anandax
Goto Top

Microsoft 365 - E-Mails landen beim Empfänger in der Quarantäne (SPAM,PHISHING)

Hallo,

ein Kunde hat das Problem, dass E-Mails eines bestimmten Absenders (Postfach A) bei einigen Empfängern in der Quarantäne landen.
Ich kann mir nicht erklären, warum nur die E-Mails eines bestimmten Absenders (Postfach A) in der Quarantäne des Empfängers landen, E-Mails von anderen Postfächer (Postfächer B, C, D...) der selben Domain haben keinerlei Probleme.
Ich habe aktuell Kontakt zum Microsoft-Support, aber irgendwie bekommen die das nicht gebacken oder wissen nicht was sie tun. Das zieht sich schon über einen Monat. face-sad
Produkt ist Office 365 Standard

Was ich bereits geprüft bzw. getestet habe.

  • Mit Postfach A andere E-Mailadressen angeschrieben --> Keine Probleme. Ich (auch 365) habe bswp. mit dem Empfang keine Probleme
  • DKIM Authentifizierungsverfahren in Exchange Online erfolgreich aktiviert
  • Altes Postfach A gelöscht und neues Postfach erstellt --> Problem weiterhin vorhanden

Im Header in der Quarantänemail steht folgender Text

-Forefront-Antispam-Report:
 CIP:40.107.135.117;CTRY:DE;LANG:de;SCL:5;SRV:;IPV:NLI;SFV:SPM;H:DEU01-FR2-obe.outbound.protection.outlook.com;PTR:mail-fr2deu01on2117.outbound.protection.outlook.com;**CAT:PHISH;SFTY:9.25**;SFS:(13230001)(4636009)(22700002)(83290400002)(83280400002)(166002)(336012)(83320400002)(6506007)(7696005)(6916009)(356005)(86362001)(33656002)(55016003)(52536014)(1096003)(7636003)(83310400002)(83300400002)(8636004)(7116003)(22186003)(4326008)(8676002)(58800400005)(5660300002)(107886003)(26005)(19627235002)(9686003)(15843345004)(491001);DIR:INB;SFTY:9.25;
X-Microsoft-Antispam: BCL:0;

Die E-Mail wird als Phishing (im Header = CAT:PHISH;SFTY:9.25) definiert und kommt von der Microsoft-IP 40.107.135.117. Laut Whois-Abfrage ein Microsoft-Server. In der Regel sollte aber die E-Mail von der IP des Absender stammen, so zumindest werden die normalen E-Mails protokolliert.

Man könnte jetzt natürlich unzählige Empfänger anschreiben und Postfach A auf die Whitelist setzen. Leider löst es aber zukünftig nicht das Problem.
Hat jemand bereits Erfahrung bezüglich SPAM gesammelt und kann mir schreiben, was vielleicht noch getan werden kann?
Ich vermute ja, dass die E-Mail bei Microsoft über einen Anti-Spam-Server laufen, dieser die E-Mail als Spam/Phishing erkennt, den Header entsprechend anpasst und an den Empfänger weiterleitet. Den Support von Microsoft habe ich diesbezüglich schon hingewiesen, die meinen aber dem sei nicht so. Sie behaupten auch, dass sie nichts ausrichten können, da E-Mails zu ca. 70% normal zugestellt werden.

Gruß Jakob

Content-ID: 2850708957

Url: https://administrator.de/contentid/2850708957

Printed on: December 7, 2024 at 08:12 o'clock

Dani
Dani May 20, 2022 at 15:33:41 (UTC)
Goto Top
Moin,
DKIM Authentifizierungsverfahren in Exchange Online erfolgreich aktiviert
das bringt nur was, wenn der Empfänger diesen Header auch auswertet.

bei einigen Empfängern in der Quarantäne landen.
Ebenfalls Microsoft/Office 365 Kunden oder handelt es sich dabei um On-Premise E-Mail-Server?

Altes Postfach A gelöscht und neues Postfach erstellt --> Problem weiterhin vorhanden
Tritt das Problem auch auf, wenn du von den betroffenen Empfänger eine Text-E-Mail (nicht HTML) mit sinnvollen Sätzen schreibst?

Im Header in der Quarantänemail steht folgender Text
Wird bei den anderen E-Mails, die ohne Problem zugestellt werden, die selbe IP-Adresse seitens Microsoft gesendet?


Gruß,
Dani
StefanKittel
StefanKittel May 20, 2022 updated at 16:52:57 (UTC)
Goto Top
Hallo,

das ist immer ein Problem.
Der Providers des Empfängers kann diese Frage beantworten.
Aber er wird es nicht tun, weil die Funktionsweise ein Geheimnis ist.

Eventuell hat der Empfänger mal 2-3 Mails von diesem Absender als Junk gemeldet und der Absender steht nun auf einer internen schwarzen Liste des Providers. Oder ein technischer Fehler hat dazu geführt.

Ich habe so etwas regelmäßig bei Kunden.
Dann aber meist Domänenweise. Mal kann man von Busymouse nicht an Gmails senden, mal von 1und1 nicht an die Telekom. Meist löst sich das nach 1-2 Tagen. Alle Versuche dies zu beschleunigen oder die Hintergründe zu erfahren verliefen im Nichts.

Solange es so viel Spam gibt, fummeln alle Provider täglich an ihren Antispam-Systemen und verfehlen manchmal das Ziel.

Der Empfänger kann ja mal seinen Provider fragen warum die Mails nicht ankommen.
Als Versender kannst Du kaum etwas machen außer IP, SPF und DKIM prüfen.

Stefan
anandax
anandax May 23, 2022 at 07:26:10 (UTC)
Goto Top
Zitat von @Dani:

Moin,
DKIM Authentifizierungsverfahren in Exchange Online erfolgreich aktiviert
das bringt nur was, wenn der Empfänger diesen Header auch auswertet.

Empfänger sind ebenfalls 365-Konten.
bei einigen Empfängern in der Quarantäne landen.
Ebenfalls Microsoft/Office 365 Kunden oder handelt es sich dabei um On-Premise E-Mail-Server?

Ebenfalls 365-Kunden. Gefühlt würde ich sagen, nur 365-Konten. Kann es aber nicht bestätigen, da nicht alle angeschrieben.
Altes Postfach A gelöscht und neues Postfach erstellt --> Problem weiterhin vorhanden
Tritt das Problem auch auf, wenn du von den betroffenen Empfänger eine Text-E-Mail (nicht HTML) mit sinnvollen Sätzen schreibst?

Ja, das war das Erste was ich getestet habe. In Plaintext das gleiche Problem.
Im Header in der Quarantänemail steht folgender Text
Wird bei den anderen E-Mails, die ohne Problem zugestellt werden, die selbe IP-Adresse seitens Microsoft gesendet?

Nein, es wird die öffentliche IP (Telekom, Vodafone usw.) des Absenders angezeigt


Zitat von @StefanKittel:

Hallo,

das ist immer ein Problem.
Der Providers des Empfängers kann diese Frage beantworten.
Aber er wird es nicht tun, weil die Funktionsweise ein Geheimnis ist.

Aktuell sind es nur Microsoft-Kunden. 3 von 7 betroffenen Domains sind 365 Kunden. Rest weiß ich (noch) nicht.

Eventuell hat der Empfänger mal 2-3 Mails von diesem Absender als Junk gemeldet und der Absender steht nun auf einer internen schwarzen Liste des Providers. Oder ein technischer Fehler hat dazu geführt.

Die Vermutung habe ich auch. Angeblich aber nicht der Fall.
Ich habe so etwas regelmäßig bei Kunden.


Solange es so viel Spam gibt, fummeln alle Provider täglich an ihren Antispam-Systemen und verfehlen manchmal das Ziel.
Scheint bei Microsoft nicht anders zu sein
StefanKittel
StefanKittel May 23, 2022 at 07:35:10 (UTC)
Goto Top
Moin,

wenn es Mails von o365 zu o365 kann sich MS zumindest nicht darum rausreden, dass es am anderen Provider liegt.
Für eine Analyse reicht ja schon eine Mail mit Absender, Empfänger, Betreff, Uhrzeit und Datum.
Damit soll der Support doch bitte mal schauen wo der Fehler ist.
Kann ja auch ein DNS-Fehler oder ähnliches sein. Oder ein Bug bei MS.

Stefan