Bug #598
ouvertSpam sur la newsletter "Confirmez votre inscription à la newsletter"
0%
Description
Reconstitution des faits :
17 oct 2025 : possible premier pic d'inscription spam (voir PJ)
21 oct 2025 : pic d'inscription spam (voir PJ)
21 oct 2025 : Élodie se plaint sur Slack qu'on reçoit des faux messages de NL
22 oct 2025 : Patrice installe WP Armour HoneyPot (à 3.23pm), ça ne suffit pas
24 oct 2025 : Patrice supprime le widget d'inscription à la NL du footer (à 1.50 am) et purge le cache home
24 oct 2025 : Patrice fait un ticket DSI (toujours dans la nuit)
24 oct 2025 : Réponse de la DSI (8h10). La DSI bloque les adresses gmail vers newsletter@ (19h11)
28 oct 2025 : Levée du blocage à 12h15, reprise du spam
29 oct 2025 : On réalise que le formulaire peut encore être actif dans le cache de bunny
29 oct 2025 : Patrice purge le cache de bunny (dans l'aprem)
29 oct 2025 : Guillaume réalise que les mails de spam sont dans Brevo
30 oct 2025 : restriction des mails selon les patterns de texte (vers 11h ou plus)
Remarques générales :
- L'objet des mails est toujours "Re: Confirmez votre inscription à la newsletter"
- Il y a plusieurs textes différents, parfois en anglais parfois pas
- Presque tous les mails sont utilisés plusieurs fois pour écrire du spam
- Les spammeurs sont passés par le formulaire d'inscription NL
- La page https://www.inserm.fr/inscription-confirmee/ témoigne que les robots on cliqué le mail : ils ont validé le double opt-in
- C'est bien des adresses gmail légitimes qui écrivent : c'est de vrais compte gmails de spam
A confirmer :
- Dans Brevo, les adresses de spam suivent un pattern : elles cliquent tous les liens du mail et pas juste celui de confirmation
- Par contre, il y a un décalage temporel entre l'ajout dans Brevo, le moment où le mail est ouvert, et celui où il est cliqué
Fichiers
| vue-90-jours.png (67,3 ko) vue-90-jours.png | Affichage de la page "inscription confirmée" sur 90 jours (au 30 oct), on voit bien qu'il y a un pic inhabituel sur le 17 et 21 oct | ||
| vue-annuelle-semaine.png (60,6 ko) vue-annuelle-semaine.png | Affichage de la page "inscription confirmée" sur le site, on voit qu'en octobre, il y a une semaine avec un pic | ||
| vue-mois.png (55 ko) vue-mois.png | Affichage de la page "inscription confirmée" sur 1 mois, le pic du 17 et du 21 est visible |
Mis à jour par ggallais il y a environ un mois
Mon action à ce stade :
Nettoyer la base en identifiant qui est un faux contact est ingérable.
Brevo permet pas de filtrer efficacement pour savoir qui sont les contacts qui ont cliqué comme des fous tous les liens.
Donc j'ai extrait les mails des comptes qui nous ont spammé en mail, et j'ai blocké ces mails dans Brevo
Mais vu qu'on arrête les mails coté DSI, on peut pas savoir qui seront les prochains mails pourris à dégager.