Créer une règle anti-hameçonnage dans Claws Mail

[Mia88]

Bonjour,

Je suis envahie de courriers indésirables sur mes 2 comptes Free (malheureux à dire, mais pas avec mon adresse Gmail que j'utilise bien plus souvent ).

J'ai tenté d'ajouter des règles directement depuis le webmail, mais ça ne va pas, des messages légitimes se retrouvent au spam.

J'utilise Claws Mails et je voudrais créer une règle, mes essais sont infructueux.

Voilà pour un mail reçu ce matin, l'affichage de la source :
Return-Path: <no-reply@ouest-france.fr>
Delivered-To: moi@free.fr
Received: from smtp-sdv.ouestfrance-multimedia.com (mx23-g26.priv.proxad.net [172.20.243.93])
by toaster12-g26.priv.proxad.net (Postfix) with ESMTP id 9636ECA0538;
Thu, 11 Feb 2021 14:32:29 +0100 (CET)
Received: from smtp-sdv.ouestfrance-multimedia.com ([14.162.56.159])
by mx1-g20.free.fr (MXproxy); Thu, 11 Feb 2021 14:32:54 +0100 (CET)
X-ProXaD-SC: state=HAM:CommercialEmailGeneric score=17

La première adresse, que j'ai mise en rouge, 172.20.243.93 est présente dans strictement TOUS les mails frauduleux que je reçois, sauf le dernier chiffre qui change.

J'ai essayé de plusieurs façons, mais toujours en remplaçant les caractères qui changent par des espaces, peut-être est-ce mon erreur ?

Condition : from matchcase "172.20.243. "

Condition : from matchcase "(mx -g26.priv.proxad.net [172.20.243. ])"

J'ai aussi tenté en utilisant une regex trouvée sur un site : @zimbra8[23]-e1[45]\.priv\.proxad\.net,
marche pô non plus



Si vous savez comment faire, merci d'avance

[Jennatux]

Bonjour Mia

Je confirme ayant des boites mail Free Orange et Gmail et autres , la seule ou je n'ai jamais eu de problemes, ni piratage est Gmail

[Mia88]

Merci pour ta réponse cyrille,

0/24 doit être la bonne syntaxe, je n'y avais pas pensé et pourtant j'aurais du car j'avais envisagé de bloquer ces IP avec Iptables.
La commande que j'avais trouvée pour englober toutes les possibilités de la dernière plage de l'adresse était :

Code : Tout sélectionner

iptables -I INPUT -s 172.20.243.0/24 -j DROP

J'ai finalement préféré ne pas utiliser iptables que je ne maîtrise mal, je n'étais pas sûre de ce que je faisais.

Mais ça ne fonctionne pas, avec l'étoile non plus.
Je ne dois pas comprendre comment définir la règle, car je me suis rendue compte que même avec l'ip complète (172.20.243.93) ça n'envoie pas le message au spam. Il y a plein d'options différentes, faudrait que je les essaye les unes après les autres.

Je n'y arrive qu'en mettant le nom tel qu'il apparaît dans from, mais pas avec une partie des infos trouvées dans l'affichage de la source.
Le pb c'est que le nom est toujours différent...

Je testerai d'autres possibilités et ferai un retour si je trouve qq chose de concluant

[Mia88]

J'utilise le plugin spamassassin. Il doit faire à peu près la même chose que bogofilter, non ?

Mais le fait que ça ne fonctionne pas avec l'adresse ip complète, me laisse supposer que soit je ne place pas la règle au bon endroit, soit qu'il n'est pas prévu d'utiliser un bout d'info récupéré dans la source du message pour créer une règle.

Je n'ai pas trouvé d'infos pour ce que je voudrais dans le lien de la doc.
En tout cas, même si ça n'a pas marché, je te remercie pour l'adresse ip sous forme de regex, je mets de côté, ça pourra peut-être servir

[Mia88]

Les caractères "172.2.243." sont enfin filtrés pour tous les messages reçus !

J'ai essayé pas mal de possibilités (selon le type de filtrage, les listes déroulantes disponibles sont différentes), et celle-ci fut la bonne :

Dans le champ Critère, je choisissais "Entête" mais c'est "Expression" qui va bien pour donner comme valeur d'entête une partie des renseignements trouvés dans l'affichage de la source...


le champ "dans" doit être sur "valeurs d'en-tête" et pas "entête du message"


Ma dernière erreur était de remplacer les 2 caractères de la derniere plage de l'adresse IP, qui est aléatoire, par des espaces.
Pour l'étoile ou 0/24 proposés par cyrille, ça n'allait pas non plus.
Il suffisait juste ne pas mettre ce dernier champ.

Mais bon, je m'aperçois qu'il y a du courrier légitime avec une ip qui commence aussi par 172.20.243. et du coup avec ce filtre, il va au spam.
Ça n'est pas encore au point comme filtrage...

Je mets tout de même l'attribut résolu puisque j'ai réussi à filtrer ce que je voulais, c'est à dire une partie d'adresse IP qui est affichée lorsqu'on demande l'affichage du code source du message depuis l'onglet Vue.

[alain]

Bonjour.

Sujet archivé (en lecture seule) car résolu.
Si besoin de rouvrir faire un MP à un membre de l'équipe