Tentative de piratage de mail ? Problème de configuration

Dev
1

Hey, je viens vous demander de l’aide pour un sujet « messagerie » que je ne comprends pas.

Cette semaine j’ai transféré un mail de ma boite à papi et mamie, qui sont donc des gens de confiance.
Immédiatement j’ai un serveur smtp de wanadoo qui m’indique qu’un utilisateur n’a pu recevoir ce message.
Cet utilisateur, je ne le connais pas. Ni mamie ni papi, d’ailleurs. Bizarre.

J’ai envoyé depuis un mail anonyme un mail vide à cet inconnu, j’ai bien eu le même retour du serveur smtp. Je pense donc que c’est bien un serveur smtp de wanadoo qui m’écrit. Maintenant la question c’est pourquoi cet inconnu est associé à nos mails ?

Les protagonistes intègres sont moi, papi, mamie. L’inconnu est nommé intrus ci-dessous : j’ai anonymisé les mails et identités. Pour l’intrus en vrai j’ai un mail complet prenom.nom@orange.fr
Personne ne connaît ce nom prénom dans la famille.

Je copie-colle ici la trace reçue.

De:MAILER-DAEMON@me-wanadoo.net MAILER-DAEMON@me-wanadoo.net
22/09/2020 (il y a 2 jours)
À: Moi

This is the mail system at host mwinb2d03.me-wanadoo.net.

I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

               The mail system

intrus@orange.fr: host
front5c-smtp-internal.me-wanadoo.net[10.223.3.96] said: 550 5.1.1 Adresse d
au moins un destinataire invalide. Invalid recipient. OFR_416 [416] (in
reply to RCPT TO command)

message/delivery-status

Reporting-MTA: dns; mwinb2d03.me-wanadoo.net
X-SMTP-Server-Queue-ID: B04A51800091
X-SMTP-Server-Sender: rfc822; moi@pm.me
Arrival-Date: Tue, 22 Sep 2020 16:52:22 +0200 (CEST)

Final-Recipient: rfc822; intrus@orange.fr
Action: failed
Status: 5.1.1
Remote-MTA: dns; front5c-smtp-internal.me-wanadoo.net
Diagnostic-Code: smtp; 550 5.1.1 Adresse d au moins un destinataire invalide.
Invalid recipient. OFR_416 [416]

text/rfc822-headers

Return-Path: moi@pm.me
Received: by mwinb2d03.me-wanadoo.net (SMTP Server, from userid 1001)
id B04A51800091; Tue, 22 Sep 2020 16:52:22 +0200 (CEST)
Received: from mwinf5c21 (mwinf5c21 [10.223.111.71])
by mwinb2d03 with LMTPA;
Tue, 22 Sep 2020 16:52:22 +0200
X-Sieve: CMU Sieve 2.3
Received: from mail-40134.protonmail.ch ([185.70.40.134])
by mwinf5c21 with ME
id X2sM2300K2tgJU9012sMf6; Tue, 22 Sep 2020 16:52:22 +0200
X-bcc: papi@orange.fr
X-ME-bounce-domain: orange.fr
X-ME-engine: default
X-me-spamcause: (0)(0000)gggruggvucftvghtrhhoucdtuddrgedujedrudeggdekudcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfogfdpggftiffpkfenuceurghilhhouhhtmecugedttdenucenucfjughrpeffvffhrhfukfgjfhggtgesrgdtreertddtjeenucfhrhhomhepofgrthhthhhivghuucfqpffhtfetjgcuoehmrghtthhhihgvuhdrohhnfhhrrgihsehpmhdrmhgvqeenucggtffrrghtthgvrhhnpeelleetkeeggeegiedtueeftdffhefggeeivedtfffgffeiiedtueetffehkeehffenucffohhmrghinhepmhhjthdrlhhupdhgohhoghhlvgdrtghomhdpthhouhhlohhushgvqdifvghltghomhgvrdgtohhmpdhguhhiuggrphdrtghonecukfhppedukeehrdejtddrgedtrddufeegnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehhvghlohepmhgrihhlqdegtddufeegrdhprhhothhonhhmrghilhdrtghhpdhinhgvthepudekhedrjedtrdegtddrudefgedpmhgrihhlfhhrohhmpehmrghtthhhihgvuhdrohhnfhhrrgihsehpmhdrmhgvpdhrtghpthhtohepugdrsghrihhghhhtohhnsehorhgrnhhgvgdrfhhrpdhrtghpthhtohepugguuhhplhgvshhshiesohhrrghnghgvrdhfrh
X-me-spamlevel: not-spam
X-ME-Helo: mail-40134.protonmail.ch
X-ME-IP: 185.70.40.134
X-ME-Entity: ofr
Date: Tue, 22 Sep 2020 14:52:14 +0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=pm.me; s=protonmail;
t=1600786340; bh=r4iDJDKgWamX2hJFdTCE/DEzrfMCM8mhaJd5kCxeGQg=;
h=Date:To:From:Reply-To:Subject:In-Reply-To:References:From;
b=Zp6HV9NvlbRsq7c+n2SQGrKBiojiqQMjSw17ozJTraeLpjS51O40QmAMCSNy5KM8e
icNNduYZmu/bq3AaJZIa+j7AqtK2BXoxM1uirPOAJkkSv0N3HSUCynCHM89V59pokS
H2k2rJidrcjGOAoaY8Zk648Rj9Y6SsiDhszGnuFxmz92zlGXprmNokvTNyxKbdtlQ7
GV8P4HBhHDI2UKOn7RoThg/lI2N0OKsBUo79rsDDpTPR6nORfSXG9iY3FCjvz948AP
gvG11Dgg0k7A6V9nqYZk2coyeZCwDjZv3o/rgqu+VFXL26wNchEzrXJQbeTqdms1/G
GzetNr8IH5KPw==
To: papi papi@orange.fr, mamie mamie@orange.fr
From: moi moi@pm.me
Reply-To: moi moi@pm.me
Subject: =?utf-8?Q?Tr:_Paiement_confirm=C3=A9_pour_votre_commande_R4HK3S?=
Message-ID: W85KJtll-f57aFjXDx93Zk_Y5UHW_lcSujAqOutmE8WGwyULXD3N7wg3hFy4rVVIOQyByPfP74EqgUqjsBTHP1qgz9Eiz58pDLymK29PkQI=@pm.me
In-Reply-To: efc655e2.BAAAAQ7WH0gAAAAAAAAAAKfyEDQAARpdUnEAAAAAAAeZAgBfag7T@mailjet.com
References: efc655e2.BAAAAQ7WH0gAAAAAAAAAAKfyEDQAARpdUnEAAAAAAAeZAgBfag7T@mailjet.com
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=« b1_iWv4Hipw4TSoPaFMovcsu1JqGgNMkA1z7q7x3yPfO64 »
X-Spam-Status: No, score=-0.2 required=10.0 tests=ALL_TRUSTED,DKIM_SIGNED,
DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HTML_MESSAGE,URIBL_GREY
shortcircuit=no autolearn=disabled version=3.4.4
X-Spam-Checker-Version: SpamAssassin 3.4.4 (2020-01-24) on
mailout.protonmail.ch

2

Bon comme d’habitude, il manque plein d’info dans ton histoire et comme tu as édité le message d’erreur, je ne sais pas si c’est de l’édition normale ou si c’est effectivement un vrai soucis.
Questions:

  • Quel est ton FAI?
  • Quel est ton fournisseur de service email si ce n’est pas le FAI?
  • Quel est ton serveur SMTP (question non applicable si tu utilises un webmail)?
  • Peux tu nous fournir les headers du mail que tu as envoyé a tes grand parents?
  • Est ce que tes grand parents ont reçu le mail?

Pour info, me-wanadoo.net n’appartient plus a orange si j’en crois les informations whois.
D’apres ce que je comprends des headers, tu as envoyé ton email via le serveur SMTP protonmail.ch qui l’a lui même relayé a me-wanadoo.net (ce qui est une erreur, le MX de orange.fr est smtp-in.orange.fr)
T’as essayé d’envoyer un mail a d’autres personnes, une personne orange.fr et une personne autre.tld ?

3

je n’ai rien touché au message d’erreur hormis les emails pour des soucis de confidentialité.

Mon FAI est orange mais on s’en fout car mon fournisseur de mail est pm.me (protonmail) et que je suis sur le webmail uniquement.
les grands parents ont bien reçu le mail.
papi a dit avoir déjà eu ce genre de message d’erreur avec le même mel d’intrus dedans.
papi et mamie sont chez orange et utilisent uniquement leur email orange.fr comme indiqué dans le mail ci-dessus.

c’est quoi la balise pour le code ? pour bien formater mon copier-coller ?

4

Papi et Mamie se sont pas fait hack leur boite mail ? dans la config de la boite, y’a pas un transfert automatique des mails reçus vers l’adresse intrus@orange.fr ?

5

C’est ce que je soupçonne mais ils sont loin, uniquement sur iPad et iPhone alors je vois pas comment obtenir un visu de leur conf.

6

« Allo papi ? j’ai peur que ta boite ait été piratée… tu peux me filer ton mot de passe stp ? on le changera demain quand j’aurai vérifié », ça marcherait pas ?

7

Il serait bien de verif dans la config de redirection (ici) de la boite mail orange de tes grand-parents qu’il n’y a pas un adresse de transfert qui n’a rien à y faire.

8

Comme je l’ai écrit, ils utilisent que leur iPhone et iPad: donc quid de l’intervention à distance ? (suis sous Android et Linux).
Après je pourrais me connecter à leur espace client Orange, tout doit être en ligne mais la dernière fois que j’ai voulu accéder à l’iPhone du papi, j’ai eu une fin de non recevoir genre le FSB incarné, donc je me sens bloqué là. J’espérais que vous puissiez évoquer un diagnostic clair sans aller fouiller leur matos.

9

Dit leur se cliquer sur le lien de mon message précédent et de te dire ce qui spécifié dans la case « transfert de mails ». Si ils ne sont pas log sur le compte orange dans le navigateur ça leur demandera de s’authentifier et il leur faudra ensuite de nouveau clic sur le lien.
Je ne connais pas de solution de prise de main à dist sur un iPad.

1 « J'aime »
10

Merci je vais leur demander cela.

11

En général les redirections de mail comme ca sont au niveau serveur, pas sur le client. Du coup t’as pas besoin de l’ipad pour regarder. Il faut que tu accèdes à leur boite mail en ligne, et checker s’il n’y a pas de redirection.
Je commencerai par la.

12

Je valide, une redirection ça ne sera pas sur l’iPhone ou l’iPad mais bien sur le webmail (ou éventuellement sur un PC qui reste tout le temps allumé)

13

J’attends le retour du papi sur son compte mail Orange. Un jour…cela ne semble pas le déranger qu’eventuellement ses mails partent ailleurs, ça me sidère.

14

Ce sujet a été automatiquement fermé après 730 jours. Aucune réponse n’est permise dorénavant.