12
Falsche Erkennung als SPAM - Ursachenforschung und Großkonzerne
Hallo,
ich bin mittlerweile ratlos und hoffe auf eine zündende Idee.
Ausgangslage: Kunde mit ca. 3 monate alte .com Domain, dessen E-Mails sind komplett bei Office365 gehostet (Hier mit dem Support geprüft, alles ok, auch SPF EIntrag top ok)
Wenn der Kunde nun E-Mails versendet bekommt er z.B. von der Deutschen Bank ein grußloses
host smtp14.db.com[160.83.44.130] said: 551 5.0.0 This message was classified as spam (in reply to end of DATA command)
zurück, also komplette Abweisung.
Bei anderen Empfängern wie z.B. McKinsey laufen die Mails "wenigstens" in den Spam filter und können manuell rausgefischt werden, bei anderen Firmen werden die Mails allerdings sogar wohl ohne Antwort komplett gelöscht
Natürlich habe ich alle Variationen getestet: Nur Text, HTML mit und ohne Signatur. Immer das gleiche, ganz simple Textmails mit ein paar Worten Text bis zu einem Absatz.
Microsoft kann sich das auch nicht erklären - und bittet natürlich drum das wir die externen Mailserver kontaktieren.
Nun aber: z.B. die Deutsche Bank antwortet nun ja nicht einfach auf einen kleinen IT-ler und prüft so etwas - oder?
Ich habe auch alle Spam-Listen geprüft - nirgends ist der Kunde drauf - außer es gibt da irgendwelche interne Listen auf die er drauf ist. Aber die müßte dann ja auch bei mehreren Empfängern im Einsatz sein.
Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?
Wer hat ne Idee dazu? DANKE!
Lg Thomas
(hier das Beispiel anhand einer Spam einsortierung durch "Proofpoint": Bei Microsoft geht es geprüft als KEIN SPAM raus, bei
As discussed on call it shows settings are affected by the external domain server spam settings that are getting emails as spam.
x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID
100000700101)(100105000095)(100000701101)(100105300095)(100000702101)(100105100095)(6040450)(601004)(2401047)(8121501046)(5005006)(100000703101)(100105400095)(93006095)(93001095)(10201501046)(3002001)(6041248)(20161123555025)(2016111802025)(20161123558100)(201703131423075)(201702281528075)(201703061421075)(201703061406153)(20161123564025)(20161123562025)(20161123560025)(6072148)(6043046)(100000704101)(100105200095)(100000705101)(100105500095);SRVR:VI1PR03MB1085;BCL:0;PCL:0;RULEID100000800101)(100110000095)(100000801101)(100110300095)(100000802101)(100110100095)(100000803101)(100110400095)(100000804101)(100110200095)(100000805101)(100110500095);SRVR:VI1PR03MB1085;
x-forefront-prvs: 0361212EA8
x-forefront-antispam-report: SFV:NSPM;SFS10019020)(39400400002)(39410400002)(39830400002)(39450400003)(38730400002)(9686003)(74316002)(16865895004)(236005)(189998001)(53386004)(5250100002)(110136004)(606006)(99286003)(2950100002)(66066001)(53936002)(6916009)(790700001)(54896002)(6306002)(6116002)(102836003)(733005)(8936002)(14454004)(72206003)(3660700001)(226693001)(3846002)(76176999)(50986999)(33656002)(6436002)(25786009)(478600001)(3280700002)(7736002)(6506006)(8676002)(54356999)(7696004)(55016002)(7116003)(2900100001)(86362001)(5660300001)(81166006)(1680700002)(2906002)(16866105001)(491001)(19627235001);DIR:OUT;SFP:1102;SCL:1;SRVR:VI1PR03MB1085;H:VI1PR03MB1085.eurprd03.prod.outlook.com;FPR:;SPF:None;MLV:sfv;LANG:de;
spamdiagnosticoutput: 1:99
spamdiagnosticmetadata: NSPM
BCL Value - 0 The message isn't from a bulk sender.
PCL Value - 0-3 The message's content isn't likely to be phishing.
SFV:NSPM - The message was marked as non-spam and was sent to the intended recipients.
SCL:1 - SCL Rating: 0, 1 - Non-spam because the message was scanned and determined to be clean. Deliver the message to the recipients’ inbox.
X-Proofpoint-SPF-Result: pass
X-Proofpoint-SPF-Record: v=spf1 include:spf.protection.outlook.com -all
X-Proofpoint-Spam-Details: rule=inbound_spam_policy_spam_definite policy=inbound_spam_policy score=100
priorityscore=1501 malwarescore=0 suspectscore=0 phishscore=100
bulkscore=0 spamscore=100 clxscore=-1034 lowpriorityscore=0
impostorscore=0 adultscore=0 classifier=spam adjust=0 reason=mlx
scancount=1 engine=8.0.1-1703280000 definitions=main-1707070228)
ich bin mittlerweile ratlos und hoffe auf eine zündende Idee.
Ausgangslage: Kunde mit ca. 3 monate alte .com Domain, dessen E-Mails sind komplett bei Office365 gehostet (Hier mit dem Support geprüft, alles ok, auch SPF EIntrag top ok)
Wenn der Kunde nun E-Mails versendet bekommt er z.B. von der Deutschen Bank ein grußloses
host smtp14.db.com[160.83.44.130] said: 551 5.0.0 This message was classified as spam (in reply to end of DATA command)
zurück, also komplette Abweisung.
Bei anderen Empfängern wie z.B. McKinsey laufen die Mails "wenigstens" in den Spam filter und können manuell rausgefischt werden, bei anderen Firmen werden die Mails allerdings sogar wohl ohne Antwort komplett gelöscht
Natürlich habe ich alle Variationen getestet: Nur Text, HTML mit und ohne Signatur. Immer das gleiche, ganz simple Textmails mit ein paar Worten Text bis zu einem Absatz.
Microsoft kann sich das auch nicht erklären - und bittet natürlich drum das wir die externen Mailserver kontaktieren.
Nun aber: z.B. die Deutsche Bank antwortet nun ja nicht einfach auf einen kleinen IT-ler und prüft so etwas - oder?
Ich habe auch alle Spam-Listen geprüft - nirgends ist der Kunde drauf - außer es gibt da irgendwelche interne Listen auf die er drauf ist. Aber die müßte dann ja auch bei mehreren Empfängern im Einsatz sein.
Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?
Wer hat ne Idee dazu? DANKE!
Lg Thomas
(hier das Beispiel anhand einer Spam einsortierung durch "Proofpoint": Bei Microsoft geht es geprüft als KEIN SPAM raus, bei
As discussed on call it shows settings are affected by the external domain server spam settings that are getting emails as spam.
x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID
100000700101)(100105000095)(100000701101)(100105300095)(100000702101)(100105100095)(6040450)(601004)(2401047)(8121501046)(5005006)(100000703101)(100105400095)(93006095)(93001095)(10201501046)(3002001)(6041248)(20161123555025)(2016111802025)(20161123558100)(201703131423075)(201702281528075)(201703061421075)(201703061406153)(20161123564025)(20161123562025)(20161123560025)(6072148)(6043046)(100000704101)(100105200095)(100000705101)(100105500095);SRVR:VI1PR03MB1085;BCL:0;PCL:0;RULEID100000800101)(100110000095)(100000801101)(100110300095)(100000802101)(100110100095)(100000803101)(100110400095)(100000804101)(100110200095)(100000805101)(100110500095);SRVR:VI1PR03MB1085;x-forefront-prvs: 0361212EA8
x-forefront-antispam-report: SFV:NSPM;SFS
10019020)(39400400002)(39410400002)(39830400002)(39450400003)(38730400002)(9686003)(74316002)(16865895004)(236005)(189998001)(53386004)(5250100002)(110136004)(606006)(99286003)(2950100002)(66066001)(53936002)(6916009)(790700001)(54896002)(6306002)(6116002)(102836003)(733005)(8936002)(14454004)(72206003)(3660700001)(226693001)(3846002)(76176999)(50986999)(33656002)(6436002)(25786009)(478600001)(3280700002)(7736002)(6506006)(8676002)(54356999)(7696004)(55016002)(7116003)(2900100001)(86362001)(5660300001)(81166006)(1680700002)(2906002)(16866105001)(491001)(19627235001);DIR:OUT;SFP:1102;SCL:1;SRVR:VI1PR03MB1085;H:VI1PR03MB1085.eurprd03.prod.outlook.com;FPR:;SPF:None;MLV:sfv;LANG:de;spamdiagnosticoutput: 1:99
spamdiagnosticmetadata: NSPM
BCL Value - 0 The message isn't from a bulk sender.
PCL Value - 0-3 The message's content isn't likely to be phishing.
SFV:NSPM - The message was marked as non-spam and was sent to the intended recipients.
SCL:1 - SCL Rating: 0, 1 - Non-spam because the message was scanned and determined to be clean. Deliver the message to the recipients’ inbox.
X-Proofpoint-SPF-Result: pass
X-Proofpoint-SPF-Record: v=spf1 include:spf.protection.outlook.com -all
X-Proofpoint-Spam-Details: rule=inbound_spam_policy_spam_definite policy=inbound_spam_policy score=100
priorityscore=1501 malwarescore=0 suspectscore=0 phishscore=100
bulkscore=0 spamscore=100 clxscore=-1034 lowpriorityscore=0
impostorscore=0 adultscore=0 classifier=spam adjust=0 reason=mlx
scancount=1 engine=8.0.1-1703280000 definitions=main-1707070228)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 345927
Url: https://administrator.de/contentid/345927
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Schick mal eine Email an Dein privates Postfach.
Dann schau im Header nach dem versendenden Emailserver.
Dann prüfe mal gegen ein entsprechendes Tool, welche Domänen dieser Server noch hat.
Stimmt den der Reverse-DNS?
Dann schau im Header nach dem versendenden Emailserver.
Dann prüfe mal gegen ein entsprechendes Tool, welche Domänen dieser Server noch hat.
Stimmt den der Reverse-DNS?
Zitat von @multitalentd99:
Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?
Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?
Moin,
ja, das kann tatsächlich auch sein. Es gibt tatsächlich Produkte oder Admins, die auf "*reizwort*" filtern und damit vieles in den Orkus befördern was kein SPAM ist. Das ist so ähnlich wie mit den Webfiltern, die "*sex*" rausfiltern sollen und dabei sowas wie essex blockieren.
Ich würde mal die Gegenprobe mit einer unaufälligen domain machen.
lks
Danke,
https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün.
https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün.
Ok, aber wie sahen die anderen Tests aus gab es dort Hinweise auf Fehler oder Warnungen?
Danke,
https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün, SPF auch
@Lochkartenstanzer: danke, ja das mache ich gerade ... mit einer domain die keine ähnlichkeit hat. Leider gibts die Ursprungsdomain aktuell nicht mit Bindestrich drin - das wäre ja evtl auch ein Workaround
Reverse DNS: m.E. in Ordnung - zumal ja Microsoft dahintersteckt und sich hinter dem MX xxx.mail.protection.outlook.com ja eher so eine Art Cluster verbirgt.
https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün, SPF auch
@Lochkartenstanzer: danke, ja das mache ich gerade ... mit einer domain die keine ähnlichkeit hat. Leider gibts die Ursprungsdomain aktuell nicht mit Bindestrich drin - das wäre ja evtl auch ein Workaround
Reverse DNS: m.E. in Ordnung - zumal ja Microsoft dahintersteckt und sich hinter dem MX xxx.mail.protection.outlook.com ja eher so eine Art Cluster verbirgt.
@Lochkartenstanzer: ich glaube dein Ansatz stimmt. Mit Alternativer E-Mail (oder mit meiner eigenen) kriege ich die mails durch an den Empfänger - allerdings sobald ich nur im Text die ursprüngliche Kundendomain "xxxx.com" angebe, kommt sofort der Spam zurück.
Krass. Zumal ja bei MXtoolbox.com die selbe Domain auf keiner Blacklist ist. Und ich kein Spam Schlüsselwort im Namen erkennen mag.
Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???
Krass. Zumal ja bei MXtoolbox.com die selbe Domain auf keiner Blacklist ist. Und ich kein Spam Schlüsselwort im Namen erkennen mag.
Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???
Zitat von @multitalentd99:
Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???
Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???
Ausfindig machen, welche Software die Konzerne einsetzen und dem Hersteller eins überbügeln.
lks
PS: Würde mich schon interessieren, welche "toxische" Domain Du verwendest.
Hallo.
In reply to end of DATA command heißt ja, dass die Mail angenommen wurde. Daher PTR, SPF, Blacklist ect. ist ok. Der Empfänger mag also wie bereits von Lochkartenstanzer vermutet den Content nicht.
LG Günther
In reply to end of DATA command heißt ja, dass die Mail angenommen wurde. Daher PTR, SPF, Blacklist ect. ist ok. Der Empfänger mag also wie bereits von Lochkartenstanzer vermutet den Content nicht.
LG Günther
Ich möchte Dir noch einen weiteren Vorschlag unterbreiten...
Geh mal auf diese Webseite (und lass sie offen):
http://www.mail-tester.com/
Dir wird einen Emailadresse angezeigt werden.
Schick mal eine normale Email von besagter Domäne an die angezeigte Adresse.
Dann warte etwas und klicke auf "und prüfen Sie das Ergebnis".
Ich klinke mich hier aus.
Geh mal auf diese Webseite (und lass sie offen):
http://www.mail-tester.com/
Dir wird einen Emailadresse angezeigt werden.
Schick mal eine normale Email von besagter Domäne an die angezeigte Adresse.
Dann warte etwas und klicke auf "und prüfen Sie das Ergebnis".
Ich klinke mich hier aus.
danke, ja kenne ich ... da isses 10/10. muss ein spezieller Spam / Filter sein, der so nicht öffentlich zugänglich ist / prüfbar ist.
Zitat von @multitalentd99:
@Lochkartenstanzer: ich glaube dein Ansatz stimmt. Mit Alternativer E-Mail (oder mit meiner eigenen) kriege ich die mails durch an den Empfänger - allerdings sobald ich nur im Text die ursprüngliche Kundendomain "xxxx.com" angebe, kommt sofort der Spam zurück.
@Lochkartenstanzer: ich glaube dein Ansatz stimmt. Mit Alternativer E-Mail (oder mit meiner eigenen) kriege ich die mails durch an den Empfänger - allerdings sobald ich nur im Text die ursprüngliche Kundendomain "xxxx.com" angebe, kommt sofort der Spam zurück.
Du könntest, wenn Du feststellen willstm was genau den Filter triggert, mal schauen, den domainnamen ohne .com mal testen und anschließend den Namen immer vorne oder hinten um einen Buchstaben kürzen, bis er nicht mehr den SPAM-Filter triggert.
lks
