Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
On 1/31/24 14:27, Erwan David wrote: De ce que j'ai vu sur les newsgroups free un autre mécanisme arrive : 2) C'ets excessivement facile de se faire un compte de spam sur outlook.com J'ai l'impression que cette partie là s'est calmée. C'était encore le cas il y a un an mais je vois moins qu'avant des domaines bidons créés pour spammer depuis Office365. Le gros du volume aujourd'hui semble sortir de domaines légitimes mais qui se retrouvent à héberger des comptes compromis. 3) les serveurs de sortie de MS se retrouvent donc flaggués en basse confiance rien que sur le taux de fausses adresses de destinataire (les spammeurs ne nettoient pas leurs listes) Pour être un peu plus précis, ce que je vois arriver est essentiellement du phishing bancaire et des arnaques en tout genre (fausse convocations judiciaires, relance d'amendes ou de loyers impayés, fausse vignette crit'air, etc.). Et sur ce type d'envois, les spammeurs semblent s'appuyer sur des listes de comptes compromis dans lesquels il y a beaucoup d'adresses supprimées ou bloquées. Ponctuellement, je tente d'évaluer les taux de spams sur quelques IPs d'Office365 et les dernières évaluations étaient dans la fourchette de 80 à 95% de mails envoyés par des domaines aux comportements anormaux. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
On 1/31/24 08:39, Mickaël Dequidt wrote: c'est à vérifier, mais cela me fait penser à un écueil de certaines implémentations du greylisting face à des domaines hébergés chez microsoft (entre autres). Il n'y a pas de greylisting chez Free. Par contre, il y a un très gros problème de comptes compromis sur les domaines hénergés chez Office365 et ce problème a tendance à devenir particulièrement visible sur la période qui précède et qui suit Noël. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Le 31/01/2024 à 14:01, David Ponzone a écrit : Et au passage, y a plein d’IPs de sortie de MS365 qui sont blacklistées chez spamcop en ce moment. J’ai du whitelister un /16 pour éviter les plaintes non-stop. De ce que j'ai vu sur les newsgroups free un autre mécanisme arrive : 1) MS envoie ses propres mails par le même pool de serveur que les clients 2) C'ets excessivement facile de se faire un compte de spam sur outlook.com 3) les serveurs de sortie de MS se retrouvent donc flaggués en basse confiance rien que sur le taux de fausses adresses de destinataire (les spammeurs ne nettoient pas leurs listes) 4) donc les mails de récupération de compte sont en attente comme des mails douteux -- Erwan David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Et au passage, y a plein d’IPs de sortie de MS365 qui sont blacklistées chez spamcop en ce moment. J’ai du whitelister un /16 pour éviter les plaintes non-stop. > Le 31 janv. 2024 à 13:54, Guy Larrieu via frnog a écrit : > > Bonjour, > > Le 2024-01-31 08:39, Mickaël Dequidt a écrit : >> Et ça continue jusqu'à ce que le hasard fasse retomber le message sur une IP >> déjà rencontrée. Avec des messages qui arrivent plusieurs heures en décalé >> par rapport au moment de l'émission. Pour ma part (qui n'est pas du niveau >> de free) je n'ai pas eu d'autre choix que de désactiver le greylisting sur >> les domaines hébergés de la sorte. > > Tout à fait d'accord avec cette analyse, plein de points de sortie donc le > greylisting part en sucette. > > Ajoutons que le rejet initial est probablement dû à l'adresse utilisée par > Crosoft : En effet le seul MX du domaine "accountprotection.microsoft.com" > pointe vers un CNAME ce qui est interdit par la RFC > (https://datatracker.ietf.org/doc/html/rfc2181#section-10.3) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Bonjour, C'est exactement pour ça que j'en appelle aux admin de Free et pas de Microsoft (pour l'instant), j'ai pensé au même scénario que toi. Utilisant moi même le greylisting depuis l'époque où cette méthode de filtrage divisait par 10 le volume de mails entrant tellement il y avait de machines zombies, j'ai eu a géré ce genre de problème avec plusieurs gros opérateurs. La solution est hyper simple, il faut witelister ! 1. Il faut whitelister les adresses pour lesquelles des mails ont déjà été délivrés au moins une fois Ca économisera les machines et la patience des utilisateurs puisque de toutes façons si un mail est passé une fois c'est que c'est un serveur de mail et donc les autres passeront aussi. 2. Il faut chercher et forger les listes de serveurs de mails des grands opérateurs connus pour ajouter leurs IP (ou carrément des ranges approximatifs) dans les whitelistes. Et ça marche très bien sans enlever le rôle du greylisting qui est de pré-filtrer les serveurs d'expédition qui n'en sont pas. Pour l'instant ma conclusion c'est qu'il faut qu'un admin Mail chez Free se penche sur le problème. Et si ça se trouve il ne font pas de greylisting ;) Pour rappelle : le problème n'est pas qu'un mail lambda arrive un peu tard une fois de temps en temps, le problème c'est que quand il s'agit d'un jeton d'authentification valable 15 minutes et qu'il n'arrive jamais dans les temps après 15 jours de tentatives répétées, ça devient un défaut de service. merci la liste Théo > Le 31 janv. 2024 à 08:39, Mickaël Dequidt a > écrit : > > Bonjour, > > c'est à vérifier, mais cela me fait penser à un écueil de certaines > implémentations du greylisting face à des domaines hébergés chez microsoft > (entre autres). > > Concrètement, ce que j'ai déjà observé sur ce genre de domaines, c'est le > phénomène suivant : > > - un mail arrive depuis une machine dans une ferme de serveurs microsoft > - (FROM,TO,IP) non-reconnu, erreur 4** > - et c'est le drame : le pool de machines servant de passerelles, plutôt que > de conserver le mail en queue sur le serveur d'origine, va immédiatement > choisir une nouvelle machine pour tenter l'envoi à nouveau > - l'envoi est à nouveau rejeté, l'IP a changé > - le message rebondit sur une autre machine > - A répéter sur un pool de X serveurs dans le cloud microsoft. > > Et ça continue jusqu'à ce que le hasard fasse retomber le message sur une IP > déjà rencontrée. Avec des messages qui arrivent plusieurs heures en décalé > par rapport au moment de l'émission. Pour ma part (qui n'est pas du niveau de > free) je n'ai pas eu d'autre choix que de désactiver le greylisting sur les > domaines hébergés de la sorte. > > Bon courage en tout cas, > > D'an/ar 30/01/2024 23:19 eo bet skrivet gant Théo VARIER : >> Bonjour, >> mon client a un problème de rapidité de distribution de mail entre microsoft >> (hotmail) et free >> Problématique parce qu'il s'agit d'une adresse de secours qui ne reçoit pas >> le jeton d'authentification : >> Enoncé du problème : >> Compte hotmail d’une personne travaillant comme indépendante depuis 30 ans >> Adresse de récupération définie sur un compte nom.pre...@free.fr >> La procedure de récupération du compte hotmail passe par un envoi d’un code >> sur la boite de récupération >> Ce code ne parviens que 10 à 24heures après , quand il parviens >> En discussion avec les supports de microsoft et free depuis 2 semaines, sans >> succès… >> L’envoyeur est toujours « >> account-security-nore...@accountprotection.microsoft.com » >> Ca ressemble à du greylisting qui n'apprendrait pas. >> Si quelqu'un a un tuyau pour me donner l'occasion de décrire le problème à >> une personne en charge des conf chez Free >> Si un admin (mail) de free tombe sur mon mail ... >> Je peux donner plus d'info si nécessaire. >> Merci. >> Théo >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > -- > Mickaël DEQUIDT > IFREMER - Service IRSI/RIC > Centre Ifremer Bretagne - ZI de la pointe du diable > CS 10070 - 29280 Plouzané > Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Bonjour, Le 2024-01-31 08:39, Mickaël Dequidt a écrit : Et ça continue jusqu'à ce que le hasard fasse retomber le message sur une IP déjà rencontrée. Avec des messages qui arrivent plusieurs heures en décalé par rapport au moment de l'émission. Pour ma part (qui n'est pas du niveau de free) je n'ai pas eu d'autre choix que de désactiver le greylisting sur les domaines hébergés de la sorte. Tout à fait d'accord avec cette analyse, plein de points de sortie donc le greylisting part en sucette. Ajoutons que le rejet initial est probablement dû à l'adresse utilisée par Crosoft : En effet le seul MX du domaine "accountprotection.microsoft.com" pointe vers un CNAME ce qui est interdit par la RFC (https://datatracker.ietf.org/doc/html/rfc2181#section-10.3) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Bonjour, c'est à vérifier, mais cela me fait penser à un écueil de certaines implémentations du greylisting face à des domaines hébergés chez microsoft (entre autres). Concrètement, ce que j'ai déjà observé sur ce genre de domaines, c'est le phénomène suivant : - un mail arrive depuis une machine dans une ferme de serveurs microsoft - (FROM,TO,IP) non-reconnu, erreur 4** - et c'est le drame : le pool de machines servant de passerelles, plutôt que de conserver le mail en queue sur le serveur d'origine, va immédiatement choisir une nouvelle machine pour tenter l'envoi à nouveau - l'envoi est à nouveau rejeté, l'IP a changé - le message rebondit sur une autre machine - A répéter sur un pool de X serveurs dans le cloud microsoft. Et ça continue jusqu'à ce que le hasard fasse retomber le message sur une IP déjà rencontrée. Avec des messages qui arrivent plusieurs heures en décalé par rapport au moment de l'émission. Pour ma part (qui n'est pas du niveau de free) je n'ai pas eu d'autre choix que de désactiver le greylisting sur les domaines hébergés de la sorte. Bon courage en tout cas, D'an/ar 30/01/2024 23:19 eo bet skrivet gant Théo VARIER : Bonjour, mon client a un problème de rapidité de distribution de mail entre microsoft (hotmail) et free Problématique parce qu'il s'agit d'une adresse de secours qui ne reçoit pas le jeton d'authentification : Enoncé du problème : Compte hotmail d’une personne travaillant comme indépendante depuis 30 ans Adresse de récupération définie sur un compte nom.pre...@free.fr La procedure de récupération du compte hotmail passe par un envoi d’un code sur la boite de récupération Ce code ne parviens que 10 à 24heures après , quand il parviens En discussion avec les supports de microsoft et free depuis 2 semaines, sans succès… L’envoyeur est toujours « account-security-nore...@accountprotection.microsoft.com » Ca ressemble à du greylisting qui n'apprendrait pas. Si quelqu'un a un tuyau pour me donner l'occasion de décrire le problème à une personne en charge des conf chez Free Si un admin (mail) de free tombe sur mon mail ... Je peux donner plus d'info si nécessaire. Merci. Théo --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Mickaël DEQUIDT IFREMER - Service IRSI/RIC Centre Ifremer Bretagne - ZI de la pointe du diable CS 10070 - 29280 Plouzané Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] problème de distribution de mail entre microsoft et free pour un jeton d'authentification
Bonjour, mon client a un problème de rapidité de distribution de mail entre microsoft (hotmail) et free Problématique parce qu'il s'agit d'une adresse de secours qui ne reçoit pas le jeton d'authentification : Enoncé du problème : Compte hotmail d’une personne travaillant comme indépendante depuis 30 ans Adresse de récupération définie sur un compte nom.pre...@free.fr La procedure de récupération du compte hotmail passe par un envoi d’un code sur la boite de récupération Ce code ne parviens que 10 à 24heures après , quand il parviens En discussion avec les supports de microsoft et free depuis 2 semaines, sans succès… L’envoyeur est toujours « account-security-nore...@accountprotection.microsoft.com » Ca ressemble à du greylisting qui n'apprendrait pas. Si quelqu'un a un tuyau pour me donner l'occasion de décrire le problème à une personne en charge des conf chez Free Si un admin (mail) de free tombe sur mon mail ... Je peux donner plus d'info si nécessaire. Merci. Théo --- Liste de diffusion du FRnOG http://www.frnog.org/