SMTP Umstellung (von Smarthost zu SMTP) - Fehler rDNS

[PowerShellAdmin 169]

Hallo zusammen,

ich habe die letzten Wochen an unserem Exchange gewerkelt. Es lief bis heute per Pop3 Connector.

Die vergangene Woche habe ich Firewall und rDNS Einträge gesetzt und diese im vorraus überprüft. Sowie sämtliche umgeleiteten eMails bei den Empfängern gepflegt.

 

Heute habe ich die MX Einträge umgestellt, sowie die neuen Empfangs (für den MX Record), sowie Sendeconnectoren (zum eigenen Versand) aktiviert.

 

-alten Sendeconnector deaktiviert -> neuen aktiviert (fqdn host.domain.tld also != interne name, dieser lautet host.standort.domain.tld)

alten Empfangsconnector auf lokale IP gebunden (fqdn -host.standort.domain.tld)

- neuen aktiviert (fqdn host.domain.tld & externe IP)

 

Generell: Es funktioniert nun alles auf anhieb (Umstellung ist Providerseitig aktiv)

 

-eingehende eMails - ok

-ausgehende eMails - ok

-Blacklist -> keine Einträge

-MX Toolbox => alles ok, rDNS & SMTP Banner ok.

 

Nun habe ich aber ein weiteres eMailtool geprüft, hier sagt er einen Fehler beim rDNS

All About SPAM - Email Server Test Report

Wie kritisch ist das einzuordnen ?

"Reverse DNS exists for Email server, but does not match the forward DNS."

Achja die öffentliche IP des Hub Servers ist .40, die öffentliche des Routers .34. Die rDNS Einträge habe ich an der Stelle auf beide IPs gesetzt - Meiner Meinung nach benötige ich hier nur einen rDNS Eintrag (host.domain.tld => Router IP).

 

edit:

Ich habe nun beim Hoster eine Subdomäne Host.Domain.TLD erstellt und den A-Eintrag auf den Router gesetzt. Aufgrund der Fehlermeldung habe ich den Verdacht, dass es hierdran liegt.

 

vielen Dank & Grüße

 

Admin :)

[RobertWi 81]

Moin,

 

natürlich müssen sendende Server und empfangende Server nicht die gleichen sein, d.h. diese Warnung sollte zu keinem Fehler führen. Wichtig ist, dass der rDNS zum HELO-FQDN passt, sonst gibt es garantiert Stress.

[PowerShellAdmin 169]

Hi robert,

Das stimmt soweit. Damit ist also alles ok ja :)?

Im link siehst du hier auch die Prüfung.

Mx. Tools segnen ja auch alles ab - in den Punkten.

[PowerShellAdmin 169]

ich habe nochmal eine Frage.

Wir haben 2 eMAildomänen (domain1.tld, domain2.tld) -Empfang funktioniert.

Der Sendeconnector hat den FQDN host.domain1.tld und die rDNS Einträge waren korrekt.

 

Eben habe ich von Domain2 eine eMail an Arcor gesendet - die aller erste eMail an Arcor über den Sendeconnector und die Absendedomäne - "Greylist" Meldung kam.

2. eMail direkt durch.

Also alles wunderbar oder ? - War ja nur ein einmaliger Vorgang zu Identifizierung.

Sry für meine Neugierde, möchte nur kein "unschönes" erwachen - lieber einmal zu viel gefragt.

 

Achja wollte mich in verschiedene Whitelists eintragen, gibt es hier ein empfohlenes Vorgehen - z.B. Sammelliste ?

[RobertWi 81]

Moin,

 

ich habe nochmal eine Frage.

Wir haben 2 eMAildomänen (domain1.tld, domain2.tld) -Empfang funktioniert.

Der Sendeconnector hat den FQDN host.domain1.tld und die rDNS Einträge waren korrekt.

 

Waren? Sind doch hoffentlich. ;)

 

Eben habe ich von Domain2 eine eMail an Arcor gesendet - die aller erste eMail an Arcor über den Sendeconnector und die Absendedomäne - "Greylist" Meldung kam.

2. eMail direkt durch.

Also alles wunderbar oder ? - War ja nur ein einmaliger Vorgang zu Identifizierung.

 

Genau, kein Problem.

 

 

Achja wollte mich in verschiedene Whitelists eintragen, gibt es hier ein empfohlenes Vorgehen - z.B. Sammelliste ?

 

Ich kenne kaum Server, die Whitelisten abfragen - zu leicht könnte dort manipuliert werden. Aber kann vielleicht noch jemand anders was zu sagen.

[PowerShellAdmin 169]

Hi Robert,

vielen Dank für dein Feedback - weiß es ist Wochenende.

Ja ist noch alles im lot und konnte jetzt keine Störungen feststellen.

Dank Vorbereitung ging der Umstieg (Connectoren aktiviert, MX Record gesetzt) in 5Minuten - Nachforschungen haben da heute nur die Zeit gekostet :)

Bzgl. Whitelists, vielleicht kann hier ja noch der ein oder andere Infos abgeben- dachte es ist sinnvoll bei größeren Providern einzutragen.

 

viele Grüße & nun ein schönes Wochenende

 

Admin :)

[GuentherH 61]

Ich kenne kaum Server, die Whitelisten abfragen

 

Ist ja auch ein Widerspruch an sich. Ich trage mich bei einer Whitelist ein, bin aber als Spammer auf allen Blacklists vorhanden ;)

 

Ich kenne Whitelist nur im Zusammenhang mit einem Produkt (XWALL). Hier hat man die Möglichkeit, dass die XWALL Mail Domänen an die man sendet auf einem zentralen Server des Herstellers auf eine Whitelist setzt.

 

Ich persönlich halte von den ganzen Blacklisten sowieso nicht viel. Wenn ein SPAM-Filter erst zuschlägt weil eine Domäne auf einer Blacklist ist, dann haben vorher schon andere Mechanismen versagt.

Und White List gibt es nur eine, und zwar die eigene. ;)

 

LG Günther

[NorbertFe 2.045]

Ich benutze zwar eine, aber ob da wirklich jemals ein Hit bei rauskam?

Certified Sender, Email Certification ? Return Path (die gibts gratis dazu beim Einsatz von ORF, dessen Installation ich dem TO auch empfehlen würde).

 

Bye

Norbert

[PowerShellAdmin 169]

die Frage mit der Whitelist kam auf, da ich gelesen habe, dass man sinnvoll Whitelisten und Blacklisten abfragt und so das Spamaufkommen deutl. veringern kann.

 

Ach und es funktioniert noch alles prima ;) -endlich klein nervigen POP3 Connector der alle paar Sekunden erhebliche CPU Last erzeugt und unregelmäßig abstürzt.

 

Da wir Forefront for Exchange verwenden, überlege ich mir derzeit noch Forefront for Exchange Online einzurichten.

Hier werden ja die MX Records nur umgeleitet und man hat quasi einen "Online Edge Server" mit einer vorglagerten Forefront Version.

 

Die Erkennungsrate soll laut MS hier nochmal besser sein, wobei ich mir hier Frage, ob es an einer Stelle mit dem Datenschutz kollidiert.

[NorbertFe 2.045]

Da wir Forefront for Exchange verwenden, überlege ich mir derzeit noch Forefront for Exchange Online einzurichten.

Hier werden ja die MX Records nur umgeleitet und man hat quasi einen "Online Edge Server" mit einer vorglagerten Forefront Version.

 

Ja eben, du hast also keinen direkten Einfluß mehr. ;) Logfiles lesen kann dann schon etwas schwieriger werden.

 

Die Erkennungsrate soll laut MS hier nochmal besser sein, wobei ich mir hier Frage, ob es an einer Stelle mit dem Datenschutz kollidiert.

 

Ich bin kein Freund von hosted spamservices. Aber das muß jeder für sich entscheiden. Schau dir wie gesagt mal ORF von vamsoft.com an. Das kann auch gut mit Forefront kombiniert werden (nicht die Online. ;))

 

Bye

Norbert

[PowerShellAdmin 169]

und da hatte es mich doch erwischt. Oh man.

88.blocklist.za von Microsoft hat die IP gelistet (Forefront).

Habe bereits ein Nachricht an Microsoft verschickt.

 

Sollte ich nochmal was in meinen Einstellungen überprüfen ? - gehe davon aus, dass es den Ursprung bei den IP-Vorbesitzer hat.

Achja wir nutzen übrigens selbst Forefront & ich hatte auch per MS RCA vorab die IP geprüft.

bearbeitet 6. Februar 2012 von PowerShellAdmin

[PowerShellAdmin 169]

Funktioniert mittlerweile übrigens. Besonders ärgerlich, da die Blacklist in keinen üblichen Tests abgefragt wird.

 

Achja wollte einen SPF Record bei unserem Provider eintragen lassen -geht nicht (1und1)... tolle Sache (Absender ID wird ja empfohlen)

[NorbertFe 2.045]

Achja wollte einen SPF Record bei unserem Provider eintragen lassen -geht nicht (1und1)... tolle Sache (Absender ID wird ja empfohlen)

 

Die Begründung dafür bei 1&1 ist "nett". Vor allem, weil sie für ihre eigenen Domains sehr wohl einen spf record geschaltet haben. Für mich ein Grund, einen anderen DNS Provider zu suchen. Ist ja nicht so, als gäbe es keine Alternativen.

 

Bye

Norbert

[PowerShellAdmin 169]

-.- bin auch etwas verwundert, hatte den Artikel zu deren eigenen SPF Records vorab gelesen.

Hies nur "geht nicht", meinte nur natürlich geht das, ihr macht es nicht "ja"....

Muss ich jetzt rechnen, zukünftig in Spam zu landen ?

Laut MSFAQ sind SPF Records kein großer Mehrgewinn an Sicherheit, aber z.B. MS mag das ganz und garnicht ohne.

 

edit: Providerwechsel heißt auch Website Umzug usw.Gerade ein damit verbundener Ausfall des eMailverkehr wäre besonders ärgerlich. (wir haben ~200Domains bei 1und1)^^

[NorbertFe 2.045]

Muss ich jetzt rechnen, zukünftig in Spam zu landen ?

 

Nein, es ist nur ein zusätzlicher Effekt, der 1. Verhindern kann, dass deine Domain als Spamversender verwendet wird (hängt natürlich vom Empfänger ab) und 2. bei vielen Konfigurationen geht ein korrekt konfigurierte SPF Record bspw. am Greylisting vorbei, heißt du hast keine Verzögerung der Zustellung mehr.

 

Laut MSFAQ sind SPF Records kein großer Mehrgewinn an Sicherheit, aber z.B. MS mag das ganz und garnicht ohne.

 

Das ist sicher Ansichtssache. Im Allgemeinen empfehle ich einen SPF Record zu schalten, man sollte sich aber im Klaren darüber sein, dass es immer mal wieder zu Konstellationen kommen kann, dass die Mails dann nicht ankommen. Umleitung/Weiterleitung bspw. Oder Mailrelays, die dann als letztes den SPF Record prüfen, was natürlich dann im Allgemeinen fehlschlägt. Sind normalerweise alles nicht deine Probleme, aber du wirst sie auf den Tisch bekommen. ;)

 

Bye

Norbert

 

PS: Wie gesagt, schau dir mal ORF an, da kann man die ganzen Tests sehr angenehm ausprobieren. Und man hat ein Logfile, welches man auch ohne Studium auswerten kann. ;)