ich glaube das Problem ist auch etwas größer! Bei der Stadtverwaltung Bonn gibt es zurzeit wohl auch Probleme mit Outlook(Hotmail) E-Mail Adresse. Die hatten mich deswegen extra angerufen um mir die neuen Termin zukommen zulassen.
Gruß Olli
ich glaube das Problem ist auch etwas größer! Bei der Stadtverwaltung Bonn gibt es zurzeit wohl auch Probleme mit Outlook(Hotmail) E-Mail Adresse. Die hatten mich deswegen extra angerufen um mir die neuen Termin zukommen zulassen.
Gruß Olli
mir fällt es nicht auf, weil ich an diese Domains keine Mails verschicke, und wenn dann nur indirekt Über Mailing-Listen;
ich bekomme von dort, was nicht indirekt ebenfalls über Mailing-Listen hereinkommt ausschließlich SPAM, und habe im Postfix folgendes konfiguriert ...
in der main.cf
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/sender_access
und in der sender_access:
antispamcloud.com REJECT 5.2.1 Sender not legitimated
emailsrvr.com REJECT 5.2.1 Sender not legitimated
gmail.com REJECT 5.7.1 Sign up to legitimate sender at https://.../
hotmail.com REJECT 5.2.1 Sender not legitimated
live.com REJECT 5.2.1 Sender not legitimated
msn.com REJECT 5.2.1 Sender not legitimated
outlook.com REJECT 5.2.1 Sender not legitimated
yahoo.com REJECT 5.2.1 Sender not legitimated
...
Mit dem Verhalten, was die da an den Tag legen, sollte man deren Mail-Dienste wohl am besten beukottieren - jedenfalls ist mein Verständnis dafür mittlerweile erschöpft.
Leider ist MS da nicht der einzige Maildienst, der so seltsam handelt. Ich kämpfe bei GMail auch seit einiger Zeit mit dem "schwarzen Loch", das ich bisher nur von MS kannte…
Aber erklär das einmal Ottonormalverbraucher, dass er für sein Postfach lieber etwas Sinnvolles nutzen soll, das eventuell ein paar Cent/Euro im Monat kostet.
Nach 7 Tagen ohne zutun einfach abwarten funktioniert es jetzt..
mehr als "pass" geht halt nicht.
Ich kann jetzt nur mal so allgemein Empfehen sich selbst an die gesperrte Domain eine Email mit dem Oulook Account zu schicken, darauf ein Reply zu Senden und den Header bei Outlook zu Prüfen.. (DKIM,SPF, allgemeine Err/fail)
Wenn da alles okay ist steht dem Konfigurationstechnisch nichts im Wege.
@olli82 Das wäre doch sicher ein guter Zeitpunkt für den Wechsel des Anbieters für die eigene E-Mail-Adresse.
Mit dem Verhalten, was die da an den Tag legen, sollte man deren Mail-Dienste wohl am besten beukottieren - jedenfalls ist mein Verständnis dafür mittlerweile erschöpft.
Wohin sollte man denn wechseln?
------
Ich finde die beiden Seiten ganz gut
http://www.appmaildev.com/de/spf
http://www.spf-record.de/spf-lookup
Gruß Olli
Wohin sollte man denn wechseln?
betreibst Du nicht einen virtuellen Server?
einfach noch mit Postfix, OpenDMARC, OpenDKIM, Cyrus-IMAP¹, ... und "fertig" ist der Mail-Server ...
genau das habe ich mit meinen Domains gemacht, werden alle über diesen einen virtuellen Server gehandelt, sowohl HTTP(S) als auch SMTP(S) ...
¹ ich habe strenggenommen gar keine Postfächer drauf, denn ich relaye zu meinem Postfach bei meinem ISP;
p.s. der SPF-Lookup zeigt bei meiner Domain nur Käse ..., meine Domain habe angeblich eine IPv4 Adresse die in Djibuti liegt ...
doch habe ich aber die haben halt noch die Outlook.de E-Mail Adresse.
lach, das ist auch nicht schlecht, sich das es richtig konfiguriert ist
hier kannst du dir auch alles angucken
doch habe ich aber die haben halt noch die Outlook.de E-Mail Adresse.
wen meinst mit "die"?
und reden wir nicht von einer E-mailadrese zu Deiner Domain? oder meinst Du tatsächlich anything@outlook.de?
natürlich ist er richtig konfiguriert
was sollte denn da (http://www.spf-record.de/spf-lookup) links unten f. eine IP Adresse kommen?
bei meiner 1ten Domain besteht/bestand keine Relation mit dieser da angezeigten IP-Adresse ...
und das da sagt mir, daß ich es richtig gemacht habe ...
Dec 10 17:35:49 vhost01 postfix/smtpd[14950]: NOQUEUE: reject: RCPT from sonic331-20.consmr.mail.ne1.yahoo.com[66.163.190.201]: 554 5.7.1 Service unavailable; Client host [66.163.190.201] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?66.163.190.201; from=<noreply@dmarc.yahoo.com> to=<ME-DMARC> proto=ESMTP helo=<sonic331-20.consmr.mail.ne1.yahoo.com>
wobei das sieht erst strange aus ...
wen meinst mit "die"?
und reden wir nicht von einer E-mailadrese zu Deiner Domain? oder meinst Du tatsächlich anything@outlook.de?
Die ist die Stadt Bonn mitgemeint
was sollte denn da (http://www.spf-record.de/spf-lookup) links unten f. eine IP Adresse kommen?
bei meiner 1ten Domain besteht/bestand keine Relation mit dieser da angezeigten IP-Adresse ...
Also bei mir unten links steht die IP Adresse vom rootserver, daneben die Reverse-Adresse
und dadrüber die autorisierten IP Adressen + autorisierten Domainnamen
dann der mx-, a- und aaaa-Eintrag zu dem Hostname vom Nameserver
und alles ist grün bist auf die Subdomains die keine e-Mail senden dürfen.
Gruß Olli
Also bei mir unten links steht die IP Adresse vom rootserver, daneben die Reverse-Adresse
und dadrüber die autorisierten IP Adressen + autorisierten Domainnamen
dann der mx-, a- und aaaa-Eintrag zu dem Hostname vom Nameserver
und alles ist grün bist auf die Subdomains die keine e-Mail senden dürfen.
das würde ich auch erwarten, kannst mal das
http://www.spf-record.de/spf-lookup?domain=ipv6home.eu
und das ansehen
http://www.spf-record.de/spf-lookup?domain=ipv6help.de
und evtl. erklären was da unorthodoxes geliefert wird ...
jedenfalls ist der SPF ist korrekt,
sonst könnt ich keine Mails versenden bzw. würden diese nicht ankommen ...
And here we go again...
Diagnostic-Code: smtp; 550 5.7.1 Unfortunately, messages from [5.45.101.147]
weren't sent. Please contact your Internet service provider since part of
their network is on our block list (AS3150). You can also refer your
provider to http://mail.live.com/mail/troubleshooting.aspx#errors.
[DB5EUR01FT048.eop-EUR01.prod.protection.outlook.com]
Immerhin war gut zwei Monate Ruhe,... man muss ja auf die positiven Dinge schauen.
ZitatAlles anzeigendas würde ich auch erwarten, kannst mal das
http://www.spf-record.de/spf-lookup?domain=ipv6home.eu
und das ansehen
http://www.spf-record.de/spf-lookup?domain=ipv6help.de
und evtl. erklären was da unorthodoxes geliefert wird ...
jedenfalls ist der SPF ist korrekt,
sonst könnt ich keine Mails versenden bzw. würden diese nicht ankommen ...
Diese Aussage ist nicht richtig.
Beim Aufrufen der Links wirkt alles in Ordnung, jedoch ist die Subdomain
_spf.ipv6help.de, welche per include eingebunden wird nicht zu gebrauchen
und führt bei einem Test zu einem Error und Fehler.
http://www.spf-record.de/spf-lookup?domain=_spf.ipv6help.de
Darüber hinaus reicht ein einfaches "v=spf1 a mx -all" vollkommen im DNS-Eintrag
zur Domain aus, sofern der MX zur Domain mit eingetragen ist/wird.
Auch würde ich der Seite http://www.spf-record.de nicht einfach vertrauen.
Weil ich ipv6 in den Servern verwende und als IP für Postfix mit eingesetzt habe,
war es selbstverständlich den Eintrag "v=spf a aaaa mx -all" im DNS-Eintrag
zu verwenden, so wie es von der Seite http://www.spf-record.de generiert wurde.
Dieses ist falsch, denn der Wert "aaaa" darf nicht in der SPF-Regel stehen
und führte dazu, dass von keinen Domains mehr Mails an AOL und Hotmail
zugestellt wurden. Nach dem alle Domains den korrekten DNS-Eintrag
mit "v=spf1 a mx -all" erhalten haben, funktioniert die Zustellung wieder.
zit Du bist hier dem Irrtum einer verbuggten Seite unterlegen,
Du selbst hast den Bug offenbart;
und bei meinen Einstellungen ist alles korrekt, und das hier
http://www.spf-record.de/spf-lookup?domain=_spf.ipv6help.de
ist auf Grund eines Fehlers;
die Site kennt keine DNS-Records die mit _ beginnen;
dass "v=spf1 a mx -all" ausreicht stimmt, wobei mx in meinem Fall fehl am Platz ist,
ich verwende die MX-IPs ausgehend nicht ...
da ich aber in den anderen Domains darauf referenziere,
habe ich dies in _spf.ipv6help.de ausgelagert und den tatsächlichen SPF-Record
auf allen meinen Domains gleich definiert;
"v=spf1 include:_spf.ipv6help.de -all"
und daß dies nicht zu gebrauchen wäre, halte ich daher für ein Gerücht;
Da haben Sie recht, ich habe dieses gestern noch bei "https://mxtoolbox.com/spf.aspx"
einschließlich "_spf..." getestet und alles im Grünen.
Da anscheinend einige Probleme haben, Mails bei diversen Mailhostern abzusetzen,
hier eine Zusammenfassung, was man bei seinem ausgehenden Mailserver beachten sollte:
(etwaige Konfigurationsempfehlungen an Hand von postfix, welchen ich selbst einsetze)
(a) um sicher zu gehen, daß ausgehend eine definierte IP-Adresse, wichtig bei Hosts
welche mehr als nur eine IP(v6)-Adresse haben;
hierzu in der main.cf folgendes
diese IP(v6)-Adresse ist für den nächsten Schritt notwendig
(b) DNS-Einträge
zum einem muss es je eine rDNS Auflsg. von der IP(v6)-Adress du einem <Host> geben
und auch eine DNS-Auflsg. dieses Hosts zu dieser IP(v6)-Adresse; dieser Host ist f. den nächsten Schritt notwendig;
(c) Hostname im SMTP-Protokoll
diesen definiert man in der main.cf wie folgt
damit sind mal die Voraussetzungen f. einen erfolgreichen Verbindungsaufbau geschaffen,
der entfernte Mailserver bekommt eine Verbindung, mit einer IP(v6)-Adresse welche er im DNS
verifizieren kann und diese deckt sich auch mit dem im HELO/EHLO angegeben Hostnamen
dieser hier verwendete Hostname muss nicht zwingend der des Incoming Mailservers (MX-Record im DNS) sein;
(d) Mail Header
man vermeide hier Inhalte, welche Aufschluß über einen etwaigen internen Netzaufbau zulassen, bei RFC1918-IP-Adresen in den Received Headern ist dies immer gegeben; d.h. diese entweder masieren oder komplett entfernen, dazu folgendes in der main.cf
header_checks = pcre:/etc/postfix/hdr_chks.pcre
header_checks_size_limit = 131072
mime_header_checks = $header_checks
nested_header_checks =
und in der hdr_chks.pcre dieses
an Stelle des REPLACE auch IGNORE, falls diese entfernt werden sollen;
auch diverse Header Einträge von Antiviren od SPAM-Filtern machen bei ausgehenden
Mails nicht wirklich Sinn; zumal niemand auf das vertraut und zum anderen sinnloser Balast;
(e) SPF bzw. Sender Policy Framework
dazu einfach folgendes im DNS definieren (z.B. im CCP Editor)
@ TXT "v=spf1 ip4:<IP-Adresse> ip6:<IPv6-Adresse> -all"
die IP(v6)-Adresse aus Punkt (a)
betreibt man mehrere Domains f. die man Mails absendet, dann empfehle ich hiefür
einen eigenen "Host" zu definieren, und auf diesen in jeder in Frage kommenden Domain zu referenzieren;
(z.B. im CCP Editor)
@ TXT "v=spf1 include:_spf.<Domain> -all"
_spf TXT "v=spf1 ip4:<IP-Adresse> ip6:<IPv6-Adresse> -all"
(f) DKIM bzw. DomainKeys Identified Mail
wie groß hier jemand den Key generiert (2048-bit od. nur 1024-bit) ist Geschmacksache, 1024-bit sind
ausreichend; wer dies einsetzt, sollte dann jede ausgehende E-mail mit einer DKIM-Signatur versehen
und im DNS folgenden Eintrag definieren
_adsp._domainkey TXT "dkim=discardable;"
damit werden sämtliche Mails, welche nicht mit einer DKIM-Signatur versehen sind, einfach verworfen
und sinnlose Bounce-Mails vermieden,
sofern der entfernte Mailserver sich an den Standard hält oder dies überhaupt implementiert hat;
(g) DMARC bzw. Domain-based Message Authentication, Reporting and Conformance
wer das nicht benötigt, trotzdem die entsprechenden DNS-Einträge definieren, und die Mails
automatisiert nach /dev/null kippen;
zu guter letzt
hier: http://www.appmaildev.com/
kann man das testen;
(h) ein paar Tipps: man will ja, daß die Mails ankommen und das nicht nur einmal;
- Plain-Test erfährt durch die ganzen SPAM-Orgien der jüngsten Vergangenheit wieder eine Renaissance;
daher NIE Mails als HTML-only versenden; (für Versender von Newslettern von besonderem Interesse)
- Zeichensatz: wenn keine zwingende Notwendigkeit besteht einen bestimmten zu verwenden,
sind ISO-8859-1(5) bzw. UTF-8 die Zeichensätze der Wahl;
(ich selbst werfe Mails retour, welche einen anderen als einen dieser verwenden)
- Mailgröße: auch wenn Mailserver es akzeptieren x zig MB in einer einzigen Mail anzunehmen,
dennoch macht es oft wenig Sinn dies auch so handzuhaben;
ein Hinweis: Mails werden durch die Base64 Kodierung um bis zu 1/3 größer ...
(ein Bild mit 3 MBytes wird so zu einem Mail mit 4 MByte)
- Mailanhänge: Mails mit proprietären Anhängen, wie z.B. die Besprechungsanfragen aus MS-Exchange
haben außerhalb der Systemgrenze - Firma, Unternehmen, Home - nichts zu suchen;
das Wichtigste: in der realen Welt ist es leider nicht möglich den Werbemittelverteiler
zu "SchUG verbietet mir das zu sagen",
aber einen Mailserver der sich nicht an die Regeln¹ hält, auszusperren geht ganz einfach;
als Hardcore-Variante auch per IP(6)tables-Regel;
¹ die Regeln bestimmt der Empfänger
Hier noch ein paar Hinweise, welche der eine andere ferne Mailserver ein Mail
eher akzeptiert ...
- im Mail Header sollte im From immer exakt eine E-mail adresse aufscheinen
(hab da schon seltsames erlebt);
im Standardfall sollte diese sich mit der des Mail-Envelopes MAIL FROM decken;
- ein Reply-To im Mail-Header sollte vermieden werden
(ich selbst werfe Mails mit Reply-To zurück, es gibt keinen Grund dafür)
Maillingliste
so seltsam es klingt, aber ich bin in mehreren Mailinglisten eingetragen, aber nur eine einzige
davon schafft es, eine bestehende S/MIME Mailsignatur nicht zu ramponieren;
daher der Hinweis: tut nichts, was eine S/MIME-Signatur ungültig machen könnte;
der Klassiker, welche jede digitale Signatur ramponiert, das Anhängen von sowas im Mail-Body:
_______________________________________________
Example mailing list
user@example.com
https://lists.example.com/mailman/listinfo/user
f. den Fall es betreibt jemand eine Maillingliste mit seinem Mailserver,
dann hat er noch ganz andere Probleme;
Zeichensatzkonflikt
dies trifft jetzt nicht zwingend nur E-mails sondern auch das Web selbst ...
Unicode wird in unterschiedlichen Systemen unterschiedlich gehandhabt:
- Windows: UTF-16
- Linux: UTF-8
- MacOS: UTF-8 (unter der Annahme, daß der Kern ein BSD Ableger ist)
vermeidet es, daher Dateinamen in gepackten Archiven,
welche dadurch unterschiedlich interpretiert werden;
das Problem hier: wenn der Dateiname direkt im Mailanhang so angegeben ist,
oder direkt so verlinkt ist (Web), macht das keinen Unterschied;
ABER: wehe dieser ist in einem gepackten Archiv;
denn das ist unter der Kontrolle des OS und nicht mehr des
Mail-Agents oder Browsers;
(wobei es ohnehin fraglich ist, ob diese Archivformate je wirklich spezifiziert wurden,
ein Kennzeichen über den verwendeten Zeichensatz zu enthalten)
Hay,
ich bin mit allem einverstanden, außer mit dem hier:
(ich selbst werfe Mails mit Reply-To zurück, es gibt keinen Grund dafür)
Wir leben in einer Welt von Dienstleistern und gerade damit habe ich täglich zu tun. Es gibt Gründe.
Firma F beauftragt Dienstleister D damit, seine Kunden zu kontaktieren. Aus dem Kontakt folgt eine E-Mail, die direkt von D verschickt wird. D darf den Mailserver und eine Mailadresse von F nicht direkt benutzen, legt für das Projekt eine eigene E-Mail an und verschickt über seinen Mailprovider mit Reply-to: kontakt@F. D wiederum muss die Mailbounces verarbeiten, um ggf. die E-Mail-Adresse neu zu ermitteln, soll aber mit den anderen Antworten nichts zu tun haben, diese sollen wieder zu F gehen. Der Empfänger soll, wenn er die E-Mail erhalten hat und beantwortet, einen bekannten Absender - kontakt@F - sehen.
In einem anderen Projekt wurden die Kontakte zentral organisiert - mit einer zentralen E-Mail-Adresse, die Antworten sollten zu den individuellen Kundenbetreuern laufen.
Die oben genannten Fälle kann jeder konfigurieren, der weiß, wie man Mailclients konfiguriert.
Wenn man so etwas auf Mailserver-Ebene nachbauen möchte, bräuchte man jedes Mal einen Admin, abgesehen, dass es viel zu kompliziert wäre. D schickt an den Kunden, der antwortet und die Antworten landen bei D, welcher wiederum Bounces im Postfach lässt und alles, was kein Bounce ist, zu F weiterleitet... Es soll einfach keine echte INBOX bei D existieren, aber man möchte auch kein noreply@D, D soll tunlichst per SMTP-only laufen.
Ich persönlich würde nicht schon alleine aufgrund der puren Präsenz eines Headers ablehnen - besonders nicht solche, die explizit in RFC5322 spezifiziert sind.
CU, Peter
Ich persönlich würde nicht schon alleine aufgrund der puren Präsenz eines Headers ablehnen - besonders nicht solche, die explizit in RFC5322 spezifiziert sind.
Deine Fälle vom Einsatz des Reply-Tos sind ja irgendwie nachvollziehbar, aber irgendwie auch nicht; warum:
der Fall, daß zwar der Absender immer z.B. info@firma.tld ist, aber im Reply-To die Mailadresse des entsprechenden Mitarbeiters
z.B. max.mueller@firma.tld, den halte ich für grenzwertig; es sollen Fehlermails dorthin zugestellt werden,
wo die entsprechenden Mails auch abgeschickt wurden - beim Mitarbeiter;
und jeder andere Fall, wo die Domain der Absenderadresse im From nicht die selbe ist wie die im Reply-To
ist grundsätzlich als SPAM zu klassifizieren; ich werfe ihn halt zurück;
ist halt die Frage, in welcher Position man ist;
beim alten Webhoster - wo auch die Mails per MX in dessen Mail-Infrastruktur landeten - war der SPAM-Filter derart unsensibel, daß sogar Mails, welche von ungültigen Absendern (z.B. nicht existierende Domain) weggeschickt wurden, in meinem Postfach landeten, und ich dann den "Ärger" hatte, weil sie mein lokaler Mailserver per fetchmail nicht abholen konnte ..