Posts by Askaaron

Fogbreaker wrote:

Hallo liebe Forenmitglieder,

ich betreibe einen vServer mit zwei IPv4 IP's - beide sind sich nicht gerade ähnlich. Seit heute 15:00 sind beide bei Microsoft auf der Blocklist. Aus Panik dass mir die Kunden bald im Dreieck hüpfen habe mir jetzt schnell noch eine dritte IP bestellt in der Hoffnung dass diese nicht blockiert ist. Hier im Forum gab es diesen Fall anscheinend schon öfter, nur leider kann ich das nicht tolerieren da ich einige Kunden bei mir Hoste und die bei so etwas recht schnell Panik schieben. Habt ihr eventuell ein paar Ratschläge bereit, vielleicht einen Whitelist Antrag bei Microsoft stellen?

550 5.7.1

Unfortunately, messages from [45.9.63.***] weren't sent. Please contact

your Internet service provider since part of their network is on our block

list (S3150). You can also refer your provider to

http://mail.live.com/mail/troubleshooting.aspx#errors.

[HE1EUR02FT011.eop-EUR02.prod.protection.outlook.com] (in reply to MAIL

FROM command)

550 5.7.1

Unfortunately, messages from [91.204.44.218] weren't sent. Please contact

your Internet service provider since part of their network is on our block

list (S3150). You can also refer your provider to

lg

Fog

Display More

Verabschiede Dich von dem Gedanken, an Microsoft-Adressen von einem eigenen Rootserver aus dauerhaft E-Mail zustellen zu können!

Microsoft sperrt nicht deine spezifische IP-Adresse sondern immer ganze Netzwerkblöcke. Wenn also irgendjemand anderer mit Microsoft ein Problem hat und dein Server dummerweise im selben /24er-Netzwerkblock liegt, bist Du auch gesperrt.

Die Sperre dauerhaft aufgehoben zu bekommen, ist faktisch unmöglich. Und selbst wenn man nicht explizit gesperrt ist, führt Microsoft sehr oft auch "black holing" durch - die Mails werden nicht abgelehnt, kommen aber trotzdem nie an - ich kenne das aus eigener Erfahrung.

Die einzig sinnvolle Lösung ist es, einen externen SMTP-Dienstleister zu nutzen, der bei Microsoft nicht so einfach gesperrt wird, wie z.B. Mailjet oder Sendinblue. Das geht auch kostenlos, wenn man nicht mehr als 200 Mails pro Tag zustellen muss.

Ich habe dazu auch schon mal eine Anleitung in diesem Forum gepostet, wie man für Postfix einrichten kann, so dass nur Mails an Microsoft über externe Server geschickt werden - denn GMail, GMX, web.de usw. sind da nicht so problematisch: Workaround für Mails an Adressen bei Microsoft

tab wrote:

Schon bei netcup, war halt ein Aktionsangebot aus dem Adventskalender. So ähnliche Angebote gibts hier aber bestimmt 3-4 Mal pro Jahr. Ich denk mal netcup wird über kurz oder lang komplett auf SSD umsteigen. Aber das werden die anderen genauso machen.

Solche "Aktionsangebote" taugen aber nicht als Referenz, wenn es darum geht, was Netcup generell für bestimmte Server verlangt.

Aktuell zählt für Rootserver nur das hier: https://www.netcup.de/vserver/

Und da kostet ein Server mit 320 GB SSD 14 EUR im Monat, das Modell mit 800 GB dann 27 EUR im Monat und bei 2 TB sind es 44 EUR im Monat.

Ich selbst nutze derzeit eine Variante RS 4000 SAS G8SE a1 mit 960 GB SAS, 6 Kernen und 32 GB RAM für 22,99 EUR im Monat. Eigentlich hatte ich vor, in den kommenden Monaten noch ein zweites System dieser Art für bessere Ausfallsicherheit anzumieten und als Hot-Standby bereitzuhalten mit Synchronsation von Mailserver, Nextcloud etc.. Die Idee ist, beim Ausfall eines Servers idealerweise innerhalb weniger Minuten den Betrieb ohne Einschränkungen fortführen zu können - eine Failover-IP ist schon eingerichtet.

Das vergleichbarste Angebot RS 4000 G9 kostet aber schon 4 EUR mehr monatlich und hat dafür 160 GB weniger Speicherplatz :-(. Die SSD-Performance brauche ich aber ganz sicher niemals. Und Storage dazu mieten ist ebenfalls sinnfrei, weil es ja genau darum geht, die komplette Umgebung redundant zu haben.

Zumindest existiert der Link https://www.netcup.de/bestellen/produkt.php?produkt=2359 noch - ist aber auf der Übersicht nicht mehr genannt. Bedeutet das jetzt, dass es RS 4000 SAS nicht mehr gibt oder könnte man den über den Link dennoch bestellen?

technikjungs wrote:

Generell finde ich es schon sehr "frech" seitens Netcup den Kunden einfach auf STARTTLS zu verweisen, wenn er doch SSL nutzen möchte. Wenn man dem Privacy Handbuch glauben kann (und das tue ich), dann ist STARTTLS nicht zu bevorzugen.

Auch STARTTLS ist bezüglich der Login-Daten sicher, wenn der Client auf jeden Fall STARTTLS probiert und abbricht, wenn das nicht klappt. Unsicher wäre es dann, wenn ein Client trotz Einstellung "STARTTLS verwenden" es auch akzeptiert, wenn der Server STARTTLS nicht annimmt.

eripek wrote:

He wants to express: There is no smarthost for this use case. If you don't want to use a mail service on your current VPS, you can always book another VPS that fulfills this purpose. In that case please be aware, that you should comply with all necessary standards and also take part in Microsoft JMRP and alike.

Eventhough the original question is solved, just a few words about Microsoft:

Microsoft will block your server sooner or later because someone else in the same /24 subnet may have a problem with spam and Microsoft will the block the whole subnet and not just the single IP address of the server.

When you sign up to the JMRP (Junk Mail Reporting Partner Program) and SNDS (Smart Network Data Services) this will not help you either - you will then just be notified when your server get's blacklisted. But getting the server out of the blacklist again will always take a couple of days or even weeks and usually this will only last for a couple of weeks or months before blacklisting starts again.

Therefore you should not run your own mailserver to send e-mail to Microsoft domains at all (hotmail.com, hotmail.co, hotmail.co.uk, hotmail.net, hotmail.dk, hotmail.se, hotmail.fr, hotmail.it, hotmail.de, hotmail.org, outlook.com, outlook.org, outlook.co, outlook.de, outlook.eu, live.com, live.co.uk, live.org, live.de). If you want to run an online shop etc. and need to send e-mails to your customers then get an account at Mailjet, Sendgrid, Postmark etc. and use their services to send mail for you. These services also offer integrations to Postfix, so you can still have your own mailserver to receive mail but use the SMTP provider for you transactional mails to customers.

Tim Weisgerber wrote:

Guten Tag,

ich habe ein Problem mit meiner .htacsess Datei aber habe leider keine Ahnung was

ich an ihr ändern muss, damit ich keinen 500 Internal Server Error bekomme.

Folgendes steht in meiner htaccsess Datei :

;

//updated with stackoverflow solution to the problem as to why this keeps failing

# Hotlink Protection START #

RewriteEngine On

RewriteCond $1 !\.(gif|jpe?g|png)$ [NC]

# Force HTTPS for

RewriteCond %{HTTPS} !=on

RewriteRule https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

# Force HTTP

RewriteCond %{HTTPS} =on

RewriteRule http://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

# Remove index.php from URLs

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule ^(.*)$ /index.php/$1

# Hotlink Protection END #

Ich hoffe Ihr können mir weiter helfen.

Mit freundlichen Grüßen,

Tim Weisgerber

Display More

Die Datei muss ".htaccess" heissen und nicht ".htacsess".

Und was soll das werden?

Eine Umleitung von HTTP auf HTTPS und direkt danach von HTTPS auf HTTP - das ergibt keinen Sinn.

Und was soll "Remove index.php from URLs" bewirken? Wie die Umleitung genau aussehen muss, hängt von der Anwendung ab. Kann index.php denn damit umgehen, dass ein Pfad angehängt wird?

Normalerweise würde man von HTTP auf HTTPS so umleiten - unter Berücksichtung von Let's Encrypt was unbedingt(!) per HTTP auf /.well-known kommen muss:

mainziman wrote:

richtig, ich hab keines, was die Problematik mit Microsoft angeht;

Schön für Dich. Und wenn Du auch bei GMX, web.de, T-Online, Verizon etc. ebenfalls gesperrt wirst, ist Dir das vermutlich auch egal.

Meine Nutzer haben aber ein Problem, denn die können es sich nicht aussuchen, wo ihre Kommunikationspartner - was auch zahlenden Kunden sein können - eine E-Mail-Adresse haben. Da muss die Zustellung einfach funktionieren.

mainziman wrote:

Askaaron es hat einen ganz banalen Grund, wieso ich kein Problem damit habe; ich verschicke dorthin nichts;

im Gegenteil: mein Mailserver rejected Mails mit Absenderadressen von sämtlichen großen SPAM-schleuder-Anbietern wie: gmail, gmx, hotmail, yahoo, ...;

nur einzelne selektive Mailadressen dieser Domains sind auf meiner Whitelist;

(des geht einfacher als irgendwelche SPAM-filter wie rspamd od. SpamAssassin; und Mails annehmen und dann als SPAM Kennzeichnen ist irgendwie unlogisch)

bevor ich auf meinem Mailserver die Daumenschrauben derart angezogen hatte, bekam ich jede Woche mehrere Mails, teils sogar mit

angehängter Malware; seitdem weder SPAM noch Malware;

Display More

Ja, wenn man einen Server nur für sich privat betreibt, ist das sicher machbar. Wenn man aber auch andere Nutzer dort hat oder einen Online-Shop etc. betreibt, ist das keine Lösung. Und rspamd nimmt - im Gegensatz zu SpamAssassin mit amavisd - E-Mails ja eben NICHT an, wenn die Spam sind, sondern lehnt die aktiv schon bei der Zustellung mit 5xx-Fehler ab.

mainziman wrote:

das mache ich auch; weil bei einer doofen Skript-Kiddie-IP bleibt es nicht ...

D.h. wenn ein anderer Kunde bei Netcup Mist baut, hast Du kein Problem damit, dass dein Server dann auch auf Blacklists landet, weil er blöderweise im gleichen Provider-Subnetz steht? Oder hast Du ein eigenes /20er- oder /22er-IPv4-Netz für Dich? IPv6 nimmt Microsoft bislang ja nicht an.

aRaphael wrote:

Hättest du ein paar Tipps/Links wie man das am besten bewerkstelligt bzw. worauf man da zu achten hat? Macht dmarc da keine Probleme?

Im Detail kommt es auf den Anbieter an, wie der das im Detail realisiert. Aber die grundlegenden Dinge sind eigentlich immer ähnlich:

Bei SPF muss zusätzlich der oder die Server des Anbieters als zulässiger Absender drinstehen oder dessen SPF-Regeln eingebunden werden.

Bei DMARC ändert sich nichts, weil dieser Eintrag im DNS ja nicht festlegt, wer schicken darf, sondern nur, wie mit Fehlern bei SPF/DKIM umgegangen werden soll.

Für DKIM habe ich einen zusätzlichen Key im DNS eingetragen, wobei der selector mit vom Mailversender vorgegeben wurde. Das ist nötig, da der Mailversender selbst alles neu signiert und der Empfänger diese Signatur mit einem öffentlichen Key meiner Domain prüfen können muss.

Das sieht dann beispielhaft z.B. so aus für meine eigene Domain:

https://arnowelzel.de/tools/dn…?dns_domain=arnowelzel.de

Und hier die DKIM-Keys einmal für meinen eigenen Server (DKIM-Selector "default") und den von Mailjet (DKIM-Selector "mailjet")für die Mails, die darüber laufen:

https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de

https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de

Wenn Mailjet Mails für meine Domain schickt, sind auch die korrekt signiert und nach SPF auch zulässig. Ich kann aber weiterhin auch direkt über meinen Server etwas schicken.

The-real-BOFH wrote:

Hallo zusammen!

Aus meiner Sicht ist Netcup nur für die von denen selbst gemanagten Email-Domains selbst verantwortlich.

Wenn jemand einen Mailserver selbst betreibt, sollte er/sie das inhaltlich / handwerklich auch selbst nach aktuellem Stand der Technik können und nicht nur Amateurhaft / Laienhaft - ohne das ich damit jemand speziell meine (bevor gleich ein Sturm der Entrüstung über mich hineinbricht).

Netcup ist nicht dafür verantwortlich, wenn jemand seinen Mailserver technisch nicht im Griff hat, ebenso wenig wie Microsoft. Microsoft ist dafür verantwortlich, dass seine Kunden aufgrund fehlerhafter / unvollständiger Konfiguration nicht Massen von Spam zugeschickt bekommen - das ist deren Verantwortung.

Display More

Es sollte bekannt sein, dass Microsoft eben nicht einzelne Server sperrt, sondern ganze IP-Netzwerke (Fehlercode S3150).

Wenn also bei Netcup ein einziger Kunde seinen Server nicht im Griff hat, sind leicht einige dutzend oder hunderte anderer Kunden betroffen.

Ich betreibe selbst seit vielen Jahren Server und mache das auch beruflich. Ein von mir betroffener Mailserver ist korrekt eingerichtet, rDNS für den Namen ist identisch zum Hostnamen mit dem der Server Mails ausliefert, SPF, DKIM und DMARC sind vorhanden, mail-tester.com meldet 10/10 und mxtoolbox.com findet auch keine Fehler. Auch steht der Server auf keiner öffentlichen Blacklist (geprüft mit http://multirbl.valli.org/).

Dummerweise habe ich aber den Fehler gemacht, den Server umzuziehen, wodurch der Mailserver auch eine neue IP-Adresse bekommen hat. Und diese Adresse ist bei Microsoft seit mittlerweile einen Monat gesperrt (zumindest sagt SNDS das so, wo ich natürlich auch angemeldet bin, ebenso wie beim JMRP).

Allerdings ich schicke schon seit mehreren Wochen garantiert gar keine E-Mail direkt an Microsoft-Server, weil ein transport in Postfix dafür sorgt, dass E-Mails an ein der diversen Domains von Microsoft über einen anderen SMTP-Dienstleister als Relay geleitet werden. Und ja, die SPF-Angaben sind natürlich entsprechend konfiguriert, dass der andere Server des Dienstleisters für die Domains auch schicken darf und DKIM-Signaturen passen ebenfalls. Die so geschickten E-Mails kommen auch problemlos bei Microsoft an.

Aber die Sperre des Servers? Die wird wohl ewig bestehen bleiben, da ich ja keine Einfluss darauf habe, welche anderen Server im IP-Bereich von Netcup möglicherweise ein Problem haben. Solange Microsoft diese Praxis beibehält, wird sich da auch wenig ändern.

Daher kann ich letztlich Betreibern von Online-Shops auch nur raten, für E-Mail-Versand gleich Dienstleister wie Mailjet, Sendinblue, Postmark etc. zu verwenden und den eigenen Mailserver primär nur den Mailempfang zu verwenden.

Wuppertal wrote:

Hallo zusammen,

nun ich Schreibe jetzt mal hier rein da es das neuste zu S3150 ist. Kann mir hier jemand sagen warum das SPAM Problem hier so groß ist.

Ich bin erst kurz hier habe aber noch nie so große Probleme mit Spam gehabt erst mit der Einrichtung IP, dann habe ich mir eine Zusatz IP geholt aber auch hier kommt keine Mail an MS an. Da ich zwei Shops betreibe kommt netcup für mich so nicht in Frage und ich muss wieder meinen managed PS 2000 SSD G8 Kündigen, obwohl ich mit der Erreichbarkeit und allen anderem sehr zufrieden bin.

Für einen Shop ist es ohnehin sinnvoll, einen Anbieter für "Transactional Mail" zu verwenden, der dann auch die Zustellbarkeit garantiert. Genau das ist auch meine Lösung für Microsoft-Adressen, eben weil Microsoft gerne ganze Netze sperrt. Anbieter wie Mailjet, Postmark oder Sendinblue bieten für geringe Volumen kostenlose Zugänge und selbst wenn man bezahlen muss, geht das schon ab 7-8 EUR monatlich los für 40000 Mails pro Monat.

Nach kurzer Recherche geht das wohl nicht, da der Hostname von Jitsi nur bei der Installation des Paketes festgelegt werden kann und nicht mehr nachträglich.

Siehe auch hier: https://github.com/jitsi/jitsi-meet/issues/3336

southy wrote:

Also: woher kommt der FQDN für das Zertifikat und wie ändere ich den?

Danke!!!

Steht im Script drin:

Wie man die Angabe ändert - da bin ich selber noch am Suchen. Das taucht an diversen Stellen in /etc/jitsi auf und NGINX muss auch angepasst werden.

Update:

Nein, das will man vermutlich nicht anfassen. Das sind einige hundert Stellen, wo überall der Hostname drinsteht. /etc/prosody hat auch noch diverse Referenzen.

spawntree wrote:

Moin!

Es hat sich in Wohlgefallen aufgelöst.

Ich habe bei den DNS Einstellungen noch einen Punkt hinzugefügt und außerdem Plesk Repair gemacht. Wobei es Probleme mit Postfix gab, welche ich per apt-get lösen wollte, was wiederum Probleme gab, die ich erst einmal lösen musste...aber dann auf einmal ging alles.

Viele Dank für die tollen Tipps und dass hier so schnell reagiert wird!

Und falls Ihr noch Homeschooling machen möchtet: Es ging um http://www.leseludi.de

Display More

Nachdem da auch Dienstleistungen gegen Bezahlung verkauft werden - ganz im Ernst: beauftrage jemanden für die Serverbetreuung jemanden, der sich mit der Materie auskennt. Ein gehackter Server ist kein Spaß und die DSGVO sieht empfindliche Strafen vor, wenn Kundendaten wegen mangelnder fachlicher Kompetenz an unbefugte Dritte gelangen.

Maximilian Rupp wrote:

Hallo,

ich muss in einem Projekt was ich übernommen habe eine Rundmail verschicken, allerdings sind das 53.788 Mitglieder und ich wollte mal Fragen ob Ihr Vorschläge hättet wie ich das am besten mache. Die Webseite läuft auf einem RS 1000 von Netcup, dort läuft auch meine Hauptseite aktuell drauf und ich wollte erst über den Server die Rundmail verschicken, da es ja nur einmalig wäre. Allerdings will ich nicht das meine Hauptseite und so dann als Spam gelistet wird, da die Mail dann über die Adresse von der Hauptseite verschickt wird, da es ja auf einem Server liegt.

Ich schließe mich der Empfehlung an: nimm' einen Mailversender, der auf sowas spezialisiert ist - Sendinblue, Mailjet, Mailchimp, Sendgrid usw. An Kosten musst Du vermutlich mit 20-40 EUR rechnen. Je nach dem, welche Absenderadresse Du dafür nehmen möchest, ist evtl. noch etwas Zusatzaufwand nötig für angepasste DNS-Einträge mit passenden SPF/DKIM-Angaben, die auch den Server des Mailversenders für deine Domain erlaubt.

Entwarnung:

Nein Mailjet geht nach wie vor. Es hat nur etwas gedauert.

Und seid heute geht's mal wieder nicht - ALLE(!) E-Mails, die über Mailjet gesendet werden, werden von Microsoft angenommen und kommentarlos gelöscht.

Ok, ich gebe auf. Ich werde empfehlen, beim Online-Shop explizit Microsoft-Adressen für Bestellungen abzulehnen und einen Warnhinweis anzubringen, dass diese Adressen nicht nutzbar sind, weil Microsoft E-Mails regelmäßig einfach löscht und nicht zustellt.

GMail & Co. gehen übrigens weiterhin völlig problems vom eigenen Server aus.

douzer wrote:

RBLs und Dailin Ranges fallen hier aber ebenso drunter und hier hat es sich schon ein wenig bewährt, in einem größeren Ganzen generell zu blocken - ich möchte damit nur sagen, dass es generell nicht verwerflich ist, Mails anhand ihrer SRC-IP direkt zu verwerfen, wenn ich bei der Verbindung des gegnerischen MTAs bereits weiß, dass es Mist ist.

Ja - wenn man BLOCKT, ist das kein Problem, dann weißt der Absender zumindest, dass er geblockt wurde. Mein Spamfilter (rspamd) lehnt ab einen Score von 15 E-Mails auch schon bei der Zustellung ab - aber dann merkt der Absender das auch anhand der Fehlermeldung im SMTP-Dialog und die E-Mail verschwindet nicht einfach. Ansonsten gilt: alles was der Mailserver annimmt, MUSS in der Mailbox des Empfängers landen, ggf. im Spamordner, wenn der Empfänger(!) das bei E-Mails, die als Spamverdacht erkannt wurden, so will.

Microsoft nimmt aber auch E-Mails an und wirft sie dann einfach weg.

sensorback wrote:

Alles klar, nieder mit allen Paketfiltern, haut weg alle Firewalls. Ich geh dann mal schaukeln.

Das hat nichts mit Firewalls zu tun.

E-Mails anzunehmen(!) und sie danach(!) wegzuwerfen, wie Microsoft es macht, ist nicht OK! Von mir aus kann Microsoft E-Mail aktiv ablehnen, wenn sie diese nicht annehmen wollen. Das ist auch nervig, aber dann verschwinden E-Mails wenigstens nicht einfach, sondern sind klar erkennbar nicht zustellbar und damit kann man dann umgehen.

tab wrote:

Ist schon klar, dass das Problem in den USA sitzt. Aber es hilft dir im kommerziellen Bereich halt nicht. Die Mails kommen nicht an, die Kunden sind sauer oder weg. Im Privatbereich sehe ich das durchaus anders.

Postmark ist zudem nur für transactional email zulässig. Wer anfängt, seinen kompletten Mailverkehr inkl. Newlsetter etc. dort durchzuschleusen, dürfte auch gegen deren Nutzungsbedingungen verstoßen.