none
Blacklisté vers hotmail et live RRS feed

  • Discussion générale

  • Bonjour à tous,

    Voici mon problème, il y a 3 semaines nous avons fait l'object d'une attaque via un port qui avait été ouvert afin de me permettre de me connecté a distance sur notre terminal serveur.

    Bon ok la méthode était un peu archaique mais cela fonctionnait depuis plus de dix ans comme cela...

    Du coup fermeture du port en question et de la redirection, antivirus et outils de nettoyage ( MSERT, KVRT, EST...) passé sur tous les serveurs et les PC du domaine en plsu de l'antivirus déja présent sur les machines ( nous fonctionnons avec Kaspersky)Après l'attaque nosu avions été blacklisté forcément vu que le serveur exchange avait servit de SPAMbot.

    Donc serveur Exchange tout propre, déblacklistage, notre IP est OK sur tous les sites sur lesquels j'ai vérifier, et j'en ai fait plein.

    Changement du mot de passe de tous les utilisteurs y compris admin du réseau.

    Sauf que nous sommes toujours bloqué auprès de live et hotmail, impossible de leur envoyé un mail nous recevons cette erreur :

    DM6NAM11FT033.mail.protection.outlook.com a rejeté votre message vers les adresses de messagerie suivantes :
    xxx@hotmail.com (xxx@hotmail.com)
    Votre message n'a pas été remis en raison d'un problème d'autorisation ou de sécurité. Il a pu être rejeté par un modérateur, l'adresse n'accepte peut-être de message électronique que provenant de certains expéditeurs, ou une autre restriction peut empêcher sa remise.
    DM6NAM11FT033.mail.protection.outlook.com a généré cette erreur :

    Unfortunately, messages from [194.XX.XXX.XX] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [DM6NAM11FT033.eop-nam11.prod.protection.outlook.com]


    Informations de diagnostic pour les administrateurs :
    Serveur de génération : monserveurexchange.intranet.lan
    XXX@hotmail.com
    DM6NAM11FT033.mail.protection.outlook.com
    Remote Server returned '550 5.7.1 Unfortunately, messages from [194.XX.XXX.XX] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [DM6NAM11FT033.eop-nam11.prod.protection.outlook.com]'
    En-têtes de message d'origine :
    Received: from Exchange2016.intranet.lan (192.168.123.18) by
    monserveurexchange.intranet.lan (192.168.123.18) with Microsoft SMTP Server
     (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
     15.1.845.34; Wed, 1 Apr 2020 07:28:15 +0200
    Received: from monserveurexchange.intranet.lan ([fe80::a48a:417c:e274:9d87]) by
    monserveurexchange.intranet.lan ([fe80::a48a:417c:e274:9d87%5]) with mapi id
     15.01.0845.034; Wed, 1 Apr 2020 07:28:15 +0200
    From: Elisa Hottlet <elisahottlet@calliege.be>
    To: "XXX@hotmail.com" <XXX@hotmail.com>
    Subject: TEST
    Thread-Topic: TEST
    Thread-Index: AdYH5jsU9HN5NW4cSZyQgO07geinxA==
    Date: Wed, 1 Apr 2020 05:28:14 +0000
    Message-ID: <e84861e5246146709b35d9deb5f92d7b@calliege.be>
    Accept-Language: fr-BE, en-US
    Content-Language: fr-FR
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    x-originating-ip: [192.168.123.88]
    x-gfi-smtp-submission: 1
    x-gfi-smtp-hellodomain: monserveurexchange.intranet.lan
    x-gfi-smtp-remoteip: 192.168.123.XX
    Content-Type: multipart/alternative;
        boundary="_000_e84861e5246146709b35d9deb5f92d7bcalliegebe_"
    MIME-Version: 1.0

    J'ai changé les IP et les adresses au cas ou mais en substance voila et nosu avons cela pour toutess les adresse live et hotmail.

    J'ai ouvert deux dossiers chez microsoft via ce site mais pas de réponse :

    https://support.microsoft.com/fr-fr/supportrequestform/8ad563e3-288e-2a61-8122-3ba03d6b8d75

    Jute une petite addition lorsque je débusquais les crasses sur mon serveur exchange j'ai vu un utilisateur qui  me semblait suspect dans mon AD FederatedEmailavectouteunesériedechiffres, je l'ai désactivé car il avait été modifié le jour de l'attaque...Le display name de cet utilisateur c'est Microsoft Exchange Federation Mailbox

    Après coup ce matin je me suis dit que c'était peut-etre la le problème...mais j'en sais rien.

    Alors je me suis dit que j'allais réactiver l'utilisateur et faire un test sauf que il ne veut pas le réactiver car il me dit que le mot de passe ne correspond pas a la GPO de sécurité...oui j'ai aussi améliorer la GPO de sécurité entre temps. On était sur 6 caractères ( décision de la direction contre laquelle je me battais depuis un bout de temps)  on est passé a 15...

    Donc si quelqu'un peut me dire si ce FederatedEmail user pourrait etre un compte dont Microsoft se sert pour l'envois des mails vers outlook ou live ???

    Ou si il a une autre solution ?

    Un grand merci,

    Elisa


    Elisa Hottlet

    mercredi 1 avril 2020 06:14

Toutes les réponses

  • Bonjour,

    Chose importante, avez-vous également configurer un enregistrement SPF avec l'adresse IP public qui sert à l'envoie des messages ?

    À ma connaissance, il n'y a pas de compte AD qui gère l'envoie de message sur Outlook ou autre, par contre il est important d'avoir une entrée SPF de configurer correctement et si possible avec un reverse sur l'adresse IP qui correspond au serveur d'envoi.

    Romain

    mercredi 1 avril 2020 07:41
  • Bonjour,

    mxtoolbox, spamhaus, talos, et bien d'autres on est clean sur tout les sites.

    Merci


    Elisa Hottlet

    mercredi 1 avril 2020 08:51
  • Bonjour,

    Je vais vérifier dans le DNS mais tous les envois externe et interne fonctionne a part ceux vers hotmail et live.

    Mais le SPF ne sert ps normalement a la reception des mails ? Pour vérifier que ceux-ci sont de source sure. la c'est l'envois qui pose problème. nous recevons des mails via des adresse hotmail et on ne sait pas y répondre.

    Elisa


    Elisa Hottlet


    mercredi 1 avril 2020 08:54
  • Bonjour Romain,

    Voila vérification faite etnous sommes bien OK pour le SPF mais pas pour le DKIM.

        Ok Icon DMARC Compliant
            Ok  SPF Alignment
            Ok  SPF Authenticated
            Problem  DKIM Alignment
            Problem DKIM Authenticated

    Et effectivement pour le SPF ils sert bien a authentifier que l'envoyeur est bien celui qu'il dit donc j'ai rien dit tu avais raison.

    Je vais creuser un peu sur le DKIM du coup cela pourrais-t-il etre la raison de notre "blacklistage" chez Microsoft ?

    J'ai reçu une réponse de leur part

    We have completed reviewing the IP(s) you submitted. The following table contains the results of our investigation.

    Not qualified for mitigation xx.xx.xxx.xx Our investigation has determined that the above IP(s) do not qualify for mitigation.

    Mais je ne suis pas sure de ce qu'ils veulent par nous ne sommes pas qualifié pour une aténuation ?

    L'IP est blockée et le resterat  dans ce cas pour quelle raison ?

    Ou l'IP n'est pas bloquée et du coup il ne peuvent rien faire ?

    Je leur ai demandé, j'attends leur réponse.

    Je cherche donc encore mais si quelqu'un a une autre piste je prends.

    Merci,

    Elisa



    Elisa Hottlet

    jeudi 2 avril 2020 15:58
  • Bonjour Elisa hottlet,

    Avez-vous trouvé une solution? Si non, je vous conseille de contacter le support Microsoft afin de résoudre ce problème.

    Numéros de téléphone du service à la clientèle mondial

    Je vous remercie par avance pour votre retour.

    Cordialement,

    Biliana


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 27 avril 2020 10:46