Tuesday afternoon I received the following email from my IP provider:
The Qwest Security Services team has received numerous complaints regarding fraudulent "phishing" Unsolicited Bulk Email (UBE) originating from your account. . . . .
Sample of fraudulent email:
Received: from MY DOMAIN (unknown [MY IP ADDRESS) by mpls-qmqp-01.inet.qwest.ne
t (Postfix) with ESMTP id 4AF8F1A992D; Tue, 25 Aug 2009 04:15:51 +0000 (UTC)
Received: from User ([62.245.183.100]) by MY DOMAIN with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 24 Aug 2009 22:15:50 -0600
From: "PayPal"<comptelimite@payp
al.fr>
Subject: Votre compte PayPal a été limité! [Mardi 25 Août 2009 05:19:56 HAE]
Date: Tue, 25 Aug 2009 06:02:09 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding:
7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <SERVERwJ9DpMR4JQSkx000001
02@MY DOMAIN>
X-OriginalArrivalTime: 25 Aug 2009 04:15:50.0431 (UTC) FILETIME=[BAB622F0:01CA253
A]
To: undisclosed-recipients:;
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <style type="text/css"><!-- body, p, td, div, li, ul, input { font-family:Arial, Helvetica, sans-serif;font-size:12px;
color:#666
;}
--></style> </head> <body>
<table cellpadding="5" cellspacing="0" border="0" width="60%"> <tr> <td align="center"> <table cellpadding="5" cellspacing="0" border="0" width="60%"> <tr><td width="69%"><IMG src="
http://images.paypal.com/en_US/i/logo/email_logo.gif" width=255 height=35 alt="PayPal"
border="0"></td> <td width="31%"> </td> </tr> </table> </tr> <tr> <td background="
http://images.paypal.com/images/bg_clk.gif" width="700"><img src="
http://www.teamsantarosa.com/images/spaceme.gif" width="700" height="8"></td> </tr> <tr> <td align="center"><table cellpadding="10" cellspacing="0" border="0" width="60%"> <tr> <td> Cher client PayPal: <br> <br> Attention! Votre compte PayPal a été limité! <br> <div style="display:none; color:white;">ZeLk23g0r11h
Nhw-z3Pb8b
vWpyI6 -ZoBJzA</div><p> Dans le cadre de nos mesures de sécurité, nous vérifions régulièrement l'activité de l'écran PayPal. Nous vous avons demandé des informations pour la raison suivante: <br> <br> Notre système a détecté des charges inhabituelles à une carte de crédit liée à votre compte PayPal. <br> <br> Numéro de Référence: PP-159-143-391 <br> <br> C'est le dernier rappel pour vous connecter à PayPal. Une fois que vous serez connecté, PayPal vous fournira des mesures pour rétablir l'accès à votre compte. <br> <br> Cliquez ici pour activer votre compte:<br> <br> <a </p><table align="center" bgcolor="#FFE65C" border="0" cellpadding="1" cellspacing="0" width="300"><tr><td><table
align="center" bgcolor="#FFFECD" border="0" cellpadding="4" cellspacing="0" width="100%"><tr><td align="center" class="sansSerif"><a rel="nofollow" target="_blank" href="
http://203.129.33.124/paypal.fr/online-securise/fr_cgi-bin/webscr/cmd=_login-run/">
http://www.paypal.fr/cgi-bin/webscr?cmd=_login-run/</a></
td></tr></
table></td
></tr></ta
ble><br/><
p></a><p>U
ne fois connecté, suivez les étapes pour activer votre compte.<br><br> </p> </p> Département de revue de comptes PayPal .<br><br></p> <P> <b>PayPal Email ID PP308407. <br> Pour plus d'informations sur la protection contre la fraude, s'il vous plaît consulter nos conseils de sécurité.<br> Protégez votre mot de passe.<br> Vous ne devriez jamais donner votre mot de passe PayPal à personne. <br> <b>Copyright (c) 1999-2009 PayPal. Tous droits réservés. <br> PayPal FSA Register Number: 226056. </b> </b><br> </td> </tr> </table> </td> </tr> </table> </body> </html>
Can someone help me decifer what the header of this email means?
And can someone help me narrow this issue down? I have a SBS2003 Server with Exchange 2003, but I don't believe it is coming through exchange. I have 6 other clients on this network also running WinXP. Is anyone familiar with this Paypal Phishing & a sure way of detecting and removing it?
Since recieving the email from qwest, now all my emails are being returned as denied due to Paypal Phishing.
Thank you