Emails von Firmen aus Österreich kommen nicht an

  • Hallo Community,

    ich habe hierzu nun schon einige Zeit mit debuggings verbracht, auch Netcup ein Ticket dazu hinterlassen (Rückmeldung aktuell noch ausstehend), aber ggf. kann jemand mit einem Server in Wien das nachstellen?


    Wir sind seit geraumer Zeit mit unserer Mailcow Instanz von einem Netcup Server in Nürnberg nach Wien umgezogen. In Nürnberg bestand das Problem nicht.

    Wir bekommen auf die Server IP in Wien (IPv4 und IPv6) nicht mal einen Connect von asfinag.at und oebb.at . Wir stehen auf keiner Blacklist, haben kein TOR Relay laufen etc..


    Betreibt zufällig jemand einen Mailserver auf einem V-Server in Wien und erhält darauf Emails von asfinag.at oder oebb.at ?


    Der Server und auch das Setup ist soweit störungsfrei, lediglich Mails von diesen beiden Firmen bauen nicht mal einen Connect zu uns auf. (TCPDUMP / Maillog / IPTables )

    DKIM,SPF, DMARC alles in Ordnung.


    Kann das jemand nachstellen?


    Danke Euch ! ;)

  • Schon mal probiert, ob die Subnetze der genannten Firmen von Deinem Server aus erreichbar sind?


    Meine erste Anlaufstelle wären da A/AAAA/MX Records und dann einfach ping/traceroute anwerfen. Falls Du noch Received-Header aus früheren E-Mails hast, wäre das natürlich auch einen Test wert.


    Vielleicht sieht man so schon irgendwelche offensichtlichen Routingprobleme o.ä. :/

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

  • Danke Dir für Deine Rückmeldung. Die Traceroutes laufen mehr oder weniger abhängig vom Protokoll durch. Die MX selbst antworten weder auf icmp, tcp, udp.

    Mails kommen von 81.25.209.97

    MX sind 81.25.214.18 und 19


    Aber ich konnte von einer Fehlermeldung in einem Microsoft / Hotmail Konto gerade noch etwas entnehmen:

    Code
    said: 550 5.7.1 Unfortunately,
        messages from [152.53.32.XXX] weren't sent. Please contact your Internet
        service provider since part of their network is on our block list (S3150).
        You can also refer your provider to
        http://mail.live.com/mail/troubleshooting.aspx#errors.


    ... Rückmeldung von Outlook.com hingegen ist, das keinerlei Blocks vorliegen. ... Ich denke die haben aber auch nur eingehend geschaut. Der Fehler ist ausgehend bei Outlook.com wie es mir scheint.


    Code
    Hi ,
     
    Thanks for your patience while we investigated your request.
    Below your IP address(es) and their status(es) are listed.
    
    152.53.32.XXX;
    
    Nothing was detected to prevent your mail from reaching Outlook.com customers. Please follow the instructions below.


    Mir scheint als sei ein größeres Subnetz von Netcup bei Microsoft im Block.

  • Jede neue Server IP wird von MSN blockiert ;). Mittlerweile antworten Bots auf deine Ticket anfragen, dass kein Problem vorhanden sein. Ist natürlich nicht so. Einfach auf so ein Support Mail direkt antworten und mit etwas Glück haste einen echten Support Mitarbeiter, der deine IP von der Blocklist entfernt. Hatte ich leider auch schon mehrfach so erlebt

  • Microsoft blockt meines Wissens keine Mails an IPs auf ihrer ominösen Liste. Wenn ich da immer mal wieder drauf bin, kann ich mir von meiner outlook.de Freemail-Adresse problemlos Mails zuschicken, die kommen dann auch bei mir an. Lediglich Mails von solchen IPs. Ich kann also meinerseits nicht an die outlook.de Adresse verschicken, auch nicht auf deren Mails antworten.


    Jedenfalls habe ich deine Eingangsmail so verstanden, dass diese beiden Firmen euch keine Mails schicken können, nicht umgekehrt.

  • Vielen Dank für all Eure Ideen und auch Analysen im privaten Chat.

    Das Problem konnte gelöst werden.


    Die Lösung war final wie von "Hille" beschrieben, hartnäckig auf die vermeintlichen BOT Emails von Microsoft, mit den getätigten Analysen und Fehlerbildern zu antworten

    Auch der erste "Mensch" in der Aktion konnte mein Problem nicht verstehen, jedoch der zweite Mitarbeiter verstand es und leitete final die Aktion ein.


    Die Replikation dauerte wie angekündigt knapp 30 Stunden, meint man muss dann auch darauf vertrauen, dass etwas gefixt wurde.

    Ich werde mir hierfür einen CheckMK Check bauen, um zu sehen ob ich in Zukunft wieder auf einer der Blockinglisten stehe. Was ich am Ende noch rausgefunden hatte war, das der Block ein und ausgehend war. Nicht unbedingt vom Mailserver sondern einer Art Firewall da ich zum MX garnicht erst durch kam.


    Wie kann man es verifizieren? ( Wie oben schon erwähnt, stand ich zu keiner Zeit auf einer der üblichen DNSBL sondern auf einer dedizierten Liste bei Emailprotection.outlook.com )


    MX Adressen abfragen


    Verbindung über Telnet auf MX Adresse versuchen


    Code
    telnet email.asfinag.at 25
    Trying 81.25.214.18...
    Connected to email.asfinag.at.
    Escape character is '^]'.
    220 email.asfinag.at ESMTP
    421 Timed out waiting for successful message injection, disconnecting.
    Connection closed by foreign host.

    Wenn es so aussieht könnt ihr die Verbindung aufbauen. Wenn es nach "Trying..." nicht weiter geht, bekommt ihr recht bald den Timeout und wisst das ihr auf dem MX geblockt werdet.


    Ggf. hilft es dem ein oder anderen der auf ein ähnliches Fehlerbild stößt

  • Hetrixtools kann IPs auf BL überwachsen inklusive Microsoft. Aber die Asfinag nutzt doch nicht MS365?

    Die Asfinag nutzt emailprotection.outlook.com und einen irgendwie verknüpften Dienst.


    Blacklist checker hab ich schon im Monitoring, aber wie gesagt das war nicht das Problem.


    Mein persönlicher "Brüller" in der Kommunikation mit MS war, als man mir erklärte, dass über IPv6 nicht kommuniziert wird

    Code
    mail-northeuropeazlp170120003.outbound.protection.outlook.com[2a01:111:f403:c200::3]
  • Das scheint ja ein sehr spezielles Konstrukt zu sein. Normalerweise wird ausgehend nichts blockiert. Dass ein Unternehmen von der Größe der Asfinag möglicherweise einen besonderen Deal mit Microsoft hat oder möglicherweise einen Dienst eines dritten Unternehmens nutzt, der auch ausgehend die Microsoft-Blockliste anwendet, ist natürlich immer denkbar.


    Ob das klug ist einen Dienst zu nutzen, der sogar ausgehende Mails an Kunden verhindert und eingehende Mails von Kunden abweist, das muss Asfinag selbst beurteilen.


    Immerhin scheint es ja momentan zu funktionieren(?), ich kann für euch nur hoffen, dass ihr wenigstens dauerhaft von der Blockliste genommen wurdet und nicht alle paar Monate erneut die Probleme von Asfinag und Microsoft lösen müsst. Oder dass ihr dann ggf. wenigstens angemessen für euren Aufwand bezahlt werdet.