rickstinson
Goto Top

Domain von Exchange Online blockiert

Hallo,
einer unser Kunden hat ein sehr unangenehmes Problem. E-Mails von seinen beiden Hauptdomains (wobei die zweite seit Monaten nicht mehr verwendet wird) werden seit ca 2 Wochen von Exchange Online (zig Empfänger) entweder in den Junk verschoben (SCL 5) oder gleich in die Quaratine geklatscht.

Er sendet über einen Hosted Exchange Server. Nur die beiden Domains kommen bei MS in den Junk, mit anderen Domains über den Server selber (auch selbe IP) geht es problemlos - getestest mit drei weiteren Domains.

Gut, dann habe ich heute den den SPF Eintrag erweitert und eine Mail in der Kundendomain über den Thunderbird auf meinen PC über einen postfix von uns versendet. Und wieder im Spam bei Microsoft gelandet.

Weiters ausprobiert:
- Reine Textmails, Mails ohne Signatur, Mails nur mit "test" als Text
- Bei MS angekommene Mail als EML runtergeladen und Header + Mailcontent geprüft
- Outlook und OWA zum versenden verwendet

Die Mails die heute in der Quaratine gelandet sind, wurden wegen "Phishing" dort hin verschoben. Mails wo nur "test" im Text stand, und sonst geprüfterweise total clean waren. Die Mails in der Quaratine habe ich jetzt mal zur "Analyse" an MS gesendet und gleich ein Ticket aufgemacht... Autoreply kam schon... Sie antworten innerhalb von: "8"

Meine Vermutungen:
- Es wurden Spammails mit deren Absenderdomain versendet (SPF ist allerdings auf -all)
- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)
- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )
- Die Website könnte als Sprungpunkt für Pishing missbraucht worden sein
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)

Hat jemand mal schon sowas gehabt?
Ideen wie man da vorgehen kann? - ich habe so die Befürchtung dass die MS Antwort sein wird, dass die Empfänger halt die Mails im outlook whitelisten sollen face-wink

Danke
Patrick

PS: Funfact: Mails an outlook.com gehen durch, nur M365 tenants verschieben in den junk

Content-Key: 14268025759

Url: https://administrator.de/contentid/14268025759

Printed on: April 19, 2024 at 15:04 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Jan 18, 2024 at 21:15:44 (UTC)
Goto Top
Moin,

was sagt denn ein simpler Check der Domains bei mxtoolbox? Vielleicht hängen die irgend wo auf na Blacklist.

Gruß
Spirit
Member: mbehrens
mbehrens Jan 18, 2024 at 21:36:05 (UTC)
Goto Top
Zitat von @rickstinson:

einer unser Kunden hat ein sehr unangenehmes Problem. E-Mails von seinen beiden Hauptdomains (wobei die zweite seit Monaten nicht mehr verwendet wird) werden seit ca 2 Wochen von Exchange Online (zig Empfänger) entweder in den Junk verschoben (SCL 5) oder gleich in die Quaratine geklatscht.

- Es wurden Spammails mit deren Absenderdomain versendet (SPF ist allerdings auf -all)

Dagegen hilft auch kein SPF Record

- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)

Sagt wer? Es ist ja ein Hosted Exchange, auf dem sicherlich noch zahlreiche weitere Kunden liegen werden.

- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )

Dafür sind SPF/DKIM/DMARC passend konfiguriert?

- Die Website könnte als Sprungpunkt für Pishing missbraucht worden sein
(derzeit noch ungeklärt, da hab ich keinen Zugriff)
- Fehler im MS Junkfilter (weil ja pishing selbst bei Test-Mails ohne Signatur angezeigt wird)

Was sagt der Betreiber?
Liefern die einschlägigen Analysetools Hinweise, warum der Kunde evtl. auf einer Blacklist steht?
Schonmal den Header genauer analysiert, z. B. bei MS (MS liefert da schon sehr viele Informationen)?
Member: rickstinson
rickstinson Jan 18, 2024 at 22:13:54 (UTC)
Goto Top
- Über den hosted Exchange ging aber in den letzten 2 Monate nichts ungewolltes raus - geprüft)
Sagt wer? Es ist ja ein Hosted Exchange, auf dem sicherlich noch zahlreiche weitere Kunden liegen werden.

Da gibts ein Mailflow Panel. Da sieht man schön alle Mails in und out mit smtp details.
Auf einer blacklist steht der Exchange auch nicht, wurde via mxtoolbox geprüft und auch mit dem Anbieter Rücksprache gehalten. Das Problem betrifft auch nur M365 als Ziel, überall anders hin (geschätzt 75% des Mailtraffics) hat es kein Problem)

und wie gesagt: über diesen hosted exchange mit anderen drei Domains geht alles problemlos zu Exchange Online. Es betrifft nur die zwei Hauptdomains. Nehme ich eine andere klappt es.

Und eben: habe von uns einen Postfix (SPF aktualisiert) und mit der betroffenen Domain dem eine Testmail versendet. Auch diese landete mit Junk.


- Es wird Newsletterdienst versendet, wo unregelmäßig Newsletter versandt werden (nl2go.com )

Dafür sind SPF/DKIM/DMARC passend konfiguriert?

SPF ist aktiv und korrekt - für hosted exchange + n2go , DKIM haben wir erst heute für die Hauptdomain aktiviert.

Liefern die einschlägigen Analysetools Hinweise, warum der Kunde evtl. auf einer Blacklist steht?
Es dürfte keine IP Blacklist sein, sondern "nur" die Domain wird einfach nicht angenommen.

Schonmal den Header genauer analysiert, z. B. bei MS (MS liefert da schon sehr viele Informationen)?

Die habe ich mir auch angesehen, allerdings findet man nirgendwo eine Info welche ID was bedeutet:
X-MS-Exchange-Organization-SCL: 5
X-Forefront-Antispam-Report:
 CIP:92.42.142.84;CTRY:AT;LANG:en;SCL:5;SRV:;IPV:NLI;SFV:SPM;H:xxxx.xxxx.xx;PTR:xxxx.xxxx.xx;CAT:SPM;SFS:(13230031)(230922051799003)(451199024)(19627235002)(5660300002)(86362001)(956004)(58800400005)(36756003)(2616005)(564344004)(356005)(7596003)(7636003)(108616005)(24736004)(22186003)(1096003)(8676002)(6862004)(7116003)(336012)(26005)(81226015);DIR:INB;
X-Microsoft-Antispam: BCL:0;
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 18 Jan 2024 15:14:39.7897 (UTC)
X-MS-Exchange-CrossTenant-AuthSource: DU2PEPF0001E9C5.eurprd03.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-Transport-CrossTenantHeadersStamped: AS2PR10MB7837
X-Microsoft-Antispam-Mailbox-Delivery: ucf:0;jmr:0;auth:0;dest:J;OFR:SpamFilterAuthJ;ENG:(910001)(944506478)(944626604)(920097)(930097)(3100021)(140003);RF:JunkEmail;
Member: rickstinson
rickstinson Jan 19, 2024 updated at 13:41:07 (UTC)
Goto Top
Kurzes Update, Microsoft sagt es liegt am EX703958 Problem. Wobei ich das kaum glaube, da es hier ja um die spamcop blacklist geht, wo MS seit 4. Jänner gelistet ist.

Aber der Typ an der Hotline meinte, unser Problem gehört da auch dazu, ohne es begründen zu wollen. Und das viele das gleiche Problem haben, und es ein weltweites Problem ist.
5 Minuten Remotesitzung mit "rate me 5*" am Ende (er hat brav gewartet bis ich ihn gerated habe).

Es kam dann noch eine Mail von ihm mit einer Zusammenfassung mit folgenden Inhalt: (inhalt hat er dann wohl doch vergessen, blöd)

Ich denke fast, man wird halt genau nichts machen können, notfalls muss sich der Kunde eine neue Domain kaufen und alles umstellen. Da fast 25% seines Mailverkehrs zu MS geht, wirds da wohl keine andere Option geben, wenn sich das Problem nicht von selbst löst (MS scheint ja hier kein Interesse zu haben).

Einem Großkonzern ausgeliefert, obwohl man nicht mal deren Kunde ist, auch fein.
Member: marcgutt
marcgutt Jan 20, 2024 at 11:19:07 (UTC)
Goto Top
Ich hatte mal einen ähnlichen Fall, da hatte der Kunde einen Fehler beim Sync zwischen seinen beiden DNS Servern, so dass sie jeweils mit unterschiedlichen IP Adressen beim MX Eintrag antworteten. Wie sieht es mit den MX Einträgen deines Kunden aus, verweisen alle auf den gleichen Mailserver?

SPF Eintrag mit "-all" finde ich gut, aber sind auch alle eure IPv4 und IPv6 in der Liste? Hast du die klassischen Onlinechecks zu SPF mal durchgespielt?

Hast du dir den Newsletter mal angesehen? Ist im Fuß ein klarer Link womit man das Abo beendet? Ist der Newsletter auch als rein Text lesbar (also enthält der Content beide Formate)? Ich persönlich würde Newsletter immer über eine andere Domain versenden. Es ist einfach zu riskant sich damit seinen regulären Mailverkehr zu verbrennen. Schon mal darüber nachgedacht?

Wie sieht es mit den Reverse Einträgen aus, lässt sich die IP auf die Mailserver Domain auflösen, die auch die Mails versendet?
Member: ti-buh
ti-buh Jan 22, 2024 at 08:01:29 (UTC)
Goto Top
Guten Morgen zusammen,

Kann es womöglich mit dem Blacklistproblem bei MS zusammen hängen?

MS Server auf Blacklist

Bei uns waren mehrere Kunden betroffen.
Member: rickstinson
rickstinson Jan 22, 2024 at 10:04:52 (UTC)
Goto Top
Das mit der Blocklist betrifft ausgehende Mails von M365 zu anderen Nicht-MS Empfänger.
Bei meinen Fall geht es genau in die andere Richtung.

Übers WE kamen jetzt noch zwei Tickets von M365 Kunden rein, die sich beschwerten dass auf einmal Mails von Geschäftspartnern, Finanzamt udgl plötzlich in die Quaratäne kommen. Da dürfte schon etwas schief laufen, wenn auch nicht im großen Stil.

Ich hatte dann am Freitag über einen anderen M365 Mandanten nochmals ein Ticket eröffnet, und der Support Mitarbeiter war etwas gesprächiger. Er meinte dass es ein "globales" Problem ist, und derzeit halt irgendwelche Mails halt in die Quaratäne kommen weil als "phising" klassifizert. Man soll die Mail dann an Microsoft weiterleiten ("E-Mail zur Analyse weiterleiten").

Das hatte ich auch gemacht. Da gibt es dann einen schönen Bericht, was man eingesendet hat. Am Samstag Abend war der Bericht dann leer (nicht mehr pending, auch nicht abgeschlossen, WEG).

Habs dann gleich nochmals eingesendet, "Übermittlungen - Status: 7 pending". Heute früh ist die Liste wieder leer.

Es ist einfach witzlos.