Smtp - Microsoft: S3150. Zucht

anon54082171 · 12 februari 2022 om 13:09

https://community.freedom.nl/t/smtp-microsoft-s3150-zucht/2655/5

anon54082171 · 12 februari 2022 om 13:11

Dank, inderdaad en zo kun je voor specifieke domeinen instellen. Had ik niet aan gedacht.

Freek29 · 13 februari 2022 om 12:32

Dat aanvragen van een ander IP-adres heb ik ook geprobeerd… Gaan ze niet doen.
In principe vind ik dat een provider ervoor moet zorgen dat een ip-adres, dat het uitdeelt, uit alle blacklists wordt verwijderd.
Ik kom van XS4ALL en ben van de regen in de drup beland. Ik kan bijvoorbeeld niet meer bij mijn auto omdat Tesla.com mijn ip blokkeert en Tune-in lukt ook al niet omdat men daar denkt dat mijn adres in de UK gebruikt wordt.
Gek genoeg heb ik nog geen last met mijn e-mail server. Maar uit ervaring weet ik dat bij gebruik van ipv6 (die heb ik gedisabled) een correct reverse DNS noodzakelijk is (of was) voor Google. De servernaam die SMTP gebruikt in de handshake moet gelijk zijn aan het resultaat van de reverse DNS check. Indien niet wordt de e-mail geweigerd. Misschien is dat bij hotmail hetzelfde. Overigens heb ik een reverse DNS voor mijn domein aangevraagd, maar ook dat lukt niet (ondanks de welwillende hulp van de helpdesk).

Luke · 13 februari 2022 om 13:19

Zie dat Tesla ipv4 only is. Wellicht kun je het werkend krijgen via een VPN?

Google werkt bij mij (ipv4 nr uit 185.238.128.0/22) wel nadat ik via de helpdesk de return pointer (ipv4 en ipv6) had aangepast met SPF record en TLS geactiveerd.

Hotmail heb ik nooit werkend gekregen, ook geen reactie mbt verzonden formulieren mbt S3150 bounces.

Eirikr · 13 februari 2022 om 14:17

Freedom helpt daar dan ook mee. Doen ze heel netjes.

anon0224 · 13 februari 2022 om 16:02

Wanneer de andere partij dat ondanks verzoeken daartoe dat weigert je te whitelisten, zoals ik van je begrijp een Tesla, is dat niet Freedom te verwijten. Elders en vaker gezegd is het sws niet meer van deze tijd om op grond van een IP adres, te gaan blacklisten.

Anton · 13 februari 2022 om 18:02

Wanneer andere partijen aan ip4 vasthouden zijn ze wel heel erg in het grijze verleden blijven hangen. Maar ja, daar ben jij niet mee geholpen.
Ik zou een mailtje sturen naar Tesla en ze vertellen dat we al een tijdje in de 21ste eeuw leven, en ze vragen in de tussentijd jou ip4 adres te whitelisten.

Maar even serieus, Tesla blokkeert jou ip adres, ik zou echt niet weten hoe een ander bedrijf, welk bedrijf dan ook, in de database van Tesla jouw ip adres van de blacklist van Tesla zou moeten verwijderen.

anon54082171 · 14 februari 2022 om 00:22

De reverse DNS resolve moet matchen het verzendende ip adres. Het e-mail domein kan een ander zijn.

In de domein records staat de VRF van diegenen die de e-mails mogen verzenden voor dat specifieke domein.

Het is zo sluitend en daarnaast zijn er nog meer controle mogelijkheden maar de basis ligt er.

Zelf weiger ik sowieso e-mails waar de reverse DNS niet klopt.

Ferenc · 15 februari 2022 om 10:38

De smtp server moet een fqdn hebben en rDNS moet daarmee kloppen, daarnaast is het ook goed om in de HELO die fqdn te hebben.

Wat bedoel je met VRF? Je SPF moet goed staan. Ik heb “v=SPF1 +mx -all” (plus-teken mag je weglaten maar ik vind het duidelijker zo) en uiteraard een MX record dat wijst naar de fqdn van mijn smtp server.

Ferenc · 15 februari 2022 om 10:42

Echt top, dit, overigens.

Ik ben aan het uitvogelen hoe je zoiets instelt (met sendinblue.com als test relay) en het is wel even wat gedoe. Ik dacht er met up-to-date SPF te zijn, maar je moet blijkbaar ook de DKIM sleutel van de relay opnemen in je eigen DNS records. Wat ik niet begrijp. SPF record lijkt me toch al voldoende.

Ferenc · 15 februari 2022 om 12:51

Snap ik (denk ik!); mijn Postfix tekent (opendkim) alle uitgaande mail en de publieke sleutel is naar behoren gepubliceerd via DNS. Denk ik. Maar ook getoetst bij internet.nl, mail-tester.com etc.

Maar alle mail die ik wens te relayen via Sendinblue, is door mij getekend (en dus via DNS te controleren), wordt van een 2e DKIM signature header voorzien door Sendinblue. Deze header is te controleren via DNS van Sendinblue - denk ik, niet gecontroleerd - maar de test e-mail komt niet aan bij Gmail. Wordt gereject denk ik, maar kan ik niet nagaan want dat gebeurt tussen Sendinblue en Google. (Sendinblue stuurt mij niet terug wat niet kon worden afgeleverd.)

anon54082171 · 15 februari 2022 om 13:16

Zolang er maar een rDNS is en die IP overeenkomt met die in de MX dan hoeft de domeinnaam in de rDNS niet overeen te komen.

Ik denk dat de redenering was dat gewone mensen geen reverse DNS konden bij hun ISP en bedrijven konden wel. Denk ook aan VPS bedrijven, zoals Vimexx etc, die duizenden domeinen mail laten verzenden op hun eigen domeinnaam. Hoe is dat dan anders mogelijk?

Ik heb zelf een paar domeinen en één IP en één standaard rDNS van Freedom. Werkt perfect, net als voorheen bij Xs4all.

Het inderdaad SPD en niet VRF.

	SMTP Reverse DNS Mismatch	OK - 45.138.xxx.xxx resolves to xxx-xxx-138-45.connected.by.freedominter.net
	SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
	SMTP Banner Check	OK - Reverse DNS matches SMTP Banner
	SMTP TLS	OK - Supports TLS.
	SMTP Connection Time	0.789 seconds - Good on Connection time
	SMTP Open Relay	OK - Not an open relay.
	SMTP Transaction Time	1.531 seconds - Good on Transaction Time
Session Transcript:

Connecting to 45.138.xxx.xxx

220 xxx-xxx-138-45.connected.by.freedominter.net ESMTP [687 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-xxx-xxx-138-45.connected.by.freedominter.net
250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [202 ms]
MAIL FROM:supertool@mxtoolboxsmtpdiag.com
250 2.1.0 Ok [246 ms]
RCPT TO:test@mxtoolboxsmtpdiag.com
454 4.7.1 test@mxtoolboxsmtpdiag.com: Relay access denied [202 ms]

LookupServer 2541ms|

En Freedom zelf SMTP Banner probleem…ook op freedomnet.nl:

	SMTP Banner Check	Reverse DNS does not match SMTP Banner
	SMTP Reverse DNS Mismatch	OK - 185.93.175.46 resolves to haproxy.frontproxy.fi001.nl.freedomnet.nl
	SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
	SMTP TLS	OK - Supports TLS.
	SMTP Connection Time	0.312 seconds - Good on Connection time
	SMTP Open Relay	OK - Not an open relay.
	SMTP Transaction Time	1.034 seconds - Good on Transaction Time
Session Transcript:

Connecting to 185.93.175.46

220 mail.freedomnet.nl ESMTP IceWarp Deep Castle 2 Update 1 build 3; Tue, 15 Feb 2022 14:26:44 +0100 [143 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-mail.freedomnet.nl Hello keeper-us-east-1b.mxtoolbox.com [10.1.0.17], pleased to meet you.
250-ENHANCEDSTATUSCODES
250-SIZE
250-EXPN
250-ETRN
250-ATRN
250-DSN
250-CHECKPOINT
250-8BITMIME
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-VRFY
250 HELP [205 ms]
MAIL FROM:supertool@mxtoolboxsmtpdiag.com
250 2.1.0 supertool@mxtoolboxsmtpdiag.com… Sender ok [206 ms]
RCPT TO:test@mxtoolboxsmtpdiag.com
550 5.7.1 test@mxtoolboxsmtpdiag.com… we do not relay supertool@mxtoolboxsmtpdiag.com [217 ms]

LookupServer 1757ms|

Ferenc · 15 februari 2022 om 22:44

Zeker. Maar het schijnt dat een lange / met meer dan 2 punten / lelijke hostname van je smtp server reden is voor Microsoft is je mail te weigeren. Schijnt, want Microsoft zegt natuurlijk niet waarom ze weigeren.

Daarom is iedereen / ik blij met de Freedom Helpdesk waar je je rDNS kunt instellen op een eigen fqdn.

Ferenc · 15 februari 2022 om 22:53

Hiermee bedoelde ik: relay host. Kortgezegd, dit werkt, bv met Sendinblue.

Je moet wel accepteren dat Sendinblue je mail grondig aanpast, oa met list-unsubscribe en verborgen links die maken dat Sendinblue kan zien of de mail geopend is of niet. Spammer technieken.

Ik heb dit met 1 domein uitgeprobeerd, laten we zeggen stoelpoot.nl, met de gedachte dat ik andere domeinen ongemoeid kan laten, zoals tafelblad.nu. Maar ja, via Sendinblue komt mail van stoelpoot.nl prima aan in mijn outlook mailbox, maar als dezelfde server als afzender tafelblad.nu naar outlook mailt, zie ik outlook-com.olc.protection.outlook.com de mail wel accepteren, maar die komt nooit ergens aan…

anon54082171 · 15 februari 2022 om 23:36

Tja, daar heb ik niets aan omdat is meer dan één domein heb en maar één IP.

Ik zou echter het gratis domein bij Freedom kunnen gebruiken voor alleen de mailserver.

zoiets als MX mail.hier.nl en als rDNS esrever.mail.nl

Update: Ik weiger als er geen rDNS (PTR) is:

        1   4xx Reject unknown reverse client host 
        1      xxx.x5.50.218

Ferenc · 16 februari 2022 om 13:26

Misschien valt het mee; als mijn niet-via-Sendinblue-gerelayed domein een antwoord stuurt op een outlook mail komt het gewoon aan. Dus het kan wel.

Maar goed. De bloat (extra DKIM, tracking images, list-unsubscribe) die Sendinblue (en SMTP2GO) toevoegen aan gerelayde e-mail vind ik maar niets. Ik geef het op. Het internet is stuk. De aspergers hadden iets moois bedacht en toen namen de ondernemers het over. Nu is het naar de haaien. Ik gebruik wel Outlook om met mijn vrouw te mailen.

Voor de volledigheid, ik heb voor rDNS een A (en AAAA) record opgevoerd bij een andere registrar dan Freedom.

Dat had ik ook, totdat mijn vrouw (daar is ze weer) een fotoboek miste, omdat de Hollandse Eenheids MAatschappij geen rDNS had geconfigureerd… (Leg dat maar eens uit aan de HEMA klantenservice.)

Ferenc · 16 februari 2022 om 15:42

Om het topic niet geheel nutteloos te maken, hier de Postfix config die ik gebruikte:

In main.cf relayen mogelijk maken met setting transport_maps:
transport_maps = hash:/etc/postfix/transport_maps

In transport_maps de domeinen die gerelayed moeten worden:

outlook.com            relay:[smtp-relay.sendinblue.com]:587
hotmail.com            relay:[smtp-relay.sendinblue.com]:587
live.com               relay:[smtp-relay.sendinblue.com]:587

Niet vergeten ‘postmap transport_maps’ te doen (want hash: zie Postfix docu)

Verder met main.cf authenticatie inregelen voor remote smtp:

smtp_sasl_auth_enable   = yes #  als dit al niet aan stond
smtp_tls_policy_maps    = hash:/etc/postfix/smtp_tls_policy_maps
smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password_maps

In smtp_tls_policy_maps staat:
[smtp-mail.outlook.com]:587 encrypt

In smtp_sasl_password_maps staat:
[smtp-relay.sendinblue.com]:587 sendinblue_username=@domain.com:sendinblue_password

Niet postmap vergeten.

@jcmraats ik ben je aanbod niet vergeten, dank in elk geval, maar ik merk dat mijn config er niet eenvoudiger op wordt met een relay. En dat voor iets wat eerder geen probleem was.

jcmraats · 16 februari 2022 om 16:12

Heel goed!

Je moet niet vergeten je SPF record aan te passen. Mail van je domein komt namelijk nu ook van sendinblue.

jcmraats · 16 februari 2022 om 16:21

Ter lering en vermaak heb ik hier stukjes van mijn postfix main.cf:

Om SPAM tegen te gaan gebruik ik o.a. postscreen:


postscreen_access_list = permit_mynetworks
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_whitelist_threshold = -1
postscreen_dnsbl_sites=
        zen.spamhaus.net=127.0.0.[2..255]*3
        b.barracudacentral.org=127.0.0.[2..11]*2
        bl.spameatingmonkey.net*2
        bl.spamcop.net
        dnsbl.sorbs.net
        swl.spamhaus.org*-4
        list.dnswl.org=127.[0..255].[0..255].0*-2
        list.dnswl.org=127.[0..255].[0..255].1*-4
        list.dnswl.org=127.[0..255].[0..255].[2..3]*-6

postscreen_dnsbl_action = enforce
postscreen_greet_action = enforce
postscreen_helo_required = yes
postscreen_blacklist_action = drop

postscreen_pipelining_action = enforce
# postscreen_pipelining_enable = yes
# postscreen_pipelining_ttl = 30d
        
postscreen_non_smtp_command_action = enforce
# postscreen_non_smtp_command_enable = yes
# postscreen_non_smtp_command_ttl = 30d

postscreen_bare_newline_action = enforce
# postscreen_bare_newline_enable = yes
# postscreen_bare_newline_ttl = 30d

Ferenc · 16 februari 2022 om 21:37

Inderdaad. Met de juiste SPF record en andere zaken word je begeleid bij account maken bij Sendinblue. Zelfde bij SMTP2GO.