add CACM article to blog
[web.git] / personal / _posts / 2020-07-24-outlook.com-considered-harmful.md
index ecd578847fb364114678c29de0493c2ec29ae604..5f982598a3d41d11d073b34d04079f637ecdac00 100644 (file)
@@ -10,11 +10,11 @@ Email is also beautiful, it is the most widely used example of federated infrast
 This is an amount of organizational resilience and user freedom that most messenger services can only dream of.
 
 Perhaps surprisingly, I have had very little trouble with my own server; most big email providers do a good job blocking spam while permitting small independent mail servers to operate smoothly (this includs even Gmail, to my astonishment).
-There is just one exception: Microsofts Outlook.com (formerly Hotmail.com) and the other services using the same underlying infrastructure.
+There is just one exception: Microsofts Outlook.com (formerly Hotmail.com) and the other services using the same underlying infrastructure (such as live.com).
 
 <!-- MORE -->
 
-Over the years, except for one brief issue with AT&T, the only servers that ever rejected mails from my server are hotmail.com/outlook.com.
+Over the years, except for one brief issue with AT&T, only Microsoft ever rejected mails from my server.
 This recently started happening again:
 
 ```
@@ -45,6 +45,7 @@ The only response I was able to get is
 > do not qualify for mitigation at this time.  I do apologize, but I am unable to provide any details about this situation since we do not have the liberty to discuss the nature of the block.
 
 They did claim that "Hotmail customers have reported email from this IP as unwanted", but were unwilling to provide any details, so this is not an issue that I can diagnose.
+Instead each new response linked to a different [set of guidelines](https://postmaster.live.com/pm/postmaster.aspx) or [whitepaper](https://download.microsoft.com/download/e/3/3/e3397e7c-17a6-497d-9693-78f80be272fb/enhance_deliver.pdf).
 The only explanation I have is that my mailman instance could have caused [backscatter spam](https://en.wikipedia.org/wiki/Backscatter_(email)), which I have since tried to mitigate.
 
 They also referred me to various "programs" I could join to help manage my IPs reputation, but all of these programs require a Microsoft account.
@@ -57,7 +58,7 @@ They say "+" is an invalid character, which of course is just plain wrong.)
 
 I am not sure what "activity" they have detected while I was not using my account for a month (yes I used a strong password); maybe that on its own is already violating their ToS.
 Subsequently, they insist on me giving them my mobile phone number.
-Needless to say, that is an entirely unacceptable request; my phone number is a way too sensible piece of personal information (comparable to my physical mail addresses) for me to share it with Microsoft.
+Needless to say, that is an entirely unacceptable request; my phone number is a too sensitive piece of personal information (comparable to my physical mail addresses) for me to share it with Microsoft.
 Better stay away from Azure CI if you care about such matters.
 
 Given the lack of proper security for text messages, this process is also unsuited to establish account security; if that was really their interest, they would insist on setting up two-factor authentication via some standard [OTP protocol](https://en.wikipedia.org/wiki/One-time_password#Standardization).