LIebe Leute,
da ich gerade wieder auf diese Liste gestoßen wurde und auf Uwes Hinweis damit begonnen habe, endlich meinen Server und dessen Zertifikate wieder einmal ein bisschen in Ordnung zu bringen, möchte ich mich über ein Problem mit meiner Mailserver-Konfiguration ausheulen :-(
Eigentlich schien immer alles richtig zu laufen, aber seit einiger Zeit akzeptieren eine Reihe von Mailservern keine Mails mehr von mir (und meinen Eltern, die auch dranhängen - zum Glück habe ich keine zahlenden Kunden ...). Offenbar betrachten zwei Gruppen von Servern meinen Server als Spam-Versender o.ä. Konkret geht es einerseits um alle an Microsoft hängenden Dienste (wie outlook.com, hotmail.com etc.), andererseits um web.de und GMX.
Meine bisherigen Recherchen deuten darauf hin, dass mein Mailserver irgendwie missverständliche Auskunft über sich erteilt. Ich weiß jetzt nicht, ob ich das mit Anpassung der Einstellungen hinbekomme, oder ob ich meinen Provider um eine neue IP und einen neuen Hostnamen bitten soll.
Die MS-Server schicken Mails sofort zurück, mit folgender Meldung:
host mx1.hotmail.com[104.44.194.232] said: 550 SC-001 (SNT004-MC6F5) Unfortunately, messages from 85.25.93.165 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command)
85.25.93.165 ist die meinem Server zugewiesene feste IP-Adresse.
Web.de und Co. schicken die Mail leider erst nach fünf Tagen zurück (so dass ich es erstmal gar nicht merke) und kommentieren so:
host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx108) Nemesis ESMTP Service not available 554-No SMTP service 554-Bad DNS PTR resource record. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=85.25.93.165&c=rdns
Ich habe einen Root-Server, also ein komplettes Ubuntu, weder der Server noch die IP ist geteilt mit anderen. Hostname ist orion2208.startdedicated.de, d.h. ich habe einen eigenen Host, der sich die tld mit unzähligen anderen Kunden meines ISP teilt. Ich kann auch manuell die Nameserver- und Revers-DNS-Einstellungen bearbeiten, bin da aber sehr vorsichtig, weil ich einfach nicht genug weiß.
Reverse-DNS-Einstellung ist: Servername: orion2208 (kann ich nicht ändern) Alias: -- IP: 85.25.93.165 IP-Typ: Haupt Reverse: orion2208.startdedicated.de (das ist der einzige Eintrag, den ich ändern kann). Hier stand früher mal mail.openlilylib.org. Die Änderung hatte ich durchgeführt, in der Hoffnung, das Problem zu beheben (weil der Reverse-Eintrag auf den Servernamen zeigen solle).
Die DNS-Einstellungen für eine Domain sind folgendermaßen:
Subdomain Typ Priorität Ziel -- NS ns1.nameserverservice.de -- NS ns2.nameserverservice.de -- A 85.25.93.165 -- MX 10C mail.openlilylib.org * A 85.25.93.165 ftp A 85.25.93.165 mail A 85.25.93.165 www A 85.25.93.165
Für die übrigen Domains sieht das entsprechend aus, nur dass der MX-eintrag unterschiedlich ist und jeweils auf mail.DOMAIN.TLD zeigt. Für NS sind auch unterschiedliche Server eingetragen, mit jeweils verschiedenen Ziffern.
Ich *denke*, das Problem liegt irgendwo zwischen der MX-Einstellung, der IP-Adresse und dem Revers-DNS-Eintrag.
Wisst ihr,
* wie diese Einträge zusammenspielen sollen, damit die genannten Abweisungen nicht mehr getriggert werden, * An welchen Stellen ich entsprechende Anpassungen in Postfix und Dovecot machen muss und * ob ich - damit es überhaupt einen Sinn gibt - neue IP und Servernamen brauche
?
Welche Infos bräuchte man ggfs. noch direkt aus dem Server bzw. dessen Konfigurationsdaten?
EIgentlich möchte ich erreichen, dass mein Mailserver sich als mail.openlilylib.org ausweisen kann (und nicht mit dem Servernamen). Auch, weil ich versucht habe, über letsencrypt ein Zertifikat zu erzeugen, und für startdedicated.de schon zuviele ausgestellt worden sind.
Vielen Dank im voraus für jede Anregung.
Urs
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Fri, Mar 03, 2017 at 07:07:45PM +0100, Urs Liska wrote:
LIebe Leute,
da ich gerade wieder auf diese Liste gestoßen wurde und auf Uwes Hinweis damit begonnen habe, endlich meinen Server und dessen Zertifikate wieder einmal ein bisschen in Ordnung zu bringen, möchte ich mich über ein Problem mit meiner Mailserver-Konfiguration ausheulen :-(
Eigentlich schien immer alles richtig zu laufen, aber seit einiger Zeit akzeptieren eine Reihe von Mailservern keine Mails mehr von mir (und meinen Eltern, die auch dranhängen - zum Glück habe ich keine zahlenden Kunden ...). Offenbar betrachten zwei Gruppen von Servern meinen Server als Spam-Versender o.ä. Konkret geht es einerseits um alle an Microsoft hängenden Dienste (wie outlook.com, hotmail.com etc.), andererseits um web.de und GMX.
Meine bisherigen Recherchen deuten darauf hin, dass mein Mailserver irgendwie missverständliche Auskunft über sich erteilt. Ich weiß jetzt nicht, ob ich das mit Anpassung der Einstellungen hinbekomme, oder ob ich meinen Provider um eine neue IP und einen neuen Hostnamen bitten soll.
Ich habe den (unbestätigten) Verdacht, dass die outlook-Bande DKIM [1] und/oder SPF [2] will (ich habe das auch nicht und muss derzeit Outlookies darum bitten, mir zuerst eine Mail zu schicken: dann klappt es).
Ein Unterschied ist allerdings, dass ich gar kein Bounce bekomme, sondern dass die Mail still herunterfällt.
Irgendwann werde ich mich daran versuchen. Im Netz schwimmen Anleitungen herum, wie man das macht und auch überprüfen kann.
In beiden Schemata veröffentlichst Du im DNS ein Schnipselchen Information anhand dessen der empfangende SMTP sich vergewissern kan, dass die Mail irgendwie "OK" ist.
Ich weiss natürlich nicht sicher, ob es das ist.
lg
[1] https://en.wikipedia.org/wiki/DKIM [2] https://en.wikipedia.org/wiki/Sender_Policy_Framework
- -- tomás
Hallo Tomás,
eine anonyme Quelle hat mich auch schon in Richtung SPF Record geschubst.
Ich habe mir das einmal näher angesehen (z.B. http://serverfault.com/questions/369460/what-are-spf-records-and-how-do-i-co...), bin aber nach wie vor unsicher.
In meiner Nameserver-Verwaltung kann ich mit folgenden Feldern einen DNS-Eintrag hinzufügen:
Subdomain Typ [A|CNAME|MX|NS|SRV|TXT] (Pflichtfeld) Priorität Ziel (Pflichtfeld)
Ich würde jetzt *denken*, dass ich für Subdomain entweder nichts oder "*" eintrage, Typ TXT, Priorität nichts und Ziel "v=spf1 -all"
Was ich dabei nicht verstehe, ist: Der SPF-Record soll angeben, welche IPs/Hosts berechtigt sind, unter der Domain Emails zu versenden. Dabei solle (bei Verwendung von -all) die Liste unbedingt vollständig sein. Eine solche Liste taucht in diesem Datensatz aber doch gar nicht auf.
Das zweite, was ich nicht verstehe ist, dass ich insgesamt sieben Domains habe, von denen aus Emails verschickt werden. Der Benutzer verbindet sich mit Dovecot, das die Mails über Postfix ins Internet verschickt. Ich glaube, in Postfix ist angegeben, welche Absenderadressen von Dovecot kommen können. Aber Postfix selbst hat ja nur eine Domain (im Moment ist da der Servername eingetragen, früher war das mail.openlilylib.org). Die Frage ist: Alle Mails von den 7 Domains laufen über den einen Postfix. Müsste der SPF dann eben nicht alle diese Domains irgendwie auflisten? Oder geht es darum, dass alle Mails von dem einen Server verschickt werden, also der IP?
Und: Muss ich diesen SPF bei der Domain eintragen, unter der sich Postfix ausgibt, oder bei jeder einzelnen (was vielleicht die vorige Frage beantworten würde)?
Urs
Am 03.03.2017 um 21:27 schrieb tomas@tuxteam.de:
On Fri, Mar 03, 2017 at 07:07:45PM +0100, Urs Liska wrote:
LIebe Leute,
da ich gerade wieder auf diese Liste gestoßen wurde und auf Uwes Hinweis damit begonnen habe, endlich meinen Server und dessen Zertifikate wieder einmal ein bisschen in Ordnung zu bringen, möchte ich mich über ein Problem mit meiner Mailserver-Konfiguration ausheulen :-(
Eigentlich schien immer alles richtig zu laufen, aber seit einiger Zeit akzeptieren eine Reihe von Mailservern keine Mails mehr von mir (und meinen Eltern, die auch dranhängen - zum Glück habe ich keine zahlenden Kunden ...). Offenbar betrachten zwei Gruppen von Servern meinen Server als Spam-Versender o.ä. Konkret geht es einerseits um alle an Microsoft hängenden Dienste (wie outlook.com, hotmail.com etc.), andererseits um web.de und GMX.
Meine bisherigen Recherchen deuten darauf hin, dass mein Mailserver irgendwie missverständliche Auskunft über sich erteilt. Ich weiß jetzt nicht, ob ich das mit Anpassung der Einstellungen hinbekomme, oder ob ich meinen Provider um eine neue IP und einen neuen Hostnamen bitten
soll.
Ich habe den (unbestätigten) Verdacht, dass die outlook-Bande DKIM [1] und/oder SPF [2] will (ich habe das auch nicht und muss derzeit Outlookies darum bitten, mir zuerst eine Mail zu schicken: dann klappt es).
Ein Unterschied ist allerdings, dass ich gar kein Bounce bekomme, sondern dass die Mail still herunterfällt.
Irgendwann werde ich mich daran versuchen. Im Netz schwimmen Anleitungen herum, wie man das macht und auch überprüfen kann.
In beiden Schemata veröffentlichst Du im DNS ein Schnipselchen Information anhand dessen der empfangende SMTP sich vergewissern kan, dass die Mail irgendwie "OK" ist.
Ich weiss natürlich nicht sicher, ob es das ist.
lg
[1] https://en.wikipedia.org/wiki/DKIM [2] https://en.wikipedia.org/wiki/Sender_Policy_Framework
-- tomás _______________________________________________ > Freiburger Linux User Group > Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen):
https://lug-freiburg.de/mailman/listinfo/flug
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Fri, Mar 03, 2017 at 09:36:37PM +0100, Urs Liska wrote:
Hallo Tomás,
eine anonyme Quelle hat mich auch schon in Richtung SPF Record geschubst.
Ich habe mir das einmal näher angesehen (z.B. http://serverfault.com/questions/369460/what-are-spf-records-and-how-do-i-co...), bin aber nach wie vor unsicher.
Hm. Ich schaue mir das morgen an (ich muss das ja auch irgendwann können). Wenn mir niemand zuvorkommt melde ich mich dann
lg - -- tomás
Am 03.03.2017 um 21:54 schrieb tomas@tuxteam.de:
On Fri, Mar 03, 2017 at 09:36:37PM +0100, Urs Liska wrote:
Hallo Tomás,
eine anonyme Quelle hat mich auch schon in Richtung SPF Record
geschubst.
Ich habe mir das einmal näher angesehen (z.B.
http://serverfault.com/questions/369460/what-are-spf-records-and-how-do-i-co...),
bin aber nach wie vor unsicher.
Hm. Ich schaue mir das morgen an (ich muss das ja auch irgendwann können). Wenn mir niemand zuvorkommt melde ich mich dann
Ich habe mir nun auch http://www.openspf.org/FAQ/Common_mistakes durchgelesen und versuche es mal damit,
v=spf1 ip4:85.25.93.165 -all
für eine Domain einzutragen. Es geht nur um den Server, der zuletzt die Mail ins Netz rausschickt, und das ist bei mir immer diese IP. Die Mail-Clients mussten sich ja vorher schon per SMTP bei Dovecot authentifizieren, und unabhängig von den Domains sendet immer diese IP-Adresse. Und wenn ich es jetzt richtig verstanden habe, heißt das auch, dass ich eingetragen habe, dass Mail für Absender von *dieser* Domain, von *diesem* Server kommen muss.
Ich werde es morgen mal versuchen, eine Mail zu schicken (damit der DNS-Eintrag auch öffentlich ist). Leider kann ich mir vorstellen, dass es zwar *eigentlich* richtig ist, aber trotzdem nicht funktioniert, weil die IP schon auf einer Blacklist steht.
Falls es aber *doch* funktionieren sollte (zumindest bei einer der beiden Fehlermöglichkeiten), müsste ich den entsprechenden SPF-Record wohl bei allen Domains nachtragen.
Mal sehen ...
Herzliche Grüße Urs
lg -- tomás _______________________________________________ > Freiburger Linux User Group > Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen):
https://lug-freiburg.de/mailman/listinfo/flug
Am Freitag, 03. März 2017 22:05 CET, Urs Liska ul@openlilylib.org schrieb:
Ich habe mir nun auch http://www.openspf.org/FAQ/Common_mistakes durchgelesen und versuche es mal damit,
v=spf1 ip4:85.25.93.165 -all
für eine Domain einzutragen. Es geht nur um den Server, der zuletzt die Mail ins Netz rausschickt, und das ist bei mir immer diese IP. Die Mail-Clients mussten sich ja vorher schon per SMTP bei Dovecot authentifizieren, und unabhängig von den Domains sendet immer diese IP-Adresse. Und wenn ich es jetzt richtig verstanden habe, heißt das auch, dass ich eingetragen habe, dass Mail für Absender von *dieser* Domain, von *diesem* Server kommen muss.
Ich werde es morgen mal versuchen, eine Mail zu schicken (damit der DNS-Eintrag auch öffentlich ist). Leider kann ich mir vorstellen, dass es zwar *eigentlich* richtig ist, aber trotzdem nicht funktioniert, weil die IP schon auf einer Blacklist steht.
Falls es aber *doch* funktionieren sollte (zumindest bei einer der beiden Fehlermöglichkeiten), müsste ich den entsprechenden SPF-Record wohl bei allen Domains nachtragen.
Mal sehen ...
Zumindest bekommst Du jetzt hier:
grünes Licht. Eig. sollte jetzt jeder Mailserver mit Deinem glücklich sein.
Gruss RalfD
Herzliche Grüße Urs
lg -- tomás _______________________________________________ > Freiburger Linux User Group > Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen):
https://lug-freiburg.de/mailman/listinfo/flug
-- ul@openlilylib.org https://openlilylib.org http://lilypondblog.org
Am Freitag, 03. März 2017 21:27 CET, tomas@tuxteam.de schrieb:
Ich habe den (unbestätigten) Verdacht, dass die outlook-Bande DKIM [1] und/oder SPF [2] will (ich habe das auch nicht und muss derzeit Outlookies darum bitten, mir zuerst eine Mail zu schicken: dann klappt es).
Hmm - die Fehlermeldung der beiden Server sieht aber nicht ganz danach aus.
Ein Unterschied ist allerdings, dass ich gar kein Bounce bekomme, sondern dass die Mail still herunterfällt.
Das hat Microsoft ja auch mit uns (MH) gemacht - was natürlich nach deutscher Rechsprechung vollkommen illegal ist.
Irgendwann werde ich mich daran versuchen. Im Netz schwimmen Anleitungen herum, wie man das macht und auch überprüfen kann.
In beiden Schemata veröffentlichst Du im DNS ein Schnipselchen Information anhand dessen der empfangende SMTP sich vergewissern kan, dass die Mail irgendwie "OK" ist.
Wenn ich mich recht entsinne dann kann man Deinen DNS befragen welcher Mailserver überhaupt Mails von Deiner Domain versenden darf. Das ist eine _ziemlich_ sinnvolle Erweiterung mit der man elegant eine grosse Menge Spam verhindern kann.
Ich weiss natürlich nicht sicher, ob es das ist.
Es kann zumindest sein dass Mailserver bei korrektem SPF Eintrag Mails von Rechnern aus geblockten Bereichen annehmen.
Gruss RalfD
lg
[1] https://en.wikipedia.org/wiki/DKIM [2] https://en.wikipedia.org/wiki/Sender_Policy_Framework
- -- tomás
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)
iEYEARECAAYFAli50cYACgkQBcgs9XrR2kZoggCfRnHXva91ctDUubd0aCdUAeu0 7yEAn09CEmHx4Hg1pnyfNTfoysyoZTJw =uFSH -----END PGP SIGNATURE----- _______________________________________________ Freiburger Linux User Group Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
On 03/03/2017 10:21 PM, Ralf Mattes wrote:
Am Freitag, 03. März 2017 21:27 CET, tomas@tuxteam.de schrieb:
Ich habe den (unbestätigten) Verdacht, dass die outlook-Bande DKIM [1] und/oder SPF [2] will (ich habe das auch nicht und muss derzeit Outlookies darum bitten, mir zuerst eine Mail zu schicken: dann klappt es).
Hmm - die Fehlermeldung der beiden Server sieht aber nicht ganz danach aus.
Ein Unterschied ist allerdings, dass ich gar kein Bounce bekomme, sondern dass die Mail still herunterfällt.
Das hat Microsoft ja auch mit uns (MH) gemacht - was natürlich nach deutscher Rechsprechung vollkommen illegal ist.
Irgendwann werde ich mich daran versuchen. Im Netz schwimmen Anleitungen herum, wie man das macht und auch überprüfen kann.
In beiden Schemata veröffentlichst Du im DNS ein Schnipselchen Information anhand dessen der empfangende SMTP sich vergewissern kan, dass die Mail irgendwie "OK" ist.
Wenn ich mich recht entsinne dann kann man Deinen DNS befragen welcher Mailserver überhaupt Mails von Deiner Domain versenden darf. Das ist eine _ziemlich_ sinnvolle Erweiterung mit der man elegant eine grosse Menge Spam verhindern kann.
TL;DR: SPF ist eine prima Idee, aber nicht ohne Tücken
Leider gibt es auch false-positives in Verbindung mit Mailforwards. Wenn ich alle Mail, die ich für meine Adresse
uwe@einemaildomain.de
erhalte, weiterleite an
uwe@gmx.de
, und mir dann ralf@spf-enabled-domain.de eine Mail an uwe@einemaildomain.de schickt, resultiert das in eine Mail, die der MX von einemaildomain.de im Namen von ralf@spf-enabled-domain.de an den MX von gmx.de schickt. GMX schaut jetzt den SPF-Record von spf-enabled-domain.de nach und sieht, dass der MX von einemaildomain.de diese Mail garnicht senden darf und wirft sie weg (oder bounct sie).
Das heißt, wenn Du SPF für Deine Domain verwendest, sind Deine ausgehenden Mails nicht ohne (ebenfalls umstrittenen) Zusatzmechanismus (SRS) auf anderen Servern weiterleitbar.
Weiterhin könnte man es auch als Feature betrachten, dass ich einen Absender auf eine Mail kleben kann, für den mein Ausgangsserver nicht zuständig ist. Z.B. bieten manche Mail-Provider keinen Plattenplatz für die Mails, sondern leiten immer weiter (z.B. @debian.org). Dann kommen meine Mails also auf einem System an, das (vermutlich) nicht für diese Domain zuständig ist. Wenn ich auf diese Mail antworte, will ich trotzdem ein From: ...@debian.org in der Mail haben. Das ginge auch nicht, wenn debian.org einen SPF-Eintrag hätte.
Das hat mich bisher überzeugt, dass ich kein SPF haben will.
Liebe Grüße Uwe
Hallo Urs.
Am 03.03.2017 um 19:07 schrieb Urs Liska:
da ich gerade wieder auf diese Liste gestoßen wurde und auf Uwes Hinweis damit begonnen habe, endlich meinen Server und dessen Zertifikate wieder einmal ein bisschen in Ordnung zu bringen, möchte ich mich über ein Problem mit meiner Mailserver-Konfiguration ausheulen :-(
Mail wird heutzutage - _meiner_ Meinung nach - hauptsächlich von zwei Gruppen von Verursachern kaputt gemacht:
Auf Platz 1 stehen die Spam-, Viren- und Trojaner-Versender.
Auf Platz 2 (ganz dicht hinter 1) stehen die, die aufgrund absurdester und nicht transparenter oder nachvollziehbarer Kriterien einfach so viele Mails wie möglich ablehnen, weil: Wenn keine Mail durch kommt, dann kann auch kein Spam durchkommen.
Und dann gibt es noch die, die aufgrund nachvollziehbarer Kriterien versuchen, Spam fern zu halten und dabei mehr oder weniger massiv Kollateralschaden verursachen.
seit einiger Zeit akzeptieren eine Reihe von Mailservern keine Mails mehr von mir [...]
[...]
Die MS-Server schicken Mails sofort zurück, mit folgender Meldung:
host mx1.hotmail.com[104.44.194.232] said: 550 SC-001 (SNT004-MC6F5) Unfortunately, messages from 85.25.93.165 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command)
Microsoft hat beschlossen, dass Du, Dein Provider oder einzelne IP-Bereiche von Deinem Provider böse sind. Wenn die nicht denken, dass Du böse bist, dann muss Dein Provider bei Microsoft tätig werden, um ihre IP-Adressen von deren Liste böser IP-Adressen runter zu bekommen.
Schau mal auf der angegebenen URL bei "550 SC-001" http://mail.live.com/mail/troubleshooting.aspx#errors
Ich mache schon länger nicht mehr richtig aktiv Mail, aber nach meinem Umfeld gehört Microsoft zu der Kategorie auf Platz 2 von oben.
Web.de und Co. schicken die Mail leider erst nach fünf Tagen zurück (so dass ich es erstmal gar nicht merke) und kommentieren so:
host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx108) Nemesis ESMTP Service not available 554-No SMTP service 554-Bad DNS PTR resource record. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=85.25.93.165&c=rdns
Du willst eine Mail an GMX schicken. Das läuft dann hier vereinfacht (vermutlich!) so:
Dein Server: "Hallo. Mein Name ist mail.openlilylib.org. Ich würde gerne eine Mail zustellen."
GMX: "Guten Tag, 85.25.93.165. Wir schauen grade mal nach, ob Sie wirklich mail.openlilylib.org sind."
$ host 85.25.93.165 165.93.25.85.in-addr.arpa domain name pointer orion2208.startdedicated.de.
GMX: "Sie sind ja gar nicht mail.openlilylib.org!!! So nehmen wir aber keine Mail von Ihnen an! Aber wir wollen mal nicht so sein, versuchen Sie's später nochmal. Vielleicht bekommen Sie das ja mit ihrem Namen noch hin."
Dein Server: "Ok, ich versuch's dann noch ein paar mal..."
(In den Logfiles müsstest Du dafür einen Eintrag sehen, dass die Mail immer mal wieder mit einem Server-Code 4xx abgelehnt wird. Das wäre zumindest die für mich am meisten Sinn machende Ursache, warum Du 5 Tage warten musst bis zum endgültigen Fehlschlag.)
5 Tage später kommt dann ein Fehler 5xx, das ist ein permanenter Fehler, der nicht durch nochmal probieren behoben werden kann.
Schau mal bei der angegebenen URL nach "5xy Bad DNS PTR resource record" http://postmaster.gmx.com/en/error-messages?ip=85.25.93.165&c=rdns
Reverse-DNS-Einstellung ist: Servername: orion2208 (kann ich nicht ändern) Alias: -- IP: 85.25.93.165 IP-Typ: Haupt Reverse: orion2208.startdedicated.de (das ist der einzige Eintrag, den ich ändern kann).
Ich würde versuchen rauszufinden, mit was sich Dein Mailserver bei seinen Gegenstellen meldet und dann a) den reverse DNS Eintrag auf diesen Namen ändern oder b) dafür sorgen, dass sich Dein Server mit orion2208.startdedicated.de meldet oder c) beide Angaben ändern.
Wisst ihr,
- wie diese Einträge zusammenspielen sollen, damit die genannten Abweisungen nicht mehr getriggert werden,
Du solltest "Hallo" mit dem Namen sagen, auf den auch Deine IP-Adresse zeigt.
- An welchen Stellen ich entsprechende Anpassungen in Postfix und Dovecot machen muss und
Ist eine Postfix Sache. Aber ich bin mit Exim als Mailserver gross geworden und schon lange nicht mehr richtig aktiv im Mail-Setup.
- ob ich - damit es überhaupt einen Sinn gibt - neue IP und Servernamen brauche
Um den reverse DNS würde ich mich kümmern. Das macht Sinn. Wegen Microsoft müsstest Du den Provider wechseln, bei dem Dein Server steht. Und dann beten, dass Microsot nicht beschliesst, dass der auch böse ist. (Vermutlich wollen sie, dass Du völlig verzweifelt ein Mail-Konto bei Microsoft buchst.)
Mein _persönliches_ (resignierendes) Fazit ist, dass ich nach weit über 10 Jahren eigener Mail-Server vermutlich wirklich zu Google Mail schwenken werde. Google gehört zwar an sich und genau genommen auch in die Kategorie von Microsoft, aber - so meine Theorie - die großen Mail-Provider kommen an Google nicht vorbei und bekommen Magengeschwüre beim Versuch, Mails an Google auszuliefern. Kleine wie Du und ich haben einfach verloren.
Achja: Es gibt auch Spam-Listen, auf denen Du - warum auch immer - mit Deiner IP landen kannst. Da kannst Du Dich dann gegen eine Gebür von 50 Dollar entfernen lassen. Seriös? Nö. Aber Du bist es ja, der Mail an jemand schicken will, der es für eine tolle Idee hält, diese Liste zu verwenden...
Tschüß, Sebastian
Hallo,
On Fri, Mar 03, 2017 at 07:07:45PM +0100, Urs Liska wrote:
Meine bisherigen Recherchen deuten darauf hin, dass mein Mailserver irgendwie missverständliche Auskunft über sich erteilt. Ich weiß jetzt nicht, ob ich das mit Anpassung der Einstellungen hinbekomme, oder ob ich meinen Provider um eine neue IP und einen neuen Hostnamen bitten soll.
GMX sagt, Du hast ein Problem mit dem PTR RR:
host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx108) Nemesis ESMTP Service not available 554-No SMTP service 554-Bad DNS PTR resource record. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=85.25.93.165&c=rdns
Da steht:
Emails from your email server were rejected because the PTR Resource Record (PTR-RR) of your IP address does not follow our guidelines. Possible reasons for this can be:
- The PTR-RR states that the IP address was dynamically allocated. - The PTR-RR is a generic standard entry of your provider. Please allocate an independent and fully qualified domain name (Fully Qualified Domain Name - FQDN) to your email server and enter the corresponding valid PTR-RR. - Individual rejection of the PTR-RR for system protection reasons. Please contact the administrator of your system who should then contact us.
Der erste Punkt ist etwas schwammig. Wann ist eine IP "dynamically allocated"? http://www.sorbs.net/lookup.shtml hat eine Liste, da gibt es für Deine IP einen alten Eintrag ("historical listing"):
4 "DUHL" entries [11:46:47 29 Nov 2006 GMT+00]
"DUHL" = Dynamically Allocated hosts/networks (your IP is not fixed - even if you have kept the IP for over a year)
Was das bedeutet weiss ich nicht genau, und wie gmx (falls es sorbs.net verwendet) das interpretiert noch weniger. Wenn das das Problem ist -> http://www.sorbs.net/faq/dul.shtml
Der zweite Punkt ist ebenfalls etwas schwammig. Keine Ahnung woher man da eine Bestimmung (oder Heuristik) bekommt. Aber orion2208.startdedicated.de könnte da schon reinfallen. Ich habe an der Stelle
arcturus.kleine-koenig.org
stehen, das ist auch was mein Mailserver als EHLO schickt (Postfix: myhostname = arcturus.kleine-koenig.org) und hatte bisher noch keine Probleme mit Zustellung an gmx (ausser per alias, siehe die SPF-Diskussion). (Aber ich schicke auch nicht viele Mails an gmx, eine Testmail ging jetzt eben aber glatt durch:
Received: from arcturus.kleine-koenig.org ([78.47.169.190]) by mx-ha.gmx.net (mxgmx101 [212.227.17.4]) with ESMTPS (Nemesis) id 0M3hwT-1cSkhB0ZsX-00rFoy for <$meine-gmx-adresse>; Sat, 04 Mar 2017 13:47:08 +0100 Received: by arcturus.kleine-koenig.org (Postfix, from userid 1000) id C971510A3EF; Sat, 4 Mar 2017 13:47:07 +0100 (CET) )
Reverse-DNS-Einstellung ist: Servername: orion2208 (kann ich nicht ändern) Alias: -- IP: 85.25.93.165 IP-Typ: Haupt Reverse: orion2208.startdedicated.de (das ist der einzige Eintrag, den ich ändern kann). Hier stand früher mal mail.openlilylib.org. Die Änderung hatte ich durchgeführt, in der Hoffnung, das Problem zu beheben (weil der Reverse-Eintrag auf den Servernamen zeigen solle).
und vermutlich hast Du damit der Problem verschärft.
Die DNS-Einstellungen für eine Domain sind folgendermaßen:
Subdomain Typ Priorität Ziel -- NS ns1.nameserverservice.de -- NS ns2.nameserverservice.de -- A 85.25.93.165 -- MX 10C mail.openlilylib.org
A 85.25.93.165ftp A 85.25.93.165 mail A 85.25.93.165 www A 85.25.93.165
Für die übrigen Domains sieht das entsprechend aus, nur dass der MX-eintrag unterschiedlich ist und jeweils auf mail.DOMAIN.TLD zeigt. Für NS sind auch unterschiedliche Server eingetragen, mit jeweils verschiedenen Ziffern.
Der MX-Eintrag ist an der Stelle egal. Der wird nur für den Mail-Empfang verwendet, nicht für den Versand.
Ich *denke*, das Problem liegt irgendwo zwischen der MX-Einstellung, der IP-Adresse und dem Revers-DNS-Eintrag.
Wisst ihr,
- wie diese Einträge zusammenspielen sollen, damit die genannten Abweisungen nicht mehr getriggert werden,
postfix's myhostname muss zu $(host -t PTR 85.25.93.165) passen.
- An welchen Stellen ich entsprechende Anpassungen in Postfix und Dovecot machen muss und
dovecot verschickt keine Mails, oder?
- ob ich - damit es überhaupt einen Sinn gibt - neue IP und Servernamen brauche
?
Ich würde erst mal probieren einen eigenen Domainnamen statt orion2208.startdedicated.de zu verwenden.
Hier ist noch ein Testcase:
uwe@zuhause$ telnet mx01.emig.gmx.net 25 Trying 212.227.17.5... Connected to mx01.emig.gmx.net. Escape character is '^]'. 554-gmx.net (mxgmx102) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=46.5.176.45&c=bl
uwe@arcturus$ telnet mx01.emig.gmx.net 25 Trying 212.227.17.5... Connected to mx01.emig.gmx.net. Escape character is '^]'. 220 gmx.net (mxgmx111) Nemesis ESMTP Service ready EHLO arcturus.kleine-koenig.org 250-gmx.net Hello arcturus.kleine-koenig.org [78.47.169.190] 250-SIZE 157286400 250 STARTTLS MAIL FROM: $meine-kleine-koenig.org-adresse 250 Requested mail action okay, completed RCPT TO: irgendwer@gmx.de 250 OK
("MAIL FROM" und "RCPT TO" habe ich getippt. Man muss das relativ flott machen, sonst läuft man in ein Timeout.)
Wie sieht das von Deinem Root-Server aus?
Liebe Grüße Uwe
Hallo Leute,
ich wollte mich ja heute eingehender mit der Sache befassen, muss aber zur Vermeidung eines Familiendramas mit auf die Piste :-(
Mal schaun, ob ich heute Abend noch klar genug denken kann ...
Gruß Urs
Am 4. März 2017 14:12:12 MEZ schrieb "Uwe Kleine-König" uwe@kleine-koenig.org:
Hallo,
On Fri, Mar 03, 2017 at 07:07:45PM +0100, Urs Liska wrote:
Meine bisherigen Recherchen deuten darauf hin, dass mein Mailserver irgendwie missverständliche Auskunft über sich erteilt. Ich weiß
jetzt
nicht, ob ich das mit Anpassung der Einstellungen hinbekomme, oder ob ich meinen Provider um eine neue IP und einen neuen Hostnamen bitten
soll.
GMX sagt, Du hast ein Problem mit dem PTR RR:
host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx108) Nemesis ESMTP Service not available
554-No SMTP
service 554-Bad DNS PTR resource record. 554 For explanationvisit
http://postmaster.gmx.com/en/error-messages?ip=85.25.93.165&c=rdns
Da steht:
Emails from your email server were rejected because the PTR Resource Record (PTR-RR) of your IP address does not follow our guidelines. Possible reasons for this can be:
- The PTR-RR states that the IP address was dynamically allocated.
- The PTR-RR is a generic standard entry of your provider. Please allocate an independent and fully qualified domain name (Fully Qualified Domain Name - FQDN) to your email server and enter the corresponding valid PTR-RR.
- Individual rejection of the PTR-RR for system protection reasons. Please contact the administrator of your system who should then contact us.
Der erste Punkt ist etwas schwammig. Wann ist eine IP "dynamically allocated"? http://www.sorbs.net/lookup.shtml hat eine Liste, da gibt es für Deine IP einen alten Eintrag ("historical listing"):
4 "DUHL" entries [11:46:47 29 Nov 2006 GMT+00]
"DUHL" = Dynamically Allocated hosts/networks (your IP is not fixed - even if you have kept the IP for over a year)
Was das bedeutet weiss ich nicht genau, und wie gmx (falls es sorbs.net verwendet) das interpretiert noch weniger. Wenn das das Problem ist -> http://www.sorbs.net/faq/dul.shtml
Der zweite Punkt ist ebenfalls etwas schwammig. Keine Ahnung woher man da eine Bestimmung (oder Heuristik) bekommt. Aber orion2208.startdedicated.de könnte da schon reinfallen. Ich habe an der Stelle
arcturus.kleine-koenig.org
stehen, das ist auch was mein Mailserver als EHLO schickt (Postfix: myhostname = arcturus.kleine-koenig.org) und hatte bisher noch keine Probleme mit Zustellung an gmx (ausser per alias, siehe die SPF-Diskussion). (Aber ich schicke auch nicht viele Mails an gmx, eine Testmail ging jetzt eben aber glatt durch:
Received: from arcturus.kleine-koenig.org ([78.47.169.190]) by mx-ha.gmx.net (mxgmx101 [212.227.17.4]) with ESMTPS (Nemesis) id 0M3hwT-1cSkhB0ZsX-00rFoy for <$meine-gmx-adresse>; Sat, 04 Mar 2017 13:47:08 +0100 Received: by arcturus.kleine-koenig.org (Postfix, from userid 1000) id C971510A3EF; Sat, 4 Mar 2017 13:47:07 +0100 (CET) )
Reverse-DNS-Einstellung ist: Servername: orion2208 (kann ich nicht ändern) Alias: -- IP: 85.25.93.165 IP-Typ: Haupt Reverse: orion2208.startdedicated.de (das ist der einzige Eintrag,
den
ich ändern kann). Hier stand früher mal mail.openlilylib.org. Die Änderung hatte ich durchgeführt, in der Hoffnung, das Problem zu
beheben
(weil der Reverse-Eintrag auf den Servernamen zeigen solle).
und vermutlich hast Du damit der Problem verschärft.
Die DNS-Einstellungen für eine Domain sind folgendermaßen:
Subdomain Typ Priorität Ziel -- NS ns1.nameserverservice.de -- NS ns2.nameserverservice.de -- A 85.25.93.165 -- MX 10C mail.openlilylib.org
A 85.25.93.165ftp A 85.25.93.165 mail A 85.25.93.165 www A 85.25.93.165
Für die übrigen Domains sieht das entsprechend aus, nur dass der MX-eintrag unterschiedlich ist und jeweils auf mail.DOMAIN.TLD zeigt. Für NS sind auch unterschiedliche Server eingetragen, mit jeweils verschiedenen Ziffern.
Der MX-Eintrag ist an der Stelle egal. Der wird nur für den Mail-Empfang verwendet, nicht für den Versand.
Ich *denke*, das Problem liegt irgendwo zwischen der MX-Einstellung,
der
IP-Adresse und dem Revers-DNS-Eintrag.
Wisst ihr,
- wie diese Einträge zusammenspielen sollen, damit die genannten Abweisungen nicht mehr getriggert werden,
postfix's myhostname muss zu $(host -t PTR 85.25.93.165) passen.
- An welchen Stellen ich entsprechende Anpassungen in Postfix und Dovecot machen muss und
dovecot verschickt keine Mails, oder?
- ob ich - damit es überhaupt einen Sinn gibt - neue IP und Servernamen brauche
?
Ich würde erst mal probieren einen eigenen Domainnamen statt orion2208.startdedicated.de zu verwenden.
Hier ist noch ein Testcase:
uwe@zuhause$ telnet mx01.emig.gmx.net 25 Trying 212.227.17.5... Connected to mx01.emig.gmx.net. Escape character is '^]'. 554-gmx.net (mxgmx102) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=46.5.176.45&c=bl
uwe@arcturus$ telnet mx01.emig.gmx.net 25 Trying 212.227.17.5... Connected to mx01.emig.gmx.net. Escape character is '^]'. 220 gmx.net (mxgmx111) Nemesis ESMTP Service ready EHLO arcturus.kleine-koenig.org 250-gmx.net Hello arcturus.kleine-koenig.org [78.47.169.190] 250-SIZE 157286400 250 STARTTLS MAIL FROM: $meine-kleine-koenig.org-adresse 250 Requested mail action okay, completed RCPT TO: irgendwer@gmx.de 250 OK
("MAIL FROM" und "RCPT TO" habe ich getippt. Man muss das relativ flott machen, sonst läuft man in ein Timeout.)
Wie sieht das von Deinem Root-Server aus?
Liebe Grüße Uwe
Hallo Urs,
On 03/05/2017 11:34 AM, Urs Liska wrote:
ich wollte mich ja heute eingehender mit der Sache befassen, muss aber zur Vermeidung eines Familiendramas mit auf die Piste :-(
Keine E-Mails verschicken zu können kann auch leicht ein Familiendrama auslösen :-)
Mal schaun, ob ich heute Abend noch klar genug denken kann ...
Ich glaube es ist nicht mit dem ursprünglich beschriebenen Problem in Verbindung zu bringen, aber mein Thunderbird sagt "This message may be scam" zu der Mail, auf die ich gerade antworte. Ich vermute das liegt aber daran, dass Dein MUA aus allem was auflösbar aussieht einen Link gemacht hat.
Liebe Grüße Uwe
-
Ralf Mattes -
Ralf Mattes -
Sebastian Inacker -
tomas@tuxteam.de -
Urs Liska -
Uwe Kleine-König