Partager via

Spam discret - Phishing éducatif

Anonyme
2025-06-25T07:32:27+00:00

Bonjour,

Je suis au service IT d'une association française.

Nous disposons d'un domaine domain.tld sur l'offre 365 avec nos 600 utilisateurs. L'offre (tenant) est souscrite chez un fournisseur Français et local.

Nous souhaitons lancer des campagnes de "phishing éducatif" auprès de nos utilisateurs.

Nous avons souscrit un nom de domaine très similaire à domain.tld que nous appellerons pdomain.tld. Nous avons souscrit un VPS chez un autre hébergeur Français.

Ce serveur tourne sur la distribution UBUNTU Core 22.04.02 LTS - service SMTP : EXIM4 4.97, le tout en IPv4 fixe.

Nous avons des échanges de mail en SMTPs:465 (et 587 sur d'autres tests). DKIM, DMARC et SPF OK, note de 10/10 en mail tester.

Nous avons configuré un service de campagne via GOPHISH.

In fine, les mails depuis un webmail passent sans soucis entre domain.tld <-> pdomain.tld, ou pdomain.tld <-> GoogleMail.

Nous avons effectué un warmup de pdomain.tld.

Je préciser que le header des mails reçu indiquent bien que le mail reçu de pdomain.tld passe bien en sécurisée.

Dès les premiers tests de campagne sur un public réduit, nous avons rencontré le problème suivant : code de réponse de délivrance en 250 (mail reçu) mais le mail n'arrive pas sur le mail du destinataire. Ni même en spam. Nous avons remarqué comme une mise en quarantaine des mails de pdomain.tld.

Nous avons demandé à notre administrateur du tenant de mettre en place un "whitelistage" complet du domaine pdomain.tld, ci dessous les modifications au niveau du Tenant :

  • ajout de l'adresse IPv4 dans les "Stratégie de filtre de connexion" dans "Stratégies anti-courrier indésirable" en liste verte
  • ajout des deux adresses mail en @pdomain.tld (configurés dans la campagne GOPHISH) et du domaine pdomaine.tld dans les "Stratégies entrante anti-courrier indésirable" en expéditeurs et domaine autorisés
  • ajout d'une règle dans Exchange online se nommant "simulation pour le domaine pdomaine.tld", cette régle réalise les actions suivantes pour les mails en provenance du domaine domain.tld - Seuil de probabilité de courrier indésirable mis en Bypass spam filtering - Modification des propriétés du message pour Définir l'en tête du message , positionnement de la valeur "X-MS-Exchange-Organization-SkipSafeLinksProcessing" à 1

Les mails sont reçu par le serveur exchange mais il ne les délivres pas.

Une fois de plus, nous n'avons pas la main sur le tenant. Comment configurer autrement le tenant pour laisser passer les mails de pdomain.tld sans classement en spam ?

Merci par avance,
Aurann

Microsoft 365 et Office | Abonnement, compte, facturation | Pour le business | Autres

Question verrouillée. Cette question a été migrée à partir de la Communauté Support Microsoft. Vous pouvez voter pour indiquer si elle est utile, mais vous ne pouvez pas ajouter de commentaires ou de réponses ni suivre la question.

0 commentaires

4 réponses

Trier par : Le plus utile
Le plus utile Les plus récents Les plus anciens
  1. Anonyme
    2025-07-01T03:28:25+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Cher Aurann,

    Bonne journée à vous et merci pour votre message dans la communauté Microsoft. Je suis désolé pour la gêne occasionnée que vous avez rencontrée.

    Merci pour votre fourniture. Je serai là pour vous soutenir autant que possible. Veuillez prendre votre temps.

    Encore une fois, je m’excuse sincèrement pour l’expérience désagréable. J’attends avec impatience vos informations et si vous avez des questions, n’hésitez pas à me contacter - je serai heureux de vous aider. Je vous souhaite une merveilleuse journée. 

    Sinceres salutations

    Daniel Vo - MSFT | Spécialiste du support communautaire Microsoft.

    Cette réponse a-t-elle été utile ?

    0 commentaires
  2. Anonyme
    2025-06-30T07:11:03+00:00

    Bonjour,

    Je vous remercie pour votre réponse. J'ai transmis vos instructions à notre gestionnaire de tenant, j'attends leur réponse. Je vous tiendrai au courant.

    Belle journée.

    Cette réponse a-t-elle été utile ?

    0 commentaires
  3. Anonyme
    2025-06-30T01:26:34+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Cher Aurann,

    Bonne journée à vous et merci pour votre message dans la communauté Microsoft. Je suis désolé pour la gêne occasionnée que vous avez rencontrée.

    Je vous écris pour savoir si vous avez eu l’occasion d’effectuer les étapes de dépannage que j’ai précédemment recommandées.

    Encore une fois, je m’excuse sincèrement pour cette expérience désagréable. J’attends avec impatience vos informations et si vous avez des questions, n’hésitez pas à me contacter - je serai heureux de vous aider. Je vous souhaite une merveilleuse journée. 

    Sinceres salutations

    Daniel Vo - MSFT | Spécialiste du support communautaire Microsoft.

    Cette réponse a-t-elle été utile ?

    0 commentaires
  4. Anonyme
    2025-06-25T08:22:40+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Cher Aurann,

    Bonne journée à vous et merci pour votre message dans la communauté Microsoft. Je suis désolé pour la gêne occasionnée que vous avez rencontrée.

    En ce qui concerne votre description, je voudrais résumer comme ci-dessous, s’il vous plaît aidez-moi à confirmer si ma compréhension est correcte :

    • Vous envoyez depuis pdomain.tld (VPS Ubuntu/Exim4) via Gophish
    • SPF, DKIM et DMARC réussissent tous (10/10 sur le testeur de courrier)
    • Les journaux SMTP affichent 250 OK, mais les messages n’atterrissent jamais dans la boîte de réception ou dans le spam
    • Vous avez déjà ajouté :
      1. L’adresse IP pdomain.tld vers la liste d’autorisation du filtre de connexion
      2. pdomain.tld (et ses adresses d’envoi) aux expéditeurs/domaines autorisés dans la politique antispam entrante
      3. Une règle de transport pour contourner le filtrage anti-spam et définir X-MS-Exchange-Organization-SkipSafeLinksProcessing
    • Pourtant, Exchange Online reçoit le transfert SMTP, mais les messages disparaissent ensuite - à mon avis, ils sont probablement mis en quarantaine par Microsoft Defender pour Office 365.

    Pour mieux vous aider, pourriez-vous fournir plus de détails, tels que :

    1. Suivi des messages
      • Avez-vous exécuté un suivi des messages dans le Centre de sécurité et de conformité pour ces e-mails de test ?
      • Quels sont les « événements » et les « actions » affichés ? (par exemple, SpamQuarantine, MalwareQuarantine, TransportFailure)
    2. Portail de quarantaine
    3. Anti-hameçonnage / Intelligence d’usurpation d’identité
      • Disposez-vous d’une politique anti-hameçonnage qui peut détecter le « domaine similaire » et le mettre en quarantaine ou le bloquer ?
    4. Connecteur entrant
      • Avez-vous créé un connecteur entrant (flux de messagerie → connecteurs) permettant à votre adresse IP pdomain.tld et l’avez-vous configuré pour contourner le spam ?
    5. Niveau de licence
      • Quelles licences Defender/ATP possédez-vous ?

    Encore une fois, je m’excuse sincèrement pour l’expérience désagréable. J’attends avec impatience vos informations et si vous avez des questions, n’hésitez pas à me contacter - je serai heureux de vous aider. Je vous souhaite une merveilleuse journée. 

    Cordialement

    Daniel Vo - MSFT | Spécialiste du support communautaire Microsoft.

    Cette réponse a-t-elle été utile ?

    0 commentaires