Smtp - Microsoft: S3150. Zucht

Ferenc · 16 februari 2022 om 21:38

Ik heb btw als laatste redmiddel Freedom om een ander ip adres gevraagd. Nee heb je, ja kun je krijgen.

Steffen · 17 februari 2022 om 19:37

Gebruik ook smtp2togo voor bijna een jaar, werkt prima.

Gebruik het voor mail naar Hotmail.com, live.com, Outlook.com, msn.com, Hotmail.co.nz etc.

Draai de mailserver Surgmail ( http://netwinsite.com/ ) op Windows, en gateway naar bovenstaande adressen.

Ferenc · 18 februari 2022 om 07:37

Wat zijn jullie DKIM en met name DMARC instellingen?

Eirikr · 18 februari 2022 om 09:55

Hoe zit het eigenlijk met het gebruik van de local part, dus het gedeelte voor de @?

In theorie is 1 karakter toegestaan. Een e-mailadres als x@example.com zou dus moeten functioneren. Maar hoe gaan de diverse spam-diensten hier mee om?

Zie bijvoorbeeld ook: validation - What is the actual minimum length of an email address as defined by the IETF? - Stack Overflow

Ferenc · 18 februari 2022 om 11:00

De howto’s van SIDN zijn inderdaad prima. Maar wat heb jij ingesteld? Ik begrijp niet waarom mail met (valide) DKIM handtekening van mijn smtp server EN een valide handtekening van (bv) Sendinblue smpt server niet aankomt. Ik vind nergens in de RFCs daar een reden voor.

Ferenc · 18 februari 2022 om 13:17

Je begrijpt precies wat ik bedoel. Dank! Dit heb ik ook, met DMARC:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@domein.nl; fo=1; pct=100

Ik had inderdaad ook twee DKIM-Signature headers. 1 van mijn domein.nl en 1 van Sendinblue. Als ik dan via Sendinblue iets naar Gmail mail, komt er never iets aan. Ik gebruik gmail voor header-inspectie. Maar ook mail naar check-auth@verifier.port25.com komt niet aan. En daar snap ik dan geen bal van.

BTW spf staat goed, conform instructie Sendinblue.

nomi · 19 februari 2022 om 16:41

Omdat ik zag dat zen.spamhaus.org eigenlijk altijd aansloeg als een van de andere blacklists aansloegen en vrijwel nooit andersom, heb ik die allemaal geschrapt voor postscreen. Zorgde alleen maar voor een hoop DNS verkeer, zonder extra spam tegen te houden.

Zodoende ziet mij postscreen config er zo uit:

postscreen_dnsbl_threshold = 3
postscreen_dnsbl_whitelist_threshold = -1
postscreen_dnsbl_sites =
    zen.spamhaus.org=127.0.0.2*5,
    zen.spamhaus.org=127.0.0.3*4,
    zen.spamhaus.org=127.0.0.[4..7]*4,
    zen.spamhaus.org=127.0.0.[2..11]*3,
    list.dnswl.org=127.0.[0..255].0*-2,
    list.dnswl.org=127.0.[0..255].1*-3,
    list.dnswl.org=127.0.[0..255].[2..3]*-4,
    wl.mailspike.net=127.0.0.[17;18]*-1,
    wl.mailspike.net=127.0.0.[19;20]*-2

Ben wel benieuwd naar meer ervaringen en configs.

jcmraats · 19 februari 2022 om 18:04

Ik gebruik de commerciele versie van spamhaus gratis. Deze geeft nog betere spamdetectie dan zen.spamhaus.org.

Voor info:

jcmraats · 19 februari 2022 om 18:06

DMARC is ook te gebruiken zonder DKIM maar met SPF. Dan is de config wat simpeler

jcmraats · 19 februari 2022 om 18:12

Wat stukje van main.cf (postfix)

# ----------------------------------------------

# Address verification

# ----------------------------------------------

address_verify_sender = $double_bounce_sender

address_verify_map = btree:/var/db/postfix/verifymap

unverified_sender_reject_code = 550

address_verify_poll_count = 3

address_verify_poll_delay = 3s

address_verify_positive_expire_time = 31d

address_verify_positive_refresh_time = 7d

address_verify_negative_cache = yes

address_verify_negative_expire_time = 3d

address_verify_negative_refresh_time = 2h

# ----------------------------------------------

# Tarpit

# ----------------------------------------------

smtpd_soft_error_limit = 10

smtpd_hard_error_limit = 20

smtpd_junk_command_limit =50

smtpd_recipient_overshoot_limit = 500


# ---------------------------------------------
# restrictions
# ---------------------------------------------

smtpd_recipient_restrictions =
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        check_helo_access               hash:/postfix/tables/helo_checks,
        check_sender_mx_access          cidr:/postfix/tables/bogus_mx,
        check_helo_access               pcre:/postfix/tables/tld_acl,
        check_client_access             pcre:/postfix/tables/tld_acl,
        check_sender_access             pcre:/postfix/tables/tld_acl,
        check_sender_access             hash:/postfix/tables/sender_checks,
        check_recipient_access          hash:/postfix/tables/spamtrap,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_hostname
        reject_rhsbl_client             dbl.spamhaus.org,
        reject_rhsbl_helo               dbl.spamhaus.org,
        reject_rhsbl_sender             dbl.spamhaus.org,
        reject_rhsbl_reverse_client     dbl.spamhaus.org,
        reject_rhsbl_recipient          dbl.spamhaus.org,
        check_policy_service            unix:private/spf-policy,
        permit

smtpd_data_restrictions =
        reject_unauth_pipelining,
        reject_multi_recipient_bounce,
        permit

Ferenc · 19 februari 2022 om 23:00

Zeker, maar waarom zou ik geen DKIM gebruiken?

Sendinblue Support vertelde me vandaag dat hun DKIM header de fout veroorzaakt.

Het zou aan mij [n DMARC instelling] kunnen liggen, maar ik zie niet in waarom. Volgens de RFC is 1 header met valide DKIM handtekening genoeg om DMARC pass te doen. Wat mij ook logisch lijkt - wie anders dan ikzelf kan zo’n handtekening genereren? Ben benieuwd naar de Sendiblue inzichten - zij hebben eindeloos meer ervaring dan ik.

En onthoud, kinderen, al dit gezeik om met M$ te kunnen mailen.

anon54082171 · 20 februari 2022 om 10:10

Ik ben er al bij gaan liggen, alleen beide middelvingers staan nog overeind.

Die doen dat overigens meer dan 30 jaar wat betreft Microsoft.

Sanjuro · 12 april 2022 om 08:51

Ook ik krijg de bericht S3150 bounce als ik naar hotmail[.]com probeer te mailen. Zelfs nu ik een eigen subnet van Freedom heb én de reverse DNS naar mijn eigen mail server sta én ik me geregistreed heb voor SNDS en JMRP (dat kan als de reverse DNS goed staat!), dan nog steeds die S3150…

Een relay gebruiken is geen optie voor mij, omdat deze dan de mail plaintext voor zien komen.

Is het iemand al gelukt om van de S3150 af te komen?

Noci · 12 april 2022 om 11:12

idd. 4 april OK, 6 april S3150 error…
???.. WTF.

En het lijkt er op dat soverin de postmaster & abuse mail zzelf verwerkt ipv. naar “eigen domain” door te sturen.

Ferenc · 12 april 2022 om 17:46

Hier nog steeds hetzelfde liedje.

Overigens lukt het soms een reply bezorgd te krijgen op een mail vanaf een hotmail dot com adres.

jcmraats · 13 april 2022 om 13:42

Via mijn ipv4 subnet gaat het goed. Mailserver is wel voorzien van SPF, DKIM en DMARC.

anon54082171 · 13 april 2022 om 14:11

Is geen enkele garantie. Bij mij ging het maanden goed en daarna was het afgelopen.

Met geen mogelijkheid meer goed te krijgen.

Ferenc · 13 april 2022 om 14:13

Heb jij een subnet? Ik heb maar 1 adres in 45.83.232.x.

Ik scoor 100% met mijn domeinen bij internet.nl - SPF, DKIM en DMARC was en is conform hun tips ingericht. Ik denk dat de meeste zelf-hosters scherp hebben dat dat nodig is.

anon54082171 · 13 april 2022 om 14:19

Maakt niet uit. Allen die klagen hadden het goed voor elkaar. Het is totale willekeur vanuit Microsoft en je weet nooit welke kop de volgende is, die gaat rollen.

jcmraats · 13 april 2022 om 16:07

Ik heb via Freedom een ip4 /29 subnet, naast mijn “normaal” Freedom ip-adres.

Inderdaad scoor ik ook 100%. Ik moet wel elke drie maanden niet vergeten mijn hash code in mijn TLSA record aan te passen . (Ik gebruik nl. voor mijn server een let’s encrypt certificaat)