Finalement le spam s’est arrêté (queryline.fr)

Je ne sais pas si ça a eu des conséquences pour vous mais j’en suis à deux jours sans spam.
Avoir reporté auprès des hébergeurs qu’un de leur client était un spameur qui ne respecte pas les désinscription a suffi à déclencher une réaction.
Pour trouver les sociétés en question j’ai utilisé whois; si vous n’avez pas un unix sous la main il existe des services de whois sur Internet. Dans les informations intéressantes il ya l’adresse abuse du registar (la personne qui a vendu le nom de domaine) et l’adresse du technical, un peu de google et de societe.com et j’avais déterminé que en fait il y avait trois société individuelles derrière le flux de spam dont deux dont les dirigeants portaient le même nom de famille. Ça sentait donc un peu le camouflage.
En fait j’ai trouvé les noms des sociétés en cherchant sur les liens de désinscriptions qui étaient en http://links.domain.fr et http://red.domain.fr les fameux domain.fr dans whois.
un bon whois sur internet

complément pour les curieux un peu geek.
Rien n’oblige le spameur d’avoir ses serveurs et les noms de domaine à la même adresse. Une base existe facilitant la recherche des adresses « abuse » des hébergeurs.

root@vps:/etc/fail2ban# host queryline.fr
queryline.fr mail is handled by 10 bounce.queryline.fr.
root@vps:/etc/fail2ban# host bounce.queryline.fr
bounce.queryline.fr has address 52.42.167.110
root@vps:/etc/fail2ban# host -t TXT 110.167.42.52.abuse-contacts.abusix.org
110.167.42.52.abuse-contacts.abusix.org descriptive text "abuse@amazonaws.com"

Si le nom de domaine est chez OVH l’hébergement est chez amazon.

25 réflexions sur « Finalement le spam s’est arrêté (queryline.fr) »

  1. ffkk

    Bonjour,

    Ils continuent leurs pratiques abusives et exploitent des adresses non-optin.
    Impossible d’accéder à ses données ou à faire supprimer son adresse.

    Voici la société responsable : Lipsky Media moderateur : dans mon cas il s’agissait d’une autre societe pas de noms dans les commentaires

    Et bien sûr, hebergés chez OVH, connus pour sa complaisance envers les spammeurs

    Moderateur : avez vous signalé à ovh ? Le spam s’est tari suite a un mail a ovh ..

    Bon courage

    Répondre
  2. ffkk

    On remonte pourtant assez facilement jusqu’à la société ——- à partir du domaine queryline.fr.

    Je n’effectue plus de signalement à OVH depuis longtemps puisqu’il est de notoriété publique qu’elles ne sont pas traitées (selon son directeur, ce n’est pas à sa société de subir les coûts de traitement de ces signalements…).

    Dans votre cas, je pense plus à un coup de chance…

    Bonne continuation

    Répondre
  3. Bertrand Auteur de l’article

    De fait oui..
    Mais queryline n est pas l emetteur. Il s’agit d’autres société dont une au moins dont le gernt porte le même nom de famille.

    Il faut donc retrouver dans le corps du message les domaines des images et liens a cliquer.
    Et la on trouve des paquets de domaines avec toujours ou presque les même i.terlocuteurs dans le whois.

    C est une de ces societes qui a fait de ma part l’objet d’une signalisation a abuse@ovh.org
    Et le spam a chutté dès le lendemain.

    Répondre
  4. laserboard

    Bonjour
    une signalisation à abuse@ovh.org a fait chuter le nombre spam, à un niveau presque acceptable. Dans le même temps j’ai signalé à la CNIL (https://www.signal-spam.fr/). Comme j’ai reçu encore un petit spam ce matin (un seul au lieu des 8 ou 9), j’ai signalé à infomaniak. On verra si cela tarit définitivement le torrent de SPAM.
    Je pense qu’il est possible aussi de s’adresser aux annonceurs « connus » afin qu’eux aussi, saisissent l’enjeu. En effet, j’ai reçu un certains nombre de spam pour des voitures de marques connues (P…., R…., V….). Et je pense un jour leur dire que je n’achèterai pas chez eux vu les spams reçus. Je pense qu’ils ont, eux, des services juridiques qui se feront un plaisir de gérer ça…

    Répondre
  5. Sam

    Bonjour !
    Un tuto un peu plus clair pour les non-initiés ? Je ne m’y retrouve pas dans les en-têtes des spams donc je n’arrive pas à cibler mes recherches d’expéditeur. Le fait de signaler à signal-spam ne change rien et j’en suis à 10 spams par jour, je suis excédé.
    Merci !

    Répondre
  6. jpharpon

    Depuis un bon moment, je recois des spam très divers. dont je me désabonne systématiquement par la procédure généralement située en bas de page du spam. L’adresse de l’expéditeur est toujours différente mais commence toujours par : red. exemple: http://red.communicactif.fr . Ca ne sert à rien de bloquer l’expéditeur: l’expéditeur du message suivant a un nom différend, toujours commencant par red. ex: http://red.oraita.fr/ . il faudrait que je puisse interdire tous les expéditeurs dont le nom commence par : red. , mais ma messagerie (incredimail) ne permet pas de faire ça,ou en tout cas ça ne marche pas: quelqu’un sait il comment stopper définitivement cet envahissement? je pense que la régie publicitaire qui gère les spams en question se met en conformité avec la loi en permettant de se désabonner, mais la contourne en créant à chaque envoi un nom d’expéditeur différend. Et SFR ne doit pas être étranger à tout ça, car red est une « marque » largement utilisé par SFR…

    J’ai quitté SFR il y a peu, (très mauvaise reception des GSM, Femto box qui se connecte quand elle a le temps, frais rajoutés sans accord de ma part comme l’accès à ldes chaines sportives dont il est impossible de se désabonner,la location de la vieille box NEUF que j’avais depuis 8 ans devient tout à coup payante etc) mais les messages de pub continuent. quelqu’un a-t-il une idée pour bloquer définitivement ce flot de spam red???

    Répondre
    1. Bertrand Auteur de l’article

      Quelque part rassurez vous, ca n’a aucun rapport avec vos anciens abonnements.
      Il s’agit le plus souvent des adresses decouvertes en générant des adresses a partir d’un dictionnaire et des interrogations des serveurs de messagerie.
      C’est bien sur illégal.

      Répondre
  7. Patrick

    [Rappel ici ce n’estpas twitter on ne fait ni dénonciation ni appel à la vengeance]

    Attention,
    Ne répondez jamais à un de ces mails. Quand vous visualisez la page source, vous trouvez en bas de page tous vos mails courants aspirés dans le code. Si vous répondez, ils ont accès à tous vos contacts et autres données non protégées (style, je parle de ma carte bleu, ou du code d’accès à mon compte bancaire, etc…). Pratique, bien entendue, totalement illégale !
    [désolé mais ce n’est pas le cas]
    Pour info, le domaine queryline est géré par la société ….. Un petit tour sur LinkedIn vous permet de trouver le CEO, …, ainsi que le responsable technique, …. , enregistré dans le Whois.
    [Ni vengeance ni délation le reste est censuré]

    Répondre
  8. Bricede nice

    Je suis désolé mais ce blog n’a pas pour objet de dénoncer une société, mais le but de partager des savoirs. Je ne publierai donc qu’une version raccourcie du Post dans la mesure où elle démontre la démarche à suivre. La publication de l’ensemble du POST aurait plus sa place sur un site de défense des consommateurs par exemple

    cordialement.


    Je confirme ………… qui adresse ce genre de mail/spam. J’en veux pour preuve que j’envoie systématiquement depuis 1 semaine ce mail type au annonceurs.
    « Madame, Monsieur,
    Depuis plusieurs mois, je reçois régulièrement, sans mon accord, des [mails/spams] qui polluent ma boite mail.
    Vous faite visiblement router vos mails par la ————————–

    Cette société ne respecte pas la directive européenne 2002/58/CE qui indique qu’un consentement préalable est obligatoire à l’envoi de ce type de [mails/spams]. Elle ne tient pas compte des multiples demandes de désabonnement. Sachez que je boycotte systématiquement les marques qui envahissent ma boite mail sans mon consentement.
    Ainsi, je vous demande de bien vouloir faire cesser l’envoi de ces [mails/spams] par l’intermédiaire de cette société et je vous engage à ne plus les solliciter.
    Je vous prie de croire, Madame, Monsieur, mes cordiales salutations. »

    Je reçois des réponses systématiques des annonceurs qui s’excuse et m’explique qu’ils vont faire cesser ces envois … Et bien CA MARCHE, au bout de 2 jours moitié moins de mails/spam et depuis 3 jours plus rien !!!!
    Ne pas oublier de dire ceci aux annonceurs « Sachez que je boycotte systématiquement les marques qui envahissent ma boite mail sans mon consentement ». Par retour de mail ne pas oublier de leur dire que ————- leur fait payer pour des services qui n’existe pas.

    A vos mails


    donc à vos whois et oui la première victime est l’annonceur qui croit payer un service qui n’existe pas.

    Répondre
  9. rototort

    Coté client, sous thunderbird,
    ————-
    – il faut créer une Règle (Outils.Filtres de messages)
    – D’abord compléter les filtres (en sélectionnant le champ « Personnaliser… ») en ajoutant l’entête « Reply-To »
    – Ajouter une règle sur sur filtre avec la valeur « abuse@queryline.fr » ou contient « queryline.fr »
    – Choisir l’action déplacer vers indésirable lors de la réception

    il y a aussi moyen d’étudier plus finement les messages (de m*rd*) en affichant le code source du message, par exemple les emetteurs red.xxx.yyy
    « List-Unsubscribe » contient « ://red. »

    et les filtres sur le corps du message « volet roulant », « monte escalier », « Skoda », … etc…

    Coté Serveur,
    —————–
    c’est un peu difficile de créer des filtres élaborés, sfr propose un filtre sur l’email (ou domaine) de l’émetteur et sur le titre, ce qui permet un préfiltrage pas infaillible…

    Répondre
  10. labiv

    Bonjour,

    J’ai réalisé un signalement à infomaniak car tout ce que je peux savoir c’est que les noms de domaine derrière ces spams sont chez eux.

    Un petit échantillon :
    – red.sulgom.fr, red.fashionistyle.fr, red.lugbir.fr, red.gumlas.fr, red.rgam.fr, red.lastha.fr
    – link.coleading.fr, link.designmode.fr

    Vérifier que le nom de domaine appartient à infomaniak
    => https://www.infomaniak.com/fr/domaines/whois
    Leur faire un signalement
    => https://www.infomaniak.com/fr/support/contact/email

    Je pense que ça n’a aucun rapport avec sfr. « red » pour redirection et « link » pour lien.

    C’est illégal que cette société ne prenne pas en compte les demande de désabonnement.

    Bon courage à vous pour supprimer cette pollution …

    Répondre
    1. Bertrand Auteur de l’article

      Visiblement le spameur a changé ses hébergeurs il utilise maintenant googledomains pour inscrire ces domains en red etc .. et ovh comme hébergeur
      En attendant vous pouvez signaler à googledomains qu’un de leur client est un affreux spamer afin de le forcer à cahnger tous ses domaines … cloud-dns-hostmaster@google.com
      pour ovh les domaines sont renvoyés sur e10-webmxt.emslip.com les domaines emslip.com et emslip.net sont au noms de « Beverly Hills Editions ».
      Société en liquidation judiciare à Levallois Perret
      La boîte fermée en france existe visiblement toujours en espagne à Barcelone et vu le nombre d’offre de stage ça sent aussi l’exploitation des petits jeunes.
      Margoulin de chez margoulin ..

      Répondre
  11. labiv

    Bonjour,

    infomaniak a répondu à mon signalement :

    *Nous avons malheureusement rapporté le cas plusieurs fois au détenteur de ces domaines mais il ne semble pas réagir à nos envois.*
    *Il nous n’est pas possible de bloquer les envois car ils s’effectuent via un serveur externe à notre infrastructure.*
    *La solution finale serait de contacter l’afnic (https://www.afnic.fr/) pour qu’ils prennent des dispositions plus radicales.*

    Du coup je vais tenter l’afnic.

    Répondre
    1. Bertrand Auteur de l’article

      Bravo pour le courage,
      Mais la structure de l’empilement de société est aussi obscure que pour un compte offshore. J’ai l’impression qu’il y a un vaisseau mère et plusieurs vaisseaux indépendants.
      La piste d’infomaniak de tracer quelle est la machine origine peut être un autre point d’entrée. spamcop peut aider à retrouver l’origine ou le « open relay » utilisé. Avec le développement du cloud c’est devenu plus compliqué à pister, le spameur peut facilement changer d’adresse ip à chaque campagne. Mais peut être … qu’il se camoufle moins et que l’on pourra faire exploser quelques astronefs.

      Répondre
  12. Frédéric

    Bonjour, je suis également confronté (envahi) par des spams émanant de red.news ou autre.

    Après lecture du topic, seul l’action auprès de l’afnic aurait éventuellement une chance de succès ?

    Si on se groupe ça peut aider, donner du poids ?

    Merci.

    Répondre
    1. Bertrand Auteur de l’article

      Bonjour,

      Je ne pense pas que ça suffissent, il pourra tout aussi bien après coup changer méta domain et donc ce ne sera plus l’afnic. On est face à une société qui brouille les pistesy compris en multipliant des sous société. Tout ce qui peut lui compliquer encore plus le boulot est bienvenu mais ce ne sera pas suffisant. A un moment donné il y a des donneurs d’ordre qui doivent certainement payer une régie de pub qui doit ensuite sous traiter et probablement éclater la demande originale vers des web agencies. Il faudrait que les donneurs d’ordres donnent le nom de cette régie de publicitaire et organiser une dénonciation de celles-ci.
      Et ne pas se tromper les premières victimes ce sont les sociétés qui payent pour l’envoi des mails en fait elles achètent du vent.

      Répondre
  13. Frosty

    Salut,

    Pour ma part :

    – Je viens d’envoyer à abuse@slip-software.com un mail demandant une désinscription et une suppression de mes données perso, sans grand espoir

    – J’ai installé l’extension Thunderbird « signal spam » depuis quelque temps déjà

    – J’ai surtout bien analysé les headers pour cibler ces saloperies (« X-Mailer: Slip »), voir mon message sur le forum UniversFreebox : https://forum.universfreebox.com/viewtopic.php?p=647290#647290 au moins comme ça dans Thunderbird je ne suis plus embêté

    Bon courage

    Répondre
  14. labiv

    Joli travail Frosty.

    J’ai aussi installé signal spam et m’efforce de faire les 10 signalements journaliers.
    Finalement c’est signal spam qui va se faire spammer par mes signalements …

    Je vais écrire aussi à http://slip-software.com :
    « Conformément à l’article 38 de la loi « informatique et libertés » du 6 janvier 1978 modifiée, je vous remercie de supprimer mon compte et toutes les données associées. »

    A suivre,

    Répondre
  15. labiv

    Bonjour,

    Il semble que le message envoyé à slip-software est fonctionné.
    Je ne reçois plus aucun spam en « red.* ».
    Il reste quelques spam en « links.* » (un par jour environ) mais c’est beaucoup mieux.

    ++

    Répondre
  16. CdP

    Bonjour,

    J’ai le même problème de spams en links.* et red.* depuis janvier 2019.

    Je suis inscrit à SignalSpam depuis février 2019, je signale tous mes spams, et même si les spams ont été de temps en temps assez fortement réduits, ils reprenaient tout de même ensuite.

    Suite à la découverte des posts ci-dessus, j’ai également envoyé un mail à abuse@slip-software.com, et le volume de spam a chuté.
    A voir si cela persiste dans le temps.

    Un grand merci à Frosty en tout cas, cela fait vraiment du bien de ne plus être autant pollué. 🙂

    Répondre
  17. Paoli

    Bonjour, j’ai lu vos messages avec beaucoup d’intérêt étant moi même harcelée quotidiennement par ces fameux mails “red” (entre 20 et 30 par jour). Du coup en remontant sur Infomaniak (merci pour l’info) appelé le numéro de portable indiqué par la société pour tomber sur un jeune homme désolé de cette situation : c’est bien son numéro mais il n’a rien à voir avec ces “red” et il reçoit plein d’appels de gens furieux ! En faisant des recherches sur internet tous les deux à partir du nom du gérant indiqué sur Infomaniak nous sommes tombés sur sa “maison mère”, (un groupe qui porte le nom d’un charmant petit carnivore roux de nos campagnes). En remontant sur le site web de ce groupe nous avons trouvé un numéro en 01 et là, miracle, nous avons eu en ligne une jeune fille visiblement très embêtée que nous ayons trouvé ce numéro et qui, semblerait-il, a la possibilité de retirer votre adresse mail de leurs listings. Je lui ai quand même dit que je venais de les signaler à googledomains, ovh, Infomaniak et l’afnic (merci également pour toutes les adresses de signalement trouvées sur votre blog) Je ne saurais donc trop vous conseiller de les appeler en direct !
    Merci encore de votre aide. Je croise les doigts pour que mon coup de fil fasse cesser ces spams. Bonne journée

    Répondre
  18. Paoli

    Bonjour, en fait je n’ai pas plus d’infos et je crois que je n’ai pas l’autorisation de vous indiquer le nom du groupe concerné et son numéro de téléphone sur cette discussion.
    En résumé, grâce à vos informations à tous en passant par Infomaniak pour trouver les noms des différentes sociétés envoyant du « red » avec systématiquement le même nom de gérant, j’ai pu remonter jusqu’au groupe abritant ces sociétés. Ensuite, je suis simplement passée par la méthode traditionnelle du coup de fil rageur.
    Pour info sur le suivi, les mails de spmas « red » se sont immédiatement beaucoup espacés mais j’en ai reçu encore quelques uns. Du coup, j’ai rappelé hier. La (nouvelle) jeune fille qui m’a répondu m’a dit qu’elle repassait l’information aux sociétés concernées et m’a conseillé d’appuyer ma demande en envoyant un courrier postal en recommandé à ce groupe. Ce que je vais faire ….

    Répondre
    1. Bertrand Auteur de l’article

      Bonjour,

      Et je vous remercie du respect de mes conditions. Je pense que ce fil de discussion à le mérite de permettre de partager une méthode pour lutter contre les spameurs.
      Et ce blog personel ne donnera jamais d’information individuelle.

      Mais je suis heureux qu’il ait déjà servi à plusieurs personnes à baisser la pression du spam. Dans mon cas totalement, mais c’est reparti par d’autres « vilains » sur une autre adresse.

      En aucun cas je ne

      Répondre
  19. Paoli

    Rebonjour tout le monde, je viens de retomber 9 mois plus tard sur cette discussion et en profite pour vous signaler que la méthode de la lettre recommandée (conformément à l’article 38 de la loi du 6 janvier 78 modifiée, etc…) avec accusé de réception a immédiatement porté ses fruits. Je n’ai plus jamais reçu un mail « red » depuis son envoi en février dernier. Je conseille donc vivement de passer par la bonne vieille voie légale, la seule visiblement qu’ils prennent en compte de peur des sanctions. Bonne journée.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.