bestimmer Absender landet immer im Exchange Online Junk

[Dirk-HH-83 14]

Hallo, 

 

im SMTP-Log vom Exchange 2010 (der Absender) (beim schicken an m365 aka der Empfänger)  ist dies auffällig: TLS negotiation failed with error SocketError

Ist das ein klarer Fall für IIS Crypto?  https://www.nartac.com/Products/IISCrypto

 

Details:

Im m365 exchange online landet die email eines absenders immer im junk. (nicht nur bei einem tenant)

Der Absender hat noch win2008/exchange 2010 und versendet direkt über öff. IP ohne smarthost. (ist nicht blacklisted)

Bei der Absenderdomain:   unter www.spf-record.de wird kein Fehler angezeigt, bei www.mail-tester.com wird 8 von 10 angezeigt ohne Fehlermeldung

Der Absender ist bei https://sender.office.com "gewhitlisted" heute morgen, weil im exchange 2010 SMTP Log darum gebeten wurde

Im Header der Email im m365 Junkordner steht dies: 

X-MS-Exchange-Organization-SCL: 5  und X-EOPAttributedMessage: 0   

Authentication-Results: spf=pass (sender IP is 91.xxx.x.xxx)
 smtp.mailfrom=absender.de; m365-empfaenger.de; dkim=none (message not signed)
 header.d=none;m365-empfaenger.de; dmarc=pass action=none
 header.from=absender.de;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of absender.de designates
 91.xxx.x.xxx as permitted sender) receiver=protection.outlook.com;
 client-ip=91.xxx.x.xxx; helo=remote.absender.de;

 

 

Das man im m365 tenant admincenter "IPs global für den tenant whitelisten kann ist mir bekannt". 

Wenn Absender eine Mail versendet, dann steht beim Empfänger222  dies im Header:   (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested)

 

besten dank für eine Idee

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[NorbertFe 2.034]

Ein SPF Record wird heute als absolutes Minimum angesehen. Damit erhöhst du aber deine Reputation "nur bedingt". Schau dir doch mal bspw. bei Talos (https://talosintelligence.com/reputation_center/) an, wie die IP des Absenders abschneidet. TLS sollte natürlich nach best practices konfiguriert sein. Dazu kommt DKIM, DMARC, ARC usw. usf. Und selbst dann kanns dir immer noch passieren.

 

Bye

Norbert

[Dirk-HH-83 14]

Hallo, 

 

wenn man beim hosting-domain-web-provider in den webmailer (der Absenderdomain) geht

und von dort an ein Exchange Online Postfach

eine Testmail sendet landet sie auch im Junk. (sie hat SCL 5)

Es liegt also nicht am on-premises Exchange 2010.

Ob die Hinweise auf dieser Page die Lösung sind wird noch geprüft: 

https://docs.hetzner.com/de/robot/dedicated-server/troubleshooting/microsoft-blacklist/

 

Bei sender.office.com steht dies: 

Die betreffende IP-Adresse wird von unserem System zurzeit nicht blockiert. Lesen Sie bitte in der von Microsoft empfangenen E-Mail nach, und befolgen Sie die darin vorgeschlagenen Schritte.

Wenn Sie versuchen, eine in Hotmail.com/Live.com/Outlook.com blockierte IP-Adresse aus der Liste zu entfernen, verwenden Sie den folgenden Link.
....

Wenn Sie versuchen, einen gesperrten oder blockierten Absender aus der Liste zu entfernen, öffnen Sie von Ihrem Mandanten aus ein Supportticket.

[NorbertFe 2.034]

Und? Liest du meine Antwort so wie ich sie meinte, oder is das nur so Hintergrundrauschen im Informationsgewühl? Wie man auf deine Schlußfolgerung kommt, ist mir unklar. Ich komme auf eine andere. Aber da du das ja ignorierst, mach ich das hier auch erstmal. :)

 

Viel Erfolg.

[Dirk-HH-83 14]

Am 1.9.2021 um 18:01 schrieb NorbertFe:

Ein SPF Record wird heute als absolutes Minimum angesehen. Damit erhöhst du aber deine Reputation "nur bedingt". Schau dir doch mal bspw. bei Talos (https://talosintelligence.com/reputation_center/) an, wie die IP des Absenders abschneidet. TLS sollte natürlich nach best practices konfiguriert sein. Dazu kommt DKIM, DMARC, ARC usw. usf. Und selbst dann kanns dir immer noch passieren.

 

Bye

Norbert

TALOS = neutral, man braucht cisco id, wie man auf "good" ändern weiß ich noch nicht.

 

Es hat sich gelöst, der ISP hat dem on-premises-exchange eine andere static-public-ip zugewiesen.
Die Mails landen nicht mehr im Junk vom m365 ökosystem.

 

Der M365 Support war der Meinung man könnte bei 

https://security.microsoft.com/reportsubmission

die False Positves anhand Header-ID an Microsoft reporten und um postivlisting bitten.

Dies sind ja andere "not-junk" melde methoden:  not_junk@office365.microsoft.com 

https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/report-false-positives-and-false-negatives?view=o365-worldwide

https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/submit-spam-non-spam-and-phishing-scam-messages-to-microsoft-for-analysis?view=o365-worldwide

Das Learning ist dann offenbar, das man keine neue IP akzeptieren sollte, sofern sie bei 

https://sender.office.com/   und postmaster@rx.t-online.de  keine weiße Weste hat.

Ich kenne aktuell keine Webseite, bei der man auch vergangenes SMTP-Negativlisting nachgucken kann.

 

bearbeitet 8. September 2021 von Dirk-HH-83
edit