Si vous suivez de très près l’actualité de la délivrabilité, vous savez peut-être que Microsoft s’est lancé il y a plusieurs mois dans une grande opération de fusion/rapprochement entre les infrastructures d’Outlook.com (feu Hotmail) et d’Office365. En gros, et pour caricaturer, tout le monde migre sur Exchange Online. Dans la réalité, ce n’est pas aussi simple, il reste pas mal de différences entre les deux dans la traitement des emails. Mais comme d’habitude, il ne faut pas compter sur eux pour nous donner trop de détails, et c’est bien normal.
Qu’est-ce que X-Forefront-Antispam-Report ?
Pour la petite histoire, Forefront était une famille de logiciels de sécurité éditée par Microsoft. Au niveau de l’email, « Forefront Protect for Exchange Server » consistait à rediriger le trafic email vers un serveur spécialisé de Microsoft en vue d’analyser celui-ci et d’envoyer le résultat final vers l’utilisateur. Après analyse des emails, Forefront ajoutait quelques en-têtes dans l’email, dont le fameux X-Forefront-Antispam-Report, afin qu’à la réception de l’email, l’entreprise (ou Exchange en fait) sache ce qu’il faut faire avec l’email, càd, le délivrer, le bloquer ou l’envoyer en spam (entre autres choses).
En 2013, Forefront Protect for Exchange Server (FOPE) fut renommé Exchange Online Protection (EOP) par Microsoft. Evidemment, pas question de renommer les en-têtes techniques des emails sans compromettre gravement la rétro-compatibilité, c’est pourquoi X-Forefront-Antispam-Report sévit toujours.
Comment retrouver cette en-tête technique ?
C’est le point de départ. Si vous suspectez un soucis avec Office365 ou Outlook/Hotmail, vous allez avoir envie de retrouver les informations contenues dans X-Forefront-Antispam-Report. Mais pour cela, vous n’avez malheureusement pas accès à la boîte spam de votre destinataire, vous n’allez donc pas pouvoir vérifier facilement ce qui s’est passé chez lui. Il faudra donc vous envoyer un email de test à une boîte email utilisant ce système, soit un compte Office365 en ligne, soit un compte Hotmail, ou évidemment votre email d’entreprise s’il est branché à Exchange qui lui-même utilise EOP (ce qui n’est pas forcément le cas). Attention aussi tous les X-Forefront-Antispam-Report ne se valent pas, les filtres configurés sur Hotmail ne le sont pas forcément avec les mêmes paramètres que ceux d’Office365 ou de votre entreprise.
Mais qu’à cela ne tienne, voici comment afficher ces infos.
Dans Outlook.com/Hotmail.com et Office365
Ouvrez d’abord votre email et allez cliquer sur la flêche pointant vers le bas à côté du bouton « Répondre » ou « Reply ». Ensuite, sélectionner « View Message Source » ou « Voir la source du message ».
Ensuite, une fenêtre s’affiche avec l’ensemble des lignes du header technique de votre email, il faudra alors trouver la ligne débutant par X-Forefront-Antispam-Report.
Ça donne quelque chose comme ça :
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
X-Forefront-Antispam-Report: EFV:NLI;SFV:NSPM;SFS:(98900003);DIR:INB;SFP:;SCL:1;SRVR:HE1PR10MB0508;H:BLU004-MC1F1.hotmail.com;FPR:;SPF:None;LANG:fr;
Dans Outlook Desktop
Ouvrir l’email dans une fenêtre dédiée et cliquer sur « Fichier » et ensuite sur le bouton « Propriété »
Ensuite, dans la fenêtre qui s’affiche, il faudra trouver la ligne commençant par X-Forefront-Antispam-Report.
Dans ce second cas, ça donne ceci (il y a plus à dire que dans l’exemple précédent :
X-Forefront-Antispam-Report: CIP:162.144.108.5;IPV:NLI;CTRY:AU;EFV:NLI;SFV:SPM;SFS:(6009001)(8196002)(2990300002)(438002)(199003)(189002)(84964002)(74316002)(450100001)(5660300001)(305945005)(31696002)(61296003)(71366001)(74482002)(7636002)(5180700001)(7596002)(7846002)(44716002)(107886002)(86362001)(110136002)(62236002)(7116003)(31686004)(2860700002)(8896002)(81686999)(246002)(561944003)(81816999)(626004)(3480700004)(1096003)(104016004)(356003)(956001)(50986999)(35302002)(8676002)(4001450100002)(53806999)(109986004)(93156004)(50226002)(45086001)(23686003)(106466001)(93146003)(230700001)(9686002)(33646002)(586003)(47776003)(4001600100001)(19580395003)(881003)(229853001)(9786002)(189998001)(19580405001)(50466002)(1671002)(43066003)(2700400007);DIR:INB;SFP:;SCL:5;SRVR:AM4PR0101MB1682;H:server.serverhof.com;FPR:;SPF:Pass;PTR:server.serverhof.com;A:1;MX:1;LANG:en;
Comment interprêter X-Forefront-Antispam-Report ?
C’est évidemment ce qui vous intéresse le plus, et la base de cet article. Microsoft nous a très généreusement offert une documentation que vous pouvez trouver ici ou en continuant à lire cet article.
Dans les exemples donnés plus haut, on voit que X-Forefront-Antispam-Report est une suite d’informations séparées par de points virgules. Chaque information va nous donner une indication sur la manière dont le filtre anti-spam de Microsoft a perçu l’email :
- CIP : L’adresse IP de connexion
- CTRY : Le pays d’origine du message
- LANG : La langue de l’email telle que spécifiée à l’envoi
- SCL : C’est le « Spam Confidence Level », c’est une notion très importante. C’est en fait un score qui va de -1 à 9 :
- de -1 à 1 les emails sont destinés à la boîte de réception (-1 est en fait un expéditeur whitelisté)
- de 5 à 6 l’email est suspecté d’être un spam et sera délivré en boîte spam
- de 7 à 9 l’email est considére comme spam et sera délivré en boîte spam
- Note : les scores 2, 3, 4, 7 et 8 ne sont jamais donnés par le système, sauf exception, vous ne devriez pas le retrouver
- PCL : C’est le « Phishing Confidence Level »:
- de 0 à 3 l’email n’est pas considéré comme étant du phishing
- de 4 à 8 l’email est considéré comme du phishing
- -9990 l’email est considéré comme du phishing
- SRV : Si la valeur est à « Bulk », cela veut dire que EOP considère l’email comme étant un message envoyé en masse. Ce n’est pas forcément une mauvaise chose, à moins qu’un administrateur ait décidé que tous les messages de masse devaient être considérés comme du spam.
- SFV : C’est probablement l’indication la plus intéressante, puisqu’elle explique pourquoi le message s’est retrouvé là où il a finalement atterri, voici les différentes valeurs possibles :
- SFE : Les filtres ont été bypassés parce que l’expéditeur est enregistré dans la Safelist du destinataire
- BLK : Les filtres ont été bypassés et le message a été bloqué parce que l’expéditeur se trouve dans la blocklist du destinataire
- SPM : Le message a été marque comme spam par le filtre de contenu
- SKS : Le message a été marqué comme spam avant son passage dans le filtre de contenu
- SKA : Les filtres ont été bypassés et le message délivré en boîte de réception parce que l’expéditeur est dans une liste d’expéditeurs autorisés du filtre anti-spam
- SKB : Le message a été marqué comme spam parce que l’expéditeur est référencé dans une « block list » du filtre anti-spam
- SKN : Le message a été marqué comme n’étant pas un spam avant son passage dans le filtre de contenu. Par exemple parce qu’une règle spécifique a été définie.
- SKI : Comme SKN
- SKQ : Le message a été libéré de la quarantaine et a été envoyé aux destinataires
- NSPM : Le message a été marqué comme n’étant pas du spam et a été envoyé aux destinataires
- IPV : Défini si un élément du message (IP, domaine, expéditeur, …) se trouve dans une liste autorisée (valeur CAL) ou s’il ne se trouve pas dans une liste de réputation (valeur NLI)
- H: Chaîne HELO ou EHLO du serveur de connexion
- PTR : Donne le reverse DNS
Attention, toutes ces infos ne sont pas toujours présentes dans tous les emails. De plus, si on regarde principalement la valeur de « SFV », on se rend vite compte qu’il est difficile de simuler ce qui s’est passé sur la configuration spécifique de vos destinataires (surtout en B2B).
Besoin d’avancer sur les questions de délivrabilité email ? Découvrez nos prestations délivrabilité