locked
Faux positif Hameçonnage Mail RRS feed

  • Question

  • Bonjour,

    Je suis passé très récemment dans notre entreprise (4 adresses mails) sur des comptes mails avec serveur Exchange. J'ai énormément de mails classé en Hameçonnage et mise en quarantaine sans que je ne comprennes vraiment pourquoi.

    La solution pour l'instant a été d'autorisé les noms de domaines afin de pouvoir continuer à travailler mais ca reste compliqué et difficile à gérer étant une petite structure sans service informatique.

    De plus, la ou je suis le plus étonné de ce filtrage c'est que dans certains cas, un mail, envoyé à 2 personnes de notre organisation (l'un adressé et l'autre en copie) a été classé en hameçonnage et donc non distribué car en quarantaine pour le destinataire du mail mais il a bien été reçu par la personne en copie...

    Je suis un peu perdu, si vous avez des solutions ou besoins de précisions pour régler ce problème svp,

    Merci

    Cédric

    samedi 10 août 2019 23:42

Toutes les réponses

  • Bonjour,

    Le point de départ est de comparer les en-têtes de ce fameux mail classé Hameçonnage pour l'un, et non pour l'autre.

    En effet, même si le message semble être le même pour les 2, il s'agit peut-être de 2 messages distincts.

    De plus, l'analyse des en-têtes vous permettra de repérer les verdicts fournis par les solutions antispam en amont.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    Blog : http://sylvaincoudeville.fr

    lundi 12 août 2019 07:51
  • Bonjour,

    Effectivement, les en-têtes sont différent mais j'ai du mal évidemment à les comprendre.

    J'ai malgré tout, pour que ca soit plus lisible inséré les en-têtes sur le site https://testconnectivity.microsoft.com

    ce qui me semble un bon début :)

    Le Rapport antispam est identique (pays,langue,IP Filter) sauf sur 2 points :

    Le classement du mail, un est en Spam 5, l'autre en -1

    Et ensuite, il a été rajouté "Connecting IP Address" sur le mail classé en Spam 5.

    Pourquoi le mail est classé en Spam 5, ça je ne sais pas pourquoi, avez-vous des pistes svp ? D'autant que l'expéditeur est le corps du mail sont identique.

    De plus, je suis sur les paramétrages de base en terme de Seuil, qui lui est à 7. Le paramétrage de base indique également que si le mail est en hameçonnage, il est mis en quarantaine, ce qui semble être mon cas.

    Merci pour votre aide,

    Cordialement,

    Cédric

    lundi 12 août 2019 23:24
  • Bonjour,

    Malheureusement, sans éléments concrets, il est difficile de vous répondre.

    Vous nous indiquez que la seule différence est le classement du mail : Spam:5 pour l'un, Spam:-1 pour l'autre :: quel est le nom de l'en-tête exact ? (ex : X-MS-EXCH-YYYYYYY)

    Cela ressemble à un whitelistage dans un cas, mais pas dans l'autre.

    Pouvez-vous poster les en-têtes en question SVP ?

    Pouvez-vous décrire votre environnement ? (version d'Exchange, type antispam...)


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    Blog : http://sylvaincoudeville.fr

    mardi 13 août 2019 06:32
  • Bonjour,

    Je me suis permis de vous envoyer les 2 en-têtes par mail, je ne voulais pas forcement les mettre en public, ca pourra vous permettre de regarder.

    Pour les versions, nous utilisons Exchange Online de chez microsoft. Nous n'avons pas d'anti-spam autre que celui de microsoft Exchange Online.

    Merci d'avance pour votre retour,

    Cordialement,

    Cédric

    mardi 13 août 2019 09:48
  • Le mail est arrivé correctement sur la boîte car l'utilisateur a mis l'expéditeur (ou le domaine en question) en whitelist, comme l'indique le verdict SFE :

    https://docs.microsoft.com/fr-fr/office365/SecurityCompliance/anti-spam-message-headers :

    "SFV:SFE Le filtrage a été ignoré et le message a été autorisé à passer car il a été envoyé à partir d'une adresse figurant sur la liste des expéditeurs autorisés d'un utilisateur"

    Vous devriez donc vérifier les whitelist de vos 2 utilisateurs (je n'ai pas l'info sur lequel) : l'un des 2 a autorisé l'adresse ou le domaine.

    Maintenant, le mail est arrivé en Spam à cause du filtre de contenu : c'est donc le contenu du message qui est en cause.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    Blog : http://sylvaincoudeville.fr

    mardi 13 août 2019 10:14
  • Ok, je comprends mieux pourquoi l'un a été bloqué et non l'autre. Merci beaucoup.

    Ceci étant, j'ai du mal a comprendre pourquoi le contenu du message peut etre considéré comme un spam. Il n'y pas de lien, juste du texte et c'est pareil pour beaucoup des mails que nous recevons. J'autorise à chaque fois le nom de domaine, donc forcement le nombre de mail en quarantaine baisse, mais cela ne me semble pas une très bonne solution.

    Si l'on regarde le tableau de bord, nous avons recu 51 messages et 24 ont été classé en indésirable. Si nous en avons 1 qui est indésirable, c'est le bout du monde.

    Est-ce l'anti-Spam d'exchange serveur online qui est beaucoup trop restrictif ? Pourquoi si la règle est réglé à 7, le spam classé 5 ne passe pas ? Peut-on tester un contenu de mail ?


    Cédric

    mardi 13 août 2019 10:32
  • Je viens de tester le contenu sur mail-tester et je suis a 9/10...

    Cédric

    mardi 13 août 2019 10:40
  • Ok, je comprends mieux pourquoi l'un a été bloqué et non l'autre. Merci beaucoup.

    Ceci étant, j'ai du mal a comprendre pourquoi le contenu du message peut etre considéré comme un spam. Il n'y pas de lien, juste du texte et c'est pareil pour beaucoup des mails que nous recevons. J'autorise à chaque fois le nom de domaine, donc forcement le nombre de mail en quarantaine baisse, mais cela ne me semble pas une très bonne solution.

    Si l'on regarde le tableau de bord, nous avons recu 51 messages et 24 ont été classé en indésirable. Si nous en avons 1 qui est indésirable, c'est le bout du monde.

    Est-ce l'anti-Spam d'exchange serveur online qui est beaucoup trop restrictif ? Pourquoi si la règle est réglé à 7, le spam classé 5 ne passe pas ? Peut-on tester un contenu de mail ?


    Cédric

    Le "classement en Spam" des solutions dépend de nombreux facteurs. Dans le cas de votre message de nombreux facteurs pèsent (mal) dans la balance :

    • Le domaine de l'expéditeur ne dispose pas de SPF : il n'est donc pas possible de vérifier si l'IP source est autorisée à relayer leurs messages : cela donne un premier verdict négatif
    • Le mail contient un lien : s'il est malformé ou si la destination n'a pas bonne réputation, cela augmente le score

    Concernant le seuil à 7 alors que le mail a obtenu un score de 5 : il faudrait poser la question à votre support Exchange Online pour la raison exacte (peut être parce que l'email vient de HK alors qu'il est rédigé en FR...)


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    Blog : http://sylvaincoudeville.fr

    mardi 13 août 2019 10:41