Office 365 - bin ich doof oder Microsoft?

Andreas Pothe mailinglisten at pothe.de
Di Okt 9 16:53:27 CEST 2018


Hi,

aus irgendeinem Grund meint Microsoft, seinen Office 365-Usern keine
Mails von meinem Mailserver zumuten zu müssen. Vermutlich blocken die
mal wieder alle Hetzner-Server (oder zumindest Ranges) und meiner ist
ein Kollateralschaden, mein Mailserver steht auf keiner öffentlich
abfragbaren Blacklist (wenn ich multirbl.valli.org vertrauen darf).

> host
>     jensmuellergmbh-de01b1b.mail.protection.outlook.de[51.5.80.10] said: 550
>     5.7.606 Access denied, banned sending IP [94.130.180.65]. To request
>     removal from this list please visit https://sender.office.com/ and follow
>     the directions. For more information please go to
>     http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609) (in reply to
>     RCPT TO command)

Gut, also gehe ich auf https://sender.office.com und mache das Spielchen
mit. Allerdings habe ich bislang keine E-Mail bekommen... Mein
Mailserver lehnt die Mail nämlich ab, aufgrund der DMARC-Policy von
Microsoft:

> postfix/postscreen[25175]: CONNECT from [52.100.135.97]:40264 to
> [94.130.180.65]:25
> postfix/dnsblog[25177]: addr 52.100.135.97 listed by domain
> list.dnswl.org as 127.0.3.0
> postfix/postscreen[25175]: PASS NEW [52.100.135.97]:40264
> postfix/smtpd[25184]: connect from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> postfix/smtpd[25184]: Anonymous TLS connection established from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
> TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
> postfix/smtpd[25184]: 018DE1F48D:
> client=mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> postfix/cleanup[25146]: 018DE1F48D:
> message-id=<cb2bbc5d-4425-4fc8-8cc6-e7ae4ea85a1c at BY2FFO11FD003.protection.gbl>
> opendkim[3134]: 018DE1F48D:
> mail-bgr052100135097.outbound.protection.outlook.com [52.100.135.97]
> not internal
> opendkim[3134]: 018DE1F48D: not authenticated
> opendkim[3134]: 018DE1F48D: failed to parse Authentication-Results:
> header field
> opendkim[3134]: 018DE1F48D: no signature data
> opendmarc[3117]: 018DE1F48D: microsoft.com fail
> postfix/cleanup[25146]: 018DE1F48D: milter-reject: END-OF-MESSAGE from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
> 5.7.1 rejected by DMARC policy for microsoft.com;
> from=<no-reply at microsoft.com> to=<informationen at proweser.de>
> proto=ESMTP helo=<NAM03-CO1-obe.outbound.protection.outlook.com>
> postfix/smtpd[25184]: disconnect from
> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
> ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7

DNS-Abfrage:

$ dig _dmarc.microsoft.com txt +short
"v=DMARC1; p=reject; pct=100; rua=mailto:d at rua.agari.com;
ruf=mailto:d at ruf.agari.com; fo=1"

$ dig microsoft.com txt +short
"v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com
include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com
include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26
ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all"

$ dig _spf-a.microsoft.com txt +short
"v=spf1 ip4:216.99.5.67 ip4:216.99.5.68 ip4:202.177.148.100
ip4:203.122.32.250 ip4:202.177.148.110 ip4:213.199.128.139
ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82
ip4:65.55.42.224/28 include:spf.protection.outlook.com ~all"

$ dig spf.protection.outlook.com txt +short
"v=spf1 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24
ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24
ip4:213.199.180.128/26 ip4:52.100.0.0/14
include:spfa.protection.outlook.com -all"

So, und da steckt mit ip4:52.100.0.0/14 der Absender-Server drin, d. h.
die Mail müsste angenommen werden.

Kann opendkim keine verschachtelten Includes bei SPF? Oder habe ich eine
fehlerhafte Konfiguration? Oder verstößt Microsoft mit den mehrfachen
Verschachtelungen gegen die Standards? Oder wo liegt sonst der Fehler?
Wie würdet Ihr damit umgehen?

Mir ist es schon recht wichtig, dass ich auch dahin Mails loswerde,
wenngleich ich das Problem jetzt erstmals hatte, also scheinbar nur
wenige Leute den kack Microsoft-Office365-Service nutzen (witzigerweise
ist eine Zustellung an hotmail.com oder outlook.com kein Problem).

Beste Grüße
Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users