ISPConfig – florian @it

Les serveurs mail de Microsoft n’acceptent pas d’emails envoyés par de nouveaux serveurs.
►https://mail.live.com/mail/troubleshooting.aspx#errors
Il ne suffit plus de configurer correctement son serveur mail, il faut en plus l’inscrire chez MS.

Senden Sie E-Mails über eine neue IP-Adresse?
IP-Adressen, die bisher noch nicht für das Senden von E-Mails verwendet wurden, verfügen in unserem System noch über keinerlei Eintragungen zur Zuverlässigkeit. Daher können bei E-Mails, die von neuen IP-Adressen gesendet werden, mit höherer Wahrscheinlichkeit Zustellbarkeitsprobleme auftreten. Nachdem sich die IP-Adresse durch das Nichtversenden von Spam als zuverlässig erwiesen hat, wird in Outlook.com in der Regel eine bessere Zustellbarkeit für E-Mails erreicht.
Neue IP-Adressen, die für Domänen hinzugefügt werden, die über vorhandene SPF-Einträge authentifiziert wurden, übernehmen in der Regel einen Teil der Sendezuverlässigkeit der Domäne. Wenn die Domäne über eine gute Sendezuverlässigkeit verfügt, ist für neue IP-Adressen möglicherweise eine schnellere Anlaufzeit festzustellen. Eine neue IP-Adresse wird spätestens nach einigen Wochen vollständig akzeptiert. Ausschlaggebend sind hierbei jeweils das Volumen und die Listengenauigkeit – vorausgesetzt, es liegen möglichst wenig Junk-E-Mail-Beschwerden vor.
Hinweis: Denken Sie daran, Ihr JMRP-Konto (Junk E-Mail Reporting Program, Junk-E-Mail-Meldeprogramm) mit den neuen IP-Adressen zu aktualisieren. Wenn Sie ein JMRP-Konto aktualisieren oder einrichten möchten, klicken Sie auf hier

Dienste für Absender und Internetdienstanbieter
▻https://mail.live.com/mail/services.aspx
Comme tout est payant chez MS ils conseillent de souscrire un abonnemenet chez un service de maintien de réputation. Pourtant on peut effectivement s’en passer sauf si on est en train de monter un service de mailings commerciaux.

Return Path-Zertifizierung
Ein Akkreditierungs-/Reputationsdienst eines Drittanbieters mit dem Zweck, Absendern den Status eines sicheren Absenders zu verleihen
Weitere Informationen finden Sie unter ▻http://g.live.com/9wc9en-us/senderscore

Wenn Hotmail Deine Mailserver abweist
▻https://www.hagen-bauer.de/2015/10/hotmail-block.html
Comment j’ai appris cette « nouvelle » ? Notre fournisseur de serveurs héberge des serveurs piratés et MS a mis sur ses blocklists de réseaux IP entiers.

In unsere “Nachbarschaft” bei Hetzner gab es wohl einige SPAM Schleudern so das Hotmail ganze Netzsegmente auf eine “schwarze Liste” gestellt hat. Unsere Server selbst ist sauber.

Nach etwas Suchen bin ich auf diese Seite gestoßen. Hier kann man beantragen das eine IP Adresse wieder freigeschaltet wird.

La solution
▻https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=ed
Il faut demander gentiment qu’ils vérifient un peu, et hop, quelques heures plus tard ca roule. MS réagit nettement plus vite et mieux que Google.

Après (enfin, de préférance préalablement) il faut toujours installer les protocoles de vérification qui améliorent la fiabilité de la communication avec les grands fournisseurs de services email.

RFC 7208 - Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
▻https://tools.ietf.org/html/rfc7208#page-23

SPF : FAQ/Examples
▻http://www.openspf.org/FAQ/Examples

Ubuntu+ISPConfig+DKIM | Howtoforge - Linux Howtos and Tutorials
►https://www.howtoforge.com/community/threads/ubuntu-ispconfig-dkim.72473

DKIM-Patch 1.1.9
▻https://blog.schaal-24.de/ispconfig/dkim-patch-1-1-9

How Senders Deploy DMARC in 5-Easy Steps
▻https://dmarc.org/overview
Cette liste décrit les étapes essentielles pour transformer un serveur mail traditionnel en machine acceptée par la majorité de ses interlocutrices. Il ne faut jamais oublier que ce sont des conventions qui évoluent et ne sont pas parfaites du tout.

DMARC has been designed based on real-world experience by some of the world’s largest email senders and receivers deploying SPF and DKIM. The specification takes into account the fact that it is nearly impossible for an organization to flip a switch to production. There are a number of built-in methods for “throttling” the DMARC processing so that all parties can ease into full deployment over time.

1. Deploy DKIM & SPF. You have to cover the basics, first.
2. Ensure that your mailers are correctly aligning the appropriate identifiers.
3. Publish a DMARC record with the “none” flag set for the policies, which requests data reports.
4. Analyze the data and modify your mail streams as appropriate.
5. Modify your DMARC policy flags from “none” to “quarantine” to “reject” as you gain experience.

dmarcian - SPF Surveyor
►https://dmarcian.com/spf-survey/rezo.net
Pour finir on peut vérifier si on a tout fait dans les normes.

rezo.net
Warning present!
A DMARC record was detected while looking for an SPF record. DMARC records must be located at “_dmarc.rezo.net”, and not directly at “rezo.net”.

Record analysis:
DNS-querying mechanisms/modifiers:

The SPF record authorizes 8 individual netblocks using 3 DNS-querying mechanisms/modifiers. The maximum number of DNS-querying mechanisms/modifiers is 10.

This record utilizes a small number of DNS-querying mechanisms/modifiers. No fixing is required. If this record is meant to be included by other records, consider reducing the number of DNS-querying mechanisms/modifiers (if possible) to keep total resource consumption low.

Duplicate netblock authorization:

The following netblocks have been authorized more than once. Duplicates usually indicate inefficient records or redundant “include:” mechanisms, and should be removed:
netblock # of occurrences
193.56.58.14/32 2

Record flattening (experimental!):

The dmarcian SPF Record Flattener (experimental!) rewrites this record by removing duplicate netblocks, collapsing any overlapping netblocks, and using 0 DNS-querying mechanisms/modifiers. Each SPF record is kept to less than 512 bytes to fit into a single UDP packet (assuming no other TXT records are sharing the DNS label).

NOTE: this approach does not take into account administrative or domain boundaries, and is meant to show that “minified” SPF records are possible. The presence of unusual qualifiers, macros, and creative semantics will likely yield less than optimal results.
domain record
rezo.net v=spf1 ip4:91.194.60.0/23 ip4:185.34.32.0/22 ip4:193.56.58.0/24 ip6:2001:67c:288::/48 ip6:2a00:99a0::/128 ~all

#internet #email #SPAM #authentification

gmx.de und web.de haben Mail-Rejects durch SPF
▻https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf

https://www.heinlein-support.de/blog/wp-content/uploads/2016/06/spf-weiterleitungen1-1024x383.png

SPF „Bullshit und Broken by Design“
Wer „-all“ einträgt muss mit Mailverlust leben wollen
Absender können immer auch von anderen Mailservern kommen

Warum SRS das Problem nicht löst
1. Es gibt keine funktionierenden direkten SRS-Implementierungen in SMTP-Standardsoftware wie Postfix. Obwohl seit 10 Jahren immer wieder nachgefragt, hat Postfix-Erfinder Wietse Venema diesbezügliche Ansinnen stets abgelehnt. Kurz gefaßte Begründung: Weil’s Bullshit by Design ist und er kein Bullshit by Design implementiert. -Dem kann man nur zustimmen.
2. Unklar ist, wie bei mehrfachen Weiterleitungen zu Verfahren ist. Was passiert, wenn der Empfänger bei B seinerseits auf Domain C weiterleitet? Zugegeben: Grundsätzlich kann diese SRS-Umschreibung immer wieder erfolgen. Aber praktisch bricht hier bei Kettenweiterleitungen über kurz oder lang das Chaos aus.
3. Wie und auf welchen Weg sollen Bounces und andere Unzustellbarkeitsmeldungen „rückabgewickelt“ werden? Soll die Kette rückwärts wieder aufgedröselt werden?

La raison pour le choix de SPF chez GMX et WEB.DE n’est pas intelligible.

Warum machen GMX und web.de das?

Tja, die Frage ist schwierig zu beantworten. Irgendwie hat SPF bei GMX und (weil es der gleiche Konzern ist) bei web.de einen guten Stand. Schon vor knapp 10 Jahren gab es am Rande des Anti-Spam-Summits des IT-Branchenverbands ECO im Schloß Biebrich Wiesbaden beim Social Event mit Rotwein und Fingerfood in der hessischen Staatskanzlei eine hitzige Diskussion zu SPF zwischen acht Postmastern der großen Provider, der ich beiwohnen durfte (naja: ich habe sie angezettelt). In Sachen SPF gab es nur einen einzigen Führsprecher: der Kollege von GMX. Und der beendete die durchaus sehr kompetent geführte Fachdiskussion nach einer guten Dreiviertelstunde mit den für mich unvergesslichen Worten: „Ja, SPF geht nicht, wir machen es aber trotzdem!“ Wirklich so gesagt und geschehen. Und da kann man dann nicht mehr diskutieren oder irgendwas verstehen wollen.

Seitens GMX und web.de wird vermutlich auf SRS verwiesen und die Schuld (fast allen) anderen Providern zugeschoben, die halt bitteschön SRS hätten implementieren sollen. Nun, das ist ein Standpunkt und deren gutes Recht. Jedoch nicht viele Kollegen und Mailserver-Experten teilen diese Auffassung.

Pourtant il y une solution mais elle n’est pas aussi simple à gérer que SPF.

Was wirklich hilft: DKIM

Die ganze leidige SPF-Diskussion ist vor allem deshalb so frustrierend, weil mit der Technik „Domain Keys Identified Mail“ (DKIM) eine Lösung zur Verfügung steht, die ebenfalls den Mißbrauch von Absendern wirkungsvoll einschränken kann (und nebenbei sogar noch die Unverfälschtheit der Mail sicherstellt). DKIM führt dazu eine Crypto-Signatur im Mailheader ein, also eine digitale Unterschrift des Mailservers. Dieser DKIM-Header ist nicht an die IP-Adresse gebunden und bleibt auch bei Weiterleitungen problemlos erhalten, solange die Mail unverändert ist (und das ist ja sehr positiv). Ähnlich wie beim SPF-Record kann der Domainbesitzer auch hier über DMARC festlegen, dass seine Mails wirksam DKIM-signiert sein müssen und wie mit Mails zu verfahren ist, denen diese Signatur fehlt. Mehr dazu im unten genannten Vortrag von uns.

infos supplémentaires

Sender Policy Framework
▻https://en.wikipedia.org/wiki/Sender_Policy_Framework

SPF Query Tool
►http://www.kitterman.com/spf/validate.html

How To Implement SPF In Postfix
▻https://www.howtoforge.com/postfix_spf

DomainKeys Identified Mail
▻https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail

Ubuntu+ISPConfig+DKIM | Howtoforge - Linux Howtos and Tutorials
►https://www.howtoforge.com/community/threads/ubuntu-ispconfig-dkim.72473

ISPConfig – DKIM-Patch 1.0 – florian @it
155 Gedanken zu “ISPConfig – DKIM-Patch 1.0”
▻https://blog.schaal-24.de/ispconfig/dkim-patch-1-0

How to send emails properly – florian @it
▻https://blog.schaal-24.de/mail/emails-richtig-versenden/?lang=en

#internet #email #SPF #DKIM #DMARC