GMX erkennt eingehende Mails vom vServer als SPAM

[wakko]

Hi,

leider erkennt GMX alle Mails, die von meinem vServer(bei Host Europe) versendet werden
als SPAM. Das Problem bestand vor einigen Wochen schon mal, hat sich dann
aber ohne mein zutun von alleine gelöst. Damals war auch seltsam, dass sich der
X-GMX-Antispam-Tag aus dem Mail-Header über "HOST_EUROPE" beschwert hatte.
Inzwischen besteht das Problem erneut und es stellt sich mir die Frage, wie der
GMX-Spamfilter darauf kommt, dass es sich um eine Dialup-Verbindung bzw.
eine dynamische IP-Adresse handelt.
Ich habe in Exim4 bereits die Absender-IP entfernt und ausgetauscht, das hat
aber nichts gebracht:

From - Thu May 31 14:19:10 2007
X-Account-Key: account2
X-UIDL: be4cabc7842bd2be892d7de7411e3106
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <absender@meine-domain.de>
X-Flags: 1001
Delivered-To: GMX delivery to empfaenger@gmx.de
Received: (qmail invoked by alias); 31 May 2007 11:24:57 -0000
Received: from lvpsxx-xx-xx-xx.dedicated.hosteurope.de (EHLO lvpsxx-xx-xx-xx.dedicated.hosteurope.de) [xx.xx.xx.xx]
  by mx0.gmx.net (mx066) with SMTP; 31 May 2007 13:24:57 +0200
Received: from 127.0.0.1 (helo=authenticated.user-IP.removed)
	by lvpsxx-xx-xx-xx.dedicated.hosteurope.de with esmtpsa (TLS-1.0:DHE_RSA_AES_256_CBC_SHA:32)
	(Exim 4.50)
	id 1Htim0-0005ov-6c
	for empfaenger@gmx.de; Thu, 31 May 2007 13:24:56 +0200
Message-ID: <465EB063.9040606@meine-domain.de>
Date: Thu, 31 May 2007 13:24:19 +0200
From: Absender <absender@meine-domain.de>
User-Agent: Thunderbird 1.5.0.10 (X11/20070403)
MIME-Version: 1.0
To: "empfaenger@gmx.de" <empfaenger@gmx.de>
Subject: sendetest-----
X-Enigmail-Version: 0.94.2.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (FH_HELO_EQ_D_D_D_D,FH_HOST_EQ_D_D_D_D,FM_DDDD_TIMES_2,HELO_DYNAMIC_IPADDR,RDNS_DYNAMIC)
X-GMX-UID: 6Nw1Lg1kTlIvtDFeY2lr5nhGU2poZRnX

Die Daten "xx", "empfaenger", "absender" oder
"meine-domain" habe ich nur fuer diesen Post entfernt, also die stehen schon
ehrlich drin.
In der Zeile "Received: from 127.0.0.1 helo=authenticated.user-IP.removed)"
ist das Ergebnis meines Versuchs, den Absender unkenntlich zu machen damit GMX nicht meine DSL-IP zu sehen kriegt.
Kann es daran liegen? Wenn ja, was müsste da stehen, damit GMX die Mails
durchlässt?
Oder ist GMX einfach ein bisschen zu restriktiv, was den Spam-Filter angeht?

 

[HornOx]

es stellt sich mir die Frage, wie der
GMX-Spamfilter darauf kommt, dass es sich um eine Dialup-Verbindung bzw.
eine dynamische IP-Adresse handelt.

Vermutlich ist ihm das lvpsxx-xx-xx-xx.dedicated.hosteurope.de suspekt, viele dynamische IP Adressen haben ihre IP im RDNS Hostnamen drinnen. Stell mal den RDNS Hostnamen auf deine-domain.de um wenn das dein Provider erlaubt.

In der Zeile "Received: from 127.0.0.1 helo=authenticated.user-IP.removed)"
ist das Ergebnis meines Versuchs, den Absender unkenntlich zu machen damit GMX nicht meine DSL-IP zu sehen kriegt.

Wenn ich mich richtig erinnere ist es laut RFC verboten nachträglich die "Received" Daten zu verändern.

 

[wakko]

Auf dem Server laufen leider mehrere Domains. Wenn ich den
Reverse-Eintrag für die eine Domain ändere führt das doch zu einem
Fehler bei den anderen Domains, oder nicht?
Oder kannst Du mir verraten, wie ich Exim4 beibringe, da zu unterscheiden?
Also den korrekten Hostnamen da einzutragen, entsprechend der Mail-Domain
über die die Mail verschickt wurde..

 

[Roger Wilco]

Auf dem Server laufen leider mehrere Domains. Wenn ich den
Reverse-Eintrag für die eine Domain ändere führt das doch zu einem
Fehler bei den anderen Domains, oder nicht?

Nein. Die Domain im PTR Record für die IP-Adresse muss lediglich auch "vorwärts" wieder auf die IP-Adresse auflösen.

Oder kannst Du mir verraten, wie ich Exim4 beibringe, da zu unterscheiden?

Das geht nicht, weil SMTP im Gegensatz zu HTTP/1.1 so etwas wie den Host-Header nicht kennt. Aber das ist auch nicht notwendig, siehe oben.

 

[dio64596]

Hallo,

neuerdings gibt es bei mir das gleiche Problem.
Bei GMX schlagen bei Mails von meinem S4Y vServer folgende Regeln zu:
FH_HOST_EQ_D_D_D_D,RDNS_DYNAMIC,TVD_SPACE_RATIO

Nach dem ändern des Reverse DNS auf eine meiner Domains kommen die Mails durch.
Auf DNS Stuff: DNS tools, DNS hosting tests, WHOIS, traceroute, ping, and other network and domain name tools. gibt es übrigens ein Tool zum prüfen des RevDNS Eintrags.

 

[wakko]

Ok. Das mit dem ändern des Reverse-DNS Eintrags hat geholfen und
Mails an GMX kommen jetzt ohne einen Hinweis auf Spam an.
Scheinbar arbeitet der GMX-Spamfilter mit einem ziemlich simplen
regulären Ausdruck der auf 4x 1-3 Ziffern, die durch einen Bindestrich
getrennt sind, prüft. Denn bei Netfabrik sah der RDNS-Eintrag so aus:
vs1234567.netfabrik.de, und da gab es das Problem nicht.

Einerseits ist es schade, dass GMX so restriktiv und undifferenziert auf
RDNS-Einträge reagiert(vielleicht könnte man da "lvps" oder "host-europe" mal
whitelisten), andererseits ist es recht arm von Host Europe, dass der default-
RDNS-Eintrag genau die Form einer DialUp-Adresse hat. Ich glaube, da könnte
leicht Abhilfe geschaffen werden.

 

[daralla]

Hi,

wäre es vielleicht möglich einem Anfänger zu erklären, wie und wo der DNS Reverse Eintrag geändert werden kann?

Ich habe aktuell das gleiche Problem mit Mails von meinem (Strato) VServer...

Danke!

 

[wakko]

Laut Strato-FAQ geht das im Kundenservice-Bereich unter
"Domainverwaltung" -> "DNS-Reverse".
Allerdings sind im FAQ auch nur die DS erwähnt. Ob das bei
den vServer-Angeboten auch so ist kann ich nicht sagen.

 

[daralla]

Danke!

Dort wurde bei mir nur der letzte Teil des Domain Namens angezeigt also <domain.de>. Hab das jetzt geändert auf FQDN, "www.<domain.de>.

Mal abwarten, ob das hilft...

Noch 'ne Frage, in Plesk (8.2.0) unter den DNS-Settings (DNS zone template) für die Domain kann man ja auch für den PTR record im Feld "Enter domain name" z.B. "www" voranstellen. Standardmäßig ist dieses Feld leer. Bewirkt diese Einstellung dasselbe, oder geht es da um etwas völlig anderes? Muß man vielleicht beides identisch einstellen, in der Strato-Domainverwaltung und in Plesk?

 

[wakko]

Das "www" hat nichts mit dem Mailversand zu tun.
Das ist nur für den Webserver interessant. Der RDNS-Eintrag sollte trotzdem nur <domain>.<Toplevel-Domain>
lauten.
Was spuckt denn die RDNS-Abfrage von DNS Stuff: DNS tools, DNS hosting tests, WHOIS, traceroute, ping, and other network and domain name tools. für Deine IP aus?
Und welche GMX-Spamregeln treffen denn für Deine Mails zu?
Evtl. musst Du noch die MX-Records anpassen.
Und mit Plesk und co. kenne ich mich nicht aus...

 

[LinuxAdmin]

Das "www" hat nichts mit dem Mailversand zu tun.
Das ist nur für den Webserver interessant. Der RDNS-Eintrag sollte trotzdem nur <domain>.<Toplevel-Domain>lauten.

So generell kann man das nicht sagen. Der PTR-Record muss auf einen Namen zeigen, dem ein A-Record zugeordnet ist. Dass dem reinen Domain-Namen ein A-Record zugeordnet ist, ist zwar bei vielen Hostern der Fall, aber nicht selbstverständlich.

Ob alles richtig ist, kann man einfach (unter Linux) mit dig überprüfen:

vorwärts...:

$ dig relay.heise.de

; <<>> DiG 9.2.2 <<>>  relay.heise.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7717
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;relay.heise.de.                        IN      A

;; ANSWER SECTION:
relay.heise.de.         77891   IN      A       193.99.145.50

;; Query time: 18 msec
;; SERVER: 195.186.4.108#53(195.186.4.108)
;; WHEN: Mon Aug 13 14:07:52 2007
;; MSG SIZE  rcvd: 48

... und rückwärts (dabei beachten, dass hier nicht nach A (=default) sondern PTR gesucht wird -- die zu erfragende IP-Adresse wird dabei in umgekehrter Reihenfolge in der speziellen Domain in-addr.arpa aufgelistet):

$ dig 50.145.99.193.in-addr.arpa ptr

; <<>> DiG 9.2.2 <<>> 50.145.99.193.in-addr.arpa ptr
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42217
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;50.145.99.193.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
50.145.99.193.in-addr.arpa. 86388 IN    PTR     relay.heise.de.

;; Query time: 22 msec
;; SERVER: 195.186.4.108#53(195.186.4.108)
;; WHEN: Mon Aug 13 14:10:08 2007
;; MSG SIZE  rcvd: 72

Beim Heise.de MX-Rechner ist die A->PTR->A-Bedingung offensichtlich erfüllt

LinuxAdmin

 

[elias5000]

die zu erfragende IP-Adresse wird dabei in umgekehrter Reihenfolge in der speziellen Domain in-addr.arpa aufgelistet

Du stehst wohl nicht auf Copy&Paste?

[elias@chuckie]~% [COLOR="Red"]dig -x 193.99.145.50[/COLOR]

; <<>> DiG 9.4.1-P1 <<>> -x 193.99.145.50
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14421
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;50.145.99.193.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
50.145.99.193.in-addr.arpa. 86400 IN    PTR     relay.heise.de.

;; Query time: 2214 msec
;; SERVER: 192.168.17.1#53(192.168.17.1)
;; WHEN: Mon Aug 13 18:03:24 2007
;; MSG SIZE  rcvd: 72

 

[daralla]

Also, wie oben beschrieben, habe ich

- in der Strato Konfigurations den Reverse geändert auf FQDN, "www.<domain.de>.
- zusätzlich in Plesk (8.2.0) unter den DNS-Settings (DNS zone template) für die Domain den PTR record im Feld "Enter domain name" ebenfalls auf "www.<domain.de>" gestellt.

Das ganze vor 2 Tagen. Hat aber nicht gebracht, Mails an GMX erhalten immer noch die GMX-Spam-Kennung, genauer: "X-GMX-Antispam: 6 ((SPAM: 1))".

Mein dig output laut der post von LinuxAdmin:

; <<>> DiG 9.3.2 <<>> mail.<domain.de>
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65205
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.<domain.de>.              IN      A

;; ANSWER SECTION:
mail.<domain.de>.   1800    IN      A       85.214.xxx.xxx (korrekte IP!)

;; Query time: 5 msec
;; SERVER: 81.169.163.104#53(81.169.163.104)
;; WHEN: Wed Aug 15 12:24:02 2007
;; MSG SIZE  rcvd: 54

und

; <<>> DiG 9.3.2 <<>> xxx.xxx.214.85.in-addr.arpa ptr
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57900
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;xxx.xxx.214.85.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
xxx.xxx.214.85.in-addr.arpa. 1800 IN     PTR     www.<domain>.de.

;; Query time: 2 msec
;; SERVER: 81.169.163.104#53(81.169.163.104)
;; WHEN: Wed Aug 15 12:27:50 2007
;; MSG SIZE  rcvd: 77

Da scheint also alles okay zu sein, wie bei relay.heise.de.

Hat jemand noch andere Ideen, wie man die GMX-Spam-Kennung vermeidet?

Am www. sollte es doch nicht liegen, wenn ich das richtig verstanden habe ist nur wichtig daß es ein auflösbarer FQDN ist. Oder sollte ich doch besser mail.<domain.de> als PTR eintragen? Oder gar den Strato-Servernamen "hxxxxxxx.stratoserver.net"?

 

[daralla]

Update: Problem gelöst!

War wohl nur zu ungeduldig .

Gerade, ca. 54 Stunden nachdem ich den reverse-lookup für meine Domain wie oben beschrieben geändert habe, scheint es nun zu funktionieren

GM nimmt die Mails jetzt sauber an, Spam-Kennung steht auf
"X-GMX-Antispam: 0 (Mail was not recognized as spam)"

Na bitte...