Domain von Exchange Online blockiert
Hallo,
einer unser Kunden hat ein sehr unangenehmes Problem. E-Mails von seinen beiden Hauptdomains (wobei die zweite seit Monaten nicht mehr verwendet wird) werden seit ca 2 Wochen von Exchange Online (zig Empfänger) entweder in den Junk verschoben (SCL 5) oder gleich in die Quaratine geklatscht.
Er sendet über einen Hosted Exchange Server. Nur die beiden Domains kommen bei MS in den Junk, mit anderen Domains über den Server selber (auch selbe IP) geht es problemlos - getestest mit drei weiteren Domains.
Gut, dann habe ich heute den den SPF Eintrag erweitert und eine Mail in der Kundendomain über den Thunderbird auf meinen PC über einen postfix von uns versendet. Und wieder im Spam bei Microsoft gelandet.
Weiters ausprobiert:
- Reine Textmails, Mails ohne Signatur, Mails nur mit "test" als Text
- Bei MS angekommene Mail als EML runtergeladen und Header + Mailcontent geprüft
- Outlook und OWA zum versenden verwendet
Die Mails die heute in der Quaratine gelandet sind, wurden wegen "Phishing" dort hin verschoben. Mails wo nur "test" im Text stand, und sonst geprüfterweise total clean waren. Die Mails in der Quaratine habe ich jetzt mal zur "Analyse" an MS gesendet und gleich ein Ticket aufgemacht... Autoreply kam schon... Sie antworten innerhalb von: "8"
Meine Vermutungen:
- Es wurden Spammails mit deren Absenderdomain versendet (SPF ist allerdings auf -all)
- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)
- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )
- Die Website könnte als Sprungpunkt für Pishing missbraucht worden sein
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)
Hat jemand mal schon sowas gehabt?
Ideen wie man da vorgehen kann? - ich habe so die Befürchtung dass die MS Antwort sein wird, dass die Empfänger halt die Mails im outlook whitelisten sollen
Danke
Patrick
PS: Funfact: Mails an outlook.com gehen durch, nur M365 tenants verschieben in den junk
einer unser Kunden hat ein sehr unangenehmes Problem. E-Mails von seinen beiden Hauptdomains (wobei die zweite seit Monaten nicht mehr verwendet wird) werden seit ca 2 Wochen von Exchange Online (zig Empfänger) entweder in den Junk verschoben (SCL 5) oder gleich in die Quaratine geklatscht.
Er sendet über einen Hosted Exchange Server. Nur die beiden Domains kommen bei MS in den Junk, mit anderen Domains über den Server selber (auch selbe IP) geht es problemlos - getestest mit drei weiteren Domains.
Gut, dann habe ich heute den den SPF Eintrag erweitert und eine Mail in der Kundendomain über den Thunderbird auf meinen PC über einen postfix von uns versendet. Und wieder im Spam bei Microsoft gelandet.
Weiters ausprobiert:
- Reine Textmails, Mails ohne Signatur, Mails nur mit "test" als Text
- Bei MS angekommene Mail als EML runtergeladen und Header + Mailcontent geprüft
- Outlook und OWA zum versenden verwendet
Die Mails die heute in der Quaratine gelandet sind, wurden wegen "Phishing" dort hin verschoben. Mails wo nur "test" im Text stand, und sonst geprüfterweise total clean waren. Die Mails in der Quaratine habe ich jetzt mal zur "Analyse" an MS gesendet und gleich ein Ticket aufgemacht... Autoreply kam schon... Sie antworten innerhalb von: "8"
Meine Vermutungen:
- Es wurden Spammails mit deren Absenderdomain versendet (SPF ist allerdings auf -all)
- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)
- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )
- Die Website könnte als Sprungpunkt für Pishing missbraucht worden sein
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)
Hat jemand mal schon sowas gehabt?
Ideen wie man da vorgehen kann? - ich habe so die Befürchtung dass die MS Antwort sein wird, dass die Empfänger halt die Mails im outlook whitelisten sollen
Danke
Patrick
PS: Funfact: Mails an outlook.com gehen durch, nur M365 tenants verschieben in den junk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 14268025759
Url: https://administrator.de/forum/domain-von-exchange-online-blockiert-14268025759.html
Ausgedruckt am: 26.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @rickstinson:
einer unser Kunden hat ein sehr unangenehmes Problem. E-Mails von seinen beiden Hauptdomains (wobei die zweite seit Monaten nicht mehr verwendet wird) werden seit ca 2 Wochen von Exchange Online (zig Empfänger) entweder in den Junk verschoben (SCL 5) oder gleich in die Quaratine geklatscht.
- Es wurden Spammails mit deren Absenderdomain versendet (SPF ist allerdings auf -all)
Dagegen hilft auch kein SPF Record
- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)
Sagt wer? Es ist ja ein Hosted Exchange, auf dem sicherlich noch zahlreiche weitere Kunden liegen werden.
- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )
Dafür sind SPF/DKIM/DMARC passend konfiguriert?
- Die Website könnte als Sprungpunkt für Pishing missbraucht worden sein
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)
Was sagt der Betreiber?
Liefern die einschlägigen Analysetools Hinweise, warum der Kunde evtl. auf einer Blacklist steht?
Schonmal den Header genauer analysiert, z. B. bei MS (MS liefert da schon sehr viele Informationen)?
Ich hatte mal einen ähnlichen Fall, da hatte der Kunde einen Fehler beim Sync zwischen seinen beiden DNS Servern, so dass sie jeweils mit unterschiedlichen IP Adressen beim MX Eintrag antworteten. Wie sieht es mit den MX Einträgen deines Kunden aus, verweisen alle auf den gleichen Mailserver?
SPF Eintrag mit "-all" finde ich gut, aber sind auch alle eure IPv4 und IPv6 in der Liste? Hast du die klassischen Onlinechecks zu SPF mal durchgespielt?
Hast du dir den Newsletter mal angesehen? Ist im Fuß ein klarer Link womit man das Abo beendet? Ist der Newsletter auch als rein Text lesbar (also enthält der Content beide Formate)? Ich persönlich würde Newsletter immer über eine andere Domain versenden. Es ist einfach zu riskant sich damit seinen regulären Mailverkehr zu verbrennen. Schon mal darüber nachgedacht?
Wie sieht es mit den Reverse Einträgen aus, lässt sich die IP auf die Mailserver Domain auflösen, die auch die Mails versendet?
SPF Eintrag mit "-all" finde ich gut, aber sind auch alle eure IPv4 und IPv6 in der Liste? Hast du die klassischen Onlinechecks zu SPF mal durchgespielt?
Hast du dir den Newsletter mal angesehen? Ist im Fuß ein klarer Link womit man das Abo beendet? Ist der Newsletter auch als rein Text lesbar (also enthält der Content beide Formate)? Ich persönlich würde Newsletter immer über eine andere Domain versenden. Es ist einfach zu riskant sich damit seinen regulären Mailverkehr zu verbrennen. Schon mal darüber nachgedacht?
Wie sieht es mit den Reverse Einträgen aus, lässt sich die IP auf die Mailserver Domain auflösen, die auch die Mails versendet?
Guten Morgen zusammen,
Kann es womöglich mit dem Blacklistproblem bei MS zusammen hängen?
MS Server auf Blacklist
Bei uns waren mehrere Kunden betroffen.
Kann es womöglich mit dem Blacklistproblem bei MS zusammen hängen?
MS Server auf Blacklist
Bei uns waren mehrere Kunden betroffen.