Exchange-Online - Reverse DNS?

[wznutzer 35]

Guten Tag,

 

ein Kunde lehnt Mails von mir ab. Sein Spamfilter prüft per Reverse-DNS, ob die IP zur Domäne passt. Interessanterweise macht er das, obwohl SPF, DKIM, DMARC korrekt konfiguriert ist. Er will halt auch einen gültigen Reverse-DNS. Ich kann aber bei Exchange-Online gar keinen rDNS setzen. Lt. meinen Tests ändert sich das ja ständig.

 

Wenn SPF, DKIM, DMARC alles simmt, ist es doch Unsinn eine Email wegen fehlendem rDNS abzulehnen, oder?

 

Grüße

[cj_berlin 1.315]

Ja, das ist in der Tat Quatsch, der in den frühen 2000ern erfunden wurde, um Billig-Internetzugänge von den ordentlichen zu trennen. Das war auch damals schon Quatsch, aber seit SPF und vor allem DMARC ist es totaler Dreck.

[MrCocktail 192]

Wobei, prüft er wirklich deine Domain, dann ist es Müll... oder prüft er, ob der Hostname sich reverse auflösen lässt? Das geht nämlich meistens bei Microsoft, ab und zu vergessen Sie es allerdings, wenn Sie neue IPs in Betrieb nehmen, auch da arbeiten nur Menschen, die nicht immer alle knöpfe für die Automatisierung drücken.

[wznutzer 35]

Vielen Dank für die Bemerkungen. Alles klar, ich werde empfehlen das zu lassen und den Rest ordentlich zu machen.

 

Aber auch der Hostname lässt sich im Microsoft-Universum, meine ich, so nicht prüfen. Die Email wird z. B. von einer IP: X.X.X.X und dem Hostnamen EURXX-DBX-obe.outbound.protection.outlook.com gesendet. Die rDNS sagt dann aber die IP: X.X.X.X gehört zu mail-dbXeurXXonXXXX.outbound.protection.outlook.com. Darauf habe ich ja keinen Einfluss.

 

Grüße und einen schönen Abend

[NorbertFe 2.034]

Und das ist auch vollkommen korrekt. Also müßte wohl eher hinterfragt werden, warum eine rDNS Abfrage zu einem Fehler führt bei diesem Empfänger. Denn üblicherweise treten solche Fehler auf, weil er die Prüfung falsch konfiguriert hat. Nirgends gibts ein RFC, was vorschreibt, dass die rDNS Prüfung auf die "Sender Domain" aufzulösen hat.

[cj_berlin 1.315]

Das ist nicht die Sender Domain, sondern der Sender Host. Und der HELO String beim Send Connector ist halt ein anderer als der Hostname hinter der IP-Adresse, die zum empfangenden MX spricht. Es ist *schon* ein Fehlerzustand, aber einer, den Du bei 75% der SMTP-Handshakes feststellen würdest, wenn Du dir die Mühe machen würdest zu prüfen.

 

[zahni 554]

ich würde mal mit mxtoolbox prüfen, ob spf, dkim usw. wirklich stimmen.

Ich kenne ein paar Beispiele, wo man nur glaubte, dass sie stimmen.

[NorbertFe 2.034]

vor 4 Stunden schrieb wznutzer:

Sein Spamfilter prüft per Reverse-DNS, ob die IP zur Domäne passt.

Wenn das so ist, wie ich vermute, ist das kein Fehler und würde zu x% bei fast allen bei großen Hostern geführten Kundendomains fehlschlagen.

 

Wo du da den HELO String siehst, wäre ebenfalls zu klären, denn aus dem Ursprungsposting ist das so nicht rauszulesen. Und selbst wenn, wäre auch diese Überprüfung weder sinnvoll noch legitim (da bin ich mir grad nicht zu 100% sicher).

 

Vielleicht kann ja der TO mal den NDR posten (anonymisiert)

bearbeitet 29. Januar von NorbertFe

[cj_berlin 1.315]

 

[NorbertFe 2.034]

ah ok, übersehen. Meiner Meinung nach ist der Filter beknackt, weil es so gut wie nie funktionieren wird, wenn man da nicht seinen eigenen Host betreibt.

[NorbertFe 2.034]

vor 3 Stunden schrieb zahni:

Ich kenne ein paar Beispiele, wo man nur glaubte, dass sie stimmen.

Kann ja nicht jeder syntaxfehler im spf haben. ;)

[wznutzer 35]

vor 16 Stunden schrieb zahni:

ich würde mal mit mxtoolbox prüfen, ob spf, dkim usw. wirklich stimmen.

Das habe ich tatsächlich gemacht. Bei mir scheint alles OK. Auch der Selektor2 bei DKIM funktioniert, der ja bei der Einrichtung manchmal erst nach dem Rotieren der Keys funktioniert.

 

Ab und zu nutze ich mail-tester.com, der sagt mir zwar ab und zu, dass die IP von der Emails gesendet werden auf irgendeiner Blacklist steht, aber da das eine Microsoft-IP ist, kann ich da auch nichts machen.

 

vor 16 Stunden schrieb NorbertFe:

Vielleicht kann ja der TO mal den NDR posten (anonymisiert)

Ich bekomme gar kein NDR. Sein Spamfilter fischt die Email einfach weg. Also er nimmt Sie aus meiner Sicht an, stellt die Mail aber nicht zu.

 

Ich muss mal schauen, ob ich jemand ans Telefon bekomme, der da nicht nur "Stille-Post-Antworten" weitergibt.

 

Vielen Dank an euch.

[NorbertFe 2.034]

vor 3 Minuten schrieb wznutzer:

Ich bekomme gar kein NDR. Sein Spamfilter fischt die Email einfach weg. Also er nimmt Sie aus meiner Sicht an, stellt die Mail aber nicht zu.

 

Dann hat er sie ja angenommen und muss seine Kriterien anpassen. Das ist kein valides Filterkriterium, was er da anwendet (es sei denn er kann das auch mal belegen und nicht einfach die Mail in die Tonne werfen). Ohne Kommunikation mit demjenigen wird das aber nichts. Vor allem ist meiner Erfahrung nach der Einsichtsfaktor, dass der eigene Filter manchmal keine gute Konfiguration hat nicht sehr hoch. ;)