7
Hotmail mit SPF Problemen?
Hallo,
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
H=mail-dbaeur03olkn2100.outbound.protection.outlook.com (EUR03-DBA-obe.outbound.protection.outlook.com) [40.92.58.100] X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no F=<XXXXX@hotmail.com> rejected RCPT <user@domain.tld>: 40.92.58.100 is not allowed to send mail from hotmail.com (SPF failure)Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41523435329
Url: https://administrator.de/contentid/41523435329
Printed on: April 27, 2024 at 17:04 o'clock
7 Comments
Latest comment
Der 40.80.0.0/12 Netzblock gehört seit 2015 Microsoft. Da wurde wohl "vergessen", die SPF-Records zu ergänzen, wenn man ihn nun aktiv zum Mailversand nutzt.
Hier validiert das - zumindest mittlerweile:
Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
:~# rspamadm dnstool spf -i '40.92.58.100' --domain 'hotmail.com'
Policy: pass
Network: 40.92.0.0/16
Original: ip4:40.92.0.0/16Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
Hm, ja das mit DMARC ist ein Punkt. Ich kann das leider nicht kombinieren, nur SPF entweder prüfen oder nicht (bzw. ob strict behandelt oder halt durchlassen und taggen bei fails).
Naja, schauen wir mal wie es am Montag aussieht. Aber wahrscheinlich wird das Wochen dauern bis MS das fix.
Naja, schauen wir mal wie es am Montag aussieht. Aber wahrscheinlich wird das Wochen dauern bis MS das fix.
Moin,
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
Danke!
Herrlich, verpfuschen ihre SPF Einträge und stellen im gleichen Zug von Softfail auf hardfail um.
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Herrlich, verpfuschen ihre SPF Einträge und stellen im gleichen Zug von Softfail auf hardfail um.
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Zitat von @rickstinson:
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Das ist schon länger so, kommt nur nicht alles besonders breitflächig in den Medien. Der Exchange-GAU hat zB 40 Millionen Wählerdaten aus GB geleakt. Abgelaufene Zertifikate haben die seit Jahren immer mal wieder, das scheint auf der Liste des Praktikanten zu stehen. Die wahren Profis bei denen sind für z.B. BingBang verantwortlich, wo jeder MS Nutzer Adminrechte auf Bing/MSN und zig weitere interne Systeme hatte, u.a. ein Datensilo mit mehreren Exabytes [sic] an Daten: https://u-labs.de/portal/bingbang-hunderte-millionen-durch-azure-ad-konf ...Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
So Anfängerfehler wie Zertifikate oder zuletzt auch Sicherheitsupdates, die Exchange-Server mit anderer Sprache als Englisch kaputt machen, fallen bei dem Laden schon kaum mehr auf
