Smarthost-Problematik

[JeWe]

Hi,

wir setzen NSP in der aktuellen Version 15.5 ein. Der Server mit der GW-Rolle ist im Exchange 2019 (on Premise) als Smarthost eingetragen, um Mails zu versenden. Passt soweit. Jetzt haben wir allerdings das Problem, dass einige Mails nicht mehr angenommen werden, weil unsere Sender-IP gleichzeitig die Router-IP ist, mit der wir ins Internet gehen und diese IP mit einem anderen Namen aufgelöst wird. T-Online blockt uns pauschal (Bad / None reputation), bei anderen fallen wir durch die Prüfung. Und wir haben natürlich jahrelang die Mails über dieselbe IP verschickt. Das T-Online-Problem lässt sich scheinbar mit einer Mail an tobr@rx.t-online.de lösen. Verschärft wird dieses Problem nun aber noch dadurch, dass wir eine redundante Internetanbindung haben. Soll heißen, dass es sein kann, dass unsere Mails über eine weitere IP (natürlich mit anderer Namensauflösung) verschickt werden. Gibt es für dieses Problem eine Lösung?

Gruß

 

[JanJäschke]

Hey,

vom generellen Prinzip her ist das eigentlich kein Problem.
Ihr müsst nur sicherstellen, dass zu euren verwendenden Namen und IPs immer eine Auflösung möglich ist.
Soll heißen ihr braucht die:

• RDNS einträge für die Gateway IPs, das können auch die Namen eures Routers sein
• MX Records für beide IPs (falls das dann auch inbound gilt)
• A records für die im EHLO genutzten Namen
• SPF der die IPs entsprechend beinhaltet

Wenn ich nun spontan nichts vergessen habe solltet ihr dann auch per-se keinen Ärger mit den meisten haben.
Die Reputation der IPs hat natürlich noch Impact, aber das könnt ihr nur selbst auf Anfrage immer bereinigen lassen. Wenn die T-Online IP aber schon lange genutzt wurde und ihr sonst nie SPAM o.ä. verschickt habt sollte die generell passen.


Gruß
Jan

 

[JeWe]

Hi Jan,

vielen Dank für Deine Rückmeldung!

• Die RDNS-Einträge für die Router können wir nicht setzen, weil nicht in unserem Bereich
• Die MX-Records muss ich nur erweitern (Eintrag für Mailserver schon vorhanden), wenn es um den Mailempfang geht, richtig? Für den Versand spielen die keine Rolle.
• Die A-Records für EHLO teste ich noch einmal

Viele Grüße

 

[StefanCink]

Wenn ihr eine statische IP-Adresse habt, müsst ihr an den Provider herantreten und ihn um einen RDNS-Eintrag dafür bitten. Bei der Telekom geht das auf jeden Fall.
Gruß Stefan

 

[JeWe]

Gerade ist ein Beispiel eingetrudelt, beim Versuch, eine Mail rauszuschicken, kommt diese Antwort:

Remote Server returned '554 5.7.1 < #5.7.1 smtp;550 5.7.1 <mail@hans.dampf.de>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: xx.unseredomain.de, MTA hostname: router1235@provider.de[xxx.xxx.xxx.xxx] (helo/hostname mismatch)>'

Welcher DNS-Eintrag müsste dann durch den Provider gesetzt sein? xx.unseredomain.de ist der MX-Eintrag, kann also nicht verwendet werden. Sorry, wenn ich dumme Fragen stelle, bin kein Mail-Experte...

Gruß

 

[JanJäschke]

Gerade ist ein Beispiel eingetrudelt, beim Versuch, eine Mail rauszuschicken, kommt diese Antwort:

Remote Server returned '554 5.7.1 < #5.7.1 smtp;550 5.7.1 <mail@hans.dampf.de>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: xx.unseredomain.de, MTA hostname: router1235@provider.de[xxx.xxx.xxx.xxx] (helo/hostname mismatch)>'

Welcher DNS-Eintrag müsste dann durch den Provider gesetzt sein? xx.unseredomain.de ist der MX-Eintrag, kann also nicht verwendet werden. Sorry, wenn ich dumme Fragen stelle, bin kein Mail-Experte...

Gruß

Also prinzipiell müsste der Provider den RDNS setzen.
Das würde aber für den Wortlaut deiner Meldung nicht helfen. Da der Provider vermutlich den Namen auch nicht ändern wird, müsstest du den EHLO auf „router1235@provider.de“. Vlt ließt sich das grade aber mit den Infos auch nur doof

 

[869288141]

Hallo Jewe,
dazu muss ich leider ein paar Worte loswerden... weil sowas oftmals dazu führt, dass der Postmaster der empfangenen Seite mit Fragen/Probleme/Kritik konfrontiert wird, obwohl die Ursache vermeidlich auf der Senderseite liegt.

Sorry, wenn ich dumme Fragen stelle, bin kein Mail-Experte...

Es gibt zwei Möglichkeiten:

• Du setzt dich intensiv mit der Thematik auseinander.
• Du lässt das einen Experten administrieren und verwalten.

Der Betrieb von SMTP Proxy/Releay/Mailserver ist seit Jahren nichts mehr was nebenbei läuft. Das Thema wird immer komplexer/umfangreicher und es wird nicht mehr einfacher. Es gibt so viele Themen zu beackern.

Verschärft wird dieses Problem nun aber noch dadurch, dass wir eine redundante Internetanbindung haben

Lass mich raten... die redundante Internetanbindung sieht so aus, dass du es zwei 0815 (Business) Leitungen sind (z.B. 1x DTAG, 1x Vodafone). Somit zwei dedizierte öffentliche IP-Adressen, welche nicht beim Ausfall von Leitung 1 auf 2 übertragen werden. In diesem Fall ist langfristig nur ein zweiter Server mit der NSP Gateway Rolle sinnvoll. Zusätzlich 4 NAT Regeln auf der Firewall, damit eine klare 1:1 Zuordnung von öffentliche IP-Adresse zu NSP Gateway stattfindet.

Gruß,
Daniel