On 3/20/24 17:38, frnog via frnog wrote:
Depuis plus d'une semaine, quasi plus aucun de nos mail n'arrivent chez free.fr
depuis notre tenant Microsoft Office 365 (Au moins un centaine de mails
quotidiens).
Les IP de M$ sont refusées : LED=451 too many errors detected from your IP,
depuis les IP M$ 40.107.XXX.XXX entre autre.
Voici une des réponses que j'ai fait hier sur ce type d'incident :
---****---
D'après nos logs, voici les statistiques des sessions SMTP établies depuis l'IP
40.107.105.132 :
Mar 5 : 2210 SMTP sessions, 2022 RCPT TO, 142 do not exist ( 7.02%)
Mar 6 : 28482 SMTP sessions, 26408 RCPT TO, 1488 do not exist ( 5.63%)
Mar 7 : 119 SMTP sessions, 112 RCPT TO, 13 do not exist (11.61%)
Mar 8 : 282 SMTP sessions, 264 RCPT TO, 20 do not exist ( 7.58%)
Mar 9 : 96 SMTP sessions, 90 RCPT TO, 2 do not exist ( 2.22%)
Mar 10 : 94 SMTP sessions, 85 RCPT TO, 4 do not exist ( 4.71%)
Mar 11 : 91 SMTP sessions, 88 RCPT TO, 7 do not exist ( 7.95%)
Mar 12 : 294 SMTP sessions, 276 RCPT TO, 15 do not exist ( 5.43%)
Mar 13 : 267 SMTP sessions, 244 RCPT TO, 22 do not exist ( 9.02%)
Mar 14 : 108 SMTP sessions, 98 RCPT TO, 7 do not exist ( 7.14%)
Mar 15 : 2639 SMTP sessions, 2486 RCPT TO, 1363 do not exist (54.83%)
Mar 16 : 27246 SMTP sessions, 24791 RCPT TO, 3787 do not exist (15.28%)
Mar 17 : 22251 SMTP sessions, 20483 RCPT TO, 4475 do not exist (21.85%)
Mar 18 : 15059 SMTP sessions, 14164 RCPT TO, 4005 do not exist (28.28%)
Mar 19 : 19830 SMTP sessions, 18884 RCPT TO, 11721 do not exist (62.07%)
et celles du trafic mail (hors période de blacklistage) :
Mar 5 : 151 mails, 50 accepted spams ( 33.1%), 0 rejected spams ( 0.0%),
14.4% of unknown recipient
Mar 6 : 149 mails, 132 accepted spams ( 88.6%), 3 rejected spams ( 2.0%), 3.8%
of unknown recipient
Mar 7 : 99 mails, 87 accepted spams ( 87.9%), 1 rejected spams ( 1.0%),
11.6% of unknown recipient
Mar 8 : 243 mails, 173 accepted spams ( 71.2%), 5 rejected spams ( 2.1%), 7.6%
of unknown recipient
Mar 9 : 88 mails, 67 accepted spams ( 76.1%), 1 rejected spams ( 1.1%), 2.2%
of unknown recipient
Mar 10 : 81 mails, 68 accepted spams ( 84.0%), 1 rejected spams ( 1.2%), 4.7%
of unknown recipient
Mar 11 : 81 mails, 49 accepted spams ( 60.5%), 0 rejected spams ( 0.0%), 8.0%
of unknown recipient
Mar 12 : 260 mails, 191 accepted spams ( 73.5%), 1 rejected spams ( 0.4%), 5.4%
of unknown recipient
Mar 13 : 220 mails, 163 accepted spams ( 74.1%), 3 rejected spams ( 1.4%), 9.0%
of unknown recipient
Mar 14 : 90 mails, 59 accepted spams ( 65.6%), 0 rejected spams ( 0.0%), 7.1%
of unknown recipient
Mar 15 : 10 mails, 9 accepted spams ( 90.0%), 0 rejected spams ( 0.0%),
74.4% of unknown recipient
Mar 16 : 48 mails, 43 accepted spams ( 89.6%), 0 rejected spams ( 0.0%), 2.0%
of unknown recipient
Mar 17 : 0 mails, 0 accepted spams ( 0.0%), 0 rejected spams ( 0.0%), 0.0%
of unknown recipient
Mar 18 : 0 mails, 0 accepted spams ( 0.0%), 0 rejected spams ( 0.0%), 0.0%
of unknown recipient
Mar 19 : 0 mails, 0 accepted spams ( 0.0%), 0 rejected spams ( 0.0%), 0.0%
of unknown recipient
Cette IP a été bloquée à plusieurs reprises aussi bien en raison du ratio de
mails expédiés à destination de comptes inexistants (le taux "normalement"
constaté est inférieur à 1%) qu'en raison du ratio de mails détectés comme étant
des spams.
Voici la liste des principaux domaines expéditeurs de mails à destination de
comptes inexistants :
1: 24603 / 101965 (24.13%) : t1.moe.edu.eg
2: 834 / 4548 (18.34%) : viss.ae
3: 504 / 964 (52.28%) : t2.moe.edu.eg
4: 229 / 766 (29.90%) : mkm-haifa.co.il
5: 116 / 682 (17.01%) : infos-eco-system.com
6: 82 / 141 (58.16%) : cba.edu.kw
7: 26 / 60 (43.33%) : ogr.deu.edu.tr
8: 26 / 105 (24.76%) : viss.onmicrosoft.com
9: 25 / 78 (32.05%) : agrup-alcains-svb.com
10: 23 / 109 (21.10%) : alunos.ipb.pt
11: 22 / 79 (27.85%) : um5.ac.ma
12: 20 / 176 (11.36%) : stuabroad.moe.edu.eg
13: 18 / 91 (19.78%) : arts.s-mu.edu.eg
14: 18 / 130 (13.85%) : student.ksu.edu.sa
15: 18 / 88 (20.45%) : ogr.alanya.edu.tr
16: 17 / 23 (73.91%) : leerling.wico.be
17: 16 / 69 (23.19%) : uzem.education
18: 16 / 23 (69.57%) : emadu.ueuromed.org
19: 16 / 99 (16.16%) : esjp.pt
20: 15 / 78 (19.23%) : ujk.edu.pl
Et les principaux domaines expéditeurs de mails détectés comme étant des spams :
1: 604 / 604 (100.00%) : t1.moe.edu.eg (rcpto failure : 24.13%)
2: 339 / 339 (100.00%) : viss.ae (rcpto failure : 18.34%)
3: 17 / 17 (100.00%) : ogr.akdeniz.edu.tr (rcpto failure : 11.96%)
4: 13 / 13 (100.00%) : mkm-haifa.co.il (rcpto failure : 29.90%)
5: 11 / 11 (100.00%) : eng.asu.edu.eg (rcpto failure : 8.03%)
6: 10 / 10 (100.00%) : student.ksu.edu.sa (rcpto failure : 13.85%)
7: 10 / 10 (100.00%) : nku.edu.tr (rcpto failure : 15.09%)
8: 10 / 10 (100.00%) : hayatboyu.education (rcpto failure : 2.50%)
9: 8 / 8 (100.00%) : std.hu.edu.jo (rcpto failure : 17.95%)
10: 7 / 7 (100.00%) : um5.ac.ma (rcpto failure : 27.85%)
Je ne dispose pas d'informations sur tous ces domaines mais voici les activités
que j'ai pu identifier :
- les domaines t1.moe.edu.eg, t2.moe.edu.eg, viss.ae, mkm-haifa.co.il,
ogr.alanya.edu, stuabroad.moe.edu.eg, ogr.akdeniz.edu .tr, ccj.edu.lb et
uzem.education participent à la même campagne (arnaque) d'une mutuelle (fait
référence au site encheres-mutuelles[.]info),
- le domaine student.ksu.edu.sa envoie du phishing bancaire (Banque Postale),
- le domaine infos-eco-system.com envoie des spams pour le site web
hXXp://www[.]Terra-Scientifica[.]com
- le domaine um5.ac.ma envoie également quelque chose qui ressemble à un
phishing bancaire.
---****---
Sachant qu'à coté de cela, j'envoie à Microsoft un rapport quotidien sur les
domaines aux comportements anormaux. Le domaine t1.moe.edu.eg a été ainsi cité
dans 19 de ces rapports depuis le 1er mars.
Quelqu'un aurait il un contact chez Free pour voir ce qu'il est possible de
faire pour dé-blacklister ces IP's ?
Les messages de rejets renvoient sur le site https://postmaster.free.fr/ qui lui
même renvoie sur l'alias postmas...@proxad.net.
François
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
