Kaputte Mailrelays bei Microsoft / bigfish
Ist es Inkompetenz oder Ignoranz? Seit einigen Tagen häufen sich weltweit Beschwerden, weil Mails von Microsoft in den Spamfiltern versacken oder von Mailrelays geblockt werden. Achja: Die Beschwerden richten sich selbstverständlich gegen die blockenden Empfangssysteme, nicht jedoch gegen den Absender Microsoft. Dabei ist Microsoft an den Versandproblemen alleine schuld. Vielleicht fühlt man sich auch einfach "gleicher als gleich" und meint, sich nicht an die ansonsten für alle Teilnehmer im Internet geltenden RFC-Spezifikationen halten zu müssen? Oder fehlt den Admins dort tatsächlich das Know-how? Man mag sichg überlegen, welche Antwort jetzt die bessere ist.
Banale und für jedermann gültige RFCs werden ignoriert
Ein konkretes Beispiel einer bei einem unserer Kunden geblocken Mails zeigt die ebenso einfachen, wie unnötigen Fehlkonfigurationen:
- Die Mail kam von der IP 216.32.180.30, diese hat im DNS den Reverse-Lookup va3ehsobe010.messaging.microsoft.com. Im SMTP-Protokoll hat sie sich jedoch mit dem Namen VA3EHSOBE002.bigfish.com vorgestellt, also gelogen. Entweder grüßt das System im HELO mit dem, was im Reverse-Lookup gesetzt ist, oder man setzt den Reverse-Lookup auf den Namen, den das System seiner Meinung nach selbst hat und der für den HELO genutzt wird.
- Das ganze wird auch nicht dadurch besser, daß die Namen noch nicht mal zur gleichen Domain gehören. Wenn wenigstens beide Namen microsoft ODER bigfish wären...
- Microsoft MUSS nach RFC 2142 u.a. einen Postmaster-Mailaccount und auch einen Abuse-Mailaccount besitzen. Das ist keine Bitte, das ist Vorschrift. Microsoft ignoriert das geflissentlich, dabei müssten nur zwei simple Mailadressen eingerichtet werden. http://www.rfc-ignorant.org/tools/lookup.php?domain=microsoft.com [ Update: Microsoft hat reagiert und ist nun nicht mehr gelistet, siehe unten! ]
=> Die Kombination aus (1), (2) und (3) sorgt dann dafür, daß handelsübliche Anti-Spam-Systeme überall auf der Welt diese Mail (völlig zu recht) so verdächtig halten, daß diese Mails geblockt, getaggt oder sonst wie rausgefiltert werden.
Die Abhilfe wäre einfach und würde nur wenige Sekunden Zeit kosten
- HELO-Hostname und Reverse-Lookup müssen übereinstimmen, wie das bei Mailservern nunmal übereinstimmen muß. Also: Reverse-Lookup ändern. Easy.
- Micosoft muß eine Mailadresse postmaster@ und abuse@ einrichten, wie das nach RFC bei im Mailverkehr genutzten Domains nunmal vorgeschrieben ist. Also zwei Postfächer einrichten. Easy.
Doch das passiert nicht. Stattdessen wird zeitwaufwändig der Rest der Welt damit beschäftigt, mühsam die IP-Netze von Microsoft herauszufinden um diese manuell in den Spamfiltern der Welt zu whitelisten. Wenn man sich überlegt, was das die Provider, Partner , aber auch die (zahlenden!) Kunden von Microsoft betriebswirtschaftlich an Geld kostet...
Warum richten sich Beschwerden und Ursachenbehebung nicht an Microsoft?
Beschwerden über geblockte E-Mails sollten ausschließlich an den hausinternen IT-Support von Microsoft gehen. Stattdessen beschweren sich selbst Microsoft-Mitarbeiter bei deren unschuldigen Kunden darüber, daß angeblich geschäftskritische Microsoft-Mails nicht mehr versendet werden können -- und die geben den Druck an die angeblich unverantwortlichen und schlampigen Anti-Spam-Dienstleister weiter. Dabei haben die gar keinen Fehler gemacht. Doch wenn diese Mails so geschäftskritisch sind -- warum versendet Microsoft diese dann nicht auch mit der für geschäftskritische Dinge notwendigen Sorgfalt?
Symptom und Whitelisting bei Postfix / policyd-weight
Bei Postfix schlägt der Dienst policyd-weight mit folgender Fehlermeldung zu:
Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; in postmaster.rfc-ignorant.org; in abuse.rfc-ignorant.org; from=<user@microsoft.com> to=<user@example.com> proto=ESMTP helo=<AM1EHSOBE001.bigfish.com>
Update: Microsoft hat zwischenzeitlich noch einen draufgesetzt und betreibt nun auch Mailrelays, die gar keinen Reverse Lookup haben. Weiß der Geier, was die reitet -- ich würde für so eine Schlamperei selbst den Azubi zum 4-Augen-Gespräch zitieren. Wer die betroffene IP-Ranges von Microsoft whitelisten möchten oder müssen: Wir haben bislang betroffene drei Netzbereiche ausfindig gemacht. Diese können bei Postfix per check_client_access wie folgt gefahrlos gewhitelistet werden:
213.199.154.0/24 permit_auth_destination 65.55.88.0/24 permit_auth_destination 157.55.1.0/24 permit_auth_destination
Update 1:
Microsoft scheint aufgewacht zu sein und hat Postmaster- und Abuse-Accounts eingerichtet. Die Domain ist damit nicht mehr auf rfc-ignorant.org gelistet und Mails können wieder nromal zugestellt werden. Applaus und Glückwunsch -- es geht doch!
Update 2:
Auch Google hat derzeit ein 1:1 vergleichbares Problem, daß zur Ablehnung der E-Mails führt: So melden sich einige (wenige) Mailrelays der Google-Maildienste mit einem völlig unpassenden HELO, ganz analog zu dem hier geschilderten Problem. So meldet sich der Host na3sys009aog137.obsmtp.com (IP: 74.125.149.18) mit dem HELO-Namen "psmtp.com". Letzterer gehört zwar auch zu Google, zeigt aber auf die völlig unterschiedliche IP 64.18.0.253. Und da auch Google auf der RFC-Ignorant-Liste steht ist die Folge: Die Mails werden (völlig zu recht) abgelehnt.
Weitere Beiträge zum Thema
Enterprise Mail-Security mit Open-Source?
Enterprise Mail Security with Open Source?
Kommentare