Smtp - Microsoft: S3150. Zucht

Ferenc · 15 februari 2022 om 12:51

Snap ik (denk ik!); mijn Postfix tekent (opendkim) alle uitgaande mail en de publieke sleutel is naar behoren gepubliceerd via DNS. Denk ik. Maar ook getoetst bij internet.nl, mail-tester.com etc.

Maar alle mail die ik wens te relayen via Sendinblue, is door mij getekend (en dus via DNS te controleren), wordt van een 2e DKIM signature header voorzien door Sendinblue. Deze header is te controleren via DNS van Sendinblue - denk ik, niet gecontroleerd - maar de test e-mail komt niet aan bij Gmail. Wordt gereject denk ik, maar kan ik niet nagaan want dat gebeurt tussen Sendinblue en Google. (Sendinblue stuurt mij niet terug wat niet kon worden afgeleverd.)

anon54082171 · 15 februari 2022 om 13:16

Zolang er maar een rDNS is en die IP overeenkomt met die in de MX dan hoeft de domeinnaam in de rDNS niet overeen te komen.

Ik denk dat de redenering was dat gewone mensen geen reverse DNS konden bij hun ISP en bedrijven konden wel. Denk ook aan VPS bedrijven, zoals Vimexx etc, die duizenden domeinen mail laten verzenden op hun eigen domeinnaam. Hoe is dat dan anders mogelijk?

Ik heb zelf een paar domeinen en één IP en één standaard rDNS van Freedom. Werkt perfect, net als voorheen bij Xs4all.

Het inderdaad SPD en niet VRF.

	SMTP Reverse DNS Mismatch	OK - 45.138.xxx.xxx resolves to xxx-xxx-138-45.connected.by.freedominter.net
	SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
	SMTP Banner Check	OK - Reverse DNS matches SMTP Banner
	SMTP TLS	OK - Supports TLS.
	SMTP Connection Time	0.789 seconds - Good on Connection time
	SMTP Open Relay	OK - Not an open relay.
	SMTP Transaction Time	1.531 seconds - Good on Transaction Time
Session Transcript:

Connecting to 45.138.xxx.xxx

220 xxx-xxx-138-45.connected.by.freedominter.net ESMTP [687 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-xxx-xxx-138-45.connected.by.freedominter.net
250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [202 ms]
MAIL FROM:supertool@mxtoolboxsmtpdiag.com
250 2.1.0 Ok [246 ms]
RCPT TO:test@mxtoolboxsmtpdiag.com
454 4.7.1 test@mxtoolboxsmtpdiag.com: Relay access denied [202 ms]

LookupServer 2541ms|

En Freedom zelf SMTP Banner probleem…ook op freedomnet.nl:

	SMTP Banner Check	Reverse DNS does not match SMTP Banner
	SMTP Reverse DNS Mismatch	OK - 185.93.175.46 resolves to haproxy.frontproxy.fi001.nl.freedomnet.nl
	SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
	SMTP TLS	OK - Supports TLS.
	SMTP Connection Time	0.312 seconds - Good on Connection time
	SMTP Open Relay	OK - Not an open relay.
	SMTP Transaction Time	1.034 seconds - Good on Transaction Time
Session Transcript:

Connecting to 185.93.175.46

220 mail.freedomnet.nl ESMTP IceWarp Deep Castle 2 Update 1 build 3; Tue, 15 Feb 2022 14:26:44 +0100 [143 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-mail.freedomnet.nl Hello keeper-us-east-1b.mxtoolbox.com [10.1.0.17], pleased to meet you.
250-ENHANCEDSTATUSCODES
250-SIZE
250-EXPN
250-ETRN
250-ATRN
250-DSN
250-CHECKPOINT
250-8BITMIME
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-VRFY
250 HELP [205 ms]
MAIL FROM:supertool@mxtoolboxsmtpdiag.com
250 2.1.0 supertool@mxtoolboxsmtpdiag.com… Sender ok [206 ms]
RCPT TO:test@mxtoolboxsmtpdiag.com
550 5.7.1 test@mxtoolboxsmtpdiag.com… we do not relay supertool@mxtoolboxsmtpdiag.com [217 ms]

LookupServer 1757ms|

Ferenc · 15 februari 2022 om 22:44

Zeker. Maar het schijnt dat een lange / met meer dan 2 punten / lelijke hostname van je smtp server reden is voor Microsoft is je mail te weigeren. Schijnt, want Microsoft zegt natuurlijk niet waarom ze weigeren.

Daarom is iedereen / ik blij met de Freedom Helpdesk waar je je rDNS kunt instellen op een eigen fqdn.

Ferenc · 15 februari 2022 om 22:53

Hiermee bedoelde ik: relay host. Kortgezegd, dit werkt, bv met Sendinblue.

Je moet wel accepteren dat Sendinblue je mail grondig aanpast, oa met list-unsubscribe en verborgen links die maken dat Sendinblue kan zien of de mail geopend is of niet. Spammer technieken.

Ik heb dit met 1 domein uitgeprobeerd, laten we zeggen stoelpoot.nl, met de gedachte dat ik andere domeinen ongemoeid kan laten, zoals tafelblad.nu. Maar ja, via Sendinblue komt mail van stoelpoot.nl prima aan in mijn outlook mailbox, maar als dezelfde server als afzender tafelblad.nu naar outlook mailt, zie ik outlook-com.olc.protection.outlook.com de mail wel accepteren, maar die komt nooit ergens aan…

anon54082171 · 15 februari 2022 om 23:36

Tja, daar heb ik niets aan omdat is meer dan één domein heb en maar één IP.

Ik zou echter het gratis domein bij Freedom kunnen gebruiken voor alleen de mailserver.

zoiets als MX mail.hier.nl en als rDNS esrever.mail.nl

Update: Ik weiger als er geen rDNS (PTR) is:

        1   4xx Reject unknown reverse client host 
        1      xxx.x5.50.218

Ferenc · 16 februari 2022 om 13:26

Misschien valt het mee; als mijn niet-via-Sendinblue-gerelayed domein een antwoord stuurt op een outlook mail komt het gewoon aan. Dus het kan wel.

Maar goed. De bloat (extra DKIM, tracking images, list-unsubscribe) die Sendinblue (en SMTP2GO) toevoegen aan gerelayde e-mail vind ik maar niets. Ik geef het op. Het internet is stuk. De aspergers hadden iets moois bedacht en toen namen de ondernemers het over. Nu is het naar de haaien. Ik gebruik wel Outlook om met mijn vrouw te mailen.

Voor de volledigheid, ik heb voor rDNS een A (en AAAA) record opgevoerd bij een andere registrar dan Freedom.

Dat had ik ook, totdat mijn vrouw (daar is ze weer) een fotoboek miste, omdat de Hollandse Eenheids MAatschappij geen rDNS had geconfigureerd… (Leg dat maar eens uit aan de HEMA klantenservice.)

Ferenc · 16 februari 2022 om 15:42

Om het topic niet geheel nutteloos te maken, hier de Postfix config die ik gebruikte:

In main.cf relayen mogelijk maken met setting transport_maps:
transport_maps = hash:/etc/postfix/transport_maps

In transport_maps de domeinen die gerelayed moeten worden:

outlook.com            relay:[smtp-relay.sendinblue.com]:587
hotmail.com            relay:[smtp-relay.sendinblue.com]:587
live.com               relay:[smtp-relay.sendinblue.com]:587

Niet vergeten ‘postmap transport_maps’ te doen (want hash: zie Postfix docu)

Verder met main.cf authenticatie inregelen voor remote smtp:

smtp_sasl_auth_enable   = yes #  als dit al niet aan stond
smtp_tls_policy_maps    = hash:/etc/postfix/smtp_tls_policy_maps
smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password_maps

In smtp_tls_policy_maps staat:
[smtp-mail.outlook.com]:587 encrypt

In smtp_sasl_password_maps staat:
[smtp-relay.sendinblue.com]:587 sendinblue_username=@domain.com:sendinblue_password

Niet postmap vergeten.

@jcmraats ik ben je aanbod niet vergeten, dank in elk geval, maar ik merk dat mijn config er niet eenvoudiger op wordt met een relay. En dat voor iets wat eerder geen probleem was.

jcmraats · 16 februari 2022 om 16:12

Heel goed!

Je moet niet vergeten je SPF record aan te passen. Mail van je domein komt namelijk nu ook van sendinblue.

jcmraats · 16 februari 2022 om 16:21

Ter lering en vermaak heb ik hier stukjes van mijn postfix main.cf:

Om SPAM tegen te gaan gebruik ik o.a. postscreen:


postscreen_access_list = permit_mynetworks
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_whitelist_threshold = -1
postscreen_dnsbl_sites=
        zen.spamhaus.net=127.0.0.[2..255]*3
        b.barracudacentral.org=127.0.0.[2..11]*2
        bl.spameatingmonkey.net*2
        bl.spamcop.net
        dnsbl.sorbs.net
        swl.spamhaus.org*-4
        list.dnswl.org=127.[0..255].[0..255].0*-2
        list.dnswl.org=127.[0..255].[0..255].1*-4
        list.dnswl.org=127.[0..255].[0..255].[2..3]*-6

postscreen_dnsbl_action = enforce
postscreen_greet_action = enforce
postscreen_helo_required = yes
postscreen_blacklist_action = drop

postscreen_pipelining_action = enforce
# postscreen_pipelining_enable = yes
# postscreen_pipelining_ttl = 30d
        
postscreen_non_smtp_command_action = enforce
# postscreen_non_smtp_command_enable = yes
# postscreen_non_smtp_command_ttl = 30d

postscreen_bare_newline_action = enforce
# postscreen_bare_newline_enable = yes
# postscreen_bare_newline_ttl = 30d

Ferenc · 16 februari 2022 om 21:37

Inderdaad. Met de juiste SPF record en andere zaken word je begeleid bij account maken bij Sendinblue. Zelfde bij SMTP2GO.

Ferenc · 16 februari 2022 om 21:38

Ik heb btw als laatste redmiddel Freedom om een ander ip adres gevraagd. Nee heb je, ja kun je krijgen.

Steffen · 17 februari 2022 om 19:37

Gebruik ook smtp2togo voor bijna een jaar, werkt prima.

Gebruik het voor mail naar Hotmail.com, live.com, Outlook.com, msn.com, Hotmail.co.nz etc.

Draai de mailserver Surgmail ( http://netwinsite.com/ ) op Windows, en gateway naar bovenstaande adressen.

Ferenc · 18 februari 2022 om 07:37

Wat zijn jullie DKIM en met name DMARC instellingen?

Eirikr · 18 februari 2022 om 09:55

Hoe zit het eigenlijk met het gebruik van de local part, dus het gedeelte voor de @?

In theorie is 1 karakter toegestaan. Een e-mailadres als x@example.com zou dus moeten functioneren. Maar hoe gaan de diverse spam-diensten hier mee om?

Zie bijvoorbeeld ook: validation - What is the actual minimum length of an email address as defined by the IETF? - Stack Overflow

Ferenc · 18 februari 2022 om 11:00

De howto’s van SIDN zijn inderdaad prima. Maar wat heb jij ingesteld? Ik begrijp niet waarom mail met (valide) DKIM handtekening van mijn smtp server EN een valide handtekening van (bv) Sendinblue smpt server niet aankomt. Ik vind nergens in de RFCs daar een reden voor.

Ferenc · 18 februari 2022 om 13:17

Je begrijpt precies wat ik bedoel. Dank! Dit heb ik ook, met DMARC:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@domein.nl; fo=1; pct=100

Ik had inderdaad ook twee DKIM-Signature headers. 1 van mijn domein.nl en 1 van Sendinblue. Als ik dan via Sendinblue iets naar Gmail mail, komt er never iets aan. Ik gebruik gmail voor header-inspectie. Maar ook mail naar check-auth@verifier.port25.com komt niet aan. En daar snap ik dan geen bal van.

BTW spf staat goed, conform instructie Sendinblue.

nomi · 19 februari 2022 om 16:41

Omdat ik zag dat zen.spamhaus.org eigenlijk altijd aansloeg als een van de andere blacklists aansloegen en vrijwel nooit andersom, heb ik die allemaal geschrapt voor postscreen. Zorgde alleen maar voor een hoop DNS verkeer, zonder extra spam tegen te houden.

Zodoende ziet mij postscreen config er zo uit:

postscreen_dnsbl_threshold = 3
postscreen_dnsbl_whitelist_threshold = -1
postscreen_dnsbl_sites =
    zen.spamhaus.org=127.0.0.2*5,
    zen.spamhaus.org=127.0.0.3*4,
    zen.spamhaus.org=127.0.0.[4..7]*4,
    zen.spamhaus.org=127.0.0.[2..11]*3,
    list.dnswl.org=127.0.[0..255].0*-2,
    list.dnswl.org=127.0.[0..255].1*-3,
    list.dnswl.org=127.0.[0..255].[2..3]*-4,
    wl.mailspike.net=127.0.0.[17;18]*-1,
    wl.mailspike.net=127.0.0.[19;20]*-2

Ben wel benieuwd naar meer ervaringen en configs.

jcmraats · 19 februari 2022 om 18:04

Ik gebruik de commerciele versie van spamhaus gratis. Deze geeft nog betere spamdetectie dan zen.spamhaus.org.

Voor info:

jcmraats · 19 februari 2022 om 18:06

DMARC is ook te gebruiken zonder DKIM maar met SPF. Dan is de config wat simpeler

jcmraats · 19 februari 2022 om 18:12

Wat stukje van main.cf (postfix)

# ----------------------------------------------

# Address verification

# ----------------------------------------------

address_verify_sender = $double_bounce_sender

address_verify_map = btree:/var/db/postfix/verifymap

unverified_sender_reject_code = 550

address_verify_poll_count = 3

address_verify_poll_delay = 3s

address_verify_positive_expire_time = 31d

address_verify_positive_refresh_time = 7d

address_verify_negative_cache = yes

address_verify_negative_expire_time = 3d

address_verify_negative_refresh_time = 2h

# ----------------------------------------------

# Tarpit

# ----------------------------------------------

smtpd_soft_error_limit = 10

smtpd_hard_error_limit = 20

smtpd_junk_command_limit =50

smtpd_recipient_overshoot_limit = 500


# ---------------------------------------------
# restrictions
# ---------------------------------------------

smtpd_recipient_restrictions =
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        check_helo_access               hash:/postfix/tables/helo_checks,
        check_sender_mx_access          cidr:/postfix/tables/bogus_mx,
        check_helo_access               pcre:/postfix/tables/tld_acl,
        check_client_access             pcre:/postfix/tables/tld_acl,
        check_sender_access             pcre:/postfix/tables/tld_acl,
        check_sender_access             hash:/postfix/tables/sender_checks,
        check_recipient_access          hash:/postfix/tables/spamtrap,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_hostname
        reject_rhsbl_client             dbl.spamhaus.org,
        reject_rhsbl_helo               dbl.spamhaus.org,
        reject_rhsbl_sender             dbl.spamhaus.org,
        reject_rhsbl_reverse_client     dbl.spamhaus.org,
        reject_rhsbl_recipient          dbl.spamhaus.org,
        check_policy_service            unix:private/spf-policy,
        permit

smtpd_data_restrictions =
        reject_unauth_pipelining,
        reject_multi_recipient_bounce,
        permit