du nom de groupe.
Pour en savoir plus, envoyez un e-mail à ou allez sur http://help.yahoo.com/help/fr/groups/
---TMO9-FbqX7ffS4Du4tUPqfnXRgGKJrzy0wNkTD Content-Type: message/rfc822 Content-Transfer-Encoding: base64 ...... et le virus suit ...............
yvon.thoravalNO-SPAM
[ Fr d ] wrote:
tu n'est sûrement pas le seul, je suis aussi envahi de faux messages d'erreur comme celui ci-dessous et qui évidemment contiennent des virus ......... c'est grossier et minable !
j'en reçois un par jour comme celui-là, tous les autres je les ai virrés...
je reposterai demain pour dire si mon filtre bêbête à marcher.
Soit dit en passant les fai free et wanadoo ne réagissent pas du tout quand je formard-mail sur leur abuse...
pour l'instant seule laposte a réagi et m'a même envoyé un message disant qu'ils ont supprimé le compte du spammeur...
je les ai félicité... -- yt
[ Fr d ] <frederic.zavelet@wanadoo.fr> wrote:
tu n'est sûrement pas le seul,
je suis aussi envahi de faux messages d'erreur comme celui ci-dessous
et qui évidemment contiennent des virus
......... c'est grossier et minable !
j'en reçois un par jour comme celui-là, tous les autres je les ai
virrés...
je reposterai demain pour dire si mon filtre bêbête à marcher.
Soit dit en passant les fai free et wanadoo ne réagissent pas du tout
quand je formard-mail sur leur abuse...
pour l'instant seule laposte a réagi et m'a même envoyé un message
disant qu'ils ont supprimé le compte du spammeur...
tu n'est sûrement pas le seul, je suis aussi envahi de faux messages d'erreur comme celui ci-dessous et qui évidemment contiennent des virus ......... c'est grossier et minable !
j'en reçois un par jour comme celui-là, tous les autres je les ai virrés...
je reposterai demain pour dire si mon filtre bêbête à marcher.
Soit dit en passant les fai free et wanadoo ne réagissent pas du tout quand je formard-mail sur leur abuse...
pour l'instant seule laposte a réagi et m'a même envoyé un message disant qu'ils ont supprimé le compte du spammeur...
je les ai félicité... -- yt
yvon.thoravalNO-SPAM
Jacques L'helgoualc'h wrote:
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>". oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Là, impossible de trier le 1% de vrai sur les seuls en-têtes. Faute de trouver mieux, je me suis fait mon script « Joe purge son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon avant de les effacer... la première page du vrai-faux bounce est largement suffisante pour collectionner les adresses de zombies.
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne sont même pas fichus de supprimer certains de mes comptes secondaires (à vérifier) après plusieurs demandes...
-- yt
Jacques L'helgoualc'h <lhh@freeDOTfr.nospam.invalid> wrote:
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus
compris, aux adresses usurpées :-/, mais alors le Return-Path
est à "<>".
oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Là, impossible de trier le 1% de vrai sur les seuls en-têtes.
Faute de trouver mieux, je me suis fait mon script « Joe purge
son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon
avant de les effacer... la première page du vrai-faux bounce
est largement suffisante pour collectionner les adresses de
zombies.
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne
sont même pas fichus de supprimer certains de mes comptes secondaires (à
vérifier) après plusieurs demandes...
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>". oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Là, impossible de trier le 1% de vrai sur les seuls en-têtes. Faute de trouver mieux, je me suis fait mon script « Joe purge son POP avec Perl », qui logue un TOP 50 sur les mailer-daemon avant de les effacer... la première page du vrai-faux bounce est largement suffisante pour collectionner les adresses de zombies.
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne sont même pas fichus de supprimer certains de mes comptes secondaires (à vérifier) après plusieurs demandes...
-- yt
yvon.thoravalNO-SPAM
Jean-Yves Bernier wrote:
C'est ca-sqy-3-140.w80-8.abo.wanadoo.fr qu'il faut bloquer, et tant que tu y est, 80.8.0.0/16 si tu considères que tu n'as pas à accepter du courrier venant des machines wanadoo câble.
Puisque tu n'as pas la main sur le dialogue SMTP, tu peux repérer Received: from * (80.8.*.*) dans les en-têtes (syntaxe exacte à déterminer en fonction des possibilités offertes pas tes filtres).
OKI doki, je fais cela asap, j'ai qqc sur le feu... -- yt
Jean-Yves Bernier <grokub@pescadoo.net> wrote:
C'est ca-sqy-3-140.w80-8.abo.wanadoo.fr qu'il faut bloquer, et tant que
tu y est, 80.8.0.0/16 si tu considères que tu n'as pas à accepter du
courrier venant des machines wanadoo câble.
Puisque tu n'as pas la main sur le dialogue SMTP, tu peux repérer
Received: from * (80.8.*.*) dans les en-têtes (syntaxe exacte à
déterminer en fonction des possibilités offertes pas tes filtres).
OKI doki, je fais cela asap, j'ai qqc sur le feu...
--
yt
C'est ca-sqy-3-140.w80-8.abo.wanadoo.fr qu'il faut bloquer, et tant que tu y est, 80.8.0.0/16 si tu considères que tu n'as pas à accepter du courrier venant des machines wanadoo câble.
Puisque tu n'as pas la main sur le dialogue SMTP, tu peux repérer Received: from * (80.8.*.*) dans les en-têtes (syntaxe exacte à déterminer en fonction des possibilités offertes pas tes filtres).
OKI doki, je fais cela asap, j'ai qqc sur le feu... -- yt
Jacques L'helgoualc'h
(Yvon Thoraval) a dit :
Jacques L'helgoualc'h wrote:
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>". oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Ça fait plus ou moins double emploi avec From: mailer-daemon ou postmaster, et il n'y a pas le domaine.
[mailer-daemon sucks]
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne sont même pas fichus de supprimer certains de mes comptes secondaires (à vérifier) après plusieurs demandes...
Bah, ce sont leurs disques durs... le nombre de comptes doit valoriser leurs actions.
Note quand même que les rejets motivés de mfilter sont signés par mailer-daemon, c'est commode pour déboguer les filtres :
Le seul truc pour le distinguer des faux bounces, c'est de tester sous une adresse plussée, ou dédiée à ça. -- Jacques L'helgoualc'h
yvon.thoravalNO-SPAM@free.fr (Yvon Thoraval) a dit :
Jacques L'helgoualc'h <lhh@freeDOTfr.nospam.invalid> wrote:
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus
compris, aux adresses usurpées :-/, mais alors le Return-Path
est à "<>".
oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Ça fait plus ou moins double emploi avec From: mailer-daemon ou
postmaster, et il n'y a pas le domaine.
[mailer-daemon sucks]
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne
sont même pas fichus de supprimer certains de mes comptes secondaires (à
vérifier) après plusieurs demandes...
Bah, ce sont leurs disques durs... le nombre de comptes doit
valoriser leurs actions.
Note quand même que les rejets motivés de mfilter sont signés
par mailer-daemon, c'est commode pour déboguer les filtres :
Mailer-daemon de chez Free (et d'ailleurs) renvoie, virus compris, aux adresses usurpées :-/, mais alors le Return-Path est à "<>". oui, oui j'ai ça aussi Return-Path : <>, ça peut sans doute s'utiliser
sur mfilter...
Ça fait plus ou moins double emploi avec From: mailer-daemon ou postmaster, et il n'y a pas le domaine.
[mailer-daemon sucks]
bon moi je poubellise tout ce qui vient du maler-daemon de free, ils ne sont même pas fichus de supprimer certains de mes comptes secondaires (à vérifier) après plusieurs demandes...
Bah, ce sont leurs disques durs... le nombre de comptes doit valoriser leurs actions.
Note quand même que les rejets motivés de mfilter sont signés par mailer-daemon, c'est commode pour déboguer les filtres :
puis faut continuer avec les autres réseaux polluées, parce que Wanadoo est loin d'être le seul.
en ce moment je n'ai plus qu'un seul spam par jour, celui dont j'ai parlé... -- yt
F. Senault
Michel Guillou wrote:
Chez moi, c'est le contraire. Proxad haut la main devant Wanadoo.
Relativité de point de vue, tout ça.
Structure de ton trafic, politique de filtrage. Il y a un autre biais: je me base sur les zombies qui disent HELO son_reverse, parce que je les ai grépés dans ma boîte à caca.
Que veux tu dire par "HELO son_reverse" ?
Il y a encore tous ceux qui me disent HELO pescadoo.net dont je n'ai pas encore inversé l'IP pour voir d'où ils venaient.
Fred -- We were taking it easy Bright and breezy We are living it up Just fine and dandy We are chasing the moon Just running wild and free We are following through Every dream, and every need (The Corrs, So Young)
Michel Guillou <mg@neottia.net> wrote:
Chez moi, c'est le contraire. Proxad haut la main devant Wanadoo.
Relativité de point de vue, tout ça.
Structure de ton trafic, politique de filtrage. Il y a un autre biais:
je me base sur les zombies qui disent HELO son_reverse,
parce que je les ai grépés dans ma boîte à caca.
Que veux tu dire par "HELO son_reverse" ?
Il y a encore tous ceux qui me disent HELO pescadoo.net
dont je n'ai pas encore inversé l'IP pour voir d'où ils venaient.
Fred
--
We were taking it easy Bright and breezy We are living it up
Just fine and dandy We are chasing the moon Just running wild and free
We are following through Every dream, and every need
(The Corrs, So Young)
Chez moi, c'est le contraire. Proxad haut la main devant Wanadoo.
Relativité de point de vue, tout ça.
Structure de ton trafic, politique de filtrage. Il y a un autre biais: je me base sur les zombies qui disent HELO son_reverse, parce que je les ai grépés dans ma boîte à caca.
Que veux tu dire par "HELO son_reverse" ?
Il y a encore tous ceux qui me disent HELO pescadoo.net dont je n'ai pas encore inversé l'IP pour voir d'où ils venaient.
Fred -- We were taking it easy Bright and breezy We are living it up Just fine and dandy We are chasing the moon Just running wild and free We are following through Every dream, and every need (The Corrs, So Young)
