7
Hotmail mit SPF Problemen?
Hallo,
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
komische Sache zum Freitag. Unsere Antispam Appliance blockiert derzeit Mails von @hotmail.com Absender, aufgrund von SPF. Bis dato haben sich drei Leute mit Hotmail gemeldet, die keine Mails an uns senden können.
H=mail-dbaeur03olkn2100.outbound.protection.outlook.com (EUR03-DBA-obe.outbound.protection.outlook.com) [40.92.58.100] X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no F=<XXXXX@hotmail.com> rejected RCPT <user@domain.tld>: 40.92.58.100 is not allowed to send mail from hotmail.com (SPF failure)Mails von @outlook.com Adressen erreichen uns.
Wenn man man die SPF Einträge von hotmail.com durchgeht (https://mxtoolbox.com/SuperTool.aspx?action=mx%3ahotmail.com&run=too ..), auch die includes, findet man keine Einträge für das betroffene IP Netz von 40.92.58.100.
Hat da MS wiedermal Mist gebaut? Jemand ähnliche Probleme?
LG Patrick
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41523435329
Url: https://administrator.de/contentid/41523435329
Ausgedruckt am: 23.11.2024 um 23:11 Uhr
7 Kommentare
Neuester Kommentar
Der 40.80.0.0/12 Netzblock gehört seit 2015 Microsoft. Da wurde wohl "vergessen", die SPF-Records zu ergänzen, wenn man ihn nun aktiv zum Mailversand nutzt.
Hier validiert das - zumindest mittlerweile:
Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
:~# rspamadm dnstool spf -i '40.92.58.100' --domain 'hotmail.com'
Policy: pass
Network: 40.92.0.0/16
Original: ip4:40.92.0.0/16Wir haben heute aber den Tag über keine E-Mails mit SPF-Fail aus dem Präfix 40.80.0.0/12 abgelehnt.
Allerdings waren die Mails auch alle gültig DKIM-signiert und die von Microsoft veröffentlichte DMARC-Policy fordert kein striktes Alignment. Es reicht unserem System daher aus, wenn DKIM validiert, auch wenn SPF fehlschlägt - was dann auch Problemen mit umgeleiteten E-Mails vorbeugt.
Von daher würde ich eurer Appliance in dem Fall eine gewisse Mitschuld geben, falls sie möglicherweise die E-Mails bereits ablehnt, bevor DKIM geprüft werden kann.
Hm, ja das mit DMARC ist ein Punkt. Ich kann das leider nicht kombinieren, nur SPF entweder prüfen oder nicht (bzw. ob strict behandelt oder halt durchlassen und taggen bei fails).
Naja, schauen wir mal wie es am Montag aussieht. Aber wahrscheinlich wird das Wochen dauern bis MS das fix.
Naja, schauen wir mal wie es am Montag aussieht. Aber wahrscheinlich wird das Wochen dauern bis MS das fix.
Moin,
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
https://www.reddit.com/r/sysadmin/comments/15u28tw/microsoft_seems_to_ha ...
Betrifft wohl mehrere, wird also eher an Microsoft liegen.
Einfach abwarten, die haben das bestimmt schon mitbekommen.
Vg
Danke!
Herrlich, verpfuschen ihre SPF Einträge und stellen im gleichen Zug von Softfail auf hardfail um.
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Herrlich, verpfuschen ihre SPF Einträge und stellen im gleichen Zug von Softfail auf hardfail um.
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Zitat von @rickstinson:
Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
Das ist schon länger so, kommt nur nicht alles besonders breitflächig in den Medien. Der Exchange-GAU hat zB 40 Millionen Wählerdaten aus GB geleakt. Abgelaufene Zertifikate haben die seit Jahren immer mal wieder, das scheint auf der Liste des Praktikanten zu stehen. Die wahren Profis bei denen sind für z.B. BingBang verantwortlich, wo jeder MS Nutzer Adminrechte auf Bing/MSN und zig weitere interne Systeme hatte, u.a. ein Datensilo mit mehreren Exabytes [sic] an Daten: https://u-labs.de/portal/bingbang-hunderte-millionen-durch-azure-ad-konf ...Es summiert sich bei denen echt in letzter Zeit, und ich dachte das falsche SSL Zert für sharepoint.com war schon deren Meisterstück
So Anfängerfehler wie Zertifikate oder zuletzt auch Sicherheitsupdates, die Exchange-Server mit anderer Sprache als Englisch kaputt machen, fallen bei dem Laden schon kaum mehr auf
