Re: [FRnOG] [MISC] Mystere antispam Orange
Au hasard, pour ne pas dévoiler aux spammers comment ils ont détecté le spam ? :) Le 30 sept. 2017 à 11:00, François Otho a écrit : > Merci à Simon Bressier pour son intervention qui a abouti rapidement; > le temps qu'Orange prenne en compte la modif, au petit matin tout va bien. > > Je reste preneur de toute doc. technique détaillée sur ce prestataire (VR) > notamment sur la signification des champs ajoutés dans les emails. > > Ce n'est pas le lieu mais : "bon sang ! pourquoi n'utilisent-ils pas du > langage > humain pour expliquer ce qu'ils ont détectés !! > > gggruggvucftvghtrhhoucdtuddrfeelledrjeekgddujecutefuodetggdotefrodftv > fcurfhrohhfihhlvgemucogfdpggftiffpkfenuceurghilhhouhhtmecugedttdenucg > orfhhihhshhhinhhgqdetfeekuddqudduucdlvddttddmnecujfgurhepvffuhfffrhgj > kfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor !! > > Bravo aux admins FRNOG et aux participants de faire vivre cette liste ! > > Francois Otho > > - Mail original - > > De: "François Otho" > À: "Bressier Simon" > Cc: "frnog" , "Romain" > Envoyé: Vendredi 29 Septembre 2017 12:42:31 > Objet : Re: [FRnOG] [MISC] Mystere antispam Orange > > VR, vade retro, laisse tomber. > > Francois > > > > - Mail original ----- > > De: "Bressier Simon" > À: "Romain" > Cc: "François Otho" , "frnog" > Envoyé: Vendredi 29 Septembre 2017 12:18:32 > Objet : Re: [FRnOG] [MISC] Mystere antispam Orange > > > ouip monsieur > > > Le 29 septembre 2017 à 12:17, Romain < rom...@borezo.info > a écrit : > > > > Ca sent le VR :) > > > > > Le 29 septembre 2017 à 12:13, Bressier Simon < bressie...@gmail.com > a écrit > : > > > Hey François, > > Si tu me file le content complet raw+headers du mail reçu, je reporte comme > false positive au provider antispam utilisé par Orange, et ça débloquera la > situation. > > Pour info ton mail est considéré comme phishing > > Feel free ;) > > > > Le 29 septembre 2017 à 11:46, François Otho < f.o...@adwin.fr > a écrit : > >> Merci pour vos réponses, >> >> Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins >> complet avec les noms de domaine en jeu. >> (il faudra que je monte un test indépendant) >> >> Voici tout de même un extrait des Headers d'un message reçu : >> >> Received : from mwinf5c34 ( mwinf5c34.me-wanadoo.net [10.223.111.84]) >> by mwinb2p04 with LMTPA; >> Fri, 29 Sep 2017 11:34:19 +0200 >> >> X-Sieve : CMU Sieve 2.3 >> >> Received : from ([x.y.z.t]) >> by mwinf5c34 with ME >> id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 >> >> X-bcc : moimeme at orange.fr >> >> X-ME-bounce-domain : orange.fr >> >> X-ME-engine : default >> >> X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe >> elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc >> fogfdpggftiffpkfenuceurghilhh >> ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd >> ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor >> ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu >> cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh >> mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh >> omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv >> ggrrghvohgtrghtsh-- >> ssehorhgrnhhgvgdrfhhr >> >> X-me-spamlevel : low >> >> X-ME-Helo : ** >> >> X-ME-IP : a.b.c.d >> >> X-ME-Entity : ofr >> >> Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause >> qu'il ne me cause pas trop ^^ >> A part les corrélations suivantes : >> >> X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna >> X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna >> >> et quand le return-path est identique au from (avec le domaine qui ne >> "m'appartient" pas). >> >> X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna >> >> On peut interpreter mieux ce truc "gnagna" à votre avis ? >> >> Francois Otho >> >> PS : j'ai écris à Abuse... >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Merci à Simon Bressier pour son intervention qui a abouti rapidement; le temps qu'Orange prenne en compte la modif, au petit matin tout va bien. Je reste preneur de toute doc. technique détaillée sur ce prestataire (VR) notamment sur la signification des champs ajoutés dans les emails. Ce n'est pas le lieu mais : "bon sang ! pourquoi n'utilisent-ils pas du langage humain pour expliquer ce qu'ils ont détectés !! gggruggvucftvghtrhhoucdtuddrfeelledrjeekgddujecutefuodetggdotefrodftv fcurfhrohhfihhlvgemucogfdpggftiffpkfenuceurghilhhouhhtmecugedttdenucg orfhhihhshhhinhhgqdetfeekuddqudduucdlvddttddmnecujfgurhepvffuhfffrhgj kfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor !! Bravo aux admins FRNOG et aux participants de faire vivre cette liste ! Francois Otho - Mail original - De: "François Otho" À: "Bressier Simon" Cc: "frnog" , "Romain" Envoyé: Vendredi 29 Septembre 2017 12:42:31 Objet : Re: [FRnOG] [MISC] Mystere antispam Orange VR, vade retro, laisse tomber. Francois - Mail original - De: "Bressier Simon" À: "Romain" Cc: "François Otho" , "frnog" Envoyé: Vendredi 29 Septembre 2017 12:18:32 Objet : Re: [FRnOG] [MISC] Mystere antispam Orange ouip monsieur Le 29 septembre 2017 à 12:17, Romain < rom...@borezo.info > a écrit : Ca sent le VR :) Le 29 septembre 2017 à 12:13, Bressier Simon < bressie...@gmail.com > a écrit : Hey François, Si tu me file le content complet raw+headers du mail reçu, je reporte comme false positive au provider antispam utilisé par Orange, et ça débloquera la situation. Pour info ton mail est considéré comme phishing Feel free ;) Le 29 septembre 2017 à 11:46, François Otho < f.o...@adwin.fr > a écrit : > Merci pour vos réponses, > > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins > complet avec les noms de domaine en jeu. > (il faudra que je monte un test indépendant) > > Voici tout de même un extrait des Headers d'un message reçu : > > Received : from mwinf5c34 ( mwinf5c34.me-wanadoo.net [10.223.111.84]) > by mwinb2p04 with LMTPA; > Fri, 29 Sep 2017 11:34:19 +0200 > > X-Sieve : CMU Sieve 2.3 > > Received : from ([x.y.z.t]) > by mwinf5c34 with ME > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 > > X-bcc : moimeme at orange.fr > > X-ME-bounce-domain : orange.fr > > X-ME-engine : default > > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc > fogfdpggftiffpkfenuceurghilhh > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > ggrrghvohgtrghtsh-- > ssehorhgrnhhgvgdrfhhr > > X-me-spamlevel : low > > X-ME-Helo : ** > > X-ME-IP : a.b.c.d > > X-ME-Entity : ofr > > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > qu'il ne me cause pas trop ^^ > A part les corrélations suivantes : > > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna > > et quand le return-path est identique au from (avec le domaine qui ne > "m'appartient" pas). > > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna > > On peut interpreter mieux ce truc "gnagna" à votre avis ? > > Francois Otho > > PS : j'ai écris à Abuse... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
VadeRetro/VadeSecure Le 29 septembre 2017 à 12:41, François Otho a écrit : > please translate "VR" > > thanks from noob :-) > > *Francois Otho* > > PS : comme j'ai déjà remonté une demande à abuse@orange , je vais > attendre, Si lundi pas de réponse, je te solliciterai sûrement. Merci et > bon week-end si ça veut encore dire quelque chose... > > -- > *De: *"Bressier Simon" > *À: *"Romain" > *Cc: *"François Otho" , "frnog" > *Envoyé: *Vendredi 29 Septembre 2017 12:18:32 > *Objet : *Re: [FRnOG] [MISC] Mystere antispam Orange > > > ouip monsieur > > Le 29 septembre 2017 à 12:17, Romain a écrit : > >> Ca sent le VR :) >> >> Le 29 septembre 2017 à 12:13, Bressier Simon a >> écrit : >> >>> Hey François, >>> >>> Si tu me file le content complet raw+headers du mail reçu, je reporte >>> comme >>> false positive au provider antispam utilisé par Orange, et ça débloquera >>> la >>> situation. >>> >>> Pour info ton mail est considéré comme phishing >>> >>> Feel free ;) >>> >>> Le 29 septembre 2017 à 11:46, François Otho a écrit : >>> >>> > Merci pour vos réponses, >>> > >>> > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou >>> moins >>> > complet avec les noms de domaine en jeu. >>> > (il faudra que je monte un test indépendant) >>> > >>> > Voici tout de même un extrait des Headers d'un message reçu : >>> > >>> > Received : from mwinf5c34 (mwinf5c34.me-wanadoo.net [10.223.111.84]) >>> > by mwinb2p04 with LMTPA; >>> > Fri, 29 Sep 2017 11:34:19 +0200 >>> > >>> > X-Sieve : CMU Sieve 2.3 >>> > >>> > Received : from ([x.y.z.t]) >>> > by mwinf5c34 with ME >>> > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 >>> > >>> > X-bcc : moimeme at orange.fr >>> > >>> > X-ME-bounce-domain : orange.fr >>> > >>> > X-ME-engine : default >>> > >>> > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe >>> > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc >>> > fogfdpggftiffpkfenuceurghilhh >>> > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd >>> > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor >>> > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu >>> > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh >>> > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh >>> > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv >>> > ggrrghvohgtrghtsh--- >>> --- >>> > ssehorhgrnhhgvgdrfhhr >>> > >>> > X-me-spamlevel : low >>> > >>> > X-ME-Helo : ** >>> > >>> > X-ME-IP : a.b.c.d >>> > >>> > X-ME-Entity : ofr >>> > >>> > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... >>> cause >>> > qu'il ne me cause pas trop ^^ >>> > A part les corrélations suivantes : >>> > >>> > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna >>> > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna >>> > >>> > et quand le return-path est identique au from (avec le domaine qui ne >>> > "m'appartient" pas). >>> > >>> > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna >>> > >>> > On peut interpreter mieux ce truc "gnagna" à votre avis ? >>> > >>> > Francois Otho >>> > >>> > PS : j'ai écris à Abuse... >>> > >>> > >>> > --- >>> > Liste de diffusion du FRnOG >>> > http://www.frnog.org/ >>> > >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >>> >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
VR, vade retro, laisse tomber. Francois - Mail original - De: "Bressier Simon" À: "Romain" Cc: "François Otho" , "frnog" Envoyé: Vendredi 29 Septembre 2017 12:18:32 Objet : Re: [FRnOG] [MISC] Mystere antispam Orange ouip monsieur Le 29 septembre 2017 à 12:17, Romain < rom...@borezo.info > a écrit : Ca sent le VR :) Le 29 septembre 2017 à 12:13, Bressier Simon < bressie...@gmail.com > a écrit : Hey François, Si tu me file le content complet raw+headers du mail reçu, je reporte comme false positive au provider antispam utilisé par Orange, et ça débloquera la situation. Pour info ton mail est considéré comme phishing Feel free ;) Le 29 septembre 2017 à 11:46, François Otho < f.o...@adwin.fr > a écrit : > Merci pour vos réponses, > > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins > complet avec les noms de domaine en jeu. > (il faudra que je monte un test indépendant) > > Voici tout de même un extrait des Headers d'un message reçu : > > Received : from mwinf5c34 ( mwinf5c34.me-wanadoo.net [10.223.111.84]) > by mwinb2p04 with LMTPA; > Fri, 29 Sep 2017 11:34:19 +0200 > > X-Sieve : CMU Sieve 2.3 > > Received : from ([x.y.z.t]) > by mwinf5c34 with ME > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 > > X-bcc : moimeme at orange.fr > > X-ME-bounce-domain : orange.fr > > X-ME-engine : default > > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc > fogfdpggftiffpkfenuceurghilhh > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > ggrrghvohgtrghtsh-- > ssehorhgrnhhgvgdrfhhr > > X-me-spamlevel : low > > X-ME-Helo : ** > > X-ME-IP : a.b.c.d > > X-ME-Entity : ofr > > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > qu'il ne me cause pas trop ^^ > A part les corrélations suivantes : > > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna > > et quand le return-path est identique au from (avec le domaine qui ne > "m'appartient" pas). > > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna > > On peut interpreter mieux ce truc "gnagna" à votre avis ? > > Francois Otho > > PS : j'ai écris à Abuse... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
please translate "VR" thanks from noob :-) Francois Otho PS : comme j'ai déjà remonté une demande à abuse@orange , je vais attendre, Si lundi pas de réponse, je te solliciterai sûrement. Merci et bon week-end si ça veut encore dire quelque chose... - Mail original - De: "Bressier Simon" À: "Romain" Cc: "François Otho" , "frnog" Envoyé: Vendredi 29 Septembre 2017 12:18:32 Objet : Re: [FRnOG] [MISC] Mystere antispam Orange ouip monsieur Le 29 septembre 2017 à 12:17, Romain < rom...@borezo.info > a écrit : Ca sent le VR :) Le 29 septembre 2017 à 12:13, Bressier Simon < bressie...@gmail.com > a écrit : Hey François, Si tu me file le content complet raw+headers du mail reçu, je reporte comme false positive au provider antispam utilisé par Orange, et ça débloquera la situation. Pour info ton mail est considéré comme phishing Feel free ;) Le 29 septembre 2017 à 11:46, François Otho < f.o...@adwin.fr > a écrit : > Merci pour vos réponses, > > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins > complet avec les noms de domaine en jeu. > (il faudra que je monte un test indépendant) > > Voici tout de même un extrait des Headers d'un message reçu : > > Received : from mwinf5c34 ( mwinf5c34.me-wanadoo.net [10.223.111.84]) > by mwinb2p04 with LMTPA; > Fri, 29 Sep 2017 11:34:19 +0200 > > X-Sieve : CMU Sieve 2.3 > > Received : from ([x.y.z.t]) > by mwinf5c34 with ME > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 > > X-bcc : moimeme at orange.fr > > X-ME-bounce-domain : orange.fr > > X-ME-engine : default > > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc > fogfdpggftiffpkfenuceurghilhh > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > ggrrghvohgtrghtsh-- > ssehorhgrnhhgvgdrfhhr > > X-me-spamlevel : low > > X-ME-Helo : ** > > X-ME-IP : a.b.c.d > > X-ME-Entity : ofr > > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > qu'il ne me cause pas trop ^^ > A part les corrélations suivantes : > > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna > > et quand le return-path est identique au from (avec le domaine qui ne > "m'appartient" pas). > > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna > > On peut interpreter mieux ce truc "gnagna" à votre avis ? > > Francois Otho > > PS : j'ai écris à Abuse... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] [MISC] Mystere antispam Orange
Oh un bon gros phishing Vade Retro 01.399.78#17 AS+AV+AP+RT Profile: ME,VRGNI; Bailout: 400; Phishing- A381-11 (200); Hdr=TSFDrYIVc@m0jM007; Param=helo=mxadapps1.adwinfrance.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
ouip monsieur Le 29 septembre 2017 à 12:17, Romain a écrit : > Ca sent le VR :) > > Le 29 septembre 2017 à 12:13, Bressier Simon a > écrit : > >> Hey François, >> >> Si tu me file le content complet raw+headers du mail reçu, je reporte >> comme >> false positive au provider antispam utilisé par Orange, et ça débloquera >> la >> situation. >> >> Pour info ton mail est considéré comme phishing >> >> Feel free ;) >> >> Le 29 septembre 2017 à 11:46, François Otho a écrit : >> >> > Merci pour vos réponses, >> > >> > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins >> > complet avec les noms de domaine en jeu. >> > (il faudra que je monte un test indépendant) >> > >> > Voici tout de même un extrait des Headers d'un message reçu : >> > >> > Received : from mwinf5c34 (mwinf5c34.me-wanadoo.net [10.223.111.84]) >> > by mwinb2p04 with LMTPA; >> > Fri, 29 Sep 2017 11:34:19 +0200 >> > >> > X-Sieve : CMU Sieve 2.3 >> > >> > Received : from ([x.y.z.t]) >> > by mwinf5c34 with ME >> > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 >> > >> > X-bcc : moimeme at orange.fr >> > >> > X-ME-bounce-domain : orange.fr >> > >> > X-ME-engine : default >> > >> > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe >> > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc >> > fogfdpggftiffpkfenuceurghilhh >> > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd >> > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor >> > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu >> > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh >> > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh >> > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv >> > ggrrghvohgtrghtsh-- >> > ssehorhgrnhhgvgdrfhhr >> > >> > X-me-spamlevel : low >> > >> > X-ME-Helo : ** >> > >> > X-ME-IP : a.b.c.d >> > >> > X-ME-Entity : ofr >> > >> > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause >> > qu'il ne me cause pas trop ^^ >> > A part les corrélations suivantes : >> > >> > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna >> > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna >> > >> > et quand le return-path est identique au from (avec le domaine qui ne >> > "m'appartient" pas). >> > >> > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna >> > >> > On peut interpreter mieux ce truc "gnagna" à votre avis ? >> > >> > Francois Otho >> > >> > PS : j'ai écris à Abuse... >> > >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> > >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Ca sent le VR :) Le 29 septembre 2017 à 12:13, Bressier Simon a écrit : > Hey François, > > Si tu me file le content complet raw+headers du mail reçu, je reporte comme > false positive au provider antispam utilisé par Orange, et ça débloquera la > situation. > > Pour info ton mail est considéré comme phishing > > Feel free ;) > > Le 29 septembre 2017 à 11:46, François Otho a écrit : > > > Merci pour vos réponses, > > > > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins > > complet avec les noms de domaine en jeu. > > (il faudra que je monte un test indépendant) > > > > Voici tout de même un extrait des Headers d'un message reçu : > > > > Received : from mwinf5c34 (mwinf5c34.me-wanadoo.net [10.223.111.84]) > > by mwinb2p04 with LMTPA; > > Fri, 29 Sep 2017 11:34:19 +0200 > > > > X-Sieve : CMU Sieve 2.3 > > > > Received : from ([x.y.z.t]) > > by mwinf5c34 with ME > > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 > > > > X-bcc : moimeme at orange.fr > > > > X-ME-bounce-domain : orange.fr > > > > X-ME-engine : default > > > > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe > > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc > > fogfdpggftiffpkfenuceurghilhh > > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd > > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu > > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh > > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > > ggrrghvohgtrghtsh-- > > ssehorhgrnhhgvgdrfhhr > > > > X-me-spamlevel : low > > > > X-ME-Helo : ** > > > > X-ME-IP : a.b.c.d > > > > X-ME-Entity : ofr > > > > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > > qu'il ne me cause pas trop ^^ > > A part les corrélations suivantes : > > > > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna > > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna > > > > et quand le return-path est identique au from (avec le domaine qui ne > > "m'appartient" pas). > > > > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna > > > > On peut interpreter mieux ce truc "gnagna" à votre avis ? > > > > Francois Otho > > > > PS : j'ai écris à Abuse... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
On 09/29/2017 11:46 AM, François Otho wrote: > Voici tout de même un extrait des Headers d'un message reçu : > X-me-spamcause : > (200)(1000)gggruggvucftvghtrhhoucdtuddrfeelledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfogfdpggftiffpkfenuceurghilhh > > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvddttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenucfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtghomhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > > ggrrghvohgtrghtsh--ssehorhgrnhhgvgdrfhhr > Ton mail match une rêgle antiphishing, il faut remonter le mail à VadeSecure via (de mon point de vue) Orange (il n'est pas dit que la règle se déclenche chez d'autres fournisseurs si la règle s'attaquait à un phishing ciblant Orange). > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > qu'il ne me cause pas trop ^^ C'est un log/debug de VadeSecure sur l'analyse des filtres antispams. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Hey François, Si tu me file le content complet raw+headers du mail reçu, je reporte comme false positive au provider antispam utilisé par Orange, et ça débloquera la situation. Pour info ton mail est considéré comme phishing Feel free ;) Le 29 septembre 2017 à 11:46, François Otho a écrit : > Merci pour vos réponses, > > Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins > complet avec les noms de domaine en jeu. > (il faudra que je monte un test indépendant) > > Voici tout de même un extrait des Headers d'un message reçu : > > Received : from mwinf5c34 (mwinf5c34.me-wanadoo.net [10.223.111.84]) > by mwinb2p04 with LMTPA; > Fri, 29 Sep 2017 11:34:19 +0200 > > X-Sieve : CMU Sieve 2.3 > > Received : from ([x.y.z.t]) > by mwinf5c34 with ME > id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 > > X-bcc : moimeme at orange.fr > > X-ME-bounce-domain : orange.fr > > X-ME-engine : default > > X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfe > elledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemuc > fogfdpggftiffpkfenuceurghilhh > ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvdd > ttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor > ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenu > cfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh > mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtgh > omhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv > ggrrghvohgtrghtsh-- > ssehorhgrnhhgvgdrfhhr > > X-me-spamlevel : low > > X-ME-Helo : ** > > X-ME-IP : a.b.c.d > > X-ME-Entity : ofr > > Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause > qu'il ne me cause pas trop ^^ > A part les corrélations suivantes : > > X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna > X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna > > et quand le return-path est identique au from (avec le domaine qui ne > "m'appartient" pas). > > X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna > > On peut interpreter mieux ce truc "gnagna" à votre avis ? > > Francois Otho > > PS : j'ai écris à Abuse... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Merci pour vos réponses, Je ne peux pas dans l'immédiat fournir la copie d'un email plus ou moins complet avec les noms de domaine en jeu. (il faudra que je monte un test indépendant) Voici tout de même un extrait des Headers d'un message reçu : Received : from mwinf5c34 (mwinf5c34.me-wanadoo.net [10.223.111.84]) by mwinb2p04 with LMTPA; Fri, 29 Sep 2017 11:34:19 +0200 X-Sieve : CMU Sieve 2.3 Received : from ([x.y.z.t]) by mwinf5c34 with ME id FMaG1-- Fri, 29 Sep 2017 11:34:16 +0200 X-bcc : moimeme at orange.fr X-ME-bounce-domain : orange.fr X-ME-engine : default X-me-spamcause : (200)(1000)gggruggvucftvghtrhhoucdtuddrfeelledrjeekgddujecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfogfdpggftiffpkfenuceurghilhh ouhhtmecugedttdenucgorfhhihhshhhinhhgqdetfeekuddqudduucdlvddttddmnecujfgurhepvffuhfffrhgjkfggtgesmhdtjhfotddtjeenucfhrhhomhepfdfor ghrihgvucfjfgftgfdfuceomhhhuhhrvgestghkrhhlrgifrdgtohhmqeenucfkphephedrudeliedrledrudejpddugeelrddvtddvrddvudeirdduleenucfrrghrrgh mpehhvghlohepmhigrggurghpphhsuddrrggufihinhhfrhgrnhgtvgdrtghomhdpihhnvghtpeehrdduleeirdelrddujedpmhgrihhlfhhrohhmpehmhhhurhgvrdgsv ggrrghvohgtrghtsh--ssehorhgrnhhgvgdrfhhr X-me-spamlevel : low X-ME-Helo : ** X-ME-IP : a.b.c.d X-ME-Entity : ofr Ce qui m'énerve dans l'histoire c'est le 'field' X-me-spamcause... cause qu'il ne me cause pas trop ^^ A part les corrélations suivantes : X-me-spamlevel : low avec X-me-spamcause : (200)(1000)gnagna X-me-spamlevel : medium avec X-me-spamcause : (400)(1000)gnagna et quand le return-path est identique au from (avec le domaine qui ne "m'appartient" pas). X-me-spamlevel : high avec X-me-spamcause : (140)(1000)gnagna On peut interpreter mieux ce truc "gnagna" à votre avis ? Francois Otho PS : j'ai écris à Abuse... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Le 29 septembre 2017 à 05:31, Benjamin BILLON a écrit : > L'alignement MAIL FROM / From c'est sur c'est mieux, mais Orange ne se > préoccupe pas encore de DMARC, donc ça n'est pas le souci. > Même DKIM, je ne suis plus tout à fait sur, mais je crois que ce n'est pas > un critère non plus. > Vaut mieux s'y préparer, car avec Orange rien n'est prévisible, comme en 2007 avec le blocage du port 25 à l'arrache, même leur support n'était pas au courant https://www.nextinpact.com/archive/37290-Orange-port-25-blocage-spams-pc-zombies.htm Le SPF / DKIM et DMARC servent a valider la partie transport et pas son contenu qui est à l'appréciation des anti-spam et anti-virus Un SPAM peut tout a fait avoir le SPF,DKIM,DMARC de valide > > Si on pouvait voir un exemple des mails de moins et de plus de 45Ko, > peut-être qu'on pourrait aider un peu plus, parce que je ne pense pas que > la limite se base juste sur la taille non plus. > Juste les entêtes peuvent suffire pas le mail complet. Christophe, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
L'alignement MAIL FROM / From c'est sur c'est mieux, mais Orange ne se préoccupe pas encore de DMARC, donc ça n'est pas le souci. Même DKIM, je ne suis plus tout à fait sur, mais je crois que ce n'est pas un critère non plus. Si on pouvait voir un exemple des mails de moins et de plus de 45Ko, peut-être qu'on pourrait aider un peu plus, parce que je ne pense pas que la limite se base juste sur la taille non plus. -- Benjamin Le 29 septembre 2017 à 03:33, Christophe Chauvet < christophe.chau...@gmail.com> a écrit : > Bonjour François > > Le 28 septembre 2017 à 18:14, François Otho a écrit : > > > Depuis quelques jours (disons 10) , nous rencontrons des difficultés pour > > acheminer des emails vers Orange qui classe, parfois, nos messages dans > le > > dossier "Courriers Indésirables". > > > > Nos emails suivent différents relais (toujours les mêmes). > > > > Nos messages sont "spéciaux" dans la mesure où le return-path et le from > > ne sont pas identiques. > > Nous gérons le domaine (et donc le TXT-SPF) du return-path et nous ne > > gérons pas le domaine du from. > > > > Lorsque l'on est dans cette configuration, il faut ajouter une entête > sender qui sera identique au return-path > https://tools.ietf.org/html/rfc4021#section-2.1.2 > > lorsque le sender est présent, le serveur qui reçoit, regarde son SPF, le > mieux est aussi de signer en DKIM pour le domaine du sender. > > Par contre dans ce cadre, le DMARC ne fonctionne pas, car dans la RFC 7489, > indique que seul le domaine du FROM est valide pour la vérification > https://tools.ietf.org/html/rfc7489#section-5 > > C'est pour cela que les mailings lists réécrivent le from pour le mettre > sur leur domaine. > > > > Notre configuration est "validée" par la messagerie GMAIL car quand on > > envoit un mail à @gmail , on constate que les entetes des mail reçus sont > > clairs et corrects (= le spf du domaine du champ return-path est correct) > > Mais avec Orange, le message part parfois dans le dossier indésirable. > > A force de tests, nous constatons que les messages sont tout le temps > bien > > déposés dans "INBOX" tant que leur volume n'excédent pas environ 45 Ko. > > Au-delà de 45Ko, les mails partent tous dans "Spam". > > > > A tout hasard, y'a t'il des images dans ces mails, si oui leur taille ne > dépasserait t'elle pas les 50% de la taille totale du mail ? > > > > J'ai donc envie de dire que pour Orange la problématique return-path / > > from ne pose pas de problème mais pour de petits messages uniquement. > > > > Ensuite si c'est des mails qui se ressemble beaucoup, peut être ajouter > l'entête Precedence: bulk > > > > J'avoue que le constat est bizarre mais pourtant tout cela est > > reproduisible à l'infini et vers au moins deux comptes mails @orange > > différents. > > > > Merci d'avance à ceux qui pourraient reproduire ce défaut et > > éventuellement de me dire comment je pourrais contacter le sav orange , > > mais disons au moins le niveau 2 ^^. > > > > Il suffit aussi qu'un client est mis volontairement le mail en spam, pour > que le système d'apprentissage marque les suivant comme SPAM aussi. > > Christophe CHAUVET. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
Bonjour François Le 28 septembre 2017 à 18:14, François Otho a écrit : > Depuis quelques jours (disons 10) , nous rencontrons des difficultés pour > acheminer des emails vers Orange qui classe, parfois, nos messages dans le > dossier "Courriers Indésirables". > > Nos emails suivent différents relais (toujours les mêmes). > > Nos messages sont "spéciaux" dans la mesure où le return-path et le from > ne sont pas identiques. > Nous gérons le domaine (et donc le TXT-SPF) du return-path et nous ne > gérons pas le domaine du from. > Lorsque l'on est dans cette configuration, il faut ajouter une entête sender qui sera identique au return-path https://tools.ietf.org/html/rfc4021#section-2.1.2 lorsque le sender est présent, le serveur qui reçoit, regarde son SPF, le mieux est aussi de signer en DKIM pour le domaine du sender. Par contre dans ce cadre, le DMARC ne fonctionne pas, car dans la RFC 7489, indique que seul le domaine du FROM est valide pour la vérification https://tools.ietf.org/html/rfc7489#section-5 C'est pour cela que les mailings lists réécrivent le from pour le mettre sur leur domaine. > Notre configuration est "validée" par la messagerie GMAIL car quand on > envoit un mail à @gmail , on constate que les entetes des mail reçus sont > clairs et corrects (= le spf du domaine du champ return-path est correct) > Mais avec Orange, le message part parfois dans le dossier indésirable. > A force de tests, nous constatons que les messages sont tout le temps bien > déposés dans "INBOX" tant que leur volume n'excédent pas environ 45 Ko. > Au-delà de 45Ko, les mails partent tous dans "Spam". > A tout hasard, y'a t'il des images dans ces mails, si oui leur taille ne dépasserait t'elle pas les 50% de la taille totale du mail ? > J'ai donc envie de dire que pour Orange la problématique return-path / > from ne pose pas de problème mais pour de petits messages uniquement. > Ensuite si c'est des mails qui se ressemble beaucoup, peut être ajouter l'entête Precedence: bulk > J'avoue que le constat est bizarre mais pourtant tout cela est > reproduisible à l'infini et vers au moins deux comptes mails @orange > différents. > > Merci d'avance à ceux qui pourraient reproduire ce défaut et > éventuellement de me dire comment je pourrais contacter le sav orange , > mais disons au moins le niveau 2 ^^. > Il suffit aussi qu'un client est mis volontairement le mail en spam, pour que le système d'apprentissage marque les suivant comme SPAM aussi. Christophe CHAUVET. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mystere antispam Orange
On 09/28/2017 06:14 PM, François Otho wrote: > Merci d'avance à ceux qui pourraient reproduire ce défaut et éventuellement > de me dire comment je pourrais contacter le sav orange , mais disons au moins > le niveau 2 ^^. C'est, à ma connaissance, le service abuse qui gère tout ce qui concerne la messagerie. François --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Mystere antispam Orange
Bonjour, Depuis quelques jours (disons 10) , nous rencontrons des difficultés pour acheminer des emails vers Orange qui classe, parfois, nos messages dans le dossier "Courriers Indésirables". Nos emails suivent différents relais (toujours les mêmes). Nos messages sont "spéciaux" dans la mesure où le return-path et le from ne sont pas identiques. Nous gérons le domaine (et donc le TXT-SPF) du return-path et nous ne gérons pas le domaine du from. Notre configuration est "validée" par la messagerie GMAIL car quand on envoit un mail à @gmail , on constate que les entetes des mail reçus sont clairs et corrects (= le spf du domaine du champ return-path est correct) Mais avec Orange, le message part parfois dans le dossier indésirable. A force de tests, nous constatons que les messages sont tout le temps bien déposés dans "INBOX" tant que leur volume n'excédent pas environ 45 Ko. Au-delà de 45Ko, les mails partent tous dans "Spam". J'ai donc envie de dire que pour Orange la problèmatique return-path / from ne pose pas de problème mais pour de petits messages uniquement. J'avoue que le constat est bizarre mais pourtant tout cela est reproduisible à l'infini et vers au moins deux comptes mails @orange différents. Merci d'avance à ceux qui pourraient reproduire ce défaut et éventuellement de me dire comment je pourrais contacter le sav orange , mais disons au moins le niveau 2 ^^. Francois Otho --- Liste de diffusion du FRnOG http://www.frnog.org/