Mail fantôme ?

28/12-2006 à 13:52Bjour à tous

Alors que ZDNet indique qu'en décembre 2006, 95 % des mails reçus sont du spam (80 %en 2005),
je reçois depuis une semaine, des mails vides de 0,3 Ko, ne comportant ni expéditeur, ni destinataire, ni objet, ni pièce détachée. Simplement une date et une heure.

Avec Fox-mail et son filtre bayesien, ces mails passent à la trappe et vont rejoindre la poubelle à spam.

Par curiosité, j'ai regardé le code source:
Return path: rserwk @ckn.com ou tnvpit@andreheller.com ou....
Delivered online.fr-monnom@monFAI.fr
Received from 122.47.85.5 (HELO exfk)
by mrelay3-2.free.fr with SMTP (122.47.85.5)

Mes questions:

- Quelle est la nature et l'utilité de ces mails fantômes ? Il y a bien une raison à leur existence.
Je précise que tout mon courrier est reçu et lu en mode texte, que mon AV est mis à jour toutes 4 heures, et sans compter 4 chasseurs de malwares mis à jour quotidiennement.

- S'agit-il de mails envoyés par des PC zombies qui attendent une bien improbable réponse de ma part ?

Bonnes fêtes à tous
--------------------------------
Merci de votre aide pour maintenir ce forum en un espace convivial.
--------------------------------

28/12-2006 à 14:06bonjour

çà semble être du spam, probablement d'origine asiatique ? à confirmer

il y a un post sur ce sujet

http://forums.macfr.com/Reception-de-mail-vide-t20679.html

28/12-2006 à 14:15Bonjour Mic,

Je reçois aussi ces mails vides depuis 2-3 mois. Apparemment aucun filtre standard n'en vient à bout (*)
Spamihilator (qui ne les bloque pas) me dit que ce sont des spams envoyés par moi-même. Or, lorsque je vais voir dans les propriétés du message, il y a bien un expéditeur genre trgfsadhrt@kfyrd.biz, généralement localisé en Asie d'après l'adresse IP. Spamihilator serait-il leurré par un spammeur lui faisant croire qu'il s'agit de 127.0.0.1 (localhost), l'expéditeur de ces mails ?

(*) J'ai créé une règle de message pour ne plus les recevoir. Celle-ci spécifie que si le champ de: ne contient pas a; e; i; o; u; y, le mail doit être supprimé du serveur. Cela a l'air suffisant, puisque depuis 1 mois et demi, plus de mails vides dans mon courrier...
(Par contre, Spamihilator m'en rend compte tous les jours, étant connecté directement au webmail free.fr)

Je n'en sais pas plus...

Modifie par Modifié par quicksilver le 28/

----------

28/12-2006 à 14:57C'est un vieux truc qui date de mars 2001, Exploit.Iframe.FileDownload.
Le principe, le corps du mail apparait vide, en mode texte à tous les coups. Pas de pièce jointe. Le virus est contenu en réalité dans le corps du courrier, mais masqué. (ya aussi la variante avec pièce jointe ouverte automatiquement par IE comme Klez ou Netsky.)
Quand on lit un mail en mode html, le logiciel de messagerie utilise le navigateur pour le rendu du texte, des images, sons, vidéos, etc, mais on ne le voit pas puisqu'on ne sort pas du logiciel de messagerie. Il n'empêche que le logiciel malveillant s'exécute dès l'affichage du mail ou sa prévisualisation en exploitant cette faille Iframe.
Cette faille de sécurité concernait directement Internet Explorer 5 et 5.5, et bien sûr tous les logiciels de messagerie qui utilisaient ces versions de IE.

Modifie par Modifié par grolou le 28/12/20

28/12-2006 à 18:00Merci pour vos réponses

-s.a.a.h: j'ai regardé le forum macfr.com
Mais dans FoxMail, je n'ai pas vu ''Afficher les En-Têtes longs''
Il est seulement possible de voir le code source et l'encodage ''Europe Occidentale''.

Voici d'ailleurs l'un des très brefs codes sources dans son intégralité, les autres sont de la même eau:
Return path: rserwk @ckn.com ou tnvpit@andreheller.com ou....
Delivered online.fr-monnom@monFAI.fr
Received from 122.47.85.5 (HELO exfk)
by mrelay3-2.free.fr with SMTP (122.47.85.5)

-quick: je n'ai pas Spamihilator. Je n'utilise jamais Outlook-Express, ni IE6 ou 5 d'ailleurs
Tjours FoxMail, Ope ou F-Fox. Avec FoxMail, je n'ai pas de règle de filtration, uniquement le filtrage bayésien, qui me vire automatiquement ce type de courrier.

-grolou: je veux bien qu'il y ait une faille de sécurité Iframe concernant IE 5 et 5,5,
mais je n'utilise jamais le navigateur de Microsoft dans aucune de ses versions.

Comme je lis mes mails en mode Texte, le virus resterait invisible, tout en étant présent.
J'ai fait une analyse anti-virale de ces mails et des secteurs critiques de mon DD, sans rien trouver.

D'ailleurs, des utilisateurs de Debian et de Kmail reçoivent aussi de genre de messages vides.

Je ne pige pas bien la fonctionnalité de ces mails vides ?

Bonne soirée

--------------------------------
Merci de votre aide pour maintenir ce forum en un espace convivial.
--------------------------------

Modifie par Modifié par mic69300 le 28/12/

28/12-2006 à 18:13Vu sur un forum:

Même type de problème avec Wanadoo.

Cette erreur (mail vide) est due à la présence dans le corps du message de la chaîne de caractères ".." (deux points qui se suivent) ; cette chaîne de caractères indique par erreur au serveur que le message est terminé.

La fin de ce message est donc considérée comme un nouveau message de format malheureusement erroné. Le message posant problème n'est pas celui indiqué dans l'erreur mais celui le précédent

--------------------------------
Merci de votre aide pour maintenir ce forum en un espace convivial.
--------------------------------