Hotmail mit SPF Problemen?
Hallo,
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
H=mail-dbaeur03olkn2100.outbound.protection.outlook.com (EUR03-DBA-obe.outbound.protection.outlook.com) [40.92.58.100] X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no F=<XXXXX@hotmail.com> rejected RCPT <user@domain.tld>: 40.92.58.100 is not allowed to send mail from hotmail.com (SPF failure)
Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41523435329
Url: https://administrator.de/forum/hotmail-mit-spf-problemen-41523435329.html
Ausgedruckt am: 26.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Hier validiert das - zumindest mittlerweile:
Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
:~# rspamadm dnstool spf -i '40.92.58.100' --domain 'hotmail.com'
Policy: pass
Network: 40.92.0.0/16
Original: ip4:40.92.0.0/16
Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
Moin,
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
Zitat von @rickstinson:
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Das ist schon länger so, kommt nur nicht alles besonders breitflächig in den Medien. Der Exchange-GAU hat zB 40 Millionen Wählerdaten aus GB geleakt. Abgelaufene Zertifikate haben die seit Jahren immer mal wieder, das scheint auf der Liste des Praktikanten zu stehen. Die wahren Profis bei denen sind für z.B. BingBang verantwortlich, wo jeder MS Nutzer Adminrechte auf Bing/MSN und zig weitere interne Systeme hatte, u.a. ein Datensilo mit mehreren Exabytes [sic] an Daten: https://u-labs.de/portal/bingbang-hunderte-millionen-durch-azure-ad-konf ...Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
So Anfängerfehler wie Zertifikate oder zuletzt auch Sicherheitsupdates, die Exchange-Server mit anderer Sprache als Englisch kaputt machen, fallen bei dem Laden schon kaum mehr auf