westberliner
Goto Top

Auf Mailblacklist gelandet - was kann ich tun

Hallo Zusammen,

unsere externe IP über welche wir Mails versenden, ist bei http://rbldns.ru auf der Blacklist gelandet - warum auch immer. Fiel mir nach zwei Tagen auf, als wir zu einem großen Kunden keine Mails senden konnten.

Ich habe dort ein Ticket zur Entfernung eröffnet, das wurde auch geprüft und wir sind dort nicht mehr aufgeführt, soweit ok.

Das ist nun fast zwei Wochen her, aber wir können immer noch an den Kunden keine Mails senden, diese werden direkt mit unzustellbar abgewiesen.

Remote Server returned '554 5.0.0 <mr3.customerdomain.de #5.0.0 smtp; 550-spam detected. transport denied.   

Ticket ist ebenalls in der IT von denen offen, aber die sind da wohl sehr langsam....
Teilweise gehen auch Emails zu anderen Kunden/Partnern/Dienstleistern in den Spam, was nicht sehr vorteilhaft ist.


Habe ich noch irgendeine Möglichkeit, hier einzugreifen? Ich dachte, dass solche Systeme sich nach spätestens einer Woche wieder eingependelt haben.

Content-ID: 1528470870

Url: https://administrator.de/forum/auf-mailblacklist-gelandet-was-kann-ich-tun-1528470870.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

StefanKittel
StefanKittel 19.11.2021 um 08:55:05 Uhr
Goto Top
Moin,

schau mal zuerst ob Deine Mail ggf. woanders auch auf einer BL steht.
https://mxtoolbox.com/blacklists.aspx

Auch kann es natürlich sein, dass Euer Mailserver neue "Freunde" hat die an jede Mail etwas anhängen.
Oder dass Ihr wichtige Themen wie SPF nicht oder falsch umgesetzt habt.

Stefan
commodity
commodity 19.11.2021 um 09:13:57 Uhr
Goto Top
Auch Moin,

das hier sagt doch schon fast alles:
warum auch immer
Du musst zu allererst die Ursache klären bzw zu 100 Pro ausschließen, dass Euer Server / einzelne Konten nicht weiter für Spam missbraucht werden. Ansonsten bist Du schneller wieder auf der Blacklist, als Du runter kannst.
Also ran an die Logs und die Ursache klären, sonst wird das eine never ending story.

Viele Grüße, commodity
NordicMike
NordicMike 19.11.2021 um 09:16:39 Uhr
Goto Top
Du hast zwei Richtungen:

1) Schauen, dass der Mailserver alle Richtlinien einhält und sauber ist und bei allen Spamlisten ein Ticket eröffnest.

2) Du sendest alle Emails nicht direkt an die Empfänger, sondern an einen Smarthost deines Providers, dann kümmert dieser sich, dass seine Mailserver immer sauber sind. Dafür reicht schon ein kleines EMail Paket, bei Hetzner zahle ist 2-3 Euro/Monat dafür.
Doskias
Doskias 19.11.2021 um 09:20:06 Uhr
Goto Top
Moin,

Zitat von @westberliner:
Remote Server returned '554 5.0.0 <mr3.customerdomain.de #5.0.0 smtp; 550-spam detected. transport denied.   
> 

Das heißt aber nicht, dass du noch auf der Blacklist stehst. Das heißt nur, dass der empfangende Server die Mail als Spam identifiziert hat. Das kann verschiedene Gründe haben und vielleicht solltest du mal mit dem Empfänger Kontakt aufnehmen um das zu klären. Wir haben auch ab und zu den Fall, dass wir Mails vom Kunden (echte Mails) als Spam ablehnen. Grund dafür sind bei uns ganz einfach Prüfungen des Mail Servers. Einfaches Beispiel:
Der Kunde bestellt in 5 Aufträgen bei uns, was in 5 Mails resultiert. Alle 5 Mails schickt er nun über eine Software, die diese Mails generiert. Es kommen also 5 Mails, die den identischen Text und fast den identischen Anhang haben bei uns an. Dann wird es aber noch schlimmer. Der Kunde hat die Domain Kunde.de und hat dies auch als Sende-Adresse angegeben, das Bestellsystem sendet aber als Mutterkonzern.com. Dann erkennt die Detection, dass die "echte" Absende-Adresse nicht die sichtbare Absendeadresse ist. Dazu kommt dann noch, dass in der Signatur als Website Kunde.de einen Link auf Kunde.com hat und schon läuft unsere Detection Amok.
Fazit: Die Kombination aus 5 fast identischen Mails im gleichen Zeitraum, kombiniert mit einem Link der nicht dahin geht, was er anzeigt von einer Mail-Adresse die von einem anderen Server kommt als die, die angezeigt wird, führt bei uns dann zur Einordnung als Spam.

Das tolle an der Kombination ist, dass der eine händisch geschrieben Mail durchkommt, so dass uns der Kunde informiert, dass unsere Firewall seine Mail abgelehnt hat. Dann wird ne Ausnahmeregel in der Detection konfiguriert und das Problem ist gelöst face-wink

Also prüfen, was @StefanKittel schon sagt ob du noch irgendwo geblacklisted bist, aber behalte im Hinterkopf, dass nicht jede Spam-Detection automatisch auf einer Blacklist landet.

Gruß
Doskias
westberliner
westberliner 19.11.2021 um 09:51:38 Uhr
Goto Top
Hallo und danke für die zahlreichen antworten:

schau mal zuerst ob Deine Mail ggf. woanders auch auf einer BL steht.
https://mxtoolbox.com/blacklists.aspx

prüfe ich jeden Tag, alles fein.
Erst durch die Seite habe ich die Listung gefunden:
http://mail-blacklist-checker.online-domain-tools.com/


Oder dass Ihr wichtige Themen wie SPF nicht oder falsch umgesetzt habt.
SPF hatte ich letztes Jahr soweit nachgezogen, das sollte korrekt laufen.


Du musst zu allererst die Ursache klären bzw zu 100 Pro ausschließen, dass Euer Server / einzelne Konten nicht weiter für Spam missbraucht werden. Ansonsten bist Du schneller wieder auf der Blacklist, als Du runter kannst.
Also ran an die Logs und die Ursache klären, sonst wird das eine never ending story.

Ich habe mir jetzt als ersten Step in der Sophos (sende direkt über Sophos) mal angeschaut, wann das Problem aufgetaucht ist und habe einen eintrag gefunden, als der User versucht hat eine Unternehmenspräsentation zu senden (vermutlich eine .PPTX)
Dabei wurde zuerst gegreylisted und danach als Spam deklariert.

(nicht wundern, habe die Daten unkenntlich gemacht)

2021-11-03 13:20:21 H=mr1.customer.de [xxx.xxx.xx.75] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Now greylisted - please try again in five minutes.
2021-11-03 13:20:21 H=mr2.customer.de [xxx.xxx.xx.76] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:20:22 H=mr3.customer.de [xxx.xxx.xx.77] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:20:22 H=mr4.customer.de [xxx.xxx.xx.78] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:20:22 customer.customer@customer.de R=dnslookup T=remote_smtp defer (-44) H=mr4.customer.de [xxx.xxx.xx.78]:25: SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:23:01 H=mr2.customer.de [xxx.xxx.xx.76] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:23:01 H=mr1.customer.de [xxx.xxx.xx.75] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:23:01 H=mr3.customer.de [xxx.xxx.xx.77] SMTP error from remote mail server after RCPT TO:customer.customer@customer.de: 451 Still greylisted - please try again in five minutes.
2021-11-03 13:25:08 H=mr4.customer.de [xxx.xxx.xx.78]:25 Connection timed out
2021-11-03 13:25:08 customer.customer@customer.de R=dnslookup T=remote_smtp defer (110): Connection timed out H=mr3.customer.de [xxx.xxx.xx.77]:25
2021-11-03 13:28:03 customer.customer@customer.de P=prvs=09411e09c2=myuser.myuser@mydomain.de R=dnslookup T=remote_smtp H=mr2.customer.de [xxx.xxx.xx.76]:25 X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no: SMTP error from remote mail server after end of data: 550-spam detected. transport denied. CT:Confirmed\n550-SendFromACL:myuser.myuser@mydomain.de\n550-SendFrom:prvs=09411e09c2=myuser.myuser@mydomain.de\n550-HeaderFrom:myuser, myuser\n550-myuser.myuser@mydomain.de  Subject:Unternehmenspr\303\244sentation\n550-mydomain   Recipients:customer.customer@customer.de  SIP:111.222.333.42\n550-GateWay:mailserver.mydomain.de  Connection-ID:20211103122800Z20720mr2.customer.de\n550-Mime-Message-ID:3fc63e46405d4e8fa53138b5eed36cf5@mydomain.de\n550 X-CTCH-RefID:str=0001.0A782F26.61828051.00C9,ss=4,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=4,cld=1,fgs=8

Wir haben seit kurzem auch 3 weitere Domains gekauft und diese in der Signatur aufgeführt, bin mir gerade nicht ganz sicher, ob das nicht zusätzlich mit zusammen spielt.


1) Schauen, dass der Mailserver alle Richtlinien einhält und sauber ist und bei allen Spamlisten ein Ticket eröffnest.

Gibt es irgendwo eine Art Best Practise o.ä. hierfür?

Danke.
beidermachtvongreyscull
beidermachtvongreyscull 19.11.2021 um 09:58:54 Uhr
Goto Top
Zitat von @westberliner:
Hallo Zusammen,
Mahlzeit!

Zitat von @westberliner:
unsere externe IP über welche wir Mails versenden, ist bei http://rbldns.ru auf der Blacklist gelandet - warum auch immer. Fiel mir nach zwei Tagen auf, als wir zu einem großen Kunden keine Mails senden konnten.
Das kommt vor.

Zitat von @westberliner:
Ich habe dort ein Ticket zur Entfernung eröffnet, das wurde auch geprüft und wir sind dort nicht mehr aufgeführt, soweit ok.
Schön.

Zitat von @westberliner:
Das ist nun fast zwei Wochen her, aber wir können immer noch an den Kunden keine Mails senden, diese werden direkt mit unzustellbar abgewiesen.

Remote Server returned '554 5.0.0 <mr3.customerdomain.de #5.0.0 smtp; 550-spam detected. transport denied.   
> 
> 

Ticket ist ebenalls in der IT von denen offen, aber die sind da wohl sehr langsam....
Teilweise gehen auch Emails zu anderen Kunden/Partnern/Dienstleistern in den Spam, was nicht sehr vorteilhaft ist.


Habe ich noch irgendeine Möglichkeit, hier einzugreifen? Ich dachte, dass solche Systeme sich nach spätestens einer Woche wieder eingependelt haben.

Nicht zwingend! Es kommt darauf an, wie nachhaltig Eure Reputation in den Dreck gezogen wurde.

Wir prüfen z.B. gegen 8 RBLs im Internet. Unter anderem alle drei Stufen von uceprotect.net. Entlistung entweder gegen Bares oder 7 Tage warten. Wir weisen in unseren NDRs aber darauf hin, welche Blocklist hier ausschlaggebend war. Wir haben zusätzlich auch unsere internen. Wer es übertreibt und dabei von offiziellen RBLs nicht erfasst wird, gewinnt bei uns eine Dauermitgliedschaft. face-big-smile

Aus Erfahrung kann ich Dir sagen:
Stelle sicher, dass Dein E-Mailserver eine dedizierte offizielle IP ffür sich alleine hat. Das war bei uns anfangs nicht der Fall. Fängt man sich dann ein Virus ein, der einen Trapserver kontaktiert, steht man schnell auf einer Blocklist. face-smile

Gruß
bdmvg
NordicMike
NordicMike 19.11.2021 um 09:59:52 Uhr
Goto Top
Gibt es irgendwo eine Art Best Practise o.ä. hierfür?
Wenn du bei einem Spamlistenanbieter geblacklistet bist, gibt es auch meistens einen Link dafür sich dort zu melden um aus der Liste entfernt zu werden. Auch zeigen sie oft einen Grund für den Spameintrag an und bieten eine Lösung was man alles überprüfen sollte.

SPF hatte ich letztes Jahr soweit nachgezogen, das sollte korrekt laufen
Sollte? Hätte, müsste... "Überprüfen" ist das Zauberwort face-smile
StefanKittel
StefanKittel 19.11.2021 um 10:29:29 Uhr
Goto Top
Hallo,

damit kannst Du SPF und Co mit einer Real-Mail prüfen.
https://www.appmaildev.com/de/spf

Stefan
Lochkartenstanzer
Lochkartenstanzer 19.11.2021 um 10:31:35 Uhr
Goto Top
Zitat von @NordicMike:

2) Du sendest alle Emails nicht direkt an die Empfänger, sondern an einen Smarthost deines Providers, dann kümmert dieser sich, dass seine Mailserver immer sauber sind. Dafür reicht schon ein kleines EMail Paket, bei Hetzner zahle ist 2-3 Euro/Monat dafür.

Da reicht ein kleiner vserver, den man als smarhost einrichtet. Dann ist man auch mit einem kleinem Geldbeutel dabei.

lks
westberliner
westberliner 19.11.2021 aktualisiert um 11:39:34 Uhr
Goto Top
Danke für den Link,

bis auf DKIM sind alle Tests in Ordnung.
spfcheck


Wenn du bei einem Spamlistenanbieter geblacklistet bist, gibt es auch meistens einen Link dafür sich dort zu melden um aus der Liste entfernt zu werden. Auch zeigen sie oft einen Grund für den Spameintrag an und bieten eine Lösung was man alles überprüfen sollte.

Das kenne ich auch, hatte aber bei dem Anbieter keinen Hinweis darauf gefunden.

Wir haben eben noch Mails gesendet, ohne Vermerk auf die neue Homepage und die weiteren Domains in der Signatur. Hier gehen Mails ohne Anhang auch durch. An PDF Files hängts noch. Habe die Vermutung dass das Problem hier liegt. Nachtrag: Auch nicht wirklich....

Nachtrag2: Habe auch den DKIM jetzt mal eingerichtet...
NordicMike
NordicMike 19.11.2021 um 13:53:19 Uhr
Goto Top
Da reicht ein kleiner vserver, den man als smarhost einrichtet
Somit ist der Ball wieder bei dir sich darum zu kümmern, dass man nirgends auf der Blackliste ist.
commodity
commodity 19.11.2021 um 22:15:46 Uhr
Goto Top
und habe einen eintrag gefunden, als der User versucht hat eine Unternehmenspräsentation zu senden
ich halte es für völlig unwahrscheinlich, dass eine einzelne, als Spam markierte Mail zum Blacklisting führt. Da war/ist mit Sicherheit mehr im Argen.

Was die Zurückweisung durch den Server des Kunden angeht sieht das anders aus. Wenn das ein sensibles System ist, was selbständig blacklistet, was es für Spam hält (oder so markiert wurde), dann kommst Du da u.U. auch nicht wieder durch, bis es dort freigegeben wird (oder bis eine Policy die Blacklist bereinigt).

Wenn es nur der eine Kunde war, der nicht erreicht werden konnte (ist das geklärt?), war es vielleicht gar nicht das Blacklisting auf der exotischen russsischen RBL. Üblicher Weise wird gegen mehrere Listen abgeglichen.

Viele Grüße, commodity
jsysde
jsysde 19.11.2021 um 22:38:32 Uhr
Goto Top
N'Abend.

Du bist auf keiner Blacklist - zumindest nicht, wenn ich mir das Log anschaue, da ist nur von greylisting die Rede.
Spontaner Tipp: Der empfangende Mailserver ist sehr sensibel, was das Spam-Scoring angeht und/oder gibt als Fehler nicht den wahren Grund heraus, sondern sagt einfach "Spam detected".

Zu klären wäre:
- nur der eine Empfänger/die eine Empfänger-Domain betroffen?
- nur bei Mails mit Anhängen?
- gleicher Anhang von einer anderen Mail-Domain (Dummy-Account bei gmx.de o.ä.) geht durch?

Cheers,
jsysde
westberliner
westberliner 23.11.2021 um 14:52:38 Uhr
Goto Top
Ich habe hier mit einem User herausfinden können, dass eine URL einer unserer weiteren Domains in der Signatur auf der uceprotectl3 steht. Nach dem entfernen aller Links aus den Signaturen gehen fast alle E-Mails zu dem jeweiligen Kunden durch.

Die Domains haben keinerlei MX, SPF oder ähnliches konfiguriert. Diese dienen dazu, erstmal auf unsere Haupt-Website umzuleiten, später wird eine Landingpage gebaut.

Die Frage ist nun, ob ich die MX-Einträge alle gleich der Haupdomain anpassen sollte, sodass theoretisch nur mein interner Mailserver berechtigt wäre, hier Mails zu senden (auch wenn hier kein Mailverkehr stattfindet) und der Eintrag dann entsprechend gegen Spam absichert?

Ich habe versucht einen 0. -MX bei Strato einzutragen, das lässt Strato allerdings nicht zu.
Gentooist
Gentooist 06.12.2021 um 09:28:32 Uhr
Goto Top
UCEProtect ist alles, nur keine seriöse RBL. Wer die wirklich immer noch im Produktiveinsatz hat, der ist selber schuld!

Die Macher hinter der RBL sind nach wie vor anonym, es sind weder Namen, Adresse noch Telefonnummer bekannt. Die RBL wird vor allem in Bayern - aus welchen Gründen auch immer - von Behörden eingesetzt.

Und im Gegensatz zu seriösen RBLs verlangen sie für die sofortige Entfernung einer IP aus der Blacklist 89 Franken.

Ab und an diskutieren sie auch ganz gerne in diversen öffentlichen Foren unter Pseudonymen.