SPAM depuis notre propre adresse, Malgré Mailinblack

je sens que cela va être encore compliqué avec le support OVH, surtout que je ne sais pas vraiment à quel service je dois rattacher le ticket. C'est un problème au niveau des DNS ? C'est du exchange ? c'est un problème de fonctionnement chez OVH ?

Bonjour,

Si vous avez plusieurs MX de renseigné pas besoin de voir avec le support OVH.

Si un serveur mail pour une raison X ou Y n'arrive pas à joindre le premier MX il passe au second ou parfois les spammeur bypass le premier pour attaquer les autre.

Si vous voulez absolument que tout soit filtré vous ne devez que garder les MX de MIB.

Cordialement, janus57

Merci @janus57
c'est effectivement ce dont j'avais peur, mais ces 2 serveurs :
in60.mail.ovh.net
in36.mail.ovh.net

ne sont pas dans ma liste de MX ? ou alors ca n'a rien a voir ?
il y a moyen de savoir clairement s'ils sont bien passés par les MX secondaires d'OVH que j'ai laissé ?

Bonjour,

ne sont pas dans ma liste de MX ? ou alors ca n'a rien a voir ?

Rien à voir dans le sens où ces serveurs doivent faire partie de la liste des serveurs derrière l'entrée MX.

Cordialement, janus57

ok merci !

dernière question @janus57 , j'ai retiré tous les MX d'ovh, je n'ai plus que celui de MiB.
Qu'est-ce qui empeche un spammeur de continuer de nous envoyer des mails en passant par mx1.mail.ovh.net par exemple ? OVH va toujours nous les faire suivre, non ?

OVH va toujours nous les faire suivre, non ?

Bonjour,

C'est de la sécurité par ignorance, il n'y a plus aucun indicateur où se trouvent vos boîtes mail maintenant.

Bonjour @Fritz2cat désolé, je n'ai pas bien compris ce que tu as voulu dire...

je n'ai pas bien compris ce que tu as voulu dire...

En n'exposant pas les MX d'OVH comme c'était le cas (et c'était une erreur), le seul MX visible est celui de MIB et un attaquant russe ou chinois n'irait jamais injecter les mails vers OVH, puisque cette information n'est pas trouvable dans la zone DNS.

ok bien compris.

Bon j'ai retiré les MX d'OVH il y a un peu plus de 2h00 maintenant, et bim, encore un email reçu...
https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx?huid=26ccf637-38d1-4a5e-b266-c105c6ff4e88

on va mettre ca sur le compte de la propagation pas encore terminée ?

Bonjour,

pour les propagation DNS il faut compter le TTL x2 pour être certain.

Cordialement, janus57

les TTL des MX OVH étaient a zero par defaut...du coup quand j'ai créé celui de MIB j'ai laissé aussi la meme valeur...


Donc Zéro est la valeur recommandée par OVH ??

Bonjour,

chez OVH, 0 == valeur par défaut (cela se configure sur la zone DNS de mémoire).

Cordialement, janus57

on continue d'en recevoir...hier soir vers 22h00 et tôt ce matin vers 03h00...

J'ai finalement ouvert un ticket...

Bonjour,

Pour moi le seul moyen de garantir à 100% est de mettre un accès conditionnel ou est seulement autorisé MailInBlack.

Par contre je ne sais pas si OVH propose cette option.

Cordialement, janus57

Si cette option existait, elle serait dans quelle partie ? DNS ? je ne vois rien qui y ressemble...

Pour moi il y a une faille dans le syteme d'OVH. Bien que leurs MX ne soient pas indiqués dans les DNS, ils routent quand même les emails, ce n'est pas normal.

Bonjour,

Bon ce serait directement dans la partie exchange.

N'utilisant pas de mails exchange chez OVH je ne pourrais pas aider sur cette partie.

Pour moi il y a une faille dans le syteme d'OVH. Bien que leurs MX ne soient pas indiqués dans les DNS, ils routent quand même les emails, ce n'est pas normal.

Bah non c'est totalement normal car dans MIB vous avez dû indiquer vers quel MX rediriger les mails après filtrage.
Si un prestataire ferait ça alors tout les systèmes de filtrage comme MIB serait impossible car si on suit votre logique le MX indiqués est celui d'un autre donc je bloque les mails.

Cordialement, janus57

Bah non c'est totalement normal car dans MIB vous avez dû indiquer vers quel MX rediriger les mails après filtrage.
Si un prestataire ferait ça alors tout les systèmes de filtrage comme MIB serait impossible car si on suit votre logique le MX indiqués est celui d'un autre donc je bloque les mails.

Effectivement, j'ai dit une bétise...

Alors côté Exchange, dans l'interface j'ai ces options :

Suite au passage sur MiB j'avais décoché "Identifier les messages indésirables". Cette option tague l'objet du mail avec le texte [SPAM].
J'ai recoché l'option, mais elle ne fait que taguer, elle ne bloque pas le message...
il reste du coup la possibilité de cocher en dessous "Déplacer les messages indésirables dans la corbeille", pour finalement ne plus voir ces emails...
Au final on se retrouve avec 2 Antispams...ce n'était pas le but. On voulait justement sortir de la gestion hasardeuse et peu efficace de l'antispam d'OVH...On va se rajouter une couche de problèmes supplémentaire.

Les options "Activer la vérification de la signature DKIM et SPF", si je les coche, 50% des emails légitimes reçus sont tagués [SPAM], on a testé ça une journée ça a été une catastrophe, donc on ne le coche plus.

On va se rajouter une couche de problèmes supplémentaire.

Bon ben je dois redécocher l'option "identifier les messages indésirables" de exchange. Les rapports d'emails bloqués envoyés par Mailinblack se retrouvent tagués en [SPAM] et outlook les passe en courrier indésirables. Incroyable....

Bonjour,

J'ai le même problème avec les MX de mail in black (aucun MX de OVH conservé).

La réponse de mail in black est :

"Bonjour,

Il s'agit d'un SPAM en direct, c'est-à-dire que le serveur de messagerie servant à émettre ce mail, n'a pas interrogé les champs MX de votre nom de domaine (ici ceu de Mailinblack), mais l'a envoyé directement à votre serveur de messagerie encore sauvegardé dans leur base de données (OVH).
​
Normalement, lors de l'envoi d'un mail, le serveur de messagerie de l'expéditeur interroge ce champ MX pour savoir à qui envoyer le mail, par rapport au nom de domaine du destinataire.
Dans une configuration normale, le mail serait envoyé sur votre plateforme Mailinblack qui filtrerait l’email, puis il serait envoyé vers votre serveur de messagerie.
​
Pour ces emails le spammeur a mémorisé votre ancien MX et envoie ses messages sans vérifier vos MX actuels.
Concrètement, il « vise » directement votre serveur de messagerie de façon délibérée. Il n’utilise donc pas le nouvel Mx que vous avez déclaré et les spams ne transitent pas par la machine MailInBlack qui vous protège.
​
Une solution pour contrer ce type de spam serait si possible d'appliquer une simple règle restrictive sur le firewall ou sur votre serveur de messagerie (Attention cette manipulation n'est possible que si vous disposez d'un serveur dédié)
Cette règle consiste à accepter uniquement les emails en provenance du serveur Mailinblack qui protège votre domaine.
​

Je vous invite donc à contacter votre prestataire/administrateur de messagerie afin de ne laisser passer que nos plages d'IP pour limiter ce type de réception :
​
137.74.84.0/24

185.209.208.0/22"

Je ne vois pas à quel niveau doit être faite cette manipulation (ni même si je peux la faire).

De votre coté, avez vous résolu ce problème ?

Cordialement.

Rebonjour,

Votre déclaration de MX semble correcte et n'a pas changé depuis longtemps (https://dnshistory.org/dns-records/bet-bgc.fr). On voit souvent des utilisateurs qui ajoutent les MX de MIB, mais oublient d'enlever tous les MX d'OVH ou de leur hébergeur mail.

Ce n'est pas votre cas.

Comme votre SPF, votre SOA et vos NS désignent OVH, peut-être les spammeurs sont-ils devenus malins ? 

La recette proposée par MIB n'est pas possible pour vous.