Ich bin seit vielen Jahren Kunde bei Netcup und habe schnell gemerkt, dass E-Mail vom eigenen Server an bestimmte Provider nur schlecht zustellbar waren. Konkret Microsoft, aber auch Empfänger, bei denen UCEPROTECT eingesetzt wird und der Serverbetreiber Level 3 nutzt, weil Netcup eigentlich immer wieder bei Level 3 auftaucht.
Aktuelles Beispiel bei UCEPROTECT: https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a37.120.183.86&run=toolpage - das die Adresse einer meiner Server, der Mail gar nicht selber sendet und garantiert absolut spamfrei ist, da rein technisch keine E-Mail selber an Empfänger senden kann (in Postfix ist ein fester Relay-Server eingetragen, so dass Postfix niemals direkt an den Empfänger sendet, sondern nur an den vorgesehenen Relay-Server). Entsprechend taucht die IP-Adresse selbst auch auf keiner Blacklist auf. Dennoch ist das Netz von Netcup, wo der Server steht, bei UCEPROTECT L3 gelistet. Die Folge ist, dass man einige Empfänger deshalb nicht erreichen würde über diesen Server. Ähnlich ist es auch bei Microsoft - wenn der Server versuchen würde, Mails an eine Microsoft-Domain loszuwerden, würde die ziemlich sicher in einem Black Hole verschwinden oder als Spam aussortiert, da auch Microsoft nicht nur einzelne IP-Adressen bewertet, sondern ganze AS und deren Reputation was den Umgang mit Spam angeht.
Als "Workaround" hatte ich selber vor Jahren eine Lösung mit externem Mail-Versender für transaktionale E-Mails beschrieben (siehe hier). Davon bin ich mittlerweile aber abgekommen und verwende statt dessen einen kleinen virtuellen Server bei einem anderen Anbieter, der als Relay-Server dient und nichts anderes tut, als eingehende E-Mail an die Empfänger weiterzuleiten - natürlich so abgesichert, dass nur mein Server dort E-Mails hinschicken kann. Bei dem anderen Anbieter war die Zustellbarkeit von E-Mail noch nie ein Problem - weder bei Microsoft noch tauchen irgendwelche IP-Adressen dort bei UCEPROTECT auf. Einzig bei der Telekom musste ich die IP-Adresse des Servers freischalten lassen, seit dem läuft es aber auch da problemlos.
Wenn das bei Netcup so ein Problem ist, wie schaffen es dann andere?
Eine Ansatz hier scheint zu sein, dass Anbieter ausgehenden Traffic für Port 25 oder 465 grundsätzlich sperren und nur auf explizite Anfrage durch den Kunden freigeben. Wenn es dann Beschwerden geben sollte, dass von einer IP-Adresse aus Spam oder andere bösartige Mails (Phishing, Ransomware etc.) verschickt werden, wird der betroffene Server umgehend wieder gesperrt und der Kunde muss erstmal dafür sorgen, dass seine Umgebung "sauber" ist. Und ja, UCEPROTECT wird da auch täglich überwacht und wenn ein Netz dort auffällig ist, wird auch direkt reagiert.
Dass mein Mail-Relay jetzt auch bei einem deutlich kleineren Anbieter steht, der nicht Server für tausende von "Hobby-Admins" hat, trägt sich ebenso dazu bei.
Wie handhabt Netcup das? Werden Blacklists inkl. UCEPROTECT regelmäßig überprüft und die Nutzer betroffener Server auch kontaktiert, wenn es Probleme gibt, damit das abgestellt wird?