Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1443 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème d'usurpation d'identité Microsoft365 (spf/dkim)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème d'usurpation d'identité Microsoft365 (spf/dkim)

n°180021
shocker13
Posté le 15-03-2024 à 14:42:53  profilanswer
 

bonjour à tous,
 
J'ai un problème depuis hier d'usurpation d'identité rencontré sur plusieurs tenants Microsoft365 (n'ayant aucun lien ensemble) avec des noms de domaine différents.
Sur un des tenants j'ai uniquement une protection SPF et sur l'autre SPF + DKIM
Un seul domaine et uniquement Microsoft en serveur d'envoi des emails.
 
 
Le problème est le même sur chaque tenant, un ou plusieurs utilisateurs ont reçus un email identique.
Le mail utilise une vraie adresse email du tenant mais envoyé par un autre serveur que Microsoft.
 
Dans l'entête du mail j'ai bien Le SPF noté en fail
 
received-spf Fail (protection.outlook.com: domain of ---------.com does not designate 207.179.254.243 as permitted sender) receiver=protection.outlook.com; client-ip=207.179.254.243; helo=mailbe.mtco.com;
authentication-results spf=fail (sender IP is 207.179.254.243) smtp.mailfrom=---------.com; dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=---------.com;compauth=fail reason=601

 
 
le reply to a été modifié par un email exterieur au tenant : Reply-To Xxxxxx XXXXX<kblane@mtco.com>

 
le dkim est aussi incorrect
 
authentication-results: spf=fail (sender IP is 207.179.254.243)
 smtp.mailfrom=---------; dkim=none (message not signed)

 
Le mail passe a chaque fois et n'est pas flaggé en spam par Microsoft, ce qui est habituellement le cas.
 
 
Pour renforcer la protection j'ai activé la protection DMARC.  
Par contre ce que je ne comprend pas c'est pourquoi le mail n'a pas été deja marqué en spam avec le SPF et DKIM avec un problème?
 
Si vous avez des idées.
 
Merci d'avance.
 
 
 
 

mood
Publicité
Posté le 15-03-2024 à 14:42:53  profilanswer
 

n°180030
cotorep
Posté le 16-03-2024 à 13:39:45  profilanswer
 

salut tu as pas un connecteur  exchange etrange sur ton tenant ?  
si tu as la possibilité analyse l'entente d'un des faux mail  via : https://mha.azurewebsites.net/

n°180031
Ivy gu
3 blobcats dans un trenchcoat
Posté le 16-03-2024 à 16:57:53  profilanswer
 

ton spf est bien un hardfail (avec un "-", pas avec un "~" ) ?


---------------
si on enlevait l'air du ciel, tous les oiseaux tomberaient par terre
n°180034
shocker13
Posté le 18-03-2024 à 10:02:20  profilanswer
 

Ivy gu a écrit :

ton spf est bien un hardfail (avec un "-", pas avec un "~" ) ?


 
il est bien en hard fail, et le spf ne contient que le Microsoft, rien d'autre

n°180035
shocker13
Posté le 18-03-2024 à 10:05:53  profilanswer
 

cotorep a écrit :

salut tu as pas un connecteur  exchange etrange sur ton tenant ?  
si tu as la possibilité analyse l'entente d'un des faux mail  via : https://mha.azurewebsites.net/


 
Pas de connecteur ou règle de transport qui expliqueraient le problème.
j'ai analysé l'entête du mail oui, c'est de la que vienne les lignes au dessus.
 
 
j'ai bien:
authentication-results spf=fail (sender IP is 207.179.254.243)  
dkim=none (message not signed) header.d=none;dmarc=none action=none
 
Forefront Antispam Report Header–  
Country/Region US
Language fr
Spam Confidence Level 1
Spam Filtering Verdict NSPM
IP Filter Verdict NLI
HELO/EHLO String mailbe.mtco.com
PTR Record mailbe.mtco.com
Connecting IP Address 207.179.254.243
Protection Policy Category NONE
Spam rules (13230031)
Source header CIP:207.179.254.243;CTRY:US;LANG:fr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;H:mailbe.mtco.com;PTR:mailbe.mtco.com;CAT:NONE;SFS:(13230031);DIR:INB;
Unknown fields DIR:INB;
 
 
est ce que cela ne vient pas du Spam Confidence Level etonnament très bas ?


Message édité par shocker13 le 18-03-2024 à 10:06:37
n°180083
Slyde
Lizard of the Coast
Posté le 25-03-2024 à 13:32:29  profilanswer
 

Exactement le même problème ici avec le même domaine expéditeur : mtco.com
 
Aucun réglage particulier effectué sur le domaine 365, basique de chez basique : souscription avec paramétrage du spf standard > création des comptes > utilisation.  
 
Le spf est donc bien en -all, le dkim actif, les deux sont en fail dans les entêtes des envois concernés, la remise se fait quand même dans la bal destinataire, sans aucun tagging ni info.
 
Bref : des réglages de base sur l'exchange de l'offre 365 business qui sont donc de la bien bonne grosse blague, c'est super utile d'avoir un spf et un DKIM dans ces conditions.


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème d'usurpation d'identité Microsoft365 (spf/dkim)

 

Sujets relatifs
problème lecteur code barre en RDP probleme resolu merciProblème DHCP sur Windows Serveur 2019 avec 2 rangs
Problème de visibilité de serveur quorumAjouter Identifant Gestionnaire identité Windows
Problème déploiement windows via windows server 2016 WDS sous virtualbProblème accès à un site via serveurs proxy
Plus de sujets relatifs à : Problème d'usurpation d'identité Microsoft365 (spf/dkim)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR