none
Mail en provenance des nos serveurs SMTP sont considéré comme SPAM (EFV:NLI) malgré des SPF et DKIM valides. RRS feed

  • Discussion générale

  • Bonjour,

    Je me permet d'ouvrir cette discussion afin d'échanger et de comprendre pourquoi les mails issus de nos relais SMTP sont considérés comme SPAM par microsoft (outlook.com).

    Les entêtes indiquent :


    Authentication-Results: spf=pass (sender IP is 178.33.40.200)
     smtp.mailfrom=kcorp.be; msn.com; dkim=pass (signature was verified)
     header.d=kcorp.be;msn.com; dmarc=pass action=none header.from=kcorp.be;
    Received-SPF: Pass (protection.outlook.com: domain of kcorp.be designates
     178.33.40.200 as permitted sender) receiver=protection.outlook.com;
     client-ip=178.33.40.200; helo=cantillon.kcorp.be;

    => Le SPF et le DKIM sont donc présents et valides

    X-Forefront-Antispam-Report: EFV:NLI;

    X-Microsoft-Antispam:
     BCL:0;PCL:0;RULEID:(2390118)(5000188)(711020)(4605104)(610169)(650170)(651021)(8291501072);SRVR:CO1NAM11HT157;


    L'erreur NLI n'est pas présente dans la doc officielle Microsoft (docs.microsoft.com/fr-fr/microsoft-365/security/office-365-security/anti-spam-message-headers).

    A quoi correspond cette erreur et comment pouvons nous résoudre ce problème.

    Il semblerait que nous ne soyons pas les seuls à être confronté à ce symptôme ( github.com/MicrosoftDocs/OfficeDocs-o365seccomp/issues/211 ) mais aucune correction ne semble être fournis afin de résoudre cela.

    Je crois cependant comprendre que cela correspond au fait que nous ne soyons pas dans une Liste de relais SMTP autorisés. Mais toutes les recherches menées semblent également indiquer que nos relais SMTP ne sont déclarés dans aucune liste à risque.

    Donc si j'ai bien compris, Microsoft semble faire le choix de statuer en SPAM les serveurs qu'il ne connait pas.

    Comment pouvons nous donc faire en sorte que nos mails ne soient plus déclarés comme SPAM ?

    Merci d'avance pour votre aide

    Pascal
    ASBL Kcorp.be

    lundi 23 septembre 2019 15:14

Toutes les réponses

  • Bonjour,

    Pourriez-vous nous éclairer sur quelques points svp :

    • Quelle version d'Exchange utilisez-vous ?
    • Votre Exchange est-il On-Premises ou 365 ?
    • Pourriez-vous poster les en-têtes complets (anynomisés bien sûr) d'un email reçu sur Outlook.com et catégorisé comme Spam ?

    Merci par avance.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    mardi 24 septembre 2019 06:08
  • Bonjour.

    J'ai depuis peu le même problème.

    Quand je regarde l'entête, ils ont utilisé le tenant comme sender : nomtenant.onmicrosoft.com.

    Hors le SPF est construit selon : "v=spf1 include:spf.protection.outlook.com -all" avec également l'adresse IP de nos serveurs d'envoi SMTP.

    Je présume qu'ils ont fait un changement sur les serveurs Online. Ca devrait se corriger avec le temps ;-)

     

    mardi 24 septembre 2019 12:35
  • Bonjour,

    Merci pour votre réponse rapide.

    Ma question porte sur le comportement de l'antispam Microsoft sur les serveurs Exchange d'outlook.com vers les domaines msn et/ou hotmail.

    J'utilise de mon coté postfix couplé avec OpenDkim et amavis/clamav. Les échanges avec les serveurs SMTP externes sont chiffrés.

    Mes entrées SPF, DKIM, DMARC sont valides et mes relais ne sont pas identifiés comme des relais de SPAM.

    Cependant, mes mails sont toujours considérés comme SPAM par les antispam outlook.com et déplacés vers le dossier Junk.


    Voici les entêtes d'un mail envoyé par le domaine de mon association (kcorp.be) vers un mail géré par outlook.com (msn.com)

    Received: from CO1NAM11HT157.eop-nam11.prod.protection.outlook.com
     (2603:10a6:803:8c::27) by VI1PR0201MB2239.eurprd02.prod.outlook.com with
     HTTPS via VI1PR06CA0098.EURPRD06.PROD.OUTLOOK.COM; Mon, 23 Sep 2019 14:47:54
     +0000
    Received: from CO1NAM11FT039.eop-nam11.prod.protection.outlook.com
     (10.13.174.55) by CO1NAM11HT157.eop-nam11.prod.protection.outlook.com
     (10.13.175.12) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2284.25; Mon, 23 Sep
     2019 14:47:53 +0000
    Authentication-Results: spf=pass (sender IP is 178.33.40.200)
     smtp.mailfrom=kcorp.be; msn.com; dkim=pass (signature was verified)
     header.d=kcorp.be;msn.com; dmarc=pass action=none header.from=kcorp.be;
    Received-SPF: Pass (protection.outlook.com: domain of kcorp.be designates
     178.33.40.200 as permitted sender) receiver=protection.outlook.com;
     client-ip=178.33.40.200; helo=cantillon.kcorp.be;
    Received: from cantillon.kcorp.be (178.33.40.200) by
     CO1NAM11FT039.mail.protection.outlook.com (10.13.174.110) with Microsoft SMTP
     Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
     15.20.2284.20 via Frontend Transport; Mon, 23 Sep 2019 14:47:53 +0000
    X-IncomingTopHeaderMarker:
     OriginalChecksum:884EE3D96EA847671DA1F3BDDAB0649059B9524683C4D54BA4AA6FBAD78AFE75;UpperCasedChecksum:F80627212E70FF16E4556792761AC48BF2BD1C043B79E14CCDC902E1570F2E07;SizeAsReceived:1053;Count:11
    X-Virus-Scanned: amavisd-new at kcorp.be
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=kcorp.be; s=default;
    t=1569250070; bh=eNLkBDtBUlZwqjjbstCms6jXB5n5psdfWQzUtZeGjp8=;
    h=Date:To:From:Subject:From;
    b=kIs8AddX9ZEVfywtKCfzBiTlWk6p+1ertM7nQNn237ABSXPB12MxJvTVb2w50Se1P
    cecaFVDhX58SzfAW385v6FEtq9CnN4WlUDxSN5WqZ8vyofJQf5gmgSDUKyYk0LSXVe
    LUN4d5Wv4VaqZCxVVtVTyz1aZ4X8ZZ1iKXPFomzgOO63vglLpoAodClDlTJ7A9S+Z2
    k/Y4mmERBJMM2WqOii2NM+TIQCBFQAv+3dH6dqc5HG76WrW1FAJ8j4k645EUXB+kHq
    Q+Hr8n5K4sQFIqUj3c1kvkg+TkEc8SYaV8ADQj9HDwdbMD+J5EbFzoOxNyscVe5OLF
    jzrwsJ3c/Vc4A==
    Date: Mon, 23 Sep 2019 16:47:48 +0200
    To: "XXXXXXXXX@msn.com" <XXXXXXXXX@msn.com>
    From: "XXXXXXXXX@kcorp.be" <XXXXXXXXX@kcorp.be>
    Subject: Kcorp Message de test
    Message-ID: <w9nhPOaXCRoKxTtfCrUrjyYqG4nkdN4BYPPGhcbKm1c@bureau.kcorp.be>
    Content-Type: multipart/alternative;
    boundary="b1_w9nhPOaXCRoKxTtfCrUrjyYqG4nkdN4BYPPGhcbKm1c"
    Content-Transfer-Encoding: 8bit
    X-IncomingHeaderCount: 11
    Return-Path: XXXXXXXXX@kcorp.be
    X-MS-Exchange-Organization-ExpirationStartTime: 23 Sep 2019 14:47:53.1932
     (UTC)
    X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
    X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
    X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
    X-MS-Exchange-Organization-Network-Message-Id:
     c8cac2cf-fed4-4339-2e97-08d740350379
    X-EOPAttributedMessage: 0
    X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0
    X-MS-Exchange-Organization-MessageDirectionality: Incoming
    X-Forefront-Antispam-Report: EFV:NLI;
    X-MS-Exchange-Organization-AuthSource:
     CO1NAM11FT039.eop-nam11.prod.protection.outlook.com
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-PublicTrafficType: Email
    X-MS-UserLastLogonTime: 9/23/2019 2:47:03 PM
    X-MS-Office365-Filtering-Correlation-Id: c8cac2cf-fed4-4339-2e97-08d740350379
    X-Microsoft-Antispam:
     BCL:0;PCL:0;RULEID:(2390118)(5000188)(711020)(4605104)(610169)(650170)(651021)(8291501072);SRVR:CO1NAM11HT157;
    X-MS-TrafficTypeDiagnostic: CO1NAM11HT157:
    X-MS-Exchange-PUrlCount: 1
    X-MS-Exchange-EOPDirect: true
    X-Sender-IP: 178.33.40.200
    X-SID-PRA: XXXXXXXXX@KCORP.BE
    X-SID-Result: PASS
    X-MS-Exchange-Organization-PCL: 2
    X-OriginatorOrg: outlook.com
    X-MS-Exchange-CrossTenant-OriginalArrivalTime: 23 Sep 2019 14:47:53.0110
     (UTC)
    X-MS-Exchange-CrossTenant-Network-Message-Id: c8cac2cf-fed4-4339-2e97-08d740350379
    X-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
    X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
    X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg:
     00000000-0000-0000-0000-000000000000
    X-MS-Exchange-Transport-CrossTenantHeadersStamped: CO1NAM11HT157
    X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.7269734
    X-MS-Exchange-Processed-By-BccFoldering: 15.20.2284.007
    X-Microsoft-Antispam-Mailbox-Delivery:
    abwl:0;wl:0;pcwl:0;kl:0;iwl:0;dwl:0;dkl:0;rwl:0;ucf:0;jmr:0;ex:0;auth:1;dest:J;OFR:SpamFilterAuthJ;ENG:(5062000261)(5061607266)(5061608174)(4900115)(4920090)(6350004)(4950130)(4990090)(9140004);RF:JunkEmail;
    X-Message-Info:
    qoGN4b5S4yp1eb1YMz0bUPfFT7C6zb6wCY6TpFtFfhzcbZzykxmkLWaT9N7TDJ53zA9pAryzXki/5G9dCa2rpVML1SNqJRp9tpk4Z+SWMM20kJaJE1Z2OmN5ATnTps3/BU6iSE7K1xqbZ2By/uEwaRS5mllkowd5b6WEks65mmwKCZ1G2YZy+6rLEUBefMaLgbXyp1OOHhKfMjmf6rNf5g==
    X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MjtHRD0yO1NDTD02
    X-Microsoft-Antispam-Message-Info:
    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
    MIME-Version: 1.0
    --b1_w9nhPOaXCRoKxTtfCrUrjyYqG4nkdN4BYPPGhcbKm1c
    Content-Type: text/plain; charset=us-ascii

    Test de 23/09/2019 16:47:48

    De ce que je comprend, la seule donnée remontée par l'antispam micosoft est :

    X-Forefront-Antispam-Report: EFV:NLI;

    Je souhaiterai donc savoir ce qui pose problème dans mes mails transmis afin de ne plus être considéré à tort comme des spams.

    jeudi 26 septembre 2019 07:06
  • Bonjour,

    d'apres ce header, le dkim ne serait pas ok. (je mets un conditionnel, car je n'ai jamais placé de dkim)

    j'ai regardé le ptr, le helo est ok, les mx aussi, SPF pareil.

    https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx?huid=90655e3d-7773-4cda-a053-46266f2fc159#



    lundi 30 septembre 2019 14:54
  • Bonjour,

    d'apres ce header, le dkim ne serait pas ok. (je mets un conditionnel, car je n'ai jamais placé de dkim)

    j'ai regardé le ptr, le helo est ok, les mx aussi, SPF pareil.

    https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx?huid=90655e3d-7773-4cda-a053-46266f2fc159#



    Olivier,

    Je crois que MXToolBox n'apprécie juste pas les retour à la lignes du header DKIM, tout simplement : si on lui renvoie le header après avoir retiré les retours à la ligne inutiles, il est content.

    Le mieux serait de contacter le support Office 365 : il y a certainement une modif en cours dans l'infra qui met la pagaille !


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    mardi 1 octobre 2019 06:16