Mails landen im Spamordner / werden direkt zurückgeschickt

[tobi4]

Hallo,

seit einigen Monaten habe ich das Problem, dass die von Microsoft betriebenen Mailangebote meine Mails direkt zurückweisen und bei anderen Providern (zB. Google) die Mails direkt im Spamordner landen.

Bisher dachte ich, dass nur die microsoft Maildienste eine interne Blackliste führen, auf der meine Server IP Adresse - warum auch immer - steht.

Kurz zur Übersicht:

Dedizierter Server, Standort USA
1 IP Adresse, mehrere Domains leiten auf diese
ca. 2 Webspaces
Als Hostname in Plesk wurde ein Domainname eingetragen, gleicher wurde beim Serverprovider als Reverse DNS gesetzt.

Derartige Probleme hatte ich bisher bei anderen Servern/IPs/Projekten noch nicht - laut Abfragen ist die Server IP auf keiner Block/Blackliste. Was hier los ist ist mir ein Rätsel.

Es werden hin und wieder Mails über die betriebenen Webprojekte verschickt (PW vergessen, neuer Account, usw). sowie ein paar wenige manuelle Mails über Thunderbird von meinem Rechner. Kein Spam, keine Viren-Anhänge, ...

Bei hotmail/msn/live/outlook werden grundsätzlich ALLE ausgehenden Mails von ALLEN meiner Domains dieses Servers DIREKT mit folgender Meldung zurückgeschickt:

host mx2.hotmail.com[65.55.33.119] said: 550 SC-001
(COL004-MC5F7) Unfortunately, messages from xx.xx.xx.xxx weren't sent.
Please contact your Internet service provider since part of their network
is on our block list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)

Das kann und darf natürlich nicht sein. Mails müssen rausgehen und auch ankommen. Vielleicht habe ich ja doch irgendwas falsch konfiguriert.

Ich hatte letztes Jahr eine schriftliche Auseinandersetzung mit dem "deliverability team" von microsoft / hotmail sender support, die wollten oder konnten mir jedoch keine genaue Auskunft geben:

We have completed reviewing the IP(s) you submitted. The following table contains the results of our investigation.

Not qualified for mitigation
xx.xx.xx.xxx
Our investigation has determined that the above IP(s) do not qualify for mitigation. These IP(s) have previously received mitigations from deliverability support, and have failed to maintain patterns within our guidelines, so they are ineligible for additional mitigation at this time.

Please ensure your emails comply with the Outlook.com policies, practices and guidelines found here: http://mail.live.com/mail/policies.aspx.

To have Deliverability Support investigate further, please reply to this email with a detailed description of the problem you are having, including specific error messages, and an agent will contact you.

Hello,

My name is Rajesh and I work with the Outlook.com Deliverability Support Team.

As previously stated, your IP (xx.xx.xx.xxx) do not qualify for mitigation at this time. I do apologize, but I am unable to provide any details about this situation since we do not have the liberty to discuss the nature of the block.

At this point, I would suggest that you review and comply with Outlook.com's technical standards. This information can be found at http://postmaster.live.com/Guidelines.aspx.

We regret that we are unable to provide any additional information or assistance at this time.

Vielleicht hat hier jemand eine Idee, einen Ansatzpunkt?

Danke

 

[GwenDragon]

Ich mach mal auf Ratestunde an was es liegen könnte:
Generischer Hostname als Server-Hostname sowas wie bswp. vps-123-456-789-112.server.soervaer.com
Banner bei Mailserver stimmt nicht mit Absender-Domain überein
reverseDNS IP<->Domain/Host löst falsch auf
MX stimmt nicht
SPF stimmt nicht
Domainkeys passt nicht
Spamversand vom Server durch Malware
Falsche Blacklists auf den anderen Mailservern
....
was weiß ich.

 

[tobi4]

Hallo,

in Sachen Mailversand und -empfang kenne ich mich nun tatsächlich so gut wie gar nicht aus. Deswegen frage ich ja hier.

Dein erster und dritter Ratschlag sollte jedoch bereits beantwortet sein: Wie geschrieben habe ich eine meiner Domains (die per A auf die IP Adresse meines Servers verweisen) in Plesk als Server-Hostname gesetzt und in den Einstellungen des Server-Anbieters als Reverse DNS gesetzt. Laut bspw. whoer.net klappt dies auch (domain.tld wird als Hostname angezeigt).

Was mit "Banner bei Mailserver" gemeint sein soll, weiß ich nicht. Der wird von Plesk bereitgestellt und bisher hatte ich damit beim Mailversand und -empfang bei anderen Projekten/Servern mit Plesk noch keine Probleme.

Wo kann ich "MX stimmt nicht" überprüfen?
Gleiche Frage gilt für "SPF stimmt nicht".

"Domainkeys" sagt mir nichts, ich würde vorsichtig behaupten, das nicht zu nutzen. Es sein denn es ist was Essentielles, dann wird es im Plesk Postfix dabei und hoffentlich automatisch richtig eingestellt sein.

Mir ist nicht bekannt, dass mein Server für Spamzwecke missbraucht wird.

Und falsche Blacklists auf anderen Servern - okay?!

Danke & Gruß

 

[danton]

(domain.tld wird als Hostname angezeigt).

Der Hostname ist nicht die Domain, zusammen mit der Domain wird daraus der FQDN, also z.B. wenn der hostname tollerserver lautet, dann ist der FQDN tollerserver.domain.de. Für diesen muß ein A-Record existieren, der auf die IP des Servers zeigt und der PTR der IP wiederum auf genau diesen FQDN. Nur die Domain funktioniert meist zwar, ist aber IIRC nicht RFC-konform.

Was mit "Banner bei Mailserver" gemeint sein soll, weiß ich nicht.

Das ist der Name, mit dem sich dein Mailserver meldet, wenn er Mails versendet oder empfängt (das sog. HELO). Das ist dann oft etwas wie mail.domain.de (bei mehreren Servern auch durchnummeriert, z.B. Provider wie GMX und Co.) und für jeden Server eindeutig. Für dieses HELO muß ebenfalls ein A-Record existieren, der auf die IP des Servers zeigt, der sich mit diesem HELO meldet.

Der wird von Plesk bereitgestellt und bisher hatte ich damit beim Mailversand und -empfang bei anderen Projekten/Servern mit Plesk noch keine Probleme.

Bis vor ein paar Wochen konnte man mit den generischen PTRs von Strato wie h12345678.stratoservers.net auch bei GMX noch seine Mails abliefern (die o.g. Bedingungen sind ja erfüllt), aber irgendwann hat GMX seine Policy geändert (andere Anbieter machen sowas auch gelegentlich.

Wo kann ich "MX stimmt nicht" überprüfen?

Der MX-Record jeder Domain, für die der Mailserver Mails annimmt, muß auf einen A-Record zeigen, der wiederum zur IP des Servers auflöst. Hier ist der Eintrag des vorgenannten HELO eine sehr sinnvolle Angabe.

Gleiche Frage gilt für "SPF stimmt nicht".

Wenn du keinen SPF im DNS für deine Domains angelegt hast, kann es sinnvoll sein, einen zu erstellen, der deinen Server als zum Versand für diese Domain berechtigt ausweist.

"Domainkeys" sagt mir nichts, ich würde vorsichtig behaupten, das nicht zu nutzen.

Hier gilt ähnliches wie für den SPF-Record, allerdings etwas aufwendiger, da der Server jede Mail mit einer passenden Signatur versehen muß.

Plesk ist keine "ich nehm ein paar Einstellungen vor und Plesk kümmert sich um den Rest" Software, sondern nur eine (kleine) Hilfe bei der Administration des Servers, sie kann aber das notwendige grundlegende Wissen nicht ersetzen.
Bezüglch Blacklists gehe ich persönlich davon aus, dass viele größere (und auch einige kleinere) Mailanbieter eigene Blacklists pflegen - und auch ihre eigenen Regeln haben, wie gelistet und auch wieder entlistet wird. Ob man auf so einer gelandet ist, bekommt man oft erst mit, wenn die Mailannahme verweigert wird.

 

[GwenDragon]

1. passt laut deiner Aussage
2. In der Shell
postconf myhostname
3. passt laut deiner Aussage
4. In der Shell
dig @8.8.8.8 deionedomain.tld ANY
spf und MX sind in der Ausgabe
5. Ob du Domainkeys verwendest kannst du ansehen in den Tools & Einstellungen -> E-Mail -> Mailserver-Einstellungen
6. Ob dein Server unzuverlässoge/veraltete Software installiert hat, weiß ich nicht

PS: Wird dabei sein und automatisch? Wieso das? Du kommst nicht umhin, dich zu informieren, was das alles in Plesk bedeutet. Und es enthebt dich nicht, auch was über Serveradministration zu lernen. Ein Server ist nicht wie ein PC, der sich geheimnisvoll selbst updated und nicht geschützt oder gewartet werden muss.

 

[tobi4]

Hallo,

danke für die Informationen.

Zum Hostname: Ja, aber ich habe in Plesk domain.tld eingetragen und dieses auch als Reverse DNS gesetzt, sollte doch passen.

Für diesen muß ein A-Record existieren, der auf die IP des Servers zeigt und der PTR der IP wiederum auf genau diesen FQDN.

Das verstehe ich nicht. Ich habe doch in den Domain DNS Einstellungen 3 A Einträge die alle auf die Server IP verweisen.

Wie müsste denn so ein Eintrag aussehen, den ich da wohl noch nicht habe?

Der MX-Record jeder Domain, für die der Mailserver Mails annimmt, muß auf einen A-Record zeigen, der wiederum zur IP des Servers auflöst. Hier ist der Eintrag des vorgenannten HELO eine sehr sinnvolle Angabe.

Ich habe nun gerade festgestellt, dass gar keine MX Einträge für die entsprechenden Domains vorhanden waren. Dennoch verstehe ich Deine Aussage nicht. MX Record muss auf einen A Record zeigen?

Habe jetzt einen wie folgt erstellt:

Typ MX
Wert domain.tld
Prio 10
TTL 3600

Vielleicht war das ja schon der Fehler. Werde es dann morgen nochmal mit Googlemail probieren und ggf. eine Entfernung aus der microsoft-eigenen Liste anfragen.

SPF Eintrag habe ich übrigens auch nicht. Ist das so korrekt?
Typ SPF
Wert v=spf1 a mx ~all

Danke & Gruß

 

[tobi4]

postconf myhostname:
"myhostname = meine-als-hostname-eingestellte-domain.tld"

dig @8.8.8.8 meine-domain.tld ANY:
Ja, MX wird nun angezeigt, habe ihn ja gerade bei inwx.de erstellt.
Fehlt nur noch der SPF, wenn ich den wirklich noch brauche.

Laut Plesk sind DomainKeys und SPF-Spamschutz deaktiviert.

Gruß

 

[GwenDragon]

"Sollte passen" ist deine Vermutung, wir können das nicht prüfen, da dein Server ein Geheimserver des Darknet ist, oder doch nicht?
Oder ist es dir peinlich, wenn du deinen Server nicht konfigurieren kannst, du für eine riesige bekannte, deutsche Firma einen Server betreibst, und deswegen deine Domains ähnlich wie ich-sags-euch-nicht-ihr-noobs.org lauten?

Aber warte erst mal bis morgen, bis alle DNS-Server deine neuen Einträge aktualsiert haben.

Wenn es dann nicht klappt, gib uns bitte mal mehr echte Informationen.

 

[tobi4]

Ha ha. Wer ist denn da so neugierig? Ich kann gerne alle zur Lösung des Problems benötigten Informationen liefern, wenn mir gesagt wird, wo ich diese finde.
Deswegen muss ich aber noch lange nicht hier irgendwelche Domainnamen oder IP Adressen veröffentlichen, die dann ergoogelt werden können und mit meinen Webseiten bzw. somit mit mir selbst in Verbindung gebracht werden können.
Aber sowas habe ich schon erwartet. Ihr setzt ja schon voraus, dass jeder gleich alles preis gibt.

Gruß

 

[reccon]

Du könntest auch mal deinen Server/deine Domain hier prüfen.

http://mxtoolbox.com/

Das gibt dir vielleicht auch einen Hinweis zu möglichen Problemen.

 

[marce]

Aber sowas habe ich schon erwartet. Ihr setzt ja schon voraus, dass jeder gleich alles preis gibt.

Naja, alles nicht - Du musst aber schon zugeben, daß das liefern relevanter Informationen die Hilfe zur Lösungsfindung wesentlich erleichtern würde.

Momentan sagst Du eher "ich habe ein Problem auf einem System, welches ich nicht nenne mit einer Konfiguration die ich nicht verrate bin mir aber sicher, daß alles richtig ist. Helft mir."

 

[GwenDragon]

Ich und auch andere haben hier doch schon erwähnt wo es haken kann bei deinem Server. Alles andere kannst du ja selbst in der Shell überprüfen.

MXToolbox gibt grobe Anhaltspunkte, ist aber nicht immer korrekt, auch das wurde hier im Forum schon öfters von diversen Serverbetreibrn erwähnt.

 

[reccon]

MXToolbox gibt grobe Anhaltspunkte, ist aber nicht immer korrekt, auch das wurde hier im Forum schon öfters von diversen Serverbetreibrn erwähnt.

Entschuldige, dass mir nicht ALLE posts hier im Forum geläufig sind.

Mir hat MXToolbox auf jeden Fall nützliche Anhaltspunkte geliefert.

 

[GwenDragon]

Das war kein Vorwurf von mir

Was MXToolbox anbelangt, lohnt sich das erst morgen, weil die auch nur öffentliche DNS-Server befragen und die DNS-Daten von tobi4 sich erst verteilt haben sollten.

 

[tobi4]

Momentan sagst Du eher "ich habe ein Problem auf einem System, welches ich nicht nenne mit einer Konfiguration die ich nicht verrate bin mir aber sicher, daß alles richtig ist. Helft mir."

Und das ist falsch. Diese Aussage nimmst Du bitte zurück. Wie Du weiter oben lesen kannst, habe ich die Zusammenstellung meines Systems erwähnt. Dass ich mich im Thema E-Mails/MTA nicht besonders gut auskenne, kann man mir nur bedingt zum Vorwurf machen (es ist eben nunmal so, dass heutzutage Softwares wie Plesk zum größten Teil solche Komponenten eigenständig und vollautomatisch betreiben, updaten, und man sich allein deswegen schon gar nicht zwangsweise intensiv damit befassen muss). Dass ich höchst persönliche Daten wie Domains und meine IP Adressen nicht öffentlich in einem solchen Forum nennen möchte, ist auch kein Grund mir etwas vorzuwerfen oder zu unterstellen. Aber dieses Thema möchte ich nicht weiter breittreten.
Lieber komme ich nochmal auf Deinen Satz "bin mir aber sicher, dass alles richtig ist. Helft mir" zurück: Das habe ich keinesfalls geschrieben. Wo nimmst Du das her?

Vielleicht habe ich ja doch irgendwas falsch konfiguriert

Entspricht das Deiner Auffassung über mich?

Dann habe ich noch mitgeteilt, dass ich bisher keine solchen Mailprobleme dieses Umfangs hatte, auch unter Einsatz von Plesk und eigenen/dedizierten IP Adressen.

Bestimmt hast Du da nur etwas missverstanden.

Und, nicht zu vergessen: Dein "helft mir" lasse ich auch nicht so stehen, denn meine Bitte um Hilfe sieht deutlich anders aus:

Vielleicht hat hier jemand eine Idee, einen Ansatzpunkt?

Danke

Ich werde mich hier in Kürze wieder melden, sobald ich das Empfangen bei gmail wieder testen kann.

Gruß

 

[danton]

Zum Hostname: Ja, aber ich habe in Plesk domain.tld eingetragen und dieses auch als Reverse DNS gesetzt, sollte doch passen.

Nein, für den PTR korrekt ist hostname.domain.tld und nicht nur domain.tld - wurde hier im Forum schon mehrfach drauf hingewiesen - wenn nur domain.tld verwendet wird, muß es nicht überall funktionieren.
hostname.domain.tld kannst du auch bei myhostname in Postfix verwenden - ist aber aus verschiedenen Gründen nicht unbedingt sinnvoll (wenn du in deinem Mailprogramm mail.domain.tld verwendest und das TLS-Zertifikat auch drauf ausgestellt ist, dann solltest du auch den HELO auf mail.domain.tld abändern, damit er zum Zertifikat paßt).

Das verstehe ich nicht. Ich habe doch in den Domain DNS Einstellungen 3 A Einträge die alle auf die Server IP verweisen.

Wenn für hostname.domain.tld noch keiner existiert, mußt du ihn anlegen, so dass er auf die IP des Servers zeigt. Siehe auch (url=https://de.wikipedia.org/wiki/Forward-confirmed_reverse_DNS]Forward-confirmed Reverse DNS[/url]). Wenn der HELO von Postfix anders lautet, für den auch eine passenden A-Record im DNS anlegen.

Ich habe nun gerade festgestellt, dass gar keine MX Einträge für die entsprechenden Domains vorhanden waren. Dennoch verstehe ich Deine Aussage nicht. MX Record muss auf einen A Record zeigen?

Wenn kein MX-Record vorhanden ist, erfolgt ein Fallback auf den A-Record. Fehlt der auch, sind Mails für die Domain nicht zustellbar. Der MX ist aber nur für eingehende Mails zuständig, nicht für ausgehende (größere Anbieter haben da auch schon mal unterschiedliche Systeme für). Bedingung für einen MX ist, dass er NICHT auf eine IP zeigt und NICHT auf einen CNAME, sondern immer auf einen A-Record (bzw. für IPv6 dann AAAA-Record).

 

[tobi4]

Danke für die Erläuterungen.

Bevor ich aber wieder irgendwas um- bzw. verstelle, lass mich bitte vorher mal fragen:

Ist das "hostname" in "hostname.domain.tld" nur ein Platzhalter oder sollte ich das bei mir vom aktuellen domain.tld in > hostname.domain.de ändern?
Wenn nur ein Platzhalter - was schreibt man denn da rein?

Wikipedia schreibt, man solle die IP Adresse in umgekehrter Reihenfolge nehmen? ?!?

Ich habe gerade nochmals den "FCrDNS" check auf http://multirbl.valli.org/fcrdns-test/ gemacht:

FCrDNS Test
rDNS for IP xx.xx.xx.xxx   >   xxx.com   >   OK
IP Addresses (A or AAAA records) for xxx.com   >   	xx.xx.xx.xxx   >   OK
At least one IP address of the DNS lookup for xxx.com matches the original IP   >   OK

Laut diesem Test fällt die Bestätigung erfolgreich aus.


Wenn ich meine /etc/postfix/main.cf ansehe, ist dort sehr viel auskommentiert. Auch smtpd_banner hat ein # davor. Ich denke, Plesk hat da seine eigene config.

Jedenfalls habe ich in Plesk selbst was gefunden - siehe Anhang.
Muss ich vielleicht die zweite Option auswählen?


Ansonsten muss ich mich nochmal neu sortieren und überlegen, was ich jetzt als nächsten Schritt machen müsste. Im Moment weiß ich es nicht.

Gruß

 

[reccon]

Ich habe in Plesk unter Tools und Einstellungen/Servereinstellungen "Vollständiger Hostname" auf den gleichen Namen gesetzt, den ich im Reverse-DNS angegeben habe.

Unter Tools und Einstellungen/Mailserver-Einstellungen habe ich "Postausgangsmodus" auf "Über Domain-IP-Adressen senden" gesetzt und "DomainKeys-Spamschutz" auf "Ausgehende E-Mails dürfen signiert werden".

Damit hab ich z.Zt. bei keinem email-Anbieter Probleme.


Ich habe in keiner Konfig-Datei etwas manuell geändert.

 

[danton]

Ist das "hostname" in "hostname.domain.tld" nur ein Platzhalter oder sollte ich das bei mir vom aktuellen domain.tld in > hostname.domain.de ändern?
Wenn nur ein Platzhalter - was schreibt man denn da rein?

Das hostname ist ein Platzhalter und im Prinzip kannst du da deiner Phantasie im gewissen Rahmen freien Lauf lassen. Als Star Trek-Fan nennst du deine Server z.B. kirk, spock und pille, kannst aber auch sowas langweiliges wie server1, server2, usw. nehmen. Wenn es mehrere Server unter einer Domain gibt, muß der Hostname für jeden Server eindeutig sein.

Wikipedia schreibt, man solle die IP Adresse in umgekehrter Reihenfolge nehmen? ?!?

Nein, das steht da nicht. Reverse-DNS-Einträge befinden sich in der "speziellenen" in-addr.arpa Domain und haben da ein bestimmtes Format (nämlich rückwärts). Das braucht dich aber i.d.R. nicht zu interessieren, denn du trägst bei deinem Server-Anbieter (und nicht dem Domain-Anbieter) für die IP den FQDN ein (hostname.domain.tld) - der Serveranbieter erstellt aus der IP den korrete in-addr.arpa Eintrag. Auch wenn du z.B. an deinem PC mit nslookup eine IP abfragst, erstellt nslookup aus der IP den entsprechenden in-addr.arpa, der dann im DNS abgefragt wird.

Ich habe gerade nochmals den "FCrDNS" check auf http://multirbl.valli.org/fcrdns-test/ gemacht:

Die verschiedenen Tests, die man im Internet findet, berücksichtigen oft nicht alle Details, sondern es wird nur eine Teilmenge geprüft. Daher muß man solche Tests immer kritisch betrachten. Wenn Fehler gemeldet werden, findet man gute Anhaltspunkte, was man korrigieren muß. Wenn ein OK gemeldet wird, bedeutet das aber nur, dass die verwendeten Tests keine Auffälligkeiten gefunden haben - nicht aber, ob auch alle relevanten Tests für ein Szenario durchgeführt wurden.

Ansonsten muss ich mich nochmal neu sortieren und überlegen, was ich jetzt als nächsten Schritt machen müsste. Im Moment weiß ich es nicht.

Den Hostnamen im System nach deinen Vorstellungen setzen, einen passenden A-Record erstellen (falls noch nicht vorhanden), ggfl. etwas warten, bis diese sich im Internet rumgesprochen hat und dann den PTR ebenfalls ändern.

 

[tobi4]

Hallo.

Habe gerade nach einer Anleitung gegoogelt, diese hier gefunden: http://www.itworld.com/article/2833006/networking/how-to-setup-reverse-dns-and-ptr-records.html
und dort steht wieder das mit der umgekehrten Reihenfolge und in addr arpa Mist.

Laut Überschrift ist es aber das, wonach ich suche.

Ich lese gerade einen verständlicheren Bericht von hetzner. Es wäre in der Tat interessant zu wissen, was mein MTA als HELAU ruft. Kann ich das irgendwie per Konsole herausfinden? Den per Kommando mal bisschen anstupsen?

Denn sonst weiß ich ja gar nicht, welchen Domainnamen ich nun zusätzlich per A-Record setzen muss.

Allgemein weiß ich das nicht, weil ich es noch nicht kapiere.

Beispiel: Mailserver meldet sich mit mail.domain.tld
Als Reverse-DNS beim Serverprovider habe ich jetzt neuerdings server1.domain.tld drin.
Müsste ich nun 2 neue DNS Einträge erstellen, einen wo mail.domain.tld auf meine Server IP Adresse leitet und einen, wo server1.domain.tld ?

Mich wundert es echt, dass das bei meinen anderen Servern/Plesks/Domains usw. bisher immer ohne diesen Aufwand einwandfrei klappt und geklappt hat.

Gruß