Back2Live

hast du einen empfohlenen Reputations-Check? Bei den Online Tests die ich bisher versucht habe war das Ergebnis immer ok.

der Betreiber/Empfänger hat das mailgedöhns zu o365 outgesourct.

 

Scheinbar hat der Versand zu Gmail auch nicht funktioniert, nach meinen Änderungen scheint das aber wieder zu funktionieren.

Danke für die Antworten.

 

einen dmarc Eintrag hatte ich bei meinen Tests, dkim und spf habe ich jetzt angelegt und konfiguriert. Das funktioniert auch. Die Funktion sehe ich in dem MS Header analyzer.

 

Zrozdem wird nach wie vor der Inhalt der Mail angemeckert. 

Die gleiche Mail mit identischem Inhalt über eine andere Domain verschickt geht problemlos.

 

Spam Filtering Verdict

SPM

 

SFV:SPMSFV:SPM

Die Nachricht wurde vom Inhaltsfilter als Spam markiert.

Hallo,

 

ich habe wieder mal eine Frage.

 

Mails werden von Exchange 2016 über einem Postfix Smarthost versendet, die Mails werden von einem o365 Empfänger als Spam behandelt.

DNS rDNS Einträge sind ok, die IP ist auf keiner Spamliste, die Domain und Versandadressen auch nicht.

Ich bin nun beim Header und habe etwas herumprobiert auf dem Postfix, herausfiltern der originalen "Received: from", leider ohne Erfolg.

 

Ich habe den Header der gefilterten Mail in den Message Header Analyzer hier https://mha.azurewebsites.net/pages/mha.html gesteckt, der sagt mir das im Bild

Helo/Ehlo sind identisch mit dem PTR Record, IP ist die passende ÍP.

 

wo oder wie kann ich sonst noch suchen?

 

viele Grüße

Andi

Noch eine Ergänzung.

 

Nach dem Gemecker meinerseits in dem MS Forum funktioniert nun die Einrichtung. Scheinbar wurde meine Domain rausgenommen, ohne das ich eine Info oder meine Domain bekannt gegeben habe. Mein Account ist dort mit meiner Mailaddresse / Domain angemeldet vermutlich wurde die nun herausgenommen.

ist vielleicht doch eine Option.

 

Wenn ich die prod-global-autodetect.acompli.net blackliste wird nicht versucht den imap.1und1.de zu erreichen. :)

Mit der URL kommen auch diverse Treffer bei Google.

Es kommt dann das Auswahlfenster welches Mail Konto ich verwenden möchte!

 

Irgendetwas läuft da im Hintergrund seltsames.

 

man kann seine eigene URL von dem "Service" befreien/clearen lassen:

https://social.technet.microsoft.com/Forums/office/en-US/7716642b-c99a-44b3-acb8-c6bdcb60491d/clear-data-from-prodnamautodetectacomplinet?forum=Office2016setupdeploy

 

Hallo geht's noch?

 

--> Anfrage dort gestartet

Noch zu dem Wireshark mitschnitt:

 

- der Client holt per LDAP von einem AD die eingetragene Mailadresse des angemeldeten Benutzers

- der Client will IPs von officeapps.live.com und auch z.B. prod.odcsm1.live.com.akadns.net prod-global-autodetect.acompli.net

- der Client baut eine verschlüsselte Verbindung nach redmond auf, Zertifikate werden getauscht und geprüft

- der Client will von meinem DNS die IP für imap.1und1.de

- der Client tauscht Zertifikate mit imap.1und1.de und will sich dann scheinbar anmelden.

 

Sehr eigenartig, autodiscover Domains sind nicht im Spiel. Die imap.1und1.de erreicht den Client scheinbar verschlüsselt.

Als nächstes sperre ich für den Client diese Domains die er dabei kontaktiert.

1und1 wird sicher auch nicht wissen wie der Assistent von Outlook 2016 zu den Daten kommt, bzw. auf meine konfig verweisen, die Supporten ja nur ihre eigenen Mailserver. Die DNS Herrschaft habe ich ja selber.

Schaut so aus als wäre das der gleiche Key wie aus dem ersten Post. hmm

Das war eines der ersten Versuche deshalb der benutzer test, sowie auch schon auf verschiedenen PCs getestet.

Ja ich lande auf meinem Exchange.

 

Habe wie oben den DWord wert ExcludeHttpsRootDomain mit Inhalt 1 angelegt. --> keine Änderung/Verbesserung.

Zum Test habe ich alle Schlüssel nacheinander getestet, keine Änderung.

Mir kommt es so vor als ob der Assistent eben nicht Exchange erkennt und somit die ganze autodiscovergeschichte noch nicht greift. Der versucht es per imap bei 1und1.

Müsste demnach 1801 Build 9001.2171 sein

 

Office Professional Plus 2016

aus dem MS Action Pack

Nach etwas experimentieren schaue es so aus als ob der Assistent versucht um welche Art Postfach es sich handelt, scheinbar schlägt diese Erkennung fehl bzw. erkennt den imap typ. Natürlich ist im Exchange nicht der 1und1 imap Server hinterlegt.

Wenn der Assistent keine Typ erkennen täte, würde das Auswahlfenter erscheinen:

 

Scheinbar wird aber imap erkannt und die 1und1 Server verwendet.

Wie versucht nun der Assistent den Kontotypen zu erkennen?

Ja die URL kann ich aufrufen, diese URL verwendet ja auch schon Outlook 2013 da Funktioniert die Autoconfig ja, 2016 hat hier einen neuen Einrichtungsassistent erhalten der scheint etwas anders zu machen.

 

Ja die Domain ist bei 1und1, alle DNS Einträge zeigen auf unsere Server auch die der Subdomains.

 

Und ja auf dem 1und1 Server liegen noch alte Postfächer aber keines für den Benutzer test, aber auch hier bleibt die Frage über welchen Weg kommt der Einrichtungsassistent zu der imap.1und1.de Adresse.

Hi,

 

Der Microsoft-Test läuft ohne Probleme durch, meine Zertifikate sind von letsencrypt.

 

Ich verwende auch keinen Webspace von 1und1. Das bedeutet das ein Ping auf meine Domain per DNS schon auf meine Server geleitet wird. Also auch Domain.de wie auch www.domain.de und alle anderen sub-domains.

 

Andi

Hallo,

 

Installiert ist Exchange 2016cu8 auf 2012r2.

Die Domain ist als Split-Domain konfiguriert.

Die Autokonfiguration funktioniert mit Office 2013 Problemlos. Autodiscover URLs sind konfiguriert wie auch _autodiscover._tcp Einträge.

 

Nun gibt es ein Problem mit Outlook 2016.

Auf Win 10 ist Office 2016 installiert. Beim Erstaufruf von Outlook möchte dieses nun Konfigurieren. Es kommt aber zu einer Passwort abfrage, das Passwort wird nun eingegeben und es kommt zu einem Fehler. In dem Fenster steht nun das sich Outlook nun per imap auf imap.1und1.de verbinden möchte.

Meine Domain ist bei 1und1 registriert. Dort sind auch _autodiscover._tcp bzw. die Subdomain autodiscover wie auch die MX records richtig gesetzt.

Nun ist es ja so das es zu einer Anfrage nach extern ja gar nicht kommen dürfte da der interne DNS Server diese Einträge ja schon passend auf interne IPs auflöst.

 

Auf FrankysWeb im PDF habe ich nun gesehen das Outlook 2016 Office 365 priorisiert nun habe ich per Registry abgeschalten:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -Name "ExcludeExplicitO365Endpoint" -Value 1 -Type DWORD

 

Das macht aber keinen Unterschied.

Ich versuche jetzt in einem Wireshark mitschnitt zu finden wo er die Adresse imap.1und1.de herbekommt konnte aber bisher nur die DNS anfrage an meinen DNS danach finden.

 

Woher kann das verhalten sonst noch kommen?

 

viele Grüße

Andi

 

 

Zur Verdeutlichung noch ein paar Screenshots, es geht um den Outlook Einrichtungs Assistenten, das automatische Hinzufügen des Kontos über die Systemsteuerung - Mails funktioniert jedoch

 

 

 

Das einrichten über die Systemsteuerung klappt problemlos automatisch.

Ja hab mich nicht richtig ausgedrückt. Meinte vorhanden von Haus aus also auch per Default aktiv.

Danke, irgendwie hab ich nach den falschen Sachen gesucht.

 

Und ich habe mir auch immer gedacht das so eine "einfache" Einstellung oder Funktion doch eigentlich sowiso vorhanden sein sollte.

Bin mir auch sicher das ichs falsch versucht hab :)

Ich habs so versucht wie oben in dem Link. Beim Empfangs connector.

 

Welche Infos werden denn benötigt?

Das würde ich gerne tun aber so wie ich es versucht habe hat es nicht funktioniert.

Ja Norbert hat Recht. Es ist eine Backscatter Attacke, zum Selben Zeitpunkt des Versands kommt die NDR beim SMTPReceivelog rein.

 

Vereinzelt so 2-3 Mails sind es pro tag.

Versuche jetzt erstmal den Versand zu stoppen, der Postfix darf jetzt nur Mails mit gültigem Absender versenden.

 

Aber wie setze ich deinen Vorschlag um das nur Mails akzeptiert werden welche auch ein passenden Mail-Account in der eigenen Domäne haben?

Wenn ich am Empfangs-Connector den Anonymen zugriff verbiete werden gar keine Mails mehr empfangen.

Habe es so versucht:

https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/

Wie dort aber auch andere schreiben geht danach der Mailempfang gar nicht mehr.

Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen?

 

 

Ja so ist es, ich wollte das schonmal ändern...

Bzw. der Exchange sendet an den Postfix als Smarthost der Postfix liefert dann aus.

 

Gibt es da eine Möglichkeit das mit dem Filter zu lösen?

obigem Fall auf Backscatter-Erzeuger,

 

Der Erzeuger war also nicht im meinem Netz oder?

Der Internet Traffic landet direkt auf dem Exchange, durchgeroutet, dann hat der Exchange darauf reagiert und über den Postfix gesendet, scheinbar.

Hallo,

 

scheinbar wurden über meinen Exchange Server Spam Mails versandt, aber nur 2 :-)

 

 

Zum Senden verwende ich einen Linux Postfix. Welcher per VPN mit dem Exchange verbunden ist.

 

Bemerkt hab ich es Heute da eine Spam Mail nicht zustellbar war, und ich einen Fehler erhalten habe.

 

Auf dem Postfix habe ich im Log das gefunden:

Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: connect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: C6BBC18CD114: client=exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:13 linuxpost postfix/cleanup[3161]: C6BBC18CD114: message-id=<b8b5efe6-b351-40ad-89e5-75215fd80714@exchangeserver.domain.local>
Feb  9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: from=<>, size=9519, nrcpt=1 (queue active)
Feb  9 10:36:14 linuxpost postfix/smtpd[3158]: disconnect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:14 linuxpost postfix/smtp[3162]: C6BBC18CD114: to=<hisbgnbciio@aibling.de>, relay=mail.aibling.de[193.158.216.90]:25, delay=0.75, delays=0.2/0.08/0.09/0.38, dsn=2.0.0, status=sent (250 Requested mail action okay, completed)
Feb  9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: removed

Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: connect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: E42B918CD114: client=exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:44 linuxpost postfix/cleanup[3222]: E42B918CD114: message-id=<d85a6026-6adb-4292-b529-6fcaa0ad0efa@exchangeserver.domain.local>
Feb  9 10:40:44 linuxpost postfix/qmgr[548]: E42B918CD114: from=<>, size=10664, nrcpt=1 (queue active)
Feb  9 10:40:44 linuxpost postfix/smtpd[3219]: disconnect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:45 linuxpost postfix/smtp[3223]: E42B918CD114: to=<cugeutronler@eutron.it>, relay=cust15480-2.in.mailcontrol.com[85.115.54.190]:25, delay=1.9, delays=0.15/0.01/1.4/0.4, dsn=2.0.0, status=sent (250 2.0.0 v199eieC018252 Message accepted for delivery)
Feb  9 10:40:45 linuxpost postfix/qmgr[548]: E42B918CD114: removed

und im Exchange SMTP Log:

2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,44,192.168.178.50:17813,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA12
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,45,192.168.178.50:17813,192.168.178.50:2525,>,RSET,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,46,192.168.178.50:17813,192.168.178.50:2525,<,250 2.0.0 Resetting,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,47,192.168.178.50:17813,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA12 IP=192.168.178.101 PORT=27465 DOMAIN=[58.186.190.100] SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,48,192.168.178.50:17813,192.168.178.50:2525,<,250 XProxyFrom accepted,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,49,192.168.178.50:17813,192.168.178.50:2525,*,,sending message with RecordId 1213 and InternetMessageId <003101d282f2$0783d378$de8fa48b$@aibling.de>
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,50,192.168.178.50:17813,192.168.178.50:2525,>,MAIL FROM:<hisbgnbciio@aibling.de> SIZE=0 AUTH=<>,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,51,192.168.178.50:17813,192.168.178.50:2525,>,RCPT TO:<hoffmantalbottykm@meinedomain.de>,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,52,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.0 Sender OK,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,53,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.5 Recipient OK,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,54,192.168.178.50:17813,192.168.178.50:2525,>,DATA,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,55,192.168.178.50:17813,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>,
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,56,192.168.178.50:17813,192.168.178.50:2525,<,"250 2.6.0 <003101d282f2$0783d378$de8fa48b$@aibling.de> [InternalId=91555817848855, Hostname=Seexchangeserver.domain.local4900 bytes in 0.096, 49,828 KB/sec Queued mail for delivery",
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,57,192.168.178.50:17813,192.168.178.50:2525,*,,Wrote to network 4673 bytes read from inbound proxy layer over 108 msecs for nexthopfqdn  messageid <003101d282f2$0783d378$de8fa48b$@aibling.de>
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,58,192.168.178.50:17813,192.168.178.50:2525,*,,successfully added connection to cache.

2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,29,192.168.178.50:18789,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA22
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,30,192.168.178.50:18789,192.168.178.50:2525,>,RSET,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,31,192.168.178.50:18789,192.168.178.50:2525,<,250 2.0.0 Resetting,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,32,192.168.178.50:18789,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA22 IP=192.168.178.101 PORT=46563 DOMAIN=static.cmcti.vn SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,33,192.168.178.50:18789,192.168.178.50:2525,<,250 XProxyFrom accepted,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,34,192.168.178.50:18789,192.168.178.50:2525,*,,sending message with RecordId 1215 and InternetMessageId <002101d282f3$0181cb15$27372d8d$@eutron.it>
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,35,192.168.178.50:18789,192.168.178.50:2525,>,MAIL FROM:<cugeutronler@eutron.it> SIZE=0 AUTH=<>,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,36,192.168.178.50:18789,192.168.178.50:2525,>,RCPT TO:<thisisjusttestletter@meinedomain.de>,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,37,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.0 Sender OK,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,38,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.5 Recipient OK,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,39,192.168.178.50:18789,192.168.178.50:2525,>,DATA,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,40,192.168.178.50:18789,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>,
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,41,192.168.178.50:18789,192.168.178.50:2525,<,"250 2.6.0 <002101d282f3$0181cb15$27372d8d$@eutron.it> [InternalId=91555817848860, Hostname=exchangeserver.domain.local] 5232 bytes in 0.102, 49,747 KB/sec Queued mail for delivery",
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,42,192.168.178.50:18789,192.168.178.50:2525,*,,Wrote to network 5005 bytes read from inbound proxy layer over 109 msecs for nexthopfqdn  messageid <002101d282f3$0181cb15$27372d8d$@eutron.it>
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,43,192.168.178.50:18789,192.168.178.50:2525,*,,successfully added connection to cache.

Woher ist nun die Mail verschickt worden? Wie kann ich weiteres herausfinden?