Workaround für Mails an Adressen bei Microsoft (@hotmail.com, @live.com, @outlook.com etc.)

  • Mhhhhh, natürlich war ich auf eine - wenn auch vorsichtig formulierte, aber dennoch leicht abschätzige Äußerung gefasst.


    Nein, ich bin nicht "nur" theoretisch unterwegs und praktisch auch nicht erst seit "gestern". Zugegeben, ich habe mehr Erfahrung mit Microsoft-Produkten, als mit Linux-basierenden, wie scheinbar die meisten hier im Forum, aber das ist für diesen Fall ja (hoffentlich) nicht ganz so relevant. ;)


    Ich bin allerdings auch Lösungsorientiert. Siehst Du denn eine andere Möglichkeit, als das Netcup zumindest grundlegende Dinge prüft, bevor sie Mailserver dulden? Damit wären zumindest die ganz groben Schnitzer zu vermeiden. Zu Anfang täte es ja schon ein "How-to" mit den oben erwähnten Einstellungen (SPF & Co.), damit wäre zumindest die grundsätzliche "Reputation" des MTA sichergestellt.


    Was die Nutzer betrifft, gebe ich Dir recht, da ist kein Kraut gegen gewachsen und ja, dann wird ein einzelnes Postfach auch gerne mal als "Relay" missbraucht. Dagegen hilft wiederum nur, eine entsprechende Passwort-Richtlinie und selbst dann werden weiterhin Postfächer gehackt, weil User mit ihren Passworten und auch mit Ihren PCs nicht "vernünftig" umgehen, ist mir auch klar.


    Klar ist aber auch, dass "die Großen" auch weiterhin ganze Blöcke von Adressen statt einzelner sperren werden, weil es ihnen die Arbeit erleichtert.


    Und jetzt?


    Was wäre denn eine bessere Lösung? Ich lerne immer gerne dazu...

  • Ich bin allerdings auch Lösungsorientiert. Siehst Du denn eine andere Möglichkeit, als das Netcup zumindest grundlegende Dinge prüft, bevor sie Mailserver dulden? Damit wären zumindest die ganz groben Schnitzer zu vermeiden. Zu Anfang täte es ja schon ein "How-to" mit den oben erwähnten Einstellungen (SPF & Co.), damit wäre zumindest die grundsätzliche "Reputation" des MTA sichergestellt.


    [...]

    Und jetzt?


    Was wäre denn eine bessere Lösung? Ich lerne immer gerne dazu...


    Ich wollte nur zeigen, wo in der Praxis das Problem liegt. Mehr nicht. SPF löst das Problem nicht.


  • Es sollte bekannt sein, dass Microsoft eben nicht einzelne Server sperrt, sondern ganze IP-Netzwerke (Fehlercode S3150).


    Wenn also bei Netcup ein einziger Kunde seinen Server nicht im Griff hat, sind leicht einige dutzend oder hunderte anderer Kunden betroffen.


    Ich betreibe selbst seit vielen Jahren Server und mache das auch beruflich. Ein von mir betroffener Mailserver ist korrekt eingerichtet, rDNS für den Namen ist identisch zum Hostnamen mit dem der Server Mails ausliefert, SPF, DKIM und DMARC sind vorhanden, mail-tester.com meldet 10/10 und mxtoolbox.com findet auch keine Fehler. Auch steht der Server auf keiner öffentlichen Blacklist (geprüft mit http://multirbl.valli.org/).


    Dummerweise habe ich aber den Fehler gemacht, den Server umzuziehen, wodurch der Mailserver auch eine neue IP-Adresse bekommen hat. Und diese Adresse ist bei Microsoft seit mittlerweile einen Monat gesperrt (zumindest sagt SNDS das so, wo ich natürlich auch angemeldet bin, ebenso wie beim JMRP).


    Allerdings ich schicke schon seit mehreren Wochen garantiert gar keine E-Mail direkt an Microsoft-Server, weil ein transport in Postfix dafür sorgt, dass E-Mails an ein der diversen Domains von Microsoft über einen anderen SMTP-Dienstleister als Relay geleitet werden. Und ja, die SPF-Angaben sind natürlich entsprechend konfiguriert, dass der andere Server des Dienstleisters für die Domains auch schicken darf und DKIM-Signaturen passen ebenfalls. Die so geschickten E-Mails kommen auch problemlos bei Microsoft an.


    Aber die Sperre des Servers? Die wird wohl ewig bestehen bleiben, da ich ja keine Einfluss darauf habe, welche anderen Server im IP-Bereich von Netcup möglicherweise ein Problem haben. Solange Microsoft diese Praxis beibehält, wird sich da auch wenig ändern.


    Daher kann ich letztlich Betreibern von Online-Shops auch nur raten, für E-Mail-Versand gleich Dienstleister wie Mailjet, Sendinblue, Postmark etc. zu verwenden und den eigenen Mailserver primär nur den Mailempfang zu verwenden.

  • Und ja, die SPF-Angaben sind natürlich entsprechend konfiguriert, dass der andere Server des Dienstleisters für die Domains auch schicken darf und DKIM-Signaturen passen ebenfalls. Die so geschickten E-Mails kommen auch problemlos bei Microsoft an.

    Hättest du ein paar Tipps/Links wie man das am besten bewerkstelligt bzw. worauf man da zu achten hat? Macht dmarc da keine Probleme?

  • Mittlerweile sind vermutlich so gut wie alle Netze Netcups bei Microsoft gesperrt... da kann man nichts machen, als den Outlook Support beknien und anbetteln + versprechen, dass man keinen Spam versendet. Und dann wird man vielleicht freigeschalten.

    Das ist aber Sache des Providers und nicht des Kunden.

  • Askaaron Danke für die Anleitung! Ich hab's jetzt auch hingekriegt.


    Ich musste noch dascyrus-sasl-plain Paket installieren (CentOS 7), sonst kam immer diese Fehlermeldung:

    Code
    1. warning: SASL authentication failure: No worthy mechs found
    2. [...] dsn=4.7.0, status=deferred (SASL authentication failed; cannot authenticate to server in.mailjet.com[104.199.96.85]: no mechanism available)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Hättest du ein paar Tipps/Links wie man das am besten bewerkstelligt bzw. worauf man da zu achten hat? Macht dmarc da keine Probleme?

    Im Detail kommt es auf den Anbieter an, wie der das im Detail realisiert. Aber die grundlegenden Dinge sind eigentlich immer ähnlich:


    Bei SPF muss zusätzlich der oder die Server des Anbieters als zulässiger Absender drinstehen oder dessen SPF-Regeln eingebunden werden.


    Bei DMARC ändert sich nichts, weil dieser Eintrag im DNS ja nicht festlegt, wer schicken darf, sondern nur, wie mit Fehlern bei SPF/DKIM umgegangen werden soll.


    Für DKIM habe ich einen zusätzlichen Key im DNS eingetragen, wobei der selector mit vom Mailversender vorgegeben wurde. Das ist nötig, da der Mailversender selbst alles neu signiert und der Empfänger diese Signatur mit einem öffentlichen Key meiner Domain prüfen können muss.


    Das sieht dann beispielhaft z.B. so aus für meine eigene Domain:


    https://arnowelzel.de/tools/dn…?dns_domain=arnowelzel.de


    Und hier die DKIM-Keys einmal für meinen eigenen Server (DKIM-Selector "default") und den von Mailjet (DKIM-Selector "mailjet")für die Mails, die darüber laufen:


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    Wenn Mailjet Mails für meine Domain schickt, sind auch die korrekt signiert und nach SPF auch zulässig. Ich kann aber weiterhin auch direkt über meinen Server etwas schicken.

  • das mache ich auch; weil bei einer doofen Skript-Kiddie-IP bleibt es nicht ...

    D.h. wenn ein anderer Kunde bei Netcup Mist baut, hast Du kein Problem damit, dass dein Server dann auch auf Blacklists landet, weil er blöderweise im gleichen Provider-Subnetz steht? Oder hast Du ein eigenes /20er- oder /22er-IPv4-Netz für Dich? IPv6 nimmt Microsoft bislang ja nicht an.

  • Wenn ich von meinem E-Mailkonto auf meinem Server bei Netcup eine Mail an meinem Microsoft E-Mailkonto @outlook.com sende, wird sie wie auch von mir erwartet, an das Microsoft E-Mailkonto nicht zugestellt.


    Wenn ich aber von meinem Microsoft E-Mailkonto @outlook.com eine E-Mail an meinem E-Mailkonto auf meinem Server bei Netcup sende und sie dann beantworte, wird sie komischerweise auch an meinem Microsoft E-Mailkonto @outlook.com zugestellt.


    Hat jemand dieses Verhalten auch schon mal beobachtet und eventuell auch schon mal näher analysiert?

  • Das ist m.E. nicht verwunderlich, denn outlook hat ja diese Kommunikation aktiv angestoßen, so dass die Antwort darauf nicht als Spam gewertet wird.

    Die wären ja auch blöd, wenn sie keine Antworten auf ihre eigenen E-Mails erlauben würden. ;)

  • wenn ein anderer Kunde bei Netcup Mist baut, hast Du kein Problem damit, dass dein Server dann auch auf Blacklists landet, weil er blöderweise im gleichen Provider-Subnetz steht?

    richtig, ich hab keines, was die Problematik mit Microsoft angeht;:P

  • Wenn ich aber von meinem Microsoft E-Mailkonto @outlook.com eine E-Mail an meinem E-Mailkonto auf meinem Server bei Netcup sende und sie dann beantworte, wird sie komischerweise auch an meinem Microsoft E-Mailkonto @outlook.com zugestellt.

    Das ist normal und gewollt.


    Im Mail-Header ist erkennbar das das du antwortest und da traut man sich, seiten MS, wohl noch nicht zu blocken :)

  • IPv6 nimmt Microsoft bislang ja nicht an.

    Wenn sie es anbieten würden, würden sie wahrscheinlich auch gleich ein ganzes /24 sperren! :D


    (SCNR)

    Das ist aber Sache des Providers und nicht des Kunden.

    Das wäre praktisch, ohne Frage. Aber ganz ehrlich? Warum sollte mich als Provider irgendeine private Liste interessieren, die sowieso nach keinen ordentlichen Grundsätzen operiert? Ich sehe da netcup eher nicht in der Pflicht. Solange netcup ein funktionierendes Abuse-Management und gute Früherkennungsmaßnahmen im Netzwerk hat, tun sie damit alles, was notwendig ist.


    (Es geht um IP-Netze von selbst administrierten Servern.)

  • Das ist m.E. nicht verwunderlich, denn outlook hat ja diese Kommunikation aktiv angestoßen, so dass die Antwort darauf nicht als Spam gewertet wird.

    Die wären ja auch blöd, wenn sie keine Antworten auf ihre eigenen E-Mails erlauben würden. ;)

    Das ist normal und gewollt.


    Im Mail-Header ist erkennbar das das du antwortest und da traut man sich, seiten MS, wohl noch nicht zu blocken :)

    Ernsthaft?

    Das hat bei mir noch nie funktioniert... Ich stehe selbst in diesem blöden "Outlook Groups" E-Mail-Verteiler, antworte jedes mal auf eine vorhergegangene E-Mail und komme trotzdem nicht durch.


    (Bzw. jetzt wo MS eine Sonderbehandlung über Mailjet bekommt schon)

  • Das hat bei mir noch nie funktioniert...

    liegt evtl. auch am Mail-Agent; es wäre nicht ungewöhnlich, wenn z.B. MS Outlook hier was in den Mail-Headern verfrachtet, was andere nicht tun,

    und damit des alleine schon durchgeht;

    (f. den Fall, dass Du kein MS Outlook verwendest)

  • tun sie damit alles, was notwendig ist.

    Darüber ließe sich sicherlich streiten.

    z.B. Schon allein darüber ob die Zuteilung einer ip Adresse (die nur der Provider ohne Einflussmöglichkeit des Kunden durchführt und Verwaltet), welche auf einer Blacklist steht die verhindert, daß du millionen email Empfänger erreichen kannst, eine vollwertig nutzbare IP darstellt.

    Mir selbst ist das aber (zumindest momentan) zuviel und ich nutze eben einfach die Server der Mitbewerber, bei denen diese Probleme bisher nicht auftreten, bzw. die sowas als ihre Sache ansehen und sich kümmern...

  • Darüber ließe sich sicherlich streiten.

    derartiges würde aber beim 'Vorpächter" der IP regressieren; soll heißen, so wie Du die IP bekommst, hast Du diese auch zurückzugeben;


    nimm nur die Zeit, wo es den berühmten 8h Rauswurf bei priv. Internetzugängen hab, und danach die IPs gemischt wurden und man eine andere erhielt;

    war die IP die man erhalten hat vorher bei einem Filesharer, dann haste garantiert, kiloweise Zugriffsversuche auf die einschlägigen Ports;

    war die IP allerdings bei braven Jungs, dann sind die Firewall-Logs eher leer;

  • derartiges würde aber beim 'Vorpächter" der IP regressieren

    Ich habe aber keinen Vertrag mit einem Vorpächter, sondern mit dem Provider, der mir eine saubere IP "verkauft". "Refurbished" Geräte dürfen ja auch nicht zur hälfte defekt sein.

    Zudem kann der Provider das ganze Subnetz ja bereits "verbrannt" gekauft haben.

    Und zum Schluss kann auch ein Vornutzer nix dafür, wenn der ganze Subnetzbereich gesperrt wird.

  • Ich habe aber keinen Vertrag mit einem Vorpächter

    natürlich nicht; hier ist der Vergleich mit einer Mietwohnung sehr passend; wenn Du ausziehst, bekommst Du üblicheweise die Mietkaution vom Vermieter zurück, hast Du aber die Wohnung in einem Zustand hinterlassen, wo Sanierungen notwendig sind, dann muss der Vermieter diese in Auftrag geben, und zieht Dir das von der Kaution ab, gibt Dir weniger zurück; reicht das aber nicht, bittet er Dich zur Kasse, obwohl Du bereits ausgezogen bist, und der neue Mieter vlt. auch schon den Mietvertrag unterschirieben hat;

    wie sieht hier das aus, wenn der Provider ein 'verbranntes' Subnetz bekommt, wen bittet er f. den Aufwand wegen dieser Sachen zur Kasse?


    sprich das Refurbished funktioniert nicht zu 100%; vor allem dann nicht wenn weder die AGBs derartiges vorsehen, noch es internationale Regelungen gibt;

    und "Refurbished" Geräte dürfen sehr wohl Mängel aufweisen, so lange diese nicht mit dem Primärnutzen zusammenhängen;

    ein solcher Mangel kann z.B. sein, dass die Bodenplatte eines Notebooks aus schwarzem Kunststoff ist, und der Deckel aus weißem; es dürfen um am Beispiel eines Notebooks zu bleiben, sogar ein vorhandener Firewire-Port defekt sein; sollte jemand aber genau wegen dem vorhandenen Firewire-Port so ein refurbished kaufen wollen, hat er entweder Pech gehabt oder darf es eben nicht kaufen; neue Geräte haben auch keinen Firewire-Port mehr;


    ein Hinweis: der Primärnutzen eines vServers mit IPv4-Adresse/IPv6-Prefix heißt nicht Mailserver; f. Web-/Chat-/...-Server wirkt sich das eben nicht aus;