multitalentd99
Goto Top

Falsche Erkennung als SPAM - Ursachenforschung und Großkonzerne

Hallo,

ich bin mittlerweile ratlos und hoffe auf eine zündende Idee.

Ausgangslage: Kunde mit ca. 3 monate alte .com Domain, dessen E-Mails sind komplett bei Office365 gehostet (Hier mit dem Support geprüft, alles ok, auch SPF EIntrag top ok)

Wenn der Kunde nun E-Mails versendet bekommt er z.B. von der Deutschen Bank ein grußloses
host smtp14.db.com[160.83.44.130] said: 551 5.0.0 This message was classified as spam (in reply to end of DATA command)
zurück, also komplette Abweisung.
Bei anderen Empfängern wie z.B. McKinsey laufen die Mails "wenigstens" in den Spam filter und können manuell rausgefischt werden, bei anderen Firmen werden die Mails allerdings sogar wohl ohne Antwort komplett gelöscht

Natürlich habe ich alle Variationen getestet: Nur Text, HTML mit und ohne Signatur. Immer das gleiche, ganz simple Textmails mit ein paar Worten Text bis zu einem Absatz.

Microsoft kann sich das auch nicht erklären - und bittet natürlich drum das wir die externen Mailserver kontaktieren.
Nun aber: z.B. die Deutsche Bank antwortet nun ja nicht einfach auf einen kleinen IT-ler und prüft so etwas - oder?

Ich habe auch alle Spam-Listen geprüft - nirgends ist der Kunde drauf - außer es gibt da irgendwelche interne Listen auf die er drauf ist. Aber die müßte dann ja auch bei mehreren Empfängern im Einsatz sein.

Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?

Wer hat ne Idee dazu? DANKE!
Lg Thomas


(hier das Beispiel anhand einer Spam einsortierung durch "Proofpoint": Bei Microsoft geht es geprüft als KEIN SPAM raus, bei
As discussed on call it shows settings are affected by the external domain server spam settings that are getting emails as spam.
x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEIDface-sad100000700101)(100105000095)(100000701101)(100105300095)(100000702101)(100105100095)(6040450)(601004)(2401047)(8121501046)(5005006)(100000703101)(100105400095)(93006095)(93001095)(10201501046)(3002001)(6041248)(20161123555025)(2016111802025)(20161123558100)(201703131423075)(201702281528075)(201703061421075)(201703061406153)(20161123564025)(20161123562025)(20161123560025)(6072148)(6043046)(100000704101)(100105200095)(100000705101)(100105500095);SRVR:VI1PR03MB1085;BCL:0;PCL:0;RULEIDface-sad100000800101)(100110000095)(100000801101)(100110300095)(100000802101)(100110100095)(100000803101)(100110400095)(100000804101)(100110200095)(100000805101)(100110500095);SRVR:VI1PR03MB1085;
x-forefront-prvs: 0361212EA8
x-forefront-antispam-report: SFV:NSPM;SFSface-sad10019020)(39400400002)(39410400002)(39830400002)(39450400003)(38730400002)(9686003)(74316002)(16865895004)(236005)(189998001)(53386004)(5250100002)(110136004)(606006)(99286003)(2950100002)(66066001)(53936002)(6916009)(790700001)(54896002)(6306002)(6116002)(102836003)(733005)(8936002)(14454004)(72206003)(3660700001)(226693001)(3846002)(76176999)(50986999)(33656002)(6436002)(25786009)(478600001)(3280700002)(7736002)(6506006)(8676002)(54356999)(7696004)(55016002)(7116003)(2900100001)(86362001)(5660300001)(81166006)(1680700002)(2906002)(16866105001)(491001)(19627235001);DIR:OUT;SFP:1102;SCL:1;SRVR:VI1PR03MB1085;H:VI1PR03MB1085.eurprd03.prod.outlook.com;FPR:;SPF:None;MLV:sfv;LANG:de;
spamdiagnosticoutput: 1:99
spamdiagnosticmetadata: NSPM

BCL Value - 0 The message isn't from a bulk sender.
PCL Value - 0-3 The message's content isn't likely to be phishing.
SFV:NSPM - The message was marked as non-spam and was sent to the intended recipients.
SCL:1 - SCL Rating: 0, 1 - Non-spam because the message was scanned and determined to be clean. Deliver the message to the recipients’ inbox.


X-Proofpoint-SPF-Result: pass
X-Proofpoint-SPF-Record: v=spf1 include:spf.protection.outlook.com -all
X-Proofpoint-Spam-Details: rule=inbound_spam_policy_spam_definite policy=inbound_spam_policy score=100
priorityscore=1501 malwarescore=0 suspectscore=0 phishscore=100
bulkscore=0 spamscore=100 clxscore=-1034 lowpriorityscore=0
impostorscore=0 adultscore=0 classifier=spam adjust=0 reason=mlx
scancount=1 engine=8.0.1-1703280000 definitions=main-1707070228)

Content-Key: 345927

Url: https://administrator.de/contentid/345927

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: ashnod
ashnod 10.08.2017 um 09:54:12 Uhr
Goto Top
Hallo,

https://mxtoolbox.com/ irgendwelche Hinweise gegeben?

VG
Ashnod
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 um 09:54:54 Uhr
Goto Top
Schick mal eine Email an Dein privates Postfach.
Dann schau im Header nach dem versendenden Emailserver.

Dann prüfe mal gegen ein entsprechendes Tool, welche Domänen dieser Server noch hat.

Stimmt den der Reverse-DNS?
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 10.08.2017 um 09:58:07 Uhr
Goto Top
Zitat von @multitalentd99:

Wir haben den Versand ohne Office365, also über den Webserver gegengeprüft - dort selbes verhalten. Sogar auch mit der .net statt der .com - also als würde es am Domainnamen liegen - aber kann das wirklcih sein?

Moin,

ja, das kann tatsächlich auch sein. Es gibt tatsächlich Produkte oder Admins, die auf "*reizwort*" filtern und damit vieles in den Orkus befördern was kein SPAM ist. Das ist so ähnlich wie mit den Webfiltern, die "*sex*" rausfiltern sollen und dabei sowas wie essex blockieren.

Ich würde mal die Gegenprobe mit einer unaufälligen domain machen.

lks
Mitglied: multitalentd99
multitalentd99 10.08.2017 aktualisiert um 10:08:31 Uhr
Goto Top
Danke,

https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün.
Mitglied: ashnod
ashnod 10.08.2017 um 10:10:18 Uhr
Goto Top
Ok, aber wie sahen die anderen Tests aus gab es dort Hinweise auf Fehler oder Warnungen?
Mitglied: multitalentd99
multitalentd99 10.08.2017 um 10:14:51 Uhr
Goto Top
Danke,

https://mxtoolbox.com/ - ja hatte ich dereits gecheckt - der Blacklist check dort ist komplett grün, SPF auch

@Lochkartenstanzer: danke, ja das mache ich gerade ... mit einer domain die keine ähnlichkeit hat. Leider gibts die Ursprungsdomain aktuell nicht mit Bindestrich drin - das wäre ja evtl auch ein Workaround

Reverse DNS: m.E. in Ordnung - zumal ja Microsoft dahintersteckt und sich hinter dem MX xxx.mail.protection.outlook.com ja eher so eine Art Cluster verbirgt.
Mitglied: multitalentd99
multitalentd99 10.08.2017 um 10:40:33 Uhr
Goto Top
@Lochkartenstanzer: ich glaube dein Ansatz stimmt. Mit Alternativer E-Mail (oder mit meiner eigenen) kriege ich die mails durch an den Empfänger - allerdings sobald ich nur im Text die ursprüngliche Kundendomain "xxxx.com" angebe, kommt sofort der Spam zurück.

Krass. Zumal ja bei MXtoolbox.com die selbe Domain auf keiner Blacklist ist. Und ich kein Spam Schlüsselwort im Namen erkennen mag.

Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.08.2017 um 10:46:32 Uhr
Goto Top
Zitat von @multitalentd99:

Also werde ich im ersten Schritt dem Kunden auf ne neue Domain umheben müssen.. oder hat jemand ne bessere Idee dazu???

Ausfindig machen, welche Software die Konzerne einsetzen und dem Hersteller eins überbügeln. face-smile

lks

PS: Würde mich schon interessieren, welche "toxische" Domain Du verwendest.
Mitglied: GuentherH
Lösung GuentherH 10.08.2017 um 11:10:14 Uhr
Goto Top
Hallo.

In reply to end of DATA command heißt ja, dass die Mail angenommen wurde. Daher PTR, SPF, Blacklist ect. ist ok. Der Empfänger mag also wie bereits von Lochkartenstanzer vermutet den Content nicht.

LG Günther
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 aktualisiert um 12:49:56 Uhr
Goto Top
Ich möchte Dir noch einen weiteren Vorschlag unterbreiten...

Geh mal auf diese Webseite (und lass sie offen):
http://www.mail-tester.com/

Dir wird einen Emailadresse angezeigt werden.
Schick mal eine normale Email von besagter Domäne an die angezeigte Adresse.

Dann warte etwas und klicke auf "und prüfen Sie das Ergebnis".

Ich klinke mich hier aus.
Mitglied: multitalentd99
multitalentd99 10.08.2017 um 15:26:21 Uhr
Goto Top
danke, ja kenne ich ... da isses 10/10. muss ein spezieller Spam / Filter sein, der so nicht öffentlich zugänglich ist / prüfbar ist.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.08.2017 um 18:35:01 Uhr
Goto Top
Zitat von @multitalentd99:

@Lochkartenstanzer: ich glaube dein Ansatz stimmt. Mit Alternativer E-Mail (oder mit meiner eigenen) kriege ich die mails durch an den Empfänger - allerdings sobald ich nur im Text die ursprüngliche Kundendomain "xxxx.com" angebe, kommt sofort der Spam zurück.

Du könntest, wenn Du feststellen willstm was genau den Filter triggert, mal schauen, den domainnamen ohne .com mal testen und anschließend den Namen immer vorne oder hinten um einen Buchstaben kürzen, bis er nicht mehr den SPAM-Filter triggert.

lks