expertenaustausch > comm.provider.* > comm.provider.mail

Arno Welzel (27.05.2018, 12:48)
Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
angenommen wurden, weil der versendende Server bei Google noch keine
ausreichende Reputation hat. Der Grund ist wohl, dass Google Mailserver
auch danach beurteilt, wieviele Mails von diesen Servern bereits an
GMail-Adressen zugestellt wurden und ob da viel Spam dabei war. Selbst
wenn man sonst alles korrekt macht - also SPF, DKIM und DMARC, eigene
IP-Adressen exklusiv nur für den MX usw. - wenn Google den Server noch
nicht kennt, wird er erstmal unabhängig vom Inhalt der E-Mails pauschal
blockiert und es gibt auch keine Möglichkeit, das zu ändern.

Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:
man registriert sich bei einem SMTP-Relay-Anbieter einen Zugang und
konfiguriert im eigenen Mailserver einen Server des Anbieters als
Smarthost für die Mail-Auslieferung ein.

Momentan teste ich Sendgrid, konfiguriert als Smarthost für Postfix -
das scheint recht problemlos zu funktionieren, inkl. DKIM-Signatur für
die eigene Domain und auch kostenlos, wenn das Mailvolumen gering ist.
Und das Entscheidende: Mails, die so versendet werden, kommen auch bei
GMail-Adressen an.

Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co. als
"vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde Domains
anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
kosten.
Florian Weimer (27.05.2018, 13:57)
* Arno Welzel:

> Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co. als
> "vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde Domains
> anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
> Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
> kosten.


Google bietet das an.
Thomas Gohel (27.05.2018, 15:22)
Hallo Arno,

> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
> nicht angenommen wurden, weil der versendende Server bei Google noch
> keine ausreichende Reputation hat.


Mhh, ich hatte bisher keine Probleme bei Google und mit Google-Nutzern.

Aus Spaß habe ich mir mal selbst erstmalig auf meine SmartPhone-Adresse
eine Mail geschickt, sie wurde klaglos angenommen und erschien auch drei
Minuten im Posteingang.

> Der Grund ist wohl, dass Google Mailserver auch danach beurteilt,
> wieviele Mails von diesen Servern bereits an GMail-Adressen zugestellt
> wurden und ob da viel Spam dabei war.


Mhhh, diese Probleme kenne ich bisher nur aus der Microsoft-Could-
Blase.

> Selbst wenn man sonst alles korrekt macht - also SPF, DKIM und
> DMARC, eigene IP-Adressen exklusiv nur für den MX usw. -


Ich habe hier nur SPF am Start, da DKIM mir schon aus Client-Sicht zu
viele Fehler liefert (lieder). Allerdings stimmt der rDNS-Eintrag und
ich nutze prinzipiell SSL mit einem zum Mailserver passenden Zertifikat
von LetsEncrypt.

> wenn Google den Server noch nicht kennt, wird er erstmal unabhängig
> vom Inhalt der E-Mails pauschal blockiert und es gibt auch keine
> Möglichkeit, das zu ändern.


Das Problem kenne ich nicht, sowohl damals mit Telefonica als Vorleister,
als auch jetzt mit einer T-IPv4.

> Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:


Mhh, was passiert wenn Du von Google einen Schwung Mails auf Deinen
Server schickst? Steht da etwas in deren gesetzten Headern?

> man registriert sich bei einem SMTP-Relay-Anbieter


Das ist doch nur ein Hack. :-(

> Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co.
> als "vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde
> Domains anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
> Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
> kosten.


4,95 + setzen eines eigenen Envelope-Headers?

PS: Wobei, ich glaube sie bieten den Tarif nur noch für Uralt-Kunden an.

Tschau,

--------------
/ h o m a s
Arno Welzel (27.05.2018, 15:37)
Thomas Gohel:

> Hallo Arno,
>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
>> nicht angenommen wurden, weil der versendende Server bei Google noch
>> keine ausreichende Reputation hat.

> Mhh, ich hatte bisher keine Probleme bei Google und mit Google-Nutzern.


Mit deinem eigenen Server?

> Aus Spaß habe ich mir mal selbst erstmalig auf meine SmartPhone-Adresse
> eine Mail geschickt, sie wurde klaglos angenommen und erschien auch drei
> Minuten im Posteingang.


Hier nicht. Google lehnte die Mails sofort ab, weil sie die IP-Adresse
nicht kennen. Nachdem den Versand auf Sendgrid als Relay umgestellt habe
(inkl. DKIM, SPF-Anpassung etc. pe pe), gingen die Mails sofort durch.

Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!

Also Transport Map in Postfix angepasst: an GMail bitte über Sendgrid
schicken und Rest direkt an den zuständigen MX.

[...]
>> Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:

> Mhh, was passiert wenn Du von Google einen Schwung Mails auf Deinen
> Server schickst? Steht da etwas in deren gesetzten Headern?


Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann diese
hier (leicht gekürzt und anonymisiert):

550-5.7.1 [... ] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending
550-5.7.1 domain. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 for more
information.

>> man registriert sich bei einem SMTP-Relay-Anbieter

> Das ist doch nur ein Hack. :-(


Besser Lösungen nehme ich gerne an.

> 4,95 + setzen eines eigenen Envelope-Headers?
> PS: Wobei, ich glaube sie bieten den Tarif nur noch für Uralt-Kunden an.


Wer?
Thomas Gohel (27.05.2018, 16:14)
Hallo Arno,

>>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
>>> nicht angenommen wurden, weil der versendende Server bei Google
>>> noch keine ausreichende Reputation hat.

>> Mhh, ich hatte bisher keine Probleme bei Google und mit
>> Google-Nutzern.

> Mit deinem eigenen Server?


Ja, also prinzipiell vergleichbar mit Deinem Mailserver. Web- und Mail-
Server IPs sind hier aber identisch.

> Hier nicht. Google lehnte die Mails sofort ab, weil sie die
> IP-Adresse nicht kennen.


Der für die Domain zuständige Mailserver ist "mail.0?0?.de", die SPFs
zeigen aber auf den MX von Sendgrid und Mailjet.

> Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!


Das wundert mich jetzt nicht, GMX prüft m.E. auf SPF ...

> Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann
> diese hier (leicht gekürzt und anonymisiert):


Handelt es sich um eine IPv4- oder IPv6-Fehlermeldung? Ansonsten würde
ich versuchsweise IPv6 komplett aus aller Config entfernen, damit der
MX komplett IPv4-only ist. Mein Bauch sagt, ich habe irgendwann etwas
zu dem Thema und GMail gelesen ...

Tschau,

--------------
/ h o m a s
Arno Welzel (27.05.2018, 16:27)
Thomas Gohel:

> Hallo Arno,
> Ja, also prinzipiell vergleichbar mit Deinem Mailserver. Web- und Mail-
> Server IPs sind hier aber identisch.
> Der für die Domain zuständige Mailserver ist "mail.0?0?.de", die SPFs
> zeigen aber auf den MX von Sendgrid und Mailjet.


Ja. Sendgrid und Mailjet sind aber nur zusätzlich drin, nicht exklusiv:

v=spf1 include:sendgrid.net include:spf.mailjet.com mx -all

>> Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!

> Das wundert mich jetzt nicht, GMX prüft m.E. auf SPF ...


GMX nimmt die Mails direkt vom Server ja sofort und ohne Probleme an.
Nur eben nicht dann, wenn sie von Sendgrid kommen. Da verschwinden sie
entweder einfach kommentarlos oder werden erst nach viele Stunden
ausgeliefert. Mails über Sendgrid an GMail gehen sofort durch.

>> Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann
>> diese hier (leicht gekürzt und anonymisiert):

> Handelt es sich um eine IPv4- oder IPv6-Fehlermeldung? Ansonsten würde
> ich versuchsweise IPv6 komplett aus aller Config entfernen, damit der
> MX komplett IPv4-only ist. Mein Bauch sagt, ich habe irgendwann etwas
> zu dem Thema und GMail gelesen ...


Ok, das wäre noch ein Ansatzpunkt, wobei es aktuell nicht alle Domains
betrifft. GMail lehnt z.B. Mails von arnowelzel.de über den Server nicht
ab, obwohl das über den selben Server geht.
Marc Haber (27.05.2018, 16:43)
Arno Welzel <usenet> wrote:
>550-5.7.1 [... ] Our system has detected that this message is
>550-5.7.1 likely suspicious due to the very low reputation of the sending
>550-5.7.1 domain. To best protect our users from spam, the message has been
>550-5.7.1 blocked. Please visit
>550 5.7.1 for more
>information.


Ja, das Kartell der Großmailanbieter richtet mit seinen Spamfiltern
aktuell mehr Schaden an als alle Spammer zusammen ien 25 Jahren. Der
Betrieb eines eigenen Mailservers wird von Tag zu Tag schwieriger.

Grüße
Marc
Arno Welzel (27.05.2018, 17:31)
Arno Welzel:

[...]
> GMX nimmt die Mails direkt vom Server ja sofort und ohne Probleme an.
> Nur eben nicht dann, wenn sie von Sendgrid kommen. Da verschwinden sie
> entweder einfach kommentarlos oder werden erst nach viele Stunden
> ausgeliefert. Mails über Sendgrid an GMail gehen sofort durch.


Ok, ich war wohl zu ungeduldig. Die Änderung im SPF, dass neben dem MX
der Domain auch die Regeln von sendgrid.net zu prüfen sind, war wohl bei
GMX noch nicht sichtbar.

Ich habe gerade nochmal einen Test mit Sendgrid gemacht, wo die Mails
jetzt auch bei GMX problemlos ankommen.

Aber nachdem es dafür keine Notwendigkeit gibt, belasse ich es erstmal
dabei, dass ich nur Mails an GMail über Sendgrid schicken lasse.

Zum Thema IPv6: nein, das ist meinem Fall nicht das Problem. Tatsächlich
gibt es einen korrekten AAAA-Record und PTR auch auf die IPv6-Adresse
des Mailservers - das war nämlich bei früheren Fehlerberichten dazu das
Problem, dass Leute schlicht diese Punkte vergessen haben.

Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen unbekannten
Servern nicht haben will. Schön finde ich den Workaround mit
zusätzlichem Smarthost nicht - aber am Ende kommt es halt darauf an,
dass E-Mails auch ankommen. Da kann ich gegenüber meinen Nutzer nicht
damit argumentieren, dass GMail halt mistig ist.
Thomas Gohel (27.05.2018, 19:46)
Hallo Arno,

> Zum Thema IPv6: nein, das ist meinem Fall nicht das Problem.
> Tatsächlich gibt es einen korrekten AAAA-Record und PTR auch auf die
> IPv6-Adresse des Mailservers


Doch, ich verorte das Problem durchaus bei IPv6, da Google bei IPv6
deutlich härtere Rules als Bedingung hat (persönliche Meinung: da
Blacklisting auf IPv6-Ebene komplizierter ist). Eine von den Bedingungen
ist ein valider DKIM-Header und diesen hast Du mir bisher in den zwei
Mails an mich nicht korrekt gesetzt (sagt jedenfalls mein TB).

Google behandelt m.E. unbekannte System erst einmal neutral, sofern die
IPs wohl nicht in den diversen RBLs bekannt sind, und dann bekommt der
sendene Server eine Reputation. Das kann vom allgemeinen verschieben
der Mail in den Spamordern sein, bis eben zum harten Rejecten oder
auch von der Freistellung, obwohl die Mail eindeutig spam zu sein
scheint.

> - das war nämlich bei früheren Fehlerberichten dazu das Problem, dass
> Leute schlicht diese Punkte vergessen haben.


AAAA-Record und rDNS-IPv6 stehen bei Google ganz oben in der "Must Have"-
Liste bei IPv6, ganzen unten steht dann valider SPF- oder DKIM-Eintrag.

> Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen
> unbekannten Servern nicht haben will.


Dein Mailserver düfte doch Google schon lange bekannt sein, oder?

> Schön finde ich den Workaround mit zusätzlichem Smarthost nicht -


Bei ein wenig Surfen in den Google-FAQs ist mir aufgefallen, dass sich
ein Postmaster auch bei Google selbst mehr Reputation verschaffen kann,
sofern Du einen Google-Account besitzt und Zugriff auf den CNAME- und
TXT-Record Deiner Domain besitzt. Frage mich jetzt aber bitte nicht,
wie man bei Google durch die Stöckchen springt und was da im Endeffekt
bringt <g>.

> aber am Ende kommt es halt darauf an, dass E-Mails auch ankommen. Da
> kann ich gegenüber meinen Nutzer nicht damit argumentieren, dass GMail
> halt mistig ist.


Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).

Tschau,

--------------
/ h o m a s
Arno Welzel (27.05.2018, 22:16)
Thomas Gohel:

> Hallo Arno,
> Doch, ich verorte das Problem durchaus bei IPv6, da Google bei IPv6
> deutlich härtere Rules als Bedingung hat (persönliche Meinung: da
> Blacklisting auf IPv6-Ebene komplizierter ist). Eine von den Bedingungen
> ist ein valider DKIM-Header und diesen hast Du mir bisher in den zwei
> Mails an mich nicht korrekt gesetzt (sagt jedenfalls mein TB).


Und meine Prüfungen sagen alle, dass er korrekt ist.

Konkret:

1) Mein TB mit DKIM Verifier -> OK
2) <http://dkimvalidator.com/> -> OK
3) <http://www.appmaildev.com/de/dkim> -> OK

Auf Wunsch zeige ich auch gerne nochmal Screenshots von den betreffenden
Test.

> AAAA-Record und rDNS-IPv6 stehen bei Google ganz oben in der "Must Have"-
> Liste bei IPv6, ganzen unten steht dann valider SPF- oder DKIM-Eintrag.
> Dein Mailserver düfte doch Google schon lange bekannt sein, oder?


Mein Server schon - aber eben nicht für diese Domain, die erst seit ein
paar Tagen bei mir liegt.

> Bei ein wenig Surfen in den Google-FAQs ist mir aufgefallen, dass sich
> ein Postmaster auch bei Google selbst mehr Reputation verschaffen kann,
> sofern Du einen Google-Account besitzt und Zugriff auf den CNAME- und
> TXT-Record Deiner Domain besitzt. Frage mich jetzt aber bitte nicht,
> wie man bei Google durch die Stöckchen springt und was da im Endeffekt
> bringt <g>.


Zumindest die Postmaster-Tools nutze ich schon - und da hat keine meiner
Domains irgendeine Beurteilung - einzig, die Domain, deren Mails nicht
von meinem Server aus angenommen werden, hat für genau den einen Tag, wo
ein erfolgloser Zustellversuch war, eben die "schlechte" Reputation,
allerdings nur für Domain, nicht für die IP-Adresse.

Die Mails, die seit dem über Sendgrid an Google gehen - für genau die
selbe Domain - wurden alle anstandslos angenommen. Offenbar gilt auch
da, wenn man nur Geld irgendwo reinwirft, geht letztlich alles. Denn
Sendgrid will natürlich ab einem gewissen Volumen auch Geld für ihre
Dienste haben.

>> aber am Ende kommt es halt darauf an, dass E-Mails auch ankommen. Da
>> kann ich gegenüber meinen Nutzer nicht damit argumentieren, dass GMail
>> halt mistig ist.

> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).


Yep - Hotmail ist übel, ebenso wie Yahoo. Wundert mich, dass die
überhaupt noch Nutzer haben.
Thomas Hochstein (28.05.2018, 00:31)
Arno Welzel schrieb:

> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
> angenommen wurden, weil der versendende Server bei Google noch keine
> ausreichende Reputation hat.


Diese Probleme kenne ich primär - auch in der Form von Mails, die
still und leise verschwinden - bei Einlieferung von ipv6-Adressen. Mit
ipv4-Adressen habe ich bisher weder bei meinen privaten Mails noch den
von mir betriebenen (kleinen und mittleren) Mailinglisten
Schwierigkeiten gehabt.

Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
mich daran, dass ich damals festgestellt habe, dass das kein singuläres
Problem wäre, das nur mich betrifft.

Wäre vielleicht einen Versuch wert.

-thh
Andreas M. Kirchwitz (28.05.2018, 02:05)
Marc Haber <mh+usenetspam1118> wrote:

> Arno Welzel <usenet> wrote:
> Ja, das Kartell der Großmailanbieter richtet mit seinen Spamfiltern
> aktuell mehr Schaden an als alle Spammer zusammen ien 25 Jahren. Der
> Betrieb eines eigenen Mailservers wird von Tag zu Tag schwieriger.


Danke, das hast Du treffend auf den Punkt gebracht.

Spam-Filterung ist kein Hexenwerk und auch ohne massiven
Kollateralschaden machbar. Bei Giganten wie Google zieht auch nicht
die Ausrede, sie hätten keine Rechenkapazitäten für anständige Filter.

Eine Zeitlang habe ich meine GMail-Adresse häufiger verwendet, vor
allem auf Reisen, weil die Verzahnung der Google-Dienste praktisch
ist und einem viel Arbeit abnimmt.

Doch schnell ist mir aufgefallen, dass Mail fehlt, insbesondere wenn
der Absender kein weltbekanntes Unternehmen gewesen ist. Solche Mail
befand sich meist im Spam-Ordner.

GMail setzt die Priorität ganz klar auf eine Zero-Spam-Policy für
die Inbox aller Kunden. Lieber 100 legitime Mail abweisen bzw. im
Spam-Folder versauern lassen, als 1 echten Spam durchlassen.

Ich bezweifle, dass der normale Kunde versteht, welch hohen Preis
er zahlt für den 100% spamfreien Posteingang.

*seufz* Andreas
Andreas M. Kirchwitz (28.05.2018, 02:21)
Thomas Gohel <gohel> wrote:

> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).


Google (GMail) ist der größte mir bekannte Mail-Nazi,
kein anderer Anbieter baut dermaßen viele Schikanen ein,
die gültigen und standardkonformen Mail-Verkehr behindern.

Mit Microsoft (office365.com) hatte ich beispielsweise noch nie
Kummer, und dort haben inzwischen viele Firmen ihre Mail liegen.
Damit will ich nicht sagen, dass office365.com tadellos wäre,
doch für die musste ich mich noch nie bewusst verrenken.

Manchmal wundere ich mich, wie Google jemals so groß werden konnte,
das lag jedenfalls definitiv nicht an der technischen Kompetenz der
Mitarbeiter dort.

*seufz* Andreas
Arno Welzel (28.05.2018, 02:35)
Thomas Hochstein:

> Arno Welzel schrieb:
> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
> Problem wäre, das nur mich betrifft.


Ja - das ist jetzt nach diversen Experimenten mit Dienstleistern wie
Sendgrid hier auch die aktuelle Lösung. Ich wollte das ja erst nicht
glauben, da technisch bei mir eigentlich alles korrekt konfiguriert war.

Aber ich habe ich noch etwas gelernt: DKIM ist auch ein schwieriges
Geschäft. Bisher war ich zwar der Ansicht, dass die Kombination aus
OpenDKIM und Postfix hier gültige Signaturen erzeugt - vor Allem, da
sowohl Thunderbird als auch diverse Prüfdienste, wie
<http://dkimvalidator.com/> und <http://www.appmaildev.com/de/dkim> die
Korrektheit der Signaturen bestätigt haben - aber dann habe ich doch
noch einen Test gefunden, der ein Problem mit den Signaturen hatte.

Letztlich habe ich da erstmal aufgegeben und verzichte auf DKIM.

Der Mailserver nutzt jetzt nur noch IPv4 und der MX ist auch
entsprechend angepasst, dass er nur noch einen A- und keinen AAAA-Record
mehr hat.

Ergebnis: die vorher von GMail bemängelte Reputation der fraglichen
Domain ist nun kein Thema mehr. Mails landen zwar ggf. noch im
Spam-Ordner, aber sie werden zumindest angenommen und nicht schon beim
Zustellversuch abgelehnt. Google scheint dann auch das fehlende DKIM
nicht zu stören, da SPF und DMARC ja trotzdem vorhanden und gültig sind.

Danke Allen für die Hilfe!
Arno Welzel (28.05.2018, 10:19)
Arno Welzel:

> Thomas Hochstein:
> Letztlich habe ich da erstmal aufgegeben und verzichte auf DKIM.
> Der Mailserver nutzt jetzt nur noch IPv4 und der MX ist auch
> entsprechend angepasst, dass er nur noch einen A- und keinen AAAA-Record
> mehr hat. [...]


Noch eine Anpassung:

Statt komplett auf IPv6 zu verzichten, gibt es jetzt explizit nur für
Google die Beschränkung auf IPv4. Am Ergebnis ändert sich dadurch
nichts, aber der MX ist auch weiterhin über IPv6 erreichbar (und hat
auch wieder einen AAAA-Record).

Ähnliche Themen