[RESOLU] Message traité en spam. Par qui ?

[jean-marie.marioton]

Bonjour
je reçois des mails me précisant qu'ils ont été détectés comme des tentatives de phising (cf. contenu en fin de texte).
J'ai renvoyé ce type de mail à la société qui les émet, la réponse me surprend car ils me conseillent de paramétrer thunderbird pour qu'il accepte les mails de leur origine, alors que je n'ai pas l'impression que ce n'est pas thunderbird qui prend la décision.
Pouvez-vous me confirmer mon analyse ?
Avez-vous besoin du mail au complet avec ses entêtes pour l'analyse ?
En vous remerciant à l'avance pour votre aide.
Cordialement


----
Bonjour,

Le service de protection a détecté une tentative d'abus phishing ou de virus dans ce message.
Le contenu de ce message ainsi que ses éventuelles pièces jointes ont été détruits.

Code technique de la détection: Heuristics.Phishing.Email.SpoofedDomain
Expéditeur originel du message: Monster <jagent@route.monster.com>


Merci pour votre confiance.

----------------------------------------
Ce message est envoyé automatiquement.
Merci de ne pas y répondre: votre demande ne pourra être traitée.

[svobado]

hello
ça sent le piège
ne pas faire ce qui est écrit
------> poubelle

[jean-marie.marioton]

Bonjour
l'émetteur est la société monster (recherche d'emploi), le message de départ est valide, je cherche qui dans le chemin entre eux (serveurs relais, serveurs de courrier à laposte.net ou thunderbird) taggue ce message
peut-être que l'analyse des entêtes pourraient aider
--------------------------------
From - Thu Jan 30 09:40:43 2020
X-Account-Key: account7
X-UIDL: 7818.XHvn3bCccz305PSTFEypqOgNKDRNz9WJYTHtkZkeQv0=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: jagent@route.monster.com
Received: from 10.128.63.13 (LHLO lpn-prd-vrin012) (10.128.63.13) by
lpn-prd-mstr078 with LMTP; Thu, 30 Jan 2020 06:36:59 +0100 (CET)
Received: from outgoing-mail.laposte.net (outgoing04.lpn.as8677.net [160.92.124.92])
by lpn-prd-vrin012 (Postfix) with ESMTP id 9FD22120029
for <jmmarioton-prof@laposte.net>; Thu, 30 Jan 2020 06:36:59 +0100 (CET)
Received: from outgoing-mail.laposte.net (localhost.localdomain [127.0.0.1])
by mlpnf0107.laposte.net (SMTP Server) with ESMTP id 487Tcq47cZz1qqj3
for <jmmarioton-prof@laposte.net.notmigrated>; Thu, 30 Jan 2020 06:36:59 +0100 (CET)
X-ppbforward: {"queueID":"487Tcq47cZz1qqj3","server":"mlpnf0107"}
X-mail-filterd: 0.4.0.1
X-mail-filterd: 0.4.0.1
X-ppbforward: {"queueID":"487Tcp6zFCz1qqjB","server":"mlpnf0107"}
X-lpn-spamrating: 43
X-lpn-spamlevel: not-spam
Authentication-Results: laposte.net 1;
spf=pass smtp.mailfrom=jagent@route.monster.com smtp.helo=mailman304-q0.sb.monster.com;
dkim=pass reason="good signature" header.d=route.monster.com header.s=bulk header.b=sisQB8;
dmarc=pass reason="Invalid Alignment: DKIM"
X-List-Unsubscribe: <mailto:QAAARDDPOIUT32YEF5K3OP3KAY6RQEB@unsubscribe.monster.com>,
<https://www.monster.fr/profile/emailopt ... mailheader>,
<https://www.monster.fr/profile/emailopt ... mailfooter>,
<http://www.monster.fr/emploi/recherches ... egalfooter>
X-lpn-spamcause: OK, (17)(11000)gggruggvucftvghtrhhoucdtuddrgedugedrfeejgdekudcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfntefrqffuvffgpdggtfgfnhhsuhgsshgtrhhisggvnecuuegrihhlohhuthemuceftddtnecundfotefknffkpffiucdludejmdenucfjughrpefjggfhvfhrfffutgfgsehhsgdttddttdejnecuhfhrohhmpedfofhonhhsthgvrhdfuceojhgrghgvnhhtsehrohhuthgvrdhmohhnshhtvghrrdgtohhmqeenucffohhmrghinhepmhhonhhsthgvrhdrfhhrpdhfrggtvggsohhokhdrtghomhdpihhnshhtrghgrhgrmhdrtghomhdpthifihhtthgvrhdrtghomhdphihouhhtuhgsvgdrtghomhenucfkphepieefrdduvddurddvkedrvdeinecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehhvghlohepmhgrihhlmhgrnheftdegqdhqtddrshgsrdhmohhnshhtvghrrdgtohhmpdhinhgvthepieefrdduvddurddvkedrvdeipdhmrghilhhfrhhomhepjhgrghgvnhhtsehrohhuthgvrdhmohhnshhtvghrrdgtohhmpdhrtghpthhtohepjhhmmhgrrhhiohhtohhnqdhprhhofheslhgrphhoshhtvgdrnhgvth
X-lpn-mailing: MCE
Received: from mailman304-q0.sb.monster.com (mailman304-q0.sb.monster.com [63.121.28.26])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mlpnf0107.laposte.net (SMTP Server) with ESMTPS id 487Tcp6zFCz1qqjB
for <jmmarioton-prof@laposte.net>; Thu, 30 Jan 2020 06:36:58 +0100 (CET)
Received: (qmail 34053 invoked from network); 30 Jan 2020 05:36:56 -0000
Received: from bossnat-10.105.199-2.be.monster.com (HELO netappb304) (10.105.199.242)
by mailman304-q0.sb.monster.com with SMTP; 30 Jan 2020 05:36:56 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=route.monster.com;
h=From:To:Subject; q=dns/txt; s=bulk; t=1580362616;
bh=kBpnMG6xarhz9+aLOAS/V+Ctk7lOOf6SzTAeacbmEzw=;
b=sisQB8TqCN1JjF466hOWV5SkevYNr42FMw6uj4FCq4QliBbRua/ss70TZoVg5a9UjbcVavLzwQ/dL1S0fBTM66gBUz1mbQfnhHpzYDEcR3r4cUVBxqpVATrsJ0ZeFhTf5OjW7oG7xCT/7E+dLpOUR3DLCNlvTAVEFK+vnOSBzzk=
X-rpcampaign: monsteragent20200130
X-Rptags: NEW,120
List-Unsubscribe: <mailto:QAAARDDPOIUT32YEF5K3OP3KAY6RQEB@unsubscribe.monster.com>,
<https://www.monster.fr/profile/emailopt ... mailheader>
MIME-Version: 1.0
From: "Monster" <jagent@route.monster.com>
To: jmmarioton-prof@laposte.net
-----------------------------------------------

[Bob49]

Salut

C'est le système anti-pistage du webmail qui le traite comme spam...

Chez Laposte.net, c'est très rare, chez Orange, c'est fréquent...

Si tu es en imap, tu peux le mettre comme "acceptable"... En pop, faut allé sur le webmail et habitué son système anti-span...
Mais cela ne modifie pas le titre du message...

Ton message est bon. À partir du moment que l'on demande rien et pas de réponse à effectuer, ce n'est pas un spam. Et qu'il n'y a pas de pièce jointe à télécharger...

[Agent virtuel]

Bonjour

Le Code technique de la détection: Heuristics.Phishing.Email.SpoofedDomain c'est votre ? antivirus

https://en.wikipedia.org/wiki/Heuristic_analysis