Office 365 - bin ich doof oder Microsoft?

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Office 365 - bin ich doof oder Microsoft?

mailinglisten-2
Hi,

aus irgendeinem Grund meint Microsoft, seinen Office 365-Usern keine
Mails von meinem Mailserver zumuten zu müssen. Vermutlich blocken die
mal wieder alle Hetzner-Server (oder zumindest Ranges) und meiner ist
ein Kollateralschaden, mein Mailserver steht auf keiner öffentlich
abfragbaren Blacklist (wenn ich multirbl.valli.org vertrauen darf).

> host
>     jensmuellergmbh-de01b1b.mail.protection.outlook.de[51.5.80.10] said: 550
>     5.7.606 Access denied, banned sending IP [94.130.180.65]. To request
>     removal from this list please visit https://sender.office.com/ and follow
>     the directions. For more information please go to
>     http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609) (in reply to
>     RCPT TO command)

Gut, also gehe ich auf https://sender.office.com und mache das Spielchen
mit. Allerdings habe ich bislang keine E-Mail bekommen... Mein
Mailserver lehnt die Mail nämlich ab, aufgrund der DMARC-Policy von
Microsoft:

> postfix/postscreen[25175]: CONNECT from [52.100.135.97]:40264 to
> [94.130.180.65]:25
> postfix/dnsblog[25177]: addr 52.100.135.97 listed by domain
> list.dnswl.org as 127.0.3.0
> postfix/postscreen[25175]: PASS NEW [52.100.135.97]:40264
> postfix/smtpd[25184]: connect from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> postfix/smtpd[25184]: Anonymous TLS connection established from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
> TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
> postfix/smtpd[25184]: 018DE1F48D:
> client=mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> postfix/cleanup[25146]: 018DE1F48D:
> message-id=<[hidden email]>
> opendkim[3134]: 018DE1F48D:
> mail-bgr052100135097.outbound.protection.outlook.com [52.100.135.97]
> not internal
> opendkim[3134]: 018DE1F48D: not authenticated
> opendkim[3134]: 018DE1F48D: failed to parse Authentication-Results:
> header field
> opendkim[3134]: 018DE1F48D: no signature data
> opendmarc[3117]: 018DE1F48D: microsoft.com fail
> postfix/cleanup[25146]: 018DE1F48D: milter-reject: END-OF-MESSAGE from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
> 5.7.1 rejected by DMARC policy for microsoft.com;
> from=<[hidden email]> to=<[hidden email]>
> proto=ESMTP helo=<NAM03-CO1-obe.outbound.protection.outlook.com>
> postfix/smtpd[25184]: disconnect from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7

DNS-Abfrage:

$ dig _dmarc.microsoft.com txt +short
"v=DMARC1; p=reject; pct=100; rua=mailto:[hidden email];
ruf=mailto:[hidden email]; fo=1"

$ dig microsoft.com txt +short
"v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com
include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com
include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26
ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all"

$ dig _spf-a.microsoft.com txt +short
"v=spf1 ip4:216.99.5.67 ip4:216.99.5.68 ip4:202.177.148.100
ip4:203.122.32.250 ip4:202.177.148.110 ip4:213.199.128.139
ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82
ip4:65.55.42.224/28 include:spf.protection.outlook.com ~all"

$ dig spf.protection.outlook.com txt +short
"v=spf1 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24
ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24
ip4:213.199.180.128/26 ip4:52.100.0.0/14
include:spfa.protection.outlook.com -all"

So, und da steckt mit ip4:52.100.0.0/14 der Absender-Server drin, d. h.
die Mail müsste angenommen werden.

Kann opendkim keine verschachtelten Includes bei SPF? Oder habe ich eine
fehlerhafte Konfiguration? Oder verstößt Microsoft mit den mehrfachen
Verschachtelungen gegen die Standards? Oder wo liegt sonst der Fehler?
Wie würdet Ihr damit umgehen?

Mir ist es schon recht wichtig, dass ich auch dahin Mails loswerde,
wenngleich ich das Problem jetzt erstmals hatte, also scheinbar nur
wenige Leute den kack Microsoft-Office365-Service nutzen (witzigerweise
ist eine Zustellung an hotmail.com oder outlook.com kein Problem).

Beste Grüße
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Office 365 - bin ich doof oder Microsoft?

André Peters
Hetzner, OVH, Online.net und Co. sind auch einfach übel für Mailing. Ich score neue Domains aus den ASNs auch etwas höher.

Glaube das OVH Netz kann man heute komplett knicken.

Dazu kommt, dass die Hetzner Netze nun auch größtenteils für DNSBL blockiert/ratelimited sind.

> Am 09.10.2018 um 16:53 schrieb Andreas Pothe <[hidden email]>:
>
> Hi,
>
> aus irgendeinem Grund meint Microsoft, seinen Office 365-Usern keine
> Mails von meinem Mailserver zumuten zu müssen. Vermutlich blocken die
> mal wieder alle Hetzner-Server (oder zumindest Ranges) und meiner ist
> ein Kollateralschaden, mein Mailserver steht auf keiner öffentlich
> abfragbaren Blacklist (wenn ich multirbl.valli.org vertrauen darf).
>
>> host
>>    jensmuellergmbh-de01b1b.mail.protection.outlook.de[51.5.80.10] said: 550
>>    5.7.606 Access denied, banned sending IP [94.130.180.65]. To request
>>    removal from this list please visit https://sender.office.com/ and follow
>>    the directions. For more information please go to
>>    http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609) (in reply to
>>    RCPT TO command)
>
> Gut, also gehe ich auf https://sender.office.com und mache das Spielchen
> mit. Allerdings habe ich bislang keine E-Mail bekommen... Mein
> Mailserver lehnt die Mail nämlich ab, aufgrund der DMARC-Policy von
> Microsoft:
>
>> postfix/postscreen[25175]: CONNECT from [52.100.135.97]:40264 to
>> [94.130.180.65]:25
>> postfix/dnsblog[25177]: addr 52.100.135.97 listed by domain
>> list.dnswl.org as 127.0.3.0
>> postfix/postscreen[25175]: PASS NEW [52.100.135.97]:40264
>> postfix/smtpd[25184]: connect from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> postfix/smtpd[25184]: Anonymous TLS connection established from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
>> TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
>> postfix/smtpd[25184]: 018DE1F48D:
>> client=mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> postfix/cleanup[25146]: 018DE1F48D:
>> message-id=<[hidden email]>
>> opendkim[3134]: 018DE1F48D:
>> mail-bgr052100135097.outbound.protection.outlook.com [52.100.135.97]
>> not internal
>> opendkim[3134]: 018DE1F48D: not authenticated
>> opendkim[3134]: 018DE1F48D: failed to parse Authentication-Results:
>> header field
>> opendkim[3134]: 018DE1F48D: no signature data
>> opendmarc[3117]: 018DE1F48D: microsoft.com fail
>> postfix/cleanup[25146]: 018DE1F48D: milter-reject: END-OF-MESSAGE from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
>> 5.7.1 rejected by DMARC policy for microsoft.com;
>> from=<[hidden email]> to=<[hidden email]>
>> proto=ESMTP helo=<NAM03-CO1-obe.outbound.protection.outlook.com>
>> postfix/smtpd[25184]: disconnect from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7
>
> DNS-Abfrage:
>
> $ dig _dmarc.microsoft.com txt +short
> "v=DMARC1; p=reject; pct=100; rua=mailto:[hidden email];
> ruf=mailto:[hidden email]; fo=1"
>
> $ dig microsoft.com txt +short
> "v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com
> include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com
> include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26
> ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all"
>
> $ dig _spf-a.microsoft.com txt +short
> "v=spf1 ip4:216.99.5.67 ip4:216.99.5.68 ip4:202.177.148.100
> ip4:203.122.32.250 ip4:202.177.148.110 ip4:213.199.128.139
> ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82
> ip4:65.55.42.224/28 include:spf.protection.outlook.com ~all"
>
> $ dig spf.protection.outlook.com txt +short
> "v=spf1 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24
> ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24
> ip4:213.199.180.128/26 ip4:52.100.0.0/14
> include:spfa.protection.outlook.com -all"
>
> So, und da steckt mit ip4:52.100.0.0/14 der Absender-Server drin, d. h.
> die Mail müsste angenommen werden.
>
> Kann opendkim keine verschachtelten Includes bei SPF? Oder habe ich eine
> fehlerhafte Konfiguration? Oder verstößt Microsoft mit den mehrfachen
> Verschachtelungen gegen die Standards? Oder wo liegt sonst der Fehler?
> Wie würdet Ihr damit umgehen?
>
> Mir ist es schon recht wichtig, dass ich auch dahin Mails loswerde,
> wenngleich ich das Problem jetzt erstmals hatte, also scheinbar nur
> wenige Leute den kack Microsoft-Office365-Service nutzen (witzigerweise
> ist eine Zustellung an hotmail.com oder outlook.com kein Problem).
>
> Beste Grüße
> Andreas
>
Reply | Threaded
Open this post in threaded view
|

AW: Office 365 - bin ich doof oder Microsoft?

Uwe Drießen
Im Auftrag von André Peters
>
> Hetzner, OVH, Online.net und Co. sind auch einfach übel für Mailing. Ich
> score neue Domains aus den ASNs auch etwas höher.

Das ist glaube ich auch Kein Problem die sperren einfach mit der Großen Kelle ganze Rechenzentren wenn es Ihnen nicht passt.
Da kommt aus einem /20 ein paar mehr spam mails dann ist das ganze /20 gesperrt wobei es nur 3 oder 8 IP aus dem Bereich auffällig sind.

>
> Glaube das OVH Netz kann man heute komplett knicken.
>
> Dazu kommt, dass die Hetzner Netze nun auch größtenteils für DNSBL
> blockiert/ratelimited sind.

Bei 5 Mails pro Minute pro IP sollte kein normaler Mailserver die Grenze sprengen.
Einige dieser großen Empfänger domains hab ich eingestellt das da nur 10 Mails pro Min gleichzeitig rausgehen da bleibt das ganze dann unter dem Radar  

>

Ganz so schlimm ist das nicht :-)
Ich hab ne pöse Mail an MS geschickt und gefragt was das soll das ich bei 20 Mail am Tag an die auf einer  Blacklist stehe
Ob sie das nicht gebacken bekommen ohne blind immer alle möglichen Netze zu sperren für die es keinen Grund gibt
Hat keine 5 Stunden bis zur Freischaltung gedauert mit entsprechender Entschuldigung.
Ich kann dir allerdings nicht mehr sagen überwelchen Weg ob Webseite oder Mailadresse ich hatte mir das aus google gefischt

Ansonsten kann ich eh keinem MS empfehlen der wirklich Mail geschäftlich benötigt.
es gibt bessere, günstigere Alternativen, mit weniger Problemen :-) )


MS bekommt seit 10 Jahren kein Greylisting hin  bzw. kann immer noch nicht mit umgehen und erzählen Ihren Kunden es wäre veraltete Technik.
Andere mit ebenfalls MIO an Mailkunden können es auch.

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

Reply | Threaded
Open this post in threaded view
|

Re: Office 365 - bin ich doof oder Microsoft?

André Peters

Am 09.10.2018 um 21:40 schrieb Uwe Drießen:
> Das ist glaube ich auch Kein Problem die sperren einfach mit der Großen Kelle ganze Rechenzentren wenn es Ihnen nicht passt.
> Da kommt aus einem /20 ein paar mehr spam mails dann ist das ganze /20 gesperrt wobei es nur 3 oder 8 IP aus dem Bereich auffällig sind.
Najo, die (virtuellen) Server sind meist nur kurz angemietet, die IPs
wechseln sehr häufig die "Mieter", das kann ich denen nicht verübeln.
Besonders dann, wenn wieder eine Welle PKV Spam rumgeht.
> Bei 5 Mails pro Minute pro IP sollte kein normaler Mailserver die Grenze sprengen.
> Einige dieser großen Empfänger domains hab ich eingestellt das da nur 10 Mails pro Min gleichzeitig rausgehen da bleibt das ganze dann unter dem Radar
Ich meine nur die Blacklist Lookups, da kann schon was zusammenkommen.
Aber da bin ich nicht im Thema.
> Ganz so schlimm ist das nicht :-)
> Ich hab ne pöse Mail an MS geschickt und gefragt was das soll das ich bei 20 Mail am Tag an die auf einer  Blacklist stehe
> Ob sie das nicht gebacken bekommen ohne blind immer alle möglichen Netze zu sperren für die es keinen Grund gibt
> Hat keine 5 Stunden bis zur Freischaltung gedauert mit entsprechender Entschuldigung.

Das ist sehr, sehr mutig, eine _böse_ Mail zu senden. Sie schulden dir
nichts und im schlimmsten Fall kooperieren sie nicht. :-/

Ich bekomme von OVH und Hetzner relativ viel Spam - von Hetzner zwar
eher weniger, aber auch etwas mehr als üblich (der Grund ist natürlich
nachvollziehbar bei der Größe). Das Risiko der schlechten Reputation
nimmt man da einfach mit. Ich kann es wie gesagt leider nachvollziehen.
Gerade bei Spamwellen würde ich auch am liebsten temporär die Netze
weiter abwerten.


> Ich kann dir allerdings nicht mehr sagen überwelchen Weg ob Webseite oder Mailadresse ich hatte mir das aus google gefischt
>
> Ansonsten kann ich eh keinem MS empfehlen der wirklich Mail geschäftlich benötigt.
> es gibt bessere, günstigere Alternativen, mit weniger Problemen :-) )
>
>
> MS bekommt seit 10 Jahren kein Greylisting hin  bzw. kann immer noch nicht mit umgehen und erzählen Ihren Kunden es wäre veraltete Technik.
> Andere mit ebenfalls MIO an Mailkunden können es auch.

Habe mit denen schon länger nichts mehr am Hut, kann ich nicht
beurteilen. :-)

Viele Grüße
André

>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
Reply | Threaded
Open this post in threaded view
|

AW: Office 365 - bin ich doof oder Microsoft?

Uwe Drießen
Im Auftrag von André Peters
>
>
> Das ist sehr, sehr mutig, eine _böse_ Mail zu senden. Sie schulden dir
> nichts und im schlimmsten Fall kooperieren sie nicht. :-/

Das hat nichts mit Mutig zu tun.
Im Zweifel ist das unbegründete Behinderung im Geschäftsverkehr und
üble Nachrede da die Meldung behauptet man sei Spammer und das geht an die Endkunden (Dritte).  
Sippenhaft gibt es nicht mehr.
Und es ist mit der heutigen Technik und Tools KEIN Problem die einzelnen IP's (sogar Zeitabhängig) zu sperren
OHNE ganzen Rechenzentren vom normalen Mailverkehr grundlos auszuschließen.
Ich bekomme den meisten Spam von eben genau denen die da immer mit der großen Kelle ....

Und das sie es auch anders können zeigt es eben das sie selektiv auch freischalten können ....
 
>
> Ich bekomme von OVH und Hetzner relativ viel Spam - von Hetzner zwar
> eher weniger, aber auch etwas mehr als üblich (der Grund ist natürlich
> nachvollziehbar bei der Größe). Das Risiko der schlechten Reputation
> nimmt man da einfach mit. Ich kann es wie gesagt leider nachvollziehen.
> Gerade bei Spamwellen würde ich auch am liebsten temporär die Netze
> weiter abwerten.

Fail2ban und IPset und alle sind glücklich
3. Spam 24 Stunden Block genau der Verursacher IP.
 
Gibt dem Serverinhaber die Zeit zu reagieren oder Hetzner die Möglichkeit entsprechend einzugreifen
Und Hetzner geht jeder Abuse zeitnah nach (zumindest ist meine Erfahrung so)

>
> Viele Grüße
> André
>


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045