none
Mails provenant d'un contact étranger tombent dans Badmail/Analyse d'un entête. RRS feed

  • Question

  • Bonsoir,

    Nous constatons que lorsque un contact aux etats-unis nous adresse un mail, certains collègues (deux pour le moment) ne recoivent pas le message. D'autres si.

    Pour au moins 2 d'entre eux, les mails tombent dans le répertoire Badmail :

    - Le fichier *.BDR evoque l'erreur générique 0x80004005

    - Le fichier *.BAD intégre l'entête d'email suivant :

    • X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10434:,, definitions=2019-08-20_05:,,
       signatures=0
      X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 priorityscore=1501 malwarescore=0
       suspectscore=0 phishscore=0 bulkscore=0 spamscore=0 clxscore=1015
       lowpriorityscore=0 mlxscore=0 impostorscore=0 mlxlogscore=999 adultscore=0
       classifier=spam adjust=0 reason=mlx scancount=1 engine=8.0.1-1906280000
       definitions=main-1908200143
      X-Backend: vm-mx-sophos-mta45
      X-PMX-Backend: PMX 6.3.1.2588712, Antispam-Engine: 2.7.2.2107409, Antispam-Data: 2019.8.20.135117 running on vm-mx-sophos-mta45
      X-PMX-VirusScan: no virus found
      X-PFSI-Info: PMX 6.3.1.2588712, Antispam-Engine: 2.7.2.2107409, Antispam-Data: 2019.8.20.135117 (no virus found)
      X-Spam-Flag: NO
      X-PMX-Spam: Probability=8%
      X-PMX-SpamScan: NO 8%

    1) J'ai lu sur certains sites que ce code erreur 0x80004005 pouvait etre du à l'anti-virus qui suspecte la pièce jointe du mail.

    Dans les mails en questions, aucune PJ n'apparait. Néanmoins, dans le fichier Bad, il est fait référence au fichier "winmail.dat". Celui-ci est un fichier de configuration qui peut apparaitre sur certains logiciels clients comme Thunderbird (Nous utilisons Outlook). Simple piste, j'ignore si ce winmail.dat peut etre interprété comme un virus

    2) Dans ce fichier bad, il est indiqué qu'aucun virus n'a été trouvé mais les mentions "classifier=spam", "clxscore=1015", "X-PMX-Spam: Probability=8%" m'interpellent.

    Savez-vous ce qu'ils signifient ? et plus globalement pour quelle raison certains collegues ne recoivent pas les mails en question...

    Merci

    p.S: notre serveur de messagerie est sous Exchange 2010 mais le cluster dont l'un des serveurs nous sert de smtp est sous 2003 (migration prevue ds qques mois sous 2016)

    mercredi 21 août 2019 21:01

Toutes les réponses

  • Bonjour,

    Alors pour commencer le code erreur 0x80004005 signifie "Access Denied" : c'est assez vague, j'en convient !

    La question à se poser est : est-ce que l'email en question est bien un unique message envoyé aux collaborateurs concernés, ou bien est-ce un message généré par destinataire : cela pourrait expliquer la différence de comportement.
    Pour vérifier, il suffit d'analyser les en-têtes d'un des emails reçus convenablement et de regarder si la référence du message est la même.

    Ensuite, pour 2nde piste, vérifiez si les utilisateurs qui l'ont reçu n'auraient pas whitelisté le domaine ou l'adresse de l'expéditeur (à contrario de ceux qui ne l'ont pas reçu).

    Enfin, les en-têtes X-xxx vous donnent des indications supplémentaires quant au traitement par les antivirus et antispam : il sera intéressant de les comparer avec ceux d'un email reçu convenablement.

    Dans votre cas, on voit que X-Proofpoint-Spam-Details a classé le message en spam. Clxscore doit être le score obtenu par votre protection Proofpoint : il faudrait vous rapprocher de leur support pour plus d'informations.

    X-PMX-xxx correspond à votre antispam fourni par Sophos.

    En somme, Proofpoint a détecté le message comme Spam, mais Sophos non => la réponse peut se trouver dans une différence de traitement des messages au niveau de Proofpoint selon les utilisateurs .

    L'idéal serait d'avoir aussi les en-tête d'un message reçu convenablement.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    http://snsv.consulting

    Blog : http://sylvaincoudeville.fr

    jeudi 22 août 2019 06:05
  • Merci Sylvain pour cette réponse.

    Quelques précisions :

    1) En fait, les utilisateurs qui ne recoivent pas les mails sont en copie en genéral d'un mail. Les autres destinataires recoivent correctement le mail.

    => Donc je suppose que la classification du mail est la même ? Je vais néanmoins vérifier.

    2) Concernant les listes blanches, c'est nous qui autorisons ou blacklistons un domaine pour l'ensemble des utilisateurs. C'est binaire : soit tout le monde peut les recevoir soit personne. Donc j'aurais tendance à penser que le problème ne viendrait pas forcement de là.

    => Effectivement le "classifier=spam" m'a interpellé mais à contraria le "spamscore" est à égal à zero ainsi que le suspectscore. Du coup, est ce que ce courriel est vraiment classifié comme spam ?

    Je vais quand même comparer avec un entête chez un destinataire en copie d'un mail.

    Merci.

    jeudi 22 août 2019 10:35
  • 1. En effet, si l'email est le même, la classification doit être identique

    2. Attention, les utilisateurs peuvent mettre en liste blanche au niveau Outlook (et dans ce cas, c'est individuel) : il ne faut pas négliger cela

    3. clxscore et mlxlogscore eux sont > 0 : je n'ai pas réussis à trouver de documentation sur ces scores, il faudrait demander directement à votre support Proofpoint.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    http://snsv.consulting

    Blog : http://sylvaincoudeville.fr

    jeudi 22 août 2019 10:40