rickstinson
Goto Top

Hotmail mit SPF Problemen?

Hallo,
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.

H=mail-dbaeur03olkn2100.outbound.protection.outlook.com (EUR03-DBA-obe.outbound.protection.outlook.com) [40.92.58.100] X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no F=<XXXXX@hotmail.com> rejected RCPT <user@domain.tld>: 40.92.58.100 is not allowed to send mail from hotmail.com (SPF failure)

Mails von @outlook.com Adressen erreichen uns.

Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.

Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?

LG Patrick

Content-ID: 41523435329

Url: https://administrator.de/forum/hotmail-mit-spf-problemen-41523435329.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

Snuffchen
Snuffchen 18.08.2023 um 16:43:57 Uhr
Goto Top
Der 40.80.0.0/12 Netzblock gehört seit 2015 Microsoft. Da wurde wohl "vergessen", die SPF-Records zu ergänzen, wenn man ihn nun aktiv zum Mailversand nutzt.
LordGurke
LordGurke 18.08.2023 um 17:59:17 Uhr
Goto Top
Hier validiert das - zumindest mittlerweile:
:~# rspamadm dnstool spf -i '40.92.58.100' --domain 'hotmail.com' 
Policy: pass
Network: 40.92.0.0/16
Original: ip4:40.92.0.0/16

Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
rickstinson
rickstinson 18.08.2023 um 20:09:17 Uhr
Goto Top
Hm, ja das mit DMARC ist ein Punkt. Ich kann das leider nicht kombinieren, nur SPF entweder prüfen oder nicht (bzw. ob strict behandelt oder halt durchlassen und taggen bei fails).

Naja, schauen wir mal wie es am Montag aussieht. Aber wahrscheinlich wird das Wochen dauern bis MS das fix.
Celiko
Lösung Celiko 18.08.2023 um 20:28:25 Uhr
Goto Top
Moin,

https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...

Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.

Vg
rickstinson
rickstinson 18.08.2023 um 22:37:30 Uhr
Goto Top
Danke!
Herrlich, verpfuschen ihre SPF Einträge und stellen im gleichen Zug von Softfail auf hardfail um.

Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück face-wink
manuel-r
manuel-r 19.08.2023 um 10:41:11 Uhr
Goto Top
GNULinux
GNULinux 20.08.2023 um 20:41:17 Uhr
Goto Top
Zitat von @rickstinson:
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück face-wink
Das ist schon länger so, kommt nur nicht alles besonders breitflächig in den Medien. Der Exchange-GAU hat zB 40 Millionen Wählerdaten aus GB geleakt. Abgelaufene Zertifikate haben die seit Jahren immer mal wieder, das scheint auf der Liste des Praktikanten zu stehen. Die wahren Profis bei denen sind für z.B. BingBang verantwortlich, wo jeder MS Nutzer Adminrechte auf Bing/MSN und zig weitere interne Systeme hatte, u.a. ein Datensilo mit mehreren Exabytes [sic] an Daten: https://u-labs.de/portal/bingbang-hunderte-millionen-durch-azure-ad-konf ...

So Anfängerfehler wie Zertifikate oder zuletzt auch Sicherheitsupdates, die Exchange-Server mit anderer Sprache als Englisch kaputt machen, fallen bei dem Laden schon kaum mehr auf face-big-smile