Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
8 août 2011 1 08 /08 /août /2011 00:06

Je m'attendais à tout autre chose en lisant le sujet du courriel...
Subject: La photo de votre profil est belle
From: "Lacie Peterson" <news@affiliate-promoter.com>

 

Le corps du courriel est simple, sans faute, plutôt convaincant :

 courriel_profil-FB_060811.jpg

 

 

Une fois que l'on clique sur le lien, à priori pas de charge virale (presque décevant...) mais par contre, jolie surprise pour le site :

site_060811-copie-1.jpg

 

Effectivement, je dois bien avoir un profil qui traîne sur ce site (rires).

 

 

Pourquoi ai-je reçu ce courriel ? il semble que l'antispam se soit emmêlé les pinceaux :

 1.0 LR_URI_NUMERIC_ENDING URI: Ends in a number of at least 4 digits 1.5 HTML_IMAGE_ONLY_20 BODY: HTML: images with 1600-2000 bytes of words 0.1 HTML_MESSAGE BODY: HTML included in message -2.0 BAYES_00 BODY: Bayesian spam probability is 0 to 1% [score: 0.0000] 1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level above 50% [cf: 100] 0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 1.0 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% 

 

Aïe, il semble que ce soit le Bayésien qui ai tout fait capoter... il a carrément viré dans le "confiance", et donc a appliqué le score en conséquence.  Par contre, Razor montre qu'il est toujours pertinent, et inflige un score de 3 à lui tout seul...

 

 

Enfin, le reste des entêtes semble révélateur :

 

Return-Path: <agent@ukrs238777.pur3.net>

Received: from smtp.server.com ([unix socket]) by hermes.reseau (Cyrus-Debian) with LMTPA;

Sat, 06 Aug 2011 18:26:45 +0200 X-Sieve: CMU Sieve 2.2

Received: from mta17311.pur3.net ([83.138.173.11]) by smtp.server.com with esmtp (Exim 4.69)(envelope-from <agent@ukrs238777.pur3.net>) id 1Qpjhy-0005fS-Nb for philippe.vialle@server.com;

Sat, 06 Aug 2011 18:26:45 +0200

Received: from localhost (127.0.0.1) by mta17310.pur3.net (PowerMTA(TM) v3.5r16) id h7llk40s4tkn for <philippe.vialle@server.com>;

Sat, 6 Aug 2011 17:26:05 +0100 (envelope-from <agent@ukrs238777.pur3.net>)

Subject: La photo de votre profil est belle

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="alternative_40dbada43dc5a2b347364ec8c576e434"

Content-Transfer-Encoding: 7bit

From: "Lacie Peterson" <news@affiliate-promoter.com>

Reply-To: "Lacie Peterson" <news@affiliate-promoter.com>

X-MailId: {~P91270321946634197420386293013~}

To: philippe.vialle@server.com

Date: Sat, 06 Aug 2011 17:26:05 +0100

Message-ID: <0.0.D8.50D.1CC54558A43966A.0@mta17310.pur3.net>


Tout de même, l'adresse IP du MTA est dans au moins 5 listes noires (cf. http://ip-blacklist.e-dns.org/83.138.173.11) :

LISTED 18ms 510 Software Group Blackholes
LISTED 20ms SORBS Aggregate zone (problems)
LISTED 20ms SORBS Spamhost (any time)
LISTED 20ms SORBS Spamhost (last 28 days)
LISTED 21ms SORBS Spamhost (last year)

 

 

Par contre, selon CISCO, la réputation sécurité de ce même serveur est "bonne" ! http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=83.138.173.11&action%3ASearch=Search

senderbase_IP_080811.jpg

 

De même chez McAfee : http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=83.138.173.11

 

mcAfee_IP_080811.jpg

Partager cet article

Repost0

commentaires