SPF, DKIM, DMARC, reverse DNS, 100%, allemaal, maar nog steeds bounce…
Zou het kunnen zijn omdat inkomende en uitgaande mail over hetzelfde IP gaat? Voor de mensen waar het wel voor welkt: staat poort 25 open op het adres waar vandaan je mail stuurt?
@jcmraats voor TLSA kan je een andere mode kiezen en het root certificaat van Let’s Encrypt opnemen, dan hoef je het niet elke 3 maanden aan te passen
Je kunt Selector 1 gebruiken (1 - Use Subject Public Key) in je TLSA record, dan leg je een hash van alleen de sleutel vast in DNS, niet van het certificaat.
Met LE vernieuw je het certificaat elke 3 maanden, niet de sleutel. Certbot heeft ook een --reuse-key optie. Ik gebruik acme-tiny en eigen bash-brouwsels, mijn keys zijn veilig. (hoop ik)
Zie Please avoid "3 0 1" and "3 0 2" DANE TLSA records with LE certificates - Server - Let's Encrypt Community Support
en: Generate DANE TLSA Record voor testen.
(en dat maakt allemaal geen r…t uit voor microsoft 
)
Ik kwam een suggestie tegen om een mailtje te sturen naar delist[at]messaging[.]microsoft[.]com, geprobeerd, maar de mail bounced met een melding over frontbridge[.]com een website die al lang niet meer bestaat 
Qua TLSA gebruik ik DANE-TA (2) SPKI (1) SHA-256 (1) met de root certificaten van Let’s Encrypt, specifiek R3, R4, E1, E2:
_25._tcp.mx1 IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d ; Let's Encrypt R3
_25._tcp.mx1 IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 ; Let's Encrypt R4
_25._tcp.mx1 IN TLSA 2 1 1 276fe8a8c4ec7611565bf9fce6dcace9be320c1b5bea27596b2204071ed04f10 ; Let's Encrypt E1
_25._tcp.mx1 IN TLSA 2 1 1 bd936e72b212ef6f773102c6b77d38f94297322efc25396bc3279422e0c89270 ; Let's Encrypt E2
In theorie minder veilig als het certificaat zelf gebruiken, maar wel robuster en geen problemen met DNS propogate delay.
't Gaat overigens hier sinds een paar weken goed…
…ik ga een stuk hout zoeken om het af te kloppen.
Kent iemand de Engelse term “jinx”? Ik moet nu even heel hard gillen.
Daar werkt geen hout tegen…
BTW als je TLS gebruikt zorg dat je ook het juiste certificaat gebruikt, ik had vandaag een bende mail mismatches omdat bij certificaat.
wel de domain naam met *.domainnaam.nl – maar die werkt niet voor mail servers.
Voorheen was het voldoende als het domain overeen kwam dat is blijkbaar nu ook een extra horde dat de hostname in het SAN moet voorkomen.
Ik scoor 100% bij internet punt nl - alles klopt en ik denk niet dat mijn verbinding wordt misbruikt - ja, voor onmeunig veel TikTok- en Insta-verkeer (door bepaalde huisgenoten), maar dat is een ander verhaal. 
Ik kreeg wel een boeiend bericht van Microsoft, na melding via sender.office.com:
Beste Ferenc
We hebben de IP-adressen die u hebt ingediend onderzocht. De volgende tabel bevat de resultaten van ons onderzoek.
Meer informatie nodig:
< tientallen addressen uit 45.83.232.x>
We zijn er niet in geslaagd aan onze kant iets te identificeren dat zou verhinderen dat jouw e-mail bij outlook.com klanten terecht komt.Als je nog steeds problemen ondervindt met de bezorging, beantwoord dan alsjeblieft deze e-mail met een gedetailleerde beschrijving van het probleem dat je ondervindt, inclusief de specifieke foutmeldingen, en een agent zal dan contact met je opnemen.
Als dit een nieuwe IP space is, en je bent nog niet begonnen met het verzenden van e-mail aan outlook.com gebruikers, beantwoord dan alsjeblieft deze e-mail en één van de medewerkers van ons ondersteuningsteam zal dan contact met je opnemen om verdere informatie te verzamelen.
Komt niet in aanmerking voor opheffing van blokkade:
< tientallen addressen uit 45.83.232.x>
Ons onderzoek heeft aangetoond dat de bovenstaande IP(s) niet in aanmerking komen voor versoepeling van de huidige geplaatste blokkade.
Je raadt het al, mijn ip komt niet in aanmerking voor opheffing. Bizar want het ging een paar maanden goed.
Ik ben een sukkel. De lange lijst zijn twee subnetten:
45.83.232.0/25 (hosts .1 - .127) worden niet geblokkeerd.
45.83.232.128/25 (hosts .129 - .254) worden wel geblokkeerd en komen niet in aanmerking voor versoepeling.
Ik zit helaas pindakaas in 45.83.232.128/25. 
Jij bent niet de sukkel, Micro$oft zijn de sukkels… Hun servers kloppen van geen kant. (en niet alleen omdat ze relatief onterecht mail weigeren…).
Aanvulling:
Voorbeeld van een server:
DNS: mail-eopbgr70082.outbound.protection.outlook.com.
IP: 40.107.7.82
HELO: EUR04-HE1-obe.outbound.protection.outlook.com
Het IP adres van de laatste is volgens DNS: 23.103.133.175
IPv6: 2a01:111:f400:fe0d::629
DNS: mail-he1eur04on0629.outbound.protection.outlook.com
HELO: EUR04-HE1-obe.outbound.protection.outlook.com
IPv6 hiervan 2a01:111:f400:7e0d::200
Een sukkel ben je zeker niet.
Ik heb een eigen subnet via Freedom en alles wat maar mogelijk is qua anti-spam voor 100% geconfigureerd. Maar zelfs dan zij er dagen dat Microsoft mijn mail weigert. Opvallend genoeg geld dat alleen voor Hotmail/Outlook.com maar niet voor bedrijven/overheidsinstellingen die hun mail hosten bij Microsoft.
Dus als je een grotere kans wil hebben dat mail aan komt dan kan je een subnet overwegen, maar zelfs dan wordt je nog af en toe geweigerd.
Jij bent niet de sukkel, Micro$oft zijn de sukkels…
Ik kan dit (professioneel) beamen. Ik gebruik DMARC rapportage en ik krijg met regelmaat een rapport waarbij SPF is gefaald omdat 1 van de zendende servers van Microsoft niet in de SPF ranges/lijsten van … Microsoft zit. Geen idee wat ze doen, ik denk dat ze met containers of zo SMTP servers opspinnen en weer afsluiten binnen weinig tijd?
Edit: DMARC ipv DKIM… tijd voor koffie.
Hoi
Heb ook maar smtp2go aangestoken.
DKIM en SPF heb ik niet gewijzigd. smtp2go gebruikt VERP,
Variable envelope return path - Wikipedia dus dat gaat
wel goed. En DKIM doet standaard de content-from niet de transport /
envelope from, dus dat gaat ook wel goed.
En inderdaad, het is twee keer DKIM gesigned.
Debian Exim setup hier;
http://www.sput.nl/software/exim-smarthost.html
Vr.Gr,
Rob
Ik loop sinds een paar dagen ook tegen dit probleem aan.
550 5.7.1 Unfortunately, messages from [x.x.x.x] weren’t sent. Please contact your Internet service provider since part of their network is on our block list (S3150).
Hier wat over heen en weer gemaild met Microsoft, maar volgens hen is er (aan hun kant) geen enkele reden waarom de mail wordt geweigerd. Net dit draadje wat door gescrold maar weinig hoopgevend allemaal.
Super irritant en Microsoft is toch echt subnetten aan het blokkeren. Ze bevestigden dit in een e-mail. Zonder te willen aangeven waarom of wat je er aan kunt doen (bij mij tenminste.)
Freedom was zo fantastisch om mij van een nieuw IP-adres te voorzien en…
…je raadt het al.
Dit is toch onvoorstelbaar.
Ik heb dezelfde ervaring… ik adviseer mensen een andere MAIL provider te zoeken… of ermee te leven. (ik heb het opgegeven).
Amazon en Google kunnen het wel… op ten minste dezelfde schaal. Microsoft is altijd al een toko geweest die maar half begrepen heeft hoe je samenwerkt… waar ze het doen is het afgedwongen dmv rechtzaken.
Ik heb zelf inmiddels een andere aanpak dat ik mijn contactpartners duidelijk maak dat ZIJzelf beter een andere mailprovider dan (via) Microsoft kunnen zoeken die wel mijn mail aan hun doorlaat.
Rob, dank hiervoor. Nogmaals. Ik heb 't met sendinblue geprobeerd maar dat was een drama. Met smtp2go was het behoorlijk snel up & running.
Voor hen die na ons komen, de Postfix wijzigingen die ik doorvoerde:
main.cf:
transport_maps = hash:/etc/postfix/transport_maps
smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password_maps
smtp_sasl_auth_enable = yes
transport_maps:
outlook.com relay:[mail.smtp2go.com]:2525
hotmail.com relay:[mail.smtp2go.com]:2525
smtp_sasl_password_maps:
[mail.smtp2go.com]:2525 username:password
Evt poort 2525 openen in de vuurmuur en niet vergeten te draaien:
postmap transport_maps smtp_sasl_password_maps
service postfix reload
En Bob is je moeder’s broeder. Ellendig dat het zo moet en volkomen ruk dat smtp2go nu ook de mail ziet (wat ongetwijfeld in het verdienmodel past van deze gratis dienst). Maar ja. Mooi dat 't werkt.
Groet,
Ferenc
Geen aanpassing van DMARC, DKIM, SPF?
Hoi
Nee. Zie eerdere post.
Wel heb ik wat CNAME DNS records toegevoegd. Je word hiervoor door Smtp2go aan de hand meegenomen.
Vr.Gr,
Rob