Hotmail / Live Mail IP Sperre obwohl es 3 Jahre lang eine Probleme gab

    ich glaube das Problem ist auch etwas größer! Bei der Stadtverwaltung Bonn gibt es zurzeit wohl auch Probleme mit Outlook(Hotmail) E-Mail Adresse. Die hatten mich deswegen extra angerufen um mir die neuen Termin zukommen zulassen.


    :D


    Gruß Olli

    mir fällt es nicht auf, weil ich an diese Domains keine Mails verschicke, und wenn dann nur indirekt Über Mailing-Listen;

    ich bekomme von dort, was nicht indirekt ebenfalls über Mailing-Listen hereinkommt ausschließlich SPAM, und habe im Postfix folgendes konfiguriert ...

    in der main.cf

    Code
    smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/sender_access

    und in der sender_access:

    Code
    antispamcloud.com     REJECT 5.2.1 Sender not legitimated
emailsrvr.com         REJECT 5.2.1 Sender not legitimated
gmail.com             REJECT 5.7.1 Sign up to legitimate sender at https://.../                  
hotmail.com           REJECT 5.2.1 Sender not legitimated
live.com              REJECT 5.2.1 Sender not legitimated
msn.com               REJECT 5.2.1 Sender not legitimated
outlook.com           REJECT 5.2.1 Sender not legitimated
yahoo.com             REJECT 5.2.1 Sender not legitimated
...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Zitat von heavygale

    Mit dem Verhalten, was die da an den Tag legen, sollte man deren Mail-Dienste wohl am besten beukottieren - jedenfalls ist mein Verständnis dafür mittlerweile erschöpft.

    Leider ist MS da nicht der einzige Maildienst, der so seltsam handelt. Ich kämpfe bei GMail auch seit einiger Zeit mit dem "schwarzen Loch", das ich bisher nur von MS kannte… X(


    Aber erklär das einmal Ottonormalverbraucher, dass er für sein Postfach lieber etwas Sinnvolles nutzen soll, das eventuell ein paar Cent/Euro im Monat kostet.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Nach 7 Tagen ohne zutun einfach abwarten funktioniert es jetzt..


    mehr als "pass" geht halt nicht.


    Ich kann jetzt nur mal so allgemein Empfehen sich selbst an die gesperrte Domain eine Email mit dem Oulook Account zu schicken, darauf ein Reply zu Senden und den Header bei Outlook zu Prüfen.. (DKIM,SPF, allgemeine Err/fail)


    Wenn da alles okay ist steht dem Konfigurationstechnisch nichts im Wege.

    Zitat von heavygale

    @olli82 Das wäre doch sicher ein guter Zeitpunkt für den Wechsel des Anbieters für die eigene E-Mail-Adresse. ^^

    Mit dem Verhalten, was die da an den Tag legen, sollte man deren Mail-Dienste wohl am besten beukottieren - jedenfalls ist mein Verständnis dafür mittlerweile erschöpft.

    Wohin sollte man denn wechseln? ^^;)

    ------

    Ich finde die beiden Seiten ganz gut


    http://www.appmaildev.com/de/spf


    http://www.spf-record.de/spf-lookup


    Gruß Olli

    Zitat von olli82

    Wohin sollte man denn wechseln? ^^;)

    betreibst Du nicht einen virtuellen Server?

    einfach noch mit Postfix, OpenDMARC, OpenDKIM, Cyrus-IMAP¹, ... und "fertig" ist der Mail-Server ...

    genau das habe ich mit meinen Domains gemacht, werden alle über diesen einen virtuellen Server gehandelt, sowohl HTTP(S) als auch SMTP(S) ...


    ¹ ich habe strenggenommen gar keine Postfächer drauf, denn ich relaye zu meinem Postfach bei meinem ISP;


    p.s. der SPF-Lookup zeigt bei meiner Domain nur Käse ..., meine Domain habe angeblich eine IPv4 Adresse die in Djibuti liegt ...8o

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Zitat von olli82

    doch habe ich ;) aber die haben halt noch die Outlook.de E-Mail Adresse.

    wen meinst mit "die"?

    und reden wir nicht von einer E-mailadrese zu Deiner Domain? oder meinst Du tatsächlich anything@outlook.de?


    natürlich ist er richtig konfiguriert ;)


    was sollte denn da (http://www.spf-record.de/spf-lookup) links unten f. eine IP Adresse kommen?

    bei meiner 1ten Domain besteht/bestand keine Relation mit dieser da angezeigten IP-Adresse ...


    und das da sagt mir, daß ich es richtig gemacht habe ...


    Code
    Dec 10 17:35:49 vhost01 postfix/smtpd[14950]: NOQUEUE: reject: RCPT from sonic331-20.consmr.mail.ne1.yahoo.com[66.163.190.201]: 554 5.7.1 Service unavailable; Client host [66.163.190.201] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?66.163.190.201; from=<noreply@dmarc.yahoo.com> to=<ME-DMARC> proto=ESMTP helo=<sonic331-20.consmr.mail.ne1.yahoo.com>

    wobei das sieht erst strange aus ...

    Code
    Dec 14 07:56:02 vhost01 postfix/smtpd[27605]: NOQUEUE: reject: RCPT from smtp-out33.otenet.gr[83.235.69.33]: 554 5.2.1 <Jaisankar@malt.ae>: Sender address rejected: Sender not legitimated; from=<Jaisankar@malt.ae> to=<ME> proto=ESMTP helo=<echidna.otenet.gr>

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Zitat von mainziman

    wen meinst mit "die"?

    und reden wir nicht von einer E-mailadrese zu Deiner Domain? oder meinst Du tatsächlich anything@outlook.de?

    Die ist die Stadt Bonn mitgemeint :)

    Zitat von mainziman

    was sollte denn da (http://www.spf-record.de/spf-lookup) links unten f. eine IP Adresse kommen?

    bei meiner 1ten Domain besteht/bestand keine Relation mit dieser da angezeigten IP-Adresse ...

    Also bei mir unten links steht die IP Adresse vom rootserver, daneben die Reverse-Adresse


    und dadrüber die autorisierten IP Adressen + autorisierten Domainnamen

    dann der mx-, a- und aaaa-Eintrag zu dem Hostname vom Nameserver

    und alles ist grün bist auf die Subdomains die keine e-Mail senden dürfen.


    Gruß Olli

    Zitat von olli82

    Also bei mir unten links steht die IP Adresse vom rootserver, daneben die Reverse-Adresse


    und dadrüber die autorisierten IP Adressen + autorisierten Domainnamen

    dann der mx-, a- und aaaa-Eintrag zu dem Hostname vom Nameserver

    und alles ist grün bist auf die Subdomains die keine e-Mail senden dürfen.

    das würde ich auch erwarten, kannst mal das

    http://www.spf-record.de/spf-lookup?domain=ipv6home.eu

    und das ansehen

    http://www.spf-record.de/spf-lookup?domain=ipv6help.de

    und evtl. erklären was da unorthodoxes geliefert wird ...

    jedenfalls ist der SPF ist korrekt,

    sonst könnt ich keine Mails versenden bzw. würden diese nicht ankommen ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    And here we go again...

    Code
    Diagnostic-Code: smtp; 550 5.7.1 Unfortunately, messages from [5.45.101.147]
   weren't sent. Please contact your Internet service provider since part of
   their network is on our block list (AS3150). You can also refer your
   provider to http://mail.live.com/mail/troubleshooting.aspx#errors.
   [DB5EUR01FT048.eop-EUR01.prod.protection.outlook.com]

    Immerhin war gut zwei Monate Ruhe,... man muss ja auf die positiven Dinge schauen. :P


    Diese Aussage ist nicht richtig.


    Beim Aufrufen der Links wirkt alles in Ordnung, jedoch ist die Subdomain
    _spf.ipv6help.de, welche per include eingebunden wird nicht zu gebrauchen
    und führt bei einem Test zu einem Error und Fehler.


    http://www.spf-record.de/spf-lookup?domain=_spf.ipv6help.de


    Darüber hinaus reicht ein einfaches "v=spf1 a mx -all" vollkommen im DNS-Eintrag

    zur Domain aus, sofern der MX zur Domain mit eingetragen ist/wird.


    Auch würde ich der Seite http://www.spf-record.de nicht einfach vertrauen.


    Weil ich ipv6 in den Servern verwende und als IP für Postfix mit eingesetzt habe,

    war es selbstverständlich den Eintrag "v=spf a aaaa mx -all" im DNS-Eintrag

    zu verwenden, so wie es von der Seite http://www.spf-record.de generiert wurde.


    Dieses ist falsch, denn der Wert "aaaa" darf nicht in der SPF-Regel stehen

    und führte dazu, dass von keinen Domains mehr Mails an AOL und Hotmail

    zugestellt wurden. Nach dem alle Domains den korrekten DNS-Eintrag

    mit "v=spf1 a mx -all" erhalten haben, funktioniert die Zustellung wieder.

    zit Du bist hier dem Irrtum einer verbuggten Seite unterlegen,

    Du selbst hast den Bug offenbart;


    und bei meinen Einstellungen ist alles korrekt, und das hier

    http://www.spf-record.de/spf-lookup?domain=_spf.ipv6help.de

    ist auf Grund eines Fehlers;

    die Site kennt keine DNS-Records die mit _ beginnen;


    dass "v=spf1 a mx -all" ausreicht stimmt, wobei mx in meinem Fall fehl am Platz ist,

    ich verwende die MX-IPs ausgehend nicht ...

    da ich aber in den anderen Domains darauf referenziere,

    habe ich dies in _spf.ipv6help.de ausgelagert und den tatsächlichen SPF-Record

    auf allen meinen Domains gleich definiert;


    "v=spf1 include:_spf.ipv6help.de -all"


    und daß dies nicht zu gebrauchen wäre, halte ich daher für ein Gerücht;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Da anscheinend einige Probleme haben, Mails bei diversen Mailhostern abzusetzen,

    hier eine Zusammenfassung, was man bei seinem ausgehenden Mailserver beachten sollte:

    (etwaige Konfigurationsempfehlungen an Hand von postfix, welchen ich selbst einsetze)


    (a) um sicher zu gehen, daß ausgehend eine definierte IP-Adresse, wichtig bei Hosts

    welche mehr als nur eine IP(v6)-Adresse haben;


    hierzu in der main.cf folgendes

    Code
    smtp_bind_address = <IP-Adresse>
smtp_bind_address6 = <IPv6-Adresse>

    diese IP(v6)-Adresse ist für den nächsten Schritt notwendig


    (b) DNS-Einträge

    zum einem muss es je eine rDNS Auflsg. von der IP(v6)-Adress du einem <Host> geben

    und auch eine DNS-Auflsg. dieses Hosts zu dieser IP(v6)-Adresse; dieser Host ist f. den nächsten Schritt notwendig;


    (c) Hostname im SMTP-Protokoll


    diesen definiert man in der main.cf wie folgt

    Code
    smtp_helo_name = <Host>


    damit sind mal die Voraussetzungen f. einen erfolgreichen Verbindungsaufbau geschaffen,

    der entfernte Mailserver bekommt eine Verbindung, mit einer IP(v6)-Adresse welche er im DNS

    verifizieren kann und diese deckt sich auch mit dem im HELO/EHLO angegeben Hostnamen


    dieser hier verwendete Hostname muss nicht zwingend der des Incoming Mailservers (MX-Record im DNS) sein;


    (d) Mail Header


    man vermeide hier Inhalte, welche Aufschluß über einen etwaigen internen Netzaufbau zulassen, bei RFC1918-IP-Adresen in den Received Headern ist dies immer gegeben; d.h. diese entweder masieren oder komplett entfernen, dazu folgendes in der main.cf


    Code
    header_checks = pcre:/etc/postfix/hdr_chks.pcre
header_checks_size_limit = 131072

mime_header_checks = $header_checks
nested_header_checks =

    und in der hdr_chks.pcre dieses

    Code
    # replace received header entry (anonymize)                                         /^received:.*$/
          REPLACE Received: <hidden>

    an Stelle des REPLACE auch IGNORE, falls diese entfernt werden sollen;


    auch diverse Header Einträge von Antiviren od SPAM-Filtern machen bei ausgehenden

    Mails nicht wirklich Sinn; zumal niemand auf das vertraut und zum anderen sinnloser Balast;


    (e) SPF bzw. Sender Policy Framework


    dazu einfach folgendes im DNS definieren (z.B. im CCP Editor)


    @ TXT "v=spf1 ip4:<IP-Adresse> ip6:<IPv6-Adresse> -all"


    die IP(v6)-Adresse aus Punkt (a)


    betreibt man mehrere Domains f. die man Mails absendet, dann empfehle ich hiefür

    einen eigenen "Host" zu definieren, und auf diesen in jeder in Frage kommenden Domain zu referenzieren;

    (z.B. im CCP Editor)


    @ TXT "v=spf1 include:_spf.<Domain> -all"

    _spf TXT "v=spf1 ip4:<IP-Adresse> ip6:<IPv6-Adresse> -all"


    (f) DKIM bzw. DomainKeys Identified Mail


    wie groß hier jemand den Key generiert (2048-bit od. nur 1024-bit) ist Geschmacksache, 1024-bit sind

    ausreichend; wer dies einsetzt, sollte dann jede ausgehende E-mail mit einer DKIM-Signatur versehen

    und im DNS folgenden Eintrag definieren


    _adsp._domainkey TXT "dkim=discardable;"


    damit werden sämtliche Mails, welche nicht mit einer DKIM-Signatur versehen sind, einfach verworfen

    und sinnlose Bounce-Mails vermieden,

    sofern der entfernte Mailserver sich an den Standard hält oder dies überhaupt implementiert hat;


    (g) DMARC bzw. Domain-based Message Authentication, Reporting and Conformance


    wer das nicht benötigt, trotzdem die entsprechenden DNS-Einträge definieren, und die Mails

    automatisiert nach /dev/null kippen;


    zu guter letzt


    hier: http://www.appmaildev.com/

    kann man das testen;


    (h) ein paar Tipps: man will ja, daß die Mails ankommen und das nicht nur einmal;


    - Plain-Test erfährt durch die ganzen SPAM-Orgien der jüngsten Vergangenheit wieder eine Renaissance;

    daher NIE Mails als HTML-only versenden; (für Versender von Newslettern von besonderem Interesse)

    - Zeichensatz: wenn keine zwingende Notwendigkeit besteht einen bestimmten zu verwenden,

    sind ISO-8859-1(5) bzw. UTF-8 die Zeichensätze der Wahl;

    (ich selbst werfe Mails retour, welche einen anderen als einen dieser verwenden)

    - Mailgröße: auch wenn Mailserver es akzeptieren x zig MB in einer einzigen Mail anzunehmen,

    dennoch macht es oft wenig Sinn dies auch so handzuhaben;

    ein Hinweis: Mails werden durch die Base64 Kodierung um bis zu 1/3 größer ...

    (ein Bild mit 3 MBytes wird so zu einem Mail mit 4 MByte)

    - Mailanhänge: Mails mit proprietären Anhängen, wie z.B. die Besprechungsanfragen aus MS-Exchange

    haben außerhalb der Systemgrenze - Firma, Unternehmen, Home - nichts zu suchen;


    das Wichtigste: in der realen Welt ist es leider nicht möglich den Werbemittelverteiler

    zu "SchUG verbietet mir das zu sagen";),

    aber einen Mailserver der sich nicht an die Regeln¹ hält, auszusperren geht ganz einfach;

    als Hardcore-Variante auch per IP(6)tables-Regel;


    ¹ die Regeln bestimmt der Empfänger

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Hier noch ein paar Hinweise, welche der eine andere ferne Mailserver ein Mail

    eher akzeptiert ...


    - im Mail Header sollte im From immer exakt eine E-mail adresse aufscheinen

    (hab da schon seltsames erlebt);

    im Standardfall sollte diese sich mit der des Mail-Envelopes MAIL FROM decken;


    - ein Reply-To im Mail-Header sollte vermieden werden

    (ich selbst werfe Mails mit Reply-To zurück, es gibt keinen Grund dafür)


    Maillingliste


    so seltsam es klingt, aber ich bin in mehreren Mailinglisten eingetragen, aber nur eine einzige

    davon schafft es, eine bestehende S/MIME Mailsignatur nicht zu ramponieren;


    daher der Hinweis: tut nichts, was eine S/MIME-Signatur ungültig machen könnte;


    der Klassiker, welche jede digitale Signatur ramponiert, das Anhängen von sowas im Mail-Body:

    Code
    _______________________________________________
Example mailing list
user@example.com
https://lists.example.com/mailman/listinfo/user

    f. den Fall es betreibt jemand eine Maillingliste mit seinem Mailserver,

    dann hat er noch ganz andere Probleme; :D


    Zeichensatzkonflikt


    dies trifft jetzt nicht zwingend nur E-mails sondern auch das Web selbst ...


    Unicode wird in unterschiedlichen Systemen unterschiedlich gehandhabt:

    - Windows: UTF-16

    - Linux: UTF-8

    - MacOS: UTF-8 (unter der Annahme, daß der Kern ein BSD Ableger ist)


    vermeidet es, daher Dateinamen in gepackten Archiven,

    welche dadurch unterschiedlich interpretiert werden;


    das Problem hier: wenn der Dateiname direkt im Mailanhang so angegeben ist,

    oder direkt so verlinkt ist (Web), macht das keinen Unterschied;


    ABER: wehe dieser ist in einem gepackten Archiv;

    denn das ist unter der Kontrolle des OS und nicht mehr des

    Mail-Agents oder Browsers;

    (wobei es ohnehin fraglich ist, ob diese Archivformate je wirklich spezifiziert wurden,

    ein Kennzeichen über den verwendeten Zeichensatz zu enthalten)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Hay,


    ich bin mit allem einverstanden, außer mit dem hier:


    Zitat von mainziman

    (ich selbst werfe Mails mit Reply-To zurück, es gibt keinen Grund dafür)


    Wir leben in einer Welt von Dienstleistern und gerade damit habe ich täglich zu tun. Es gibt Gründe.


    Firma F beauftragt Dienstleister D damit, seine Kunden zu kontaktieren. Aus dem Kontakt folgt eine E-Mail, die direkt von D verschickt wird. D darf den Mailserver und eine Mailadresse von F nicht direkt benutzen, legt für das Projekt eine eigene E-Mail an und verschickt über seinen Mailprovider mit Reply-to: kontakt@F. D wiederum muss die Mailbounces verarbeiten, um ggf. die E-Mail-Adresse neu zu ermitteln, soll aber mit den anderen Antworten nichts zu tun haben, diese sollen wieder zu F gehen. Der Empfänger soll, wenn er die E-Mail erhalten hat und beantwortet, einen bekannten Absender - kontakt@F - sehen.


    In einem anderen Projekt wurden die Kontakte zentral organisiert - mit einer zentralen E-Mail-Adresse, die Antworten sollten zu den individuellen Kundenbetreuern laufen.


    Die oben genannten Fälle kann jeder konfigurieren, der weiß, wie man Mailclients konfiguriert.


    Wenn man so etwas auf Mailserver-Ebene nachbauen möchte, bräuchte man jedes Mal einen Admin, abgesehen, dass es viel zu kompliziert wäre. D schickt an den Kunden, der antwortet und die Antworten landen bei D, welcher wiederum Bounces im Postfach lässt und alles, was kein Bounce ist, zu F weiterleitet... Es soll einfach keine echte INBOX bei D existieren, aber man möchte auch kein noreply@D, D soll tunlichst per SMTP-only laufen.


    Ich persönlich würde nicht schon alleine aufgrund der puren Präsenz eines Headers ablehnen - besonders nicht solche, die explizit in RFC5322 spezifiziert sind.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Zitat von CmdrXay

    Ich persönlich würde nicht schon alleine aufgrund der puren Präsenz eines Headers ablehnen - besonders nicht solche, die explizit in RFC5322 spezifiziert sind.

    Deine Fälle vom Einsatz des Reply-Tos sind ja irgendwie nachvollziehbar, aber irgendwie auch nicht; warum:


    der Fall, daß zwar der Absender immer z.B. info@firma.tld ist, aber im Reply-To die Mailadresse des entsprechenden Mitarbeiters

    z.B. max.mueller@firma.tld, den halte ich für grenzwertig; es sollen Fehlermails dorthin zugestellt werden,

    wo die entsprechenden Mails auch abgeschickt wurden - beim Mitarbeiter;


    und jeder andere Fall, wo die Domain der Absenderadresse im From nicht die selbe ist wie die im Reply-To

    ist grundsätzlich als SPAM zu klassifizieren; ich werfe ihn halt zurück;


    ist halt die Frage, in welcher Position man ist;


    beim alten Webhoster - wo auch die Mails per MX in dessen Mail-Infrastruktur landeten - war der SPAM-Filter derart unsensibel, daß sogar Mails, welche von ungültigen Absendern (z.B. nicht existierende Domain) weggeschickt wurden, in meinem Postfach landeten, und ich dann den "Ärger" hatte, weil sie mein lokaler Mailserver per fetchmail nicht abholen konnte ..

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)