Aller au contenu
percherie

Phishing Paypal à bloquer

Recommended Posts

Bonjour,

 

De manière occasionnelle je reçoit une tentative de phishing concernant Paypal. De mon coté je vais prendre en compte les infos du mails pour bloquer toutes nouvelles réception mais pouvez-vous en faire profiter l'ensemble des abonnés Yulpa ? Voici l'en-tête du mail reçu dont j'ai supprimer mon adresse courriel.

Pour information, les liens du mail pointe vers le serveur https://epl.paypal-communication.com/ et le mail est parti du serveur mta110b.pmx1.epsl1.com qui n'a rien à voir avec paypal.com

Return-Path: bounce-HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr
Received: from zose-mta-hub-in-01.w4a.fr (LHLO zose-mta-hub-in-01.w4a.fr)
 (10.101.13.61) by zose-store12.web4all.fr with LMTP; Sun, 7 Jan 2018
 04:08:05 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
	by zose-mta-hub-in-01.w4a.fr (Postfix) with ESMTP id C412280E18
	for <mon.mail@supprimer.fr>; Sun,  7 Jan 2018 04:08:05 +0100 (CET)
X-Spam-Flag: NO
X-Spam-Score: -1.098
X-Spam-Level:
X-Spam-Status: No, score=-1.098 required=4 tests=[ALL_TRUSTED=-1,
	BAYES_05=-0.5, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
	HTML_IMAGE_RATIO_06=0.001, HTML_MESSAGE=0.001, SE_REJECT=8,
	SPF_PASS=-0.001, URIBL_BLOCKED=0.001, USER_IN_DEF_DKIM_WL=-7.5]
	autolearn=no autolearn_force=no
Authentication-Results: zose-mta-hub-in-01.w4a.fr (amavisd-new);
	dkim=pass (2048-bit key) header.d=mail.paypal.fr
Received: from zose-mta-hub-in-01.w4a.fr ([127.0.0.1])
	by localhost (zose-mta-hub-in-01.w4a.fr [127.0.0.1]) (amavisd-new, port 10032)
	with ESMTP id Z85mR-MR-8xq for <mon.mail@supprimer.fr>;
	Sun,  7 Jan 2018 04:08:05 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
	by zose-mta-hub-in-01.w4a.fr (Postfix) with ESMTP id 55A3481447
	for <mon.mail@supprimer.fr>; Sun,  7 Jan 2018 04:08:05 +0100 (CET)
X-Virus-Scanned: amavisd-new at zose1.web4all.fr
Received: from zose-mta-hub-in-01.w4a.fr ([127.0.0.1])
	by localhost (zose-mta-hub-in-01.w4a.fr [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id LedwYjNXxwSb for <mon.mail@supprimer.fr>;
	Sun,  7 Jan 2018 04:08:05 +0100 (CET)
Received: from mut-mta1-se01b-fr.yulpa.io (mut-mta1-se01b-fr.yulpa.io [185.49.22.250])
	by zose-mta-hub-in-01.w4a.fr (Postfix) with ESMTPS id 2DB5081290
	for <mon.mail@supprimer.fr>; Sun,  7 Jan 2018 04:08:05 +0100 (CET)
Received: from mta110b.pmx1.epsl1.com ([142.54.244.110])
	by mut-mta1-se01b-fr.yulpa.io with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.89)
	(envelope-from <bounce-HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr>)
	id 1eY1Jc-000Vk8-DF
	for mon.mail@supprimer.fr; Sun, 07 Jan 2018 04:08:05 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.fr;
	s=pp-epsilon1; t=1515294484;
	bh=Icb4As+eCUXbN6Ld1aJSuv+kgY8NYgEsDbl8xpEL/Q0=;
	h=MIME-Version:Subject:From:To:Date:Content-Type;
	b=Ud+fdX761xmmFkiI/+71l87XLd5NK0451YsSIlnSeOdE+dRe6v90GZoCbkr+DCrkO
	 C3cUkaVmXCASFb73Mm5bAz65LdtV+V+dQBz9vP1h8Tg7Kz8FzrYvFje7qH3UpU0/aY
	 wknsLiOTHdNasCP15VYGqIqmvV4fiv0pc5BBhnzA3nSnzQPzj6jMLtQpgOPxGNYRWt
	 djHLEJDZ9pvI9Z6sVEWsrkCoSthqkMB2caMJ/9JHL/zYSqKjmdA35zbb/dUzHLepcE
	 cldhA3Og/dQp3RyAO8GFQWTQ2hr22VkIBzxZcVNtQ8MV1F3kPvt+jvbq4JG2PZBhNk
	 54UkBqTSft25g==
Received: from [10.233.18.43] ([10.233.18.43:42774])
	by pc1udsmtn2n17 (envelope-from <bounce-HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr>)
	(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
	id C3/D8-30725-41F815A5; Sun, 07 Jan 2018 03:08:04 +0000
List-Unsubscribe: <mailto:bounce-HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr?subject=list-unsubscribe>
Message-ID: <HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr>
MIME-Version: 1.0
Reply-To: "noreply@mail.paypal.fr"
 <noreply-HP2v400000160ce96dacba6afa06e965fd798097@mail.paypal.fr>
Subject:
 =?UTF-8?Q?Consultez_les_transactions_r=C3=A9centes_sur_votre_compte?=
From: "PayPal" <paypal@mail.paypal.fr>

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello !

les headers semblent légitimes ici, le mail a été signé via la clé DKIM de mail.paypal.fr et correctement validé par le serveur entrant de Yulpa, l'expéditeur a donc la main sur la clé privée DKIM de Paypal, donc probablement légitime.

epsl1.com est visiblement le prestataire gérant les mails Paypal :

mail.paypal.fr. 3599 IN MX 5 pmx1.epsl1.com.

 

le whois du domaine paypal-communication.com :

Registry Registrant ID: 
Registrant Name: Domain Administrator
Registrant Organization: PayPal Inc.
Registrant Street: 2211 North First Street, 
Registrant City: San Jose
Registrant State/Province: CA
Registrant Postal Code: 95131
Registrant Country: US
Registrant Phone: +1.8882211161
Registrant Phone Ext: 
Registrant Fax: +1.4025375774
Registrant Fax Ext: 
Registrant Email: hostmaster@paypal.com

 

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Autant pour moi, tout laisse à croire que ça pouvait être une correspondance illégitime mais je n'avais pas poussé les recherches jusqu'à whois.


Merci d'avoir corrigé mes informations

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant


×