bonjour à tous,
 
J'ai un problème depuis hier d'usurpation d'identité rencontré sur plusieurs tenants Microsoft365 (n'ayant aucun lien ensemble) avec des noms de domaine différents.
Sur un des tenants j'ai uniquement une protection SPF et sur l'autre SPF + DKIM
Un seul domaine et uniquement Microsoft en serveur d'envoi des emails.
 
 
Le problème est le même sur chaque tenant, un ou plusieurs utilisateurs ont reçus un email identique.
Le mail utilise une vraie adresse email du tenant mais envoyé par un autre serveur que Microsoft.
 
Dans l'entête du mail j'ai bien Le SPF noté en fail
 
received-spf Fail (protection.outlook.com: domain of ---------.com does not designate 207.179.254.243 as permitted sender) receiver=protection.outlook.com; client-ip=207.179.254.243; helo=mailbe.mtco.com;
authentication-results spf=fail (sender IP is 207.179.254.243) smtp.mailfrom=---------.com; dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=---------.com;compauth=fail reason=601
 
 
le reply to a été modifié par un email exterieur au tenant : Reply-To Xxxxxx XXXXX<kblane@mtco.com>

 
le dkim est aussi incorrect
 
authentication-results: spf=fail (sender IP is 207.179.254.243)
 smtp.mailfrom=---------; dkim=none (message not signed)

 
Le mail passe a chaque fois et n'est pas flaggé en spam par Microsoft, ce qui est habituellement le cas.
 
 
Pour renforcer la protection j'ai activé la protection DMARC.  
Par contre ce que je ne comprend pas c'est pourquoi le mail n'a pas été deja marqué en spam avec le SPF et DKIM avec un problème?
 
Si vous avez des idées.
 
Merci d'avance.
 
 
 
 

salut tu as pas un connecteur  exchange etrange sur ton tenant ?  
si tu as la possibilité analyse l'entente d'un des faux mail  via : https://mha.azurewebsites.net/

ton spf est bien un hardfail (avec un "-", pas avec un "~" ) ?

 
il est bien en hard fail, et le spf ne contient que le Microsoft, rien d'autre

 
Pas de connecteur ou règle de transport qui expliqueraient le problème.
j'ai analysé l'entête du mail oui, c'est de la que vienne les lignes au dessus.
 
 
j'ai bien:
authentication-results spf=fail (sender IP is 207.179.254.243)  
dkim=none (message not signed) header.d=none;dmarc=none action=none
 
Forefront Antispam Report Header–  
Country/Region US
Language fr
Spam Confidence Level 1
Spam Filtering Verdict NSPM
IP Filter Verdict NLI
HELO/EHLO String mailbe.mtco.com
PTR Record mailbe.mtco.com
Connecting IP Address 207.179.254.243
Protection Policy Category NONE
Spam rules (13230031)
Source header CIP:207.179.254.243;CTRY:US;LANG:fr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;H:mailbe.mtco.com;PTR:mailbe.mtco.com;CAT:NONE;SFS13230031);DIR:INB;
Unknown fields DIR:INB;
 
 
est ce que cela ne vient pas du Spam Confidence Level etonnament très bas ?

Exactement le même problème ici avec le même domaine expéditeur : mtco.com
 
Aucun réglage particulier effectué sur le domaine 365, basique de chez basique : souscription avec paramétrage du spf standard > création des comptes > utilisation.  
 
Le spf est donc bien en -all, le dkim actif, les deux sont en fail dans les entêtes des envois concernés, la remise se fait quand même dans la bal destinataire, sans aucun tagging ni info.
 
Bref : des réglages de base sur l'exchange de l'offre 365 business qui sont donc de la bien bonne grosse blague, c'est super utile d'avoir un spf et un DKIM dans ces conditions.