Telekom blockt meinen E-Mail Server

[Simanova]

Die Antwort darauf von der Telekom:

[...]
| Insbesondere empfehlen wir, den Hostnamen so zu wählen, dass seine
| Nutzung als Mailserver für Außenstehende erkennbar ist (z. B.
| mail.example.com), und >>> sicherzustellen, dass die Domain zu einer
| Website führt, die eine Anbieterkennzeichnung mit sämtlichen
| Kontaktdaten beinhaltet. <<<

Mit freundlichen Grüßen
G.

Mein Setup: Debian dedi server bei Netcup, Verwaltung über ISPConfig
Mailempfang per Dovecot IMAP
Mailversand per Postfix SMTP (SNI)
Eine feste öffentliche IP Adresse
Eine physische Maschine mit einem NIC
Mehrere Domains
Mehrere E-Mails Domain
Mehrere E-Mail Postfächer
Lets Encrypt SSL Zertifikate für alle Domains aktiv
RSPAMD Spamfilter

Beispiel
1 www.beispiel.de user@beispiel.de, versendet an ziel@t-online.de, wird nicht geblockt
2 www.test.de user@test.de, versendet an ziel@t-online.de, wird geblockt (Begründung siehe Zitat Hr. Brenner)

Die SNI Konfiguration im Postfix sieht dann so aus (ohne die Zahlen am Anfang)
1 beispiel.de /etc/letsencrypt/live/beispiel.de/privkey.pem /etc/letsencrypt/live/beispiel.de/fullchain.pem
2 test.de /etc/letsencrypt/live/test.de/privkey.pem /etc/letsencrypt/live/test.de/fullchain.pem


Irgendeine Idee, wie ich die Telekom Mailserver überzeugen kann, meine E-Mails zu akzeptieren?
Gibts es Alternativen zu Postfix SNI?

Danke und beste Grüße

 

[holdes]

Wie sind denn die Domains konfiguriert? Speziell MX Einträge bzw. SPF?

Ein kompletter Fehler sofern du einen hast sollte da mehr Aufschluss geben. In den NDRs stehen ja meist die Begründungen drin.

 

[Renegade334]

Die meisten IPs von netcup sind wohl zumindest bei Microsoft auf einer Spam Blacklist. Vielleicht sieht es ja bei der Telekom ähnlich aus...

 

[Sebbi]

Teste hiermit, wo Probleme bei deinen Mailserver liegen:

https://mxtoolbox.com/diagnostic.aspx

Sollten da irgendwelche Fehler auftauchen, ist es warscheinlicher, das deine Mails nicht akzeptiert werden.

und entgegen von United Internet (der Name ist da echt ein Hohn) , die ganze IP Bereiche in Sippenhaft nehmen, ist Telekom da recht offen noch

 

[holdes]

Ebenfalls hilfreich ist der Test hier:
https://www.mail-tester.com

Der prüft im Grunde nachdem man eine Mail hingesendet hat, obs damit Probleme gibt bzw. ob sie SpamScore anfällig ist. Aber Achtung: Pro Tag kann man pro Domain nur 3 mal testen.

 

[dw4817]

Irgendeine Idee, wie ich die Telekom Mailserver überzeugen kann, meine E-Mails zu akzeptieren?

Sorge dafür, dass der Hostname Deines Mailservers auch korrekt per Reverse-DNS aus der IPv4- und IPv6-Adresse ermittelt werden kann und mach unter diesem Hostnamen eine Webseite mit Impressumsangaben (Postanschrift und mindestens zwei weitere Kontaktwege) verfügbar. Danach mailst Du an die Telekom-Postmaster-Adresse (mit der Du ja laut obigen Zitat schon Kontakt hattest) und teilst Ihnen mit, dass Du das Impressum hinterlegt hast und man möge Deine IP-Adresse(n) freischalten.

BTDT und - ja - ich finde das auch umständlich, aber als Quasi-Monopolist kann man sich sowas halt erlauben.

 

[rezzler]

BTDT und - ja - ich finde das auch umständlich, aber als Quasi-Monopolist kann man sich sowas halt erlauben.

Telekom ein Quasi-Monopolist bei Mailadressen?

 

[dw4817]

Telekom ein Quasi-Monopolist bei Mailadressen?

In Deutschland bei relativ vielen Privatusern leider schon.

 

[rezzler]

In Deutschland bei relativ vielen Privatusern leider schon.

Die Leute haben Auswahl, also kanns schonmal kein Monopolist sein. Ob die Telekom hier mit Leistung überzeugt kann ich nicht beurteilen. Allgemein hab ich eher den Eindruck, das die vom ISP mitgelieferten Mailadressen eher unbeliebt sind, weil halt an den ISP gebunden. Könnte aber auch subjektives Empfinden sein.

 

[dw4817]

Allgemein hab ich eher den Eindruck, das die vom ISP mitgelieferten Mailadressen eher unbeliebt sind, weil halt an den ISP gebunden.

Das ist bei den Kunden, die keine Hemmungen vor Providerwechseln haben, der Fall.

Bei vielen älteren Nutzern und sehr vielen Handwerkern stoße ich aber recht regelmäßig auf T-Online-Adressen, also kommt man als Mailserverbetreiber in Deutschland praktisch nicht drumherum, diese Verrenkungen auf sich zu nehmen.

 

[Sebbi]

Bei vielen älteren Nutzern und sehr vielen Handwerkern stoße ich aber recht regelmäßig auf T-Online-Adressen,

ja woher kommt denn das? Das kommt daher, weil man früher nunmal kaum kostenlose Anbieter für E-Mail Service hatte. Bei der Telekom waren die im Anschlusspreis enthalten.
Damals gab es auch kaum alternative Internetanbieter.

Und nun die Preisfrage: Warum wechseln die ihre Adresse nicht. Antwort: Dann müssten die alle Stammkunden und Kontakte informieren, das sich die Adresse ändert. Das verkrätzt einen nicht zu verachtenden Teil der Kundschaft etc. Also macht es keiner.
Und da auch nur wenige der altgedienten Handwerkerbetriebe einen Webauftritt hat, werden die auch nen Teufel tun um einen eigenen Mailserver einzurichten und zu betreiben, sondern bleiben bei der Email, unter der die bekannt sind.

Und das hat nichts mit "Quasi-Monopolist" zu tun, sondern einfach nur mit gewachsenen Strukturen.
Ein Quasi-Monopol wäre es erst dann, wenn nur die Telekom die Mailserver Hardware ansich und die Betreiberregeln festlegen würde, wo sich andere Anbieter nur einmieten können.
Da dies aber absolut nicht der Fall ist, ist diese Aussage von dir Mist.

Außerdem:

also kommt man als Mailserverbetreiber in Deutschland praktisch nicht drumherum, diese Verrenkungen auf sich zu nehmen.

das ist genauso Blödsinn!
Es gibt gewisse Regeln, an die man sich eben halten muss beim Einrichten von einen MailServer, damit dieser nicht so schnell als Spamschleuder eingestuft wird. Dafür gibt es auch das von mir oben gelinkte Tool.

Und Telekom ist da noch human mit den Regeln und nimmt nicht ganze Hoster und IP Bereiche in Sippenhaft wie United Internet, nur weil ein einzelner Webserver dort missbraucht wurde, warum auch immer.

 

[foo_1337]

´Und Telekom ist da noch human mit den Regeln

Ich habe aufgrund meiner Connections dafür sorgen können, dass mein Mailserver auch ohne eine Website inkl. Impressum von den Telekom Mailservern mails akzeptiert. Ich finde diese Regeln absolut bescheuert, denn ich will nicht meinen Klarnamen unnötigerweise in der Öffentlichkeit preisgeben.
Nichtmal MS (o365) hat solch bescheuerte Regeln. Da schreibt man kurz was Sache ist und dann landet man auf deren Whitelist. So sollte es sein. Leider sieht die DTAG das anders.

Es gibt gewisse Regeln, an die man sich eben halten muss beim Einrichten von einen MailServer, damit dieser nicht so schnell als Spamschleuder eingestuft wird.

Natürlich gibt es die. Und wer sich nicht daran hält, gehört zurecht auf Blacklists. Diese Regeln schreiben aber keine Website unterhalb dieser Domain inkl. Impressum vor. Das hat sich die Telekom ausgedacht und ich kenne auch niemand anderen, der so eine selten dämliche Policy fährt.

Ergänzung (10. März 2022)

Irgendeine Idee, wie ich die Telekom Mailserver überzeugen kann, meine E-Mails zu akzeptieren?

Ja, Website auf der selben Domain mit Impressum + email dahin mit Link. Sonst geht es leider nicht. Außer man kennt jemanden, der jemanden kennt. Leider.

 

[Sebbi]

Ich habe aufgrund meiner Connections dafür sorgen können, dass mein Mailserver auch ohne eine Website inkl. Impressum von den Telekom Mailservern mails akzeptiert. Ich finde diese Regeln absolut bescheuert, denn ich will nicht meinen Klarnamen unnötigerweise in der Öffentlichkeit preisgeben.

witzig, ich brauchte dafür nichts zu machen, meine werden dennoch akzeptiert. Allerdings muss eben der Server ortentlich konfiguriert sein, vorallem wichtig ein was viele vergessen ein ordnungsgemäßer ReverseDNS eintrag und ein sauberes Helo.
auch ein DMARC Eintrag hilft Wunder, SPF, DKIM , genauso wie das Verbieten der offenen Relay Funktion.

Und ja, ich hab auf meinen Server auch keine Website laufen, wer auf die Domain geht, Erhält einen 404er, da mein Server keine Verbindungen auf Port 80 z.B. akzeptiert

Übrigens wenn man tatsächlich mal geblockt werden sollte und lt. dem mxtoolbox keine Fehler oder Blacklistings hat, sich an dieses Formular wenden:

https://postmaster.t-online.de/kontakt.php

Die sind freundlich und helfen gerne, noch eventuelle Probleme zu erkennen. Entsprechende Logs von deinen Mailserver brauchste natürlich.

 

[foo_1337]

witzig, ich brauchte dafür nichts zu machen, meine werden dennoch akzeptiert.

Dann hattest du vermutlich das Glück, dass den Aufwand schonmal jemand vorher getrieben hat. Die Telekom Policy sieht das so vor, siehst du doch auch schon direkt im ersten Beitrag des TE.
Und früher oder später kann / wird es auch dich treffen. Die Telekom macht das jetzt noch nicht soo lange, hat sich aber erstmal die Ranges von Hetzner & Co vorgeknöpft.

Allerdings muss eben der Server ortentlich konfiguriert sein, vorallem wichtig ein was viele vergessen ein ordnungsgemäßer ReverseDNS eintrag und ein sauberes Helo.

Wenn du das nicht machst, nimmt dich fast niemand an. Nicht nur die Telekom nicht.
Und wenn wir schon beim Kluscheißen sind: Mit einem HELO kommst du leider auch teils nicht mehr weit. Das EHLO muss sauber sein. Und auch das ist eigentlich ein Verstoß gegen RFC 821. Machen zum Glück auch (noch?) nicht die großen, aber manch paranoide Betreiber. Warum auch immer.
Wobei ich auch nicht viel besser bin, denn ich akzeptiere ausschießlich Verbindungen mit anschließendem STARTTLS. Auch das ist eigentlich nicht RFC konform.

Übrigens wenn man tatsächlich mal geblockt werden sollte und lt. dem mxtoolbox keine Fehler oder Blacklistings hat, sich an dieses Formular wenden:

Und nochmal der Hinweis: Du siehst doch oben die Antwort der DTAG. Hast du das Eingangsposting überhaupt gelesen?
Und auch hier nochmal: Wenn du deine Kiste falsch konfigurierst, wirst du auch bei gmail, o365 & co auf Granit beißen. Zurecht.
Aber es geht hier nicht um falsch konfigurierte Mailserver. Und es gingen seit letztem Jahr bereits viele Beschwerden an die BnetzA.

Und wenn du all das nicht glaubst, obwohl es bereits im Startpost dieses Threads steht: https://postmaster.t-online.de/#t4.1

Insbesondere empfehlen wir, den Hostnamen so zu wählen, dass seine Nutzung als Mailserver für Außenstehende erkennbar ist (z. B. mail.example.com), und sicherzustellen, dass die Domain zu einer Website führt, die eine Anbieterkennzeichnung mit sämtlichen Kontaktdaten beinhaltet.

 

[Bob.Dig]

Wie schon gesagt wurde, t-online will ein Impressum. Ich habe keines und werde geblockt oder auch nicht. Wie die das genau machen, wissen sie vermutlich nicht mal selbst...

 

[holdes]

Mal abseits von der Problematik, mit einem Smarthost hinten dran hat man die Probleme sowieso nicht. Mach ich bei uns in der Firma auch absichtlich so, denn sollten die eigenen "echten" festen IPs mal auf Blacklists landen hat man dann viel Freude sich dort herunter zu betteln, nicht alle haben dafür ein einfaches Online Formular. Das kann im Zweifel mal schnell gehen wenn ein 0Day im Mailserver gefunden und genutzt wird.

 

[foo_1337]

Den Smarthost muss man aber auch erstmal haben/bezahlen, z.B. Mailjet oder Mailgun (wobei der Free Plan den meisten privaten Use Cases reichen sollte). Wir bieten unseren Kunden auch einen Smarthost an. Es ist ein PITA einen solchen zu betreiben. Du kommst zum einen mit ratelimits etc. nicht hinterher, zum anderen kannst du dir diverse IP Adressen in verschiedenen Supernetzen bereit halten, damit du schnell umziehen kannst. Denn wie du sagst, ist es ein zeitaufwendiges Unterfangen, von diversen Listen runterzukommen.
Von daher kann ich sehr gut nachvollziehen, dass die Smarthost Anbieter sich das gut bezahlen lassen. Wenn man eine public Cloud nutzt, hat man in der Regel eh keine Wahl, da Port 25 egress grundsätzlich geblockt wird.

 

[holdes]

Bei den meisten Kunden reichte bei uns in der Vergangenheit ein Strato Hosting Paket in denen die Domains sowieso enthalten waren gut aus. Dort ist der Smarthost Relay allerdings in den ersten 4 Wochen auf eine bestimmte Mailanzahl in 24 Stunden eingeschränkt, danach habe ich noch kein Limit gesehen .

 

[Wisi]

Wir hatten ähnliche Probleme und bei diversen Webhostern wird mittlerweile aber der Header entsprechend umgeschrieben, damit das "Smarthost Konto" drin auftaucht -> untauglich für den Zweck. Konkret kann ich sagen, dass All-Inkl. und Do.de dafür nicht (mehr) taugen.

Meine Empfehlung ist aktuell Variomedia. Die sorgen restriktiv aus eigenem Antrieb auch dafür, dass kein Kunde Mist baut, dafür ist man sicher, dass man nirgends geblockt wird. Läuft bei uns seit zwei Jahren ohne jegliche Probleme. Neulich sind wir prompt mal in deren Filter gelaufen als der Mailproxy mal gehangen war und dann plötzlich alle Mails auf einmal raus gehen sollten. Die beziehen sogar die Bounce Rate in die Sperrungen mit ein, da geht das bei Spammern schnell in die Hose...

Beispielmeldung dafür:
A message that you sent could not be delivered to one or more of its recipients.
The following addresses failed: <empfänger@domain.de>.
Error from SMTP server: SMTP error from smtp.variomedia.de: 451 contact customer support.

Wir zahlen dort effektiv nur für eine Domain und für das eigentliche Paket nichts. Das ist schon fast unschlagbar und das bei individuellem Support.

 

[Nore Ply]

Dann hattest du vermutlich das Glück, dass den Aufwand schonmal jemand vorher getrieben hat. Die Telekom Policy sieht das so vor, siehst du doch auch schon direkt im ersten Beitrag des TE.

Der gequotete Teil im ersten Beitrag des TE schreibt von einer Empfehlung. Der Unterschied zwischen Policy und Empfehlung dürfte erheblich sein.

Ergänzung (10. März 2022)

Wie schon gesagt wurde, t-online will ein Impressum.

Und ich will einen Porsche. Man kriegt nicht immer was man will.
Mein Vermieter fordert dagegen am Ende des Monats die Miete. Da gibt es dann auch mehr als nur ein trauriges Gesicht wenn die ausbleibt.