Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Merci
David Ponzone
On Thu, Jun 20, 2019 at 06:07:20PM +0200, David Ponzone wrote:
Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Oui, dans ECP. Tu as une catégorie "Protection" et un onglet "Filtrage de connexion"
A voir si c'est dispo dans tous les niveaux de service...
Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Le 20 juin 2019 à 19:18, Denis Fondras xxsag@ledeuns.net a écrit :
On Thu, Jun 20, 2019 at 06:07:20PM +0200, David Ponzone wrote:
Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Oui, dans ECP. Tu as une catégorie "Protection" et un onglet "Filtrage de connexion"
A voir si c'est dispo dans tous les niveaux de service... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Si tu as une gateway qui ne connaît pas la liste des destinataires valides ou non, c’est assez simple d’écrire à une adresse aléatoire et d’obtenir l’adresse du SMTP final.
Si le PTR du serveur comporte ton nom de domaine (genre mail.coucou.fr), il est aussi assez simple de se dire qu’il gère les emails pour coucou.fr et lui faire péter des spams depuis des adresses trouvées dans différentes fuites dispo sur le net.
Le jeu. 20 juin 2019 à 19:47, David Ponzone david.ponzone@gmail.com a écrit :
Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Le 20 juin 2019 à 19:18, Denis Fondras xxsag@ledeuns.net a écrit :
On Thu, Jun 20, 2019 at 06:07:20PM +0200, David Ponzone wrote:
Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait
tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour
faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Oui, dans ECP. Tu as une catégorie "Protection" et un onglet "Filtrage de connexion"
A voir si c'est dispo dans tous les niveaux de service... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 21 juin 2019 à 08:01, Romain romain@borezo.info a écrit :
Si tu as une gateway qui ne connaît pas la liste des destinataires valides ou non, c’est assez simple d’écrire à une adresse aléatoire et d’obtenir l’adresse du SMTP final.
Tu veux dire en faisant en sorte de recevoir voir un Unknown/Invalid Recipient ? Bien entendu, mais ce n’est pas le cas de ce client. Il doit y avoir un catch-all par défaut (Exchange OVH).
Si le PTR du serveur comporte ton nom de domaine (genre mail.coucou.fr http://mail.coucou.fr/), il est aussi assez simple de se dire qu’il gère les emails pour coucou.fr http://coucou.fr/ et lui faire péter des spams depuis des adresses trouvées dans différentes fuites dispo sur le net.
Là encore, c’est pas le cas puisque c’est le serveur Exchange mutualisé d’OVH.
Par contre, je crois que j’ai compris: un domaine Exchange OVH a généralement une jolie entrée: _autodiscover._tcp IN SRV 0 0 443 ex2.mail.ovh.net.
Et paf… On va essayer de virer l'autodiscover pour voir.
Merci, tu m’as mis sur la bonne voie.
Le jeu. 20 juin 2019 à 19:47, David Ponzone <david.ponzone@gmail.com mailto:david.ponzone@gmail.com> a écrit : Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Si tu vires l’autodiscover, les clients MS Outlook ne fonctionneront plus.
Dans Exchange il y a plusieurs connecteurs (réception et envoie), et il est possible de mettre des propriétés, tels que IP distante, ou de forcer l’authentification.
De : FRsAG frsag-bounces@frsag.org De la part de David Ponzone Envoyé : vendredi, 21 juin 2019 08:35 À : Romain romain@borezo.info Cc : frsag frsag@frsag.org Objet : Re: [FRsAG] Filtrage IP sur Exchange
Le 21 juin 2019 à 08:01, Romain <romain@borezo.info mailto:romain@borezo.info > a écrit :
Si tu as une gateway qui ne connaît pas la liste des destinataires valides ou non, c’est assez simple d’écrire à une adresse aléatoire et d’obtenir l’adresse du SMTP final.
Tu veux dire en faisant en sorte de recevoir voir un Unknown/Invalid Recipient ?
Bien entendu, mais ce n’est pas le cas de ce client. Il doit y avoir un catch-all par défaut (Exchange OVH).
Si le PTR du serveur comporte ton nom de domaine (genre mail.coucou.fr http://mail.coucou.fr/ ), il est aussi assez simple de se dire qu’il gère les emails pour coucou.fr http://coucou.fr/ et lui faire péter des spams depuis des adresses trouvées dans différentes fuites dispo sur le net.
Là encore, c’est pas le cas puisque c’est le serveur Exchange mutualisé d’OVH.
Par contre, je crois que j’ai compris: un domaine Exchange OVH a généralement une jolie entrée:
_autodiscover._tcp IN SRV 0 0 443 ex2.mail.ovh.net http://ex2.mail.ovh.net .
Et paf…
On va essayer de virer l'autodiscover pour voir.
Merci, tu m’as mis sur la bonne voie.
Le jeu. 20 juin 2019 à 19:47, David Ponzone <david.ponzone@gmail.com mailto:david.ponzone@gmail.com > a écrit :
Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Oui mon premier souhait est de n’autoriser que mon antispam à envoyer du mail à l’Exchange, mais je ne pense pas que cela soit possible sur l’Exchange Mutualisé d’OVH.
Le 21 juin 2019 à 09:07, Duchet Rémy remy@duchet.eu a écrit :
Si tu vires l’autodiscover, les clients MS Outlook ne fonctionneront plus. Dans Exchange il y a plusieurs connecteurs (réception et envoie), et il est possible de mettre des propriétés, tels que IP distante, ou de forcer l’authentification.
De : FRsAG <frsag-bounces@frsag.org mailto:frsag-bounces@frsag.org> De la part de David Ponzone Envoyé : vendredi, 21 juin 2019 08:35 À : Romain <romain@borezo.info mailto:romain@borezo.info> Cc : frsag <frsag@frsag.org mailto:frsag@frsag.org> Objet : Re: [FRsAG] Filtrage IP sur Exchange
Le 21 juin 2019 à 08:01, Romain <romain@borezo.info mailto:romain@borezo.info> a écrit :
Si tu as une gateway qui ne connaît pas la liste des destinataires valides ou non, c’est assez simple d’écrire à une adresse aléatoire et d’obtenir l’adresse du SMTP final.
Tu veux dire en faisant en sorte de recevoir voir un Unknown/Invalid Recipient ? Bien entendu, mais ce n’est pas le cas de ce client. Il doit y avoir un catch-all par défaut (Exchange OVH).
Si le PTR du serveur comporte ton nom de domaine (genre mail.coucou.fr http://mail.coucou.fr/), il est aussi assez simple de se dire qu’il gère les emails pour coucou.fr http://coucou.fr/ et lui faire péter des spams depuis des adresses trouvées dans différentes fuites dispo sur le net.
Là encore, c’est pas le cas puisque c’est le serveur Exchange mutualisé d’OVH.
Par contre, je crois que j’ai compris: un domaine Exchange OVH a généralement une jolie entrée: _autodiscover._tcp IN SRV 0 0 443 ex2.mail.ovh.net http://ex2.mail.ovh.net/.
Et paf… On va essayer de virer l'autodiscover pour voir.
Merci, tu m’as mis sur la bonne voie.
Le jeu. 20 juin 2019 à 19:47, David Ponzone <david.ponzone@gmail.com mailto:david.ponzone@gmail.com> a écrit : Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Aucune idée chez OVH, je ne me prononce donc pas.
Par contre il est possible modifier le connecteur de réception, sur n’importe quel Exchange (ou de demander à OVH de le faire, ou d’en faire un avec filtrage d’IP).
De : David Ponzone david.ponzone@gmail.com Envoyé : vendredi, 21 juin 2019 09:30 À : Duchet Rémy remy@duchet.eu Cc : Romain romain@borezo.info; frsag frsag@frsag.org Objet : Re: [FRsAG] Filtrage IP sur Exchange
Oui mon premier souhait est de n’autoriser que mon antispam à envoyer du mail à l’Exchange, mais je ne pense pas que cela soit possible sur l’Exchange Mutualisé d’OVH.
Le 21 juin 2019 à 09:07, Duchet Rémy <remy@duchet.eu mailto:remy@duchet.eu > a écrit :
Si tu vires l’autodiscover, les clients MS Outlook ne fonctionneront plus.
Dans Exchange il y a plusieurs connecteurs (réception et envoie), et il est possible de mettre des propriétés, tels que IP distante, ou de forcer l’authentification.
De : FRsAG < mailto:frsag-bounces@frsag.org frsag-bounces@frsag.org> De la part de David Ponzone Envoyé : vendredi, 21 juin 2019 08:35 À : Romain < mailto:romain@borezo.info romain@borezo.info> Cc : frsag < mailto:frsag@frsag.org frsag@frsag.org> Objet : Re: [FRsAG] Filtrage IP sur Exchange
Le 21 juin 2019 à 08:01, Romain < mailto:romain@borezo.info romain@borezo.info> a écrit :
Si tu as une gateway qui ne connaît pas la liste des destinataires valides ou non, c’est assez simple d’écrire à une adresse aléatoire et d’obtenir l’adresse du SMTP final.
Tu veux dire en faisant en sorte de recevoir voir un Unknown/Invalid Recipient ?
Bien entendu, mais ce n’est pas le cas de ce client. Il doit y avoir un catch-all par défaut (Exchange OVH).
Si le PTR du serveur comporte ton nom de domaine (genre http://mail.coucou.fr/ mail.coucou.fr), il est aussi assez simple de se dire qu’il gère les emails pour http://coucou.fr/ coucou.fr et lui faire péter des spams depuis des adresses trouvées dans différentes fuites dispo sur le net.
Là encore, c’est pas le cas puisque c’est le serveur Exchange mutualisé d’OVH.
Par contre, je crois que j’ai compris: un domaine Exchange OVH a généralement une jolie entrée:
_autodiscover._tcp IN SRV 0 0 443 http://ex2.mail.ovh.net/ ex2.mail.ovh.net.
Et paf…
On va essayer de virer l'autodiscover pour voir.
Merci, tu m’as mis sur la bonne voie.
Le jeu. 20 juin 2019 à 19:47, David Ponzone < mailto:david.ponzone@gmail.com david.ponzone@gmail.com> a écrit :
Denis,
Oui super merci, c’est dans Protection et Flux de courrier. Il faut définir un connecteur. Je vais tester ça car il y a de plus en plus de spammers qui, comment je ne sais pas, envoient des saloperies directement au serveur de mail du client, en court-circuitant le MX du domaine.
Totalement d'accord avec Denis:
[cid:image002.jpg@01D5281C.9BC93DB0]
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de Denis Fondras Envoyé : jeudi 20 juin 2019 19:18 À : frsag@frsag.org Objet : Re: [FRsAG] Filtrage IP sur Exchange
On Thu, Jun 20, 2019 at 06:07:20PM +0200, David Ponzone wrote:
Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Oui, dans ECP. Tu as une catégorie "Protection" et un onglet "Filtrage de connexion"
A voir si c'est dispo dans tous les niveaux de service...
_______________________________________________
Liste de diffusion du FRsAG
Jérémie,
Oui mais comme j’ai répondu hier, ça ne suffit pas. Il faut en plus configurer un connecteur dans Flux de Courrier. J’ai pas encore essayé. Le whitelisting dans Protection, c’’est je pense surtout pour être sûr de court-circuiter les antispams internes.
Le 21 juin 2019 à 10:32, Jeremie JANTAC via FRsAG frsag@frsag.org a écrit :
Totalement d'accord avec Denis:
<image002.jpg>
-----Message d'origine----- De : FRsAG <frsag-bounces@frsag.org mailto:frsag-bounces@frsag.org> De la part de Denis Fondras Envoyé : jeudi 20 juin 2019 19:18 À : frsag@frsag.org mailto:frsag@frsag.org Objet : Re: [FRsAG] Filtrage IP sur Exchange
On Thu, Jun 20, 2019 at 06:07:20PM +0200, David Ponzone wrote:
Tous,
J’avoue que l’idée de chercher une info dans les docs de MS me fait tourner de l’oeil donc je pose la question avant de Googler:
Est-ce qu’on peut sur Office365 Exchange définir un filtre IP pour faire une whitelist des MTA autorisés à envoyer du mail au domaine (et donc interdire tous les autres) ?
Oui, dans ECP. Tu as une catégorie "Protection" et un onglet "Filtrage de connexion"
A voir si c'est dispo dans tous les niveaux de service... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ http://www.frsag.org/_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ http://www.frsag.org/
-
David Ponzone -
Denis Fondras -
Duchet Rémy -
Jeremie JANTAC -
Romain