Office 365 - bin ich doof oder Microsoft?

André Peters andre.peters at debinux.de
Di Okt 9 17:53:49 CEST 2018 

Hetzner, OVH, Online.net und Co. sind auch einfach übel für Mailing. Ich score neue Domains aus den ASNs auch etwas höher. 

Glaube das OVH Netz kann man heute komplett knicken. 

Dazu kommt, dass die Hetzner Netze nun auch größtenteils für DNSBL blockiert/ratelimited sind. 

> Am 09.10.2018 um 16:53 schrieb Andreas Pothe <mailinglisten at pothe.de>:
> 
> Hi,
> 
> aus irgendeinem Grund meint Microsoft, seinen Office 365-Usern keine
> Mails von meinem Mailserver zumuten zu müssen. Vermutlich blocken die
> mal wieder alle Hetzner-Server (oder zumindest Ranges) und meiner ist
> ein Kollateralschaden, mein Mailserver steht auf keiner öffentlich
> abfragbaren Blacklist (wenn ich multirbl.valli.org vertrauen darf).
> 
>> host
>>    jensmuellergmbh-de01b1b.mail.protection.outlook.de[51.5.80.10] said: 550
>>    5.7.606 Access denied, banned sending IP [94.130.180.65]. To request
>>    removal from this list please visit https://sender.office.com/ and follow
>>    the directions. For more information please go to
>>    http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609) (in reply to
>>    RCPT TO command)
> 
> Gut, also gehe ich auf https://sender.office.com und mache das Spielchen
> mit. Allerdings habe ich bislang keine E-Mail bekommen... Mein
> Mailserver lehnt die Mail nämlich ab, aufgrund der DMARC-Policy von
> Microsoft:
> 
>> postfix/postscreen[25175]: CONNECT from [52.100.135.97]:40264 to
>> [94.130.180.65]:25
>> postfix/dnsblog[25177]: addr 52.100.135.97 listed by domain
>> list.dnswl.org as 127.0.3.0
>> postfix/postscreen[25175]: PASS NEW [52.100.135.97]:40264
>> postfix/smtpd[25184]: connect from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> postfix/smtpd[25184]: Anonymous TLS connection established from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
>> TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
>> postfix/smtpd[25184]: 018DE1F48D:
>> client=mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> postfix/cleanup[25146]: 018DE1F48D:
>> message-id=<cb2bbc5d-4425-4fc8-8cc6-e7ae4ea85a1c at BY2FFO11FD003.protection.gbl>
>> opendkim[3134]: 018DE1F48D:
>> mail-bgr052100135097.outbound.protection.outlook.com [52.100.135.97]
>> not internal
>> opendkim[3134]: 018DE1F48D: not authenticated
>> opendkim[3134]: 018DE1F48D: failed to parse Authentication-Results:
>> header field
>> opendkim[3134]: 018DE1F48D: no signature data
>> opendmarc[3117]: 018DE1F48D: microsoft.com fail
>> postfix/cleanup[25146]: 018DE1F48D: milter-reject: END-OF-MESSAGE from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]:
>> 5.7.1 rejected by DMARC policy for microsoft.com;
>> from=<no-reply at microsoft.com> to=<informationen at proweser.de>
>> proto=ESMTP helo=<NAM03-CO1-obe.outbound.protection.outlook.com>
>> postfix/smtpd[25184]: disconnect from
>> mail-bgr052100135097.outbound.protection.outlook.com[52.100.135.97]
>> ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7
> 
> DNS-Abfrage:
> 
> $ dig _dmarc.microsoft.com txt +short
> "v=DMARC1; p=reject; pct=100; rua=mailto:d at rua.agari.com;
> ruf=mailto:d at ruf.agari.com; fo=1"
> 
> $ dig microsoft.com txt +short
> "v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com
> include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com
> include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26
> ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all"
> 
> $ dig _spf-a.microsoft.com txt +short
> "v=spf1 ip4:216.99.5.67 ip4:216.99.5.68 ip4:202.177.148.100
> ip4:203.122.32.250 ip4:202.177.148.110 ip4:213.199.128.139
> ip4:213.199.128.145 ip4:207.46.50.72 ip4:207.46.50.82
> ip4:65.55.42.224/28 include:spf.protection.outlook.com ~all"
> 
> $ dig spf.protection.outlook.com txt +short
> "v=spf1 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24
> ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24
> ip4:213.199.180.128/26 ip4:52.100.0.0/14
> include:spfa.protection.outlook.com -all"
> 
> So, und da steckt mit ip4:52.100.0.0/14 der Absender-Server drin, d. h.
> die Mail müsste angenommen werden.
> 
> Kann opendkim keine verschachtelten Includes bei SPF? Oder habe ich eine
> fehlerhafte Konfiguration? Oder verstößt Microsoft mit den mehrfachen
> Verschachtelungen gegen die Standards? Oder wo liegt sonst der Fehler?
> Wie würdet Ihr damit umgehen?
> 
> Mir ist es schon recht wichtig, dass ich auch dahin Mails loswerde,
> wenngleich ich das Problem jetzt erstmals hatte, also scheinbar nur
> wenige Leute den kack Microsoft-Office365-Service nutzen (witzigerweise
> ist eine Zustellung an hotmail.com oder outlook.com kein Problem).
> 
> Beste Grüße
> Andreas
>

Mehr Informationen über die Mailingliste Postfixbuch-users