myapps2go.de
Goto Top

Exchange 365. Kein Reverse DNS möglich?

Hallo zusammen,

ich hab mit unserem Exchange 365 folgendes Problem. Ein Kunde hat einen Spamfilter, der automatisch alle Mails ablehnt, wenn der Reverse dns lookup nicht funktioniert.
Whitelisten geht nicht, da er nur IP Adressen, aber keine Domänen angeben kann (ja ich weiß, was eine Müll Software...).
Exchange Online versendet leider nicht immer mit der selben IP Adresse...

Nach mehreren E-Mails mit Microsoft und einigen Telefonaten, wurde mir dann von einer Frau xyz mitgeteilt (Abteilungsleiterin), dass es bei Exchange Online keine Möglichkeit gibt, einen funktionierenden Reverse DNS zu konfigurieren, ich soll doch bitte die Domäne einfach Whitelisten...

Wenn man mal danach googelt, findet man nichts brauchbares dazu, ich kann doch nicht ernsthaft der erste sein, der darüber fällt?


Mein Notfallplan wäre es gewesen, einen Smarthost für die Domäne anzugeben, aber auch hier finde ich nichts in der Exchange 365 Dokumentation, ist das eventuell auch nicht möglich?

Wäre dankbar für etwas Input und Ideen.

Grüße

Content-Key: 322113

Url: https://administrator.de/contentid/322113

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: StefanKittel
StefanKittel 25.11.2016 um 16:23:08 Uhr
Goto Top
Hallo,

aber warum ist das ein Problem.

Du hast Office 365 vermutlich. Also keine Software die bei Dir direkt läuft.
Also hast Du die DNS-MX-Einträge entsprechend geändert. Zusätzlich trägst Du die SPF, DKIM und MS-Einträge im DNS ein.

Der MS-Server verschickt also als ms-senden-xyz.outlook365.com (oder was auch immer) und der rDNS und seine IP passen zusammen.
Durch SPF, DKIM und MS erkennen andere Server an, dass der Microsoftserver für Eure Domäne senden darf.

Was sehe ich da gerade nicht?

Stefan
Mitglied: MyApps2GO.de
MyApps2GO.de 25.11.2016 um 16:32:26 Uhr
Goto Top
Naja, das die IP Adresse halt eben nicht mit dem MX antwortet, vermutlich weil die dynamisch ist und auch von anderen Exchange 365 Kunden verwendet wird, was ich an sich ja schon fragwürdig finde.
Mitglied: StefanKittel
StefanKittel 25.11.2016 aktualisiert um 16:37:18 Uhr
Goto Top
Hallo

Zitat von @MyApps2GO.de:

Naja, das die IP Adresse halt eben nicht mit dem MX antwortet, vermutlich weil die dynamisch ist und auch von anderen Exchange 365 Kunden verwendet wird, was ich an sich ja schon fragwürdig finde.

Nein, das ist völlig Normal.
Wenn Du einen eigenen Exchange hast und über den Smarthost von 1und1 verschickst meldet der sich ja auch als mail01.1und1.com.
Und auch den nutzen viele Kunden.

Du must nur zusehen, dass Du SPF, DKIM und MS korrekt im DNS einträgst.

Hier mal ein Beispiel eines Kunden von mir.
"v=spf1 mx a:w011efdb.kasserver.com a:server40.skywebhosting.de -all"

Stefan
Mitglied: Chonta
Chonta 25.11.2016 um 16:39:07 Uhr
Goto Top
Hallo,

(ja ich weiß, was eine Müll Software...).
Exchange 365 halt face-big-smile

Wenn Du sowas verwendest, musst DU die MX, SPF und DKIM für deine Domain auf die MS Server setzen.
https://technet.microsoft.com/de-de/library/mt695945(v=exchg.150).aspx
Wenn SPF und DKIM richtig gesetzt sind, sollte reverselookup egal sein.

Gruß

Chonta
Mitglied: MyApps2GO.de
MyApps2GO.de 25.11.2016 um 16:52:09 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo

Zitat von @MyApps2GO.de:

Naja, das die IP Adresse halt eben nicht mit dem MX antwortet, vermutlich weil die dynamisch ist und auch von anderen Exchange 365 Kunden verwendet wird, was ich an sich ja schon fragwürdig finde.

Nein, das ist völlig Normal.
Wenn Du einen eigenen Exchange hast und über den Smarthost von 1und1 verschickst meldet der sich ja auch als mail01.1und1.com.
Und auch den nutzen viele Kunden.

Ist ja auch Ok, solange er die Mails auch versendet. Also Wenn im Nachrichtenheader steht, Received: from mail01.1und1.com und die IP Adresse so antwortet, dann ist der Test auf rDNS doch schon gelungen?

--> Deshalb wollte ich ja schauen, ob ich bei Exchange Online einen Smarthost für eine Domäne anlegen kann.


Du must nur zusehen, dass Du SPF, DKIM und MS korrekt im DNS einträgst.

Hier mal ein Beispiel eines Kunden von mir.
"v=spf1 mx a:w011efdb.kasserver.com a:server40.skywebhosting.de -all"

Stefan

Die DNS Prüfung im Exchange Online läuft problemlos durch und meldet "...ist ordnungsgemäß eingerichtet. Es ist keine Aktion erforderlich".
Mitglied: Pjordorf
Pjordorf 25.11.2016 aktualisiert um 16:57:13 Uhr
Goto Top
Hallo,

Zitat von @MyApps2GO.de:
Naja, das die IP Adresse halt eben nicht mit dem MX antwortet, vermutlich weil die dynamisch ist und auch von anderen Exchange 365 Kunden verwendet wird, was ich an sich ja schon fragwürdig finde.
Soll MS dir oder jeden anderen Nutzer einen eigen Öffentliche IPv4 Verpassen? Bist du bereit auch die Kosten zu tragen? Die IPs von MS sind nicht Dynamisch. MS hat schon ein paar mehr IPs zum Spelen aber selbst dort reicht es nicht jeden Kunden mit einer eigenen IP auszustatten. Und jetzt frag dich ob es überhaupt Sinn macht dort mit Reverse DNS dort was zu machen? Macht kein Sinn genausowenig wie beim den Freeware/Massenanbieter welche als Smarthost genutzt werden. Und nur der ISP bzw. Anbieter der IP den passenden Reverse DNS setzen kann... Also hat man dir von MS nichts falsches erzählt. Vielleicht hätte man dich auf "MX, SPF und DKIM" hinweisen sollen. Der MX scheint ja zumindest auf die Server von MS zu zeigen da du ja Post bekommst face-smile mal eben schnell alles in die Wolke ist da nur die halbe Miete. Ein Wolkenanbieter könnte dir schon sagen was du noch alles tun musst, aber da es ja alles nichts kosten darf oder extrem wenige Euro Cents, tun die das was Aldi auch tut. Da gibts auch keine Beratung welche Erbsen dort die besseren sind. Da musst du selbst das Wissen mitbringen um zwischen den 2 Sorten zu unterscheiden face-smile
Und dein Exchange 365 ist wohl eher ein Exchange Online was als teil deines Office 365 kommt.

Gruß,
Peter
Mitglied: MyApps2GO.de
MyApps2GO.de 25.11.2016 um 16:58:40 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

(ja ich weiß, was eine Müll Software...).
Exchange 365 halt face-big-smile

Wenn Du sowas verwendest, musst DU die MX, SPF und DKIM für deine Domain auf die MS Server setzen.
https://technet.microsoft.com/de-de/library/mt695945(v=exchg.150).aspx
Wenn SPF und DKIM richtig gesetzt sind, sollte reverselookup egal sein.

Gruß

Chonta

Vielen Dank, werde das gleich mal probieren.
Mitglied: Chonta
Chonta 25.11.2016 um 17:00:40 Uhr
Goto Top
Deshalb wollte ich ja schauen, ob ich bei Exchange Online einen Smarthost für eine Domäne anlegen kann.
ExchangeOnline ist aber ein ganzer Mailservercluster und hat auch keine DynamischenIP sondern "normale IP" aber halt XXXX Server von denen jeder eine andere IP hat, aber alle unter einem bestimmten domainnamen agieren.

Es ist keine Aktion erforderlich"
Sagt wer? Verweisen die Einträge auf die Domain von MS als erlaubte Mailserver für Deine Domäne?
http://mxtoolbox.com/

Gruß

Chonta
Mitglied: Kraemer
Kraemer 25.11.2016 um 17:11:04 Uhr
Goto Top
Moin,
Zitat von @MyApps2GO.de:
--> Deshalb wollte ich ja schauen, ob ich bei Exchange Online einen Smarthost für eine Domäne anlegen kann.

Connector "Office 365 -> Partner"
Adressraum "*"
Smarthost: "ausgehendes Relay"
TLS mit Name absichern

Quelle
Mitglied: MyApps2GO.de
MyApps2GO.de 25.11.2016 um 17:21:36 Uhr
Goto Top
Zitat von @Chonta:

Deshalb wollte ich ja schauen, ob ich bei Exchange Online einen Smarthost für eine Domäne anlegen kann.
ExchangeOnline ist aber ein ganzer Mailservercluster und hat auch keine DynamischenIP sondern "normale IP" aber halt XXXX Server von denen jeder eine andere IP hat, aber alle unter einem bestimmten domainnamen agieren.

Es ist keine Aktion erforderlich"
Sagt wer? Verweisen die Einträge auf die Domain von MS als erlaubte Mailserver für Deine Domäne?
http://mxtoolbox.com/

Ja tun Sie.
Es gibt einen integrierten Test bei Exchange Online, ob alle DNS Einträge richtig gesetzt sind, den findet man unter Admin Center --> Domänen --> Probleme Suchen und beheben.
Von DKIM ist dort aber nie die Rede..
Wusste bis eben nicht, was das ist, vielen Dank nochmal für den Link!! Vielleicht löst das ja mein Problem wirklich.

Gruß
Mitglied: MyApps2GO.de
MyApps2GO.de 25.11.2016 um 17:42:59 Uhr
Goto Top
Zitat von @MyApps2GO.de:

Zitat von @Chonta:

Hallo,

(ja ich weiß, was eine Müll Software...).
Exchange 365 halt face-big-smile

Wenn Du sowas verwendest, musst DU die MX, SPF und DKIM für deine Domain auf die MS Server setzen.
https://technet.microsoft.com/de-de/library/mt695945(v=exchg.150).aspx
Wenn SPF und DKIM richtig gesetzt sind, sollte reverselookup egal sein.

Gruß

Chonta

Vielen Dank, werde das gleich mal probieren.

Hat leider nicht geholfen, trotz SPF und DKIM geht die Mail nicht durch, weil "...implement the Reverse-DNS feature in your mailserver."

Ich denke ohne rDNS kein durchkommen...
Mitglied: Pjordorf
Pjordorf 25.11.2016 um 18:10:22 Uhr
Goto Top
Hallo,

Zitat von @MyApps2GO.de:
weil "...implement the Reverse-DNS feature in your mailserver."
Sagt wer oder was und wo in der Mailkette steht das Dingens?
Geht es um den Mailempfang bei deinen Kunden wenn als Absender Office 365 = MS auftritt oder geht es Mail Empfang deines "Echxange 365 = was eher ein Exchange Online ist"

Ein Kunde hat einen Spamfilter, der automatisch alle Mails ablehnt, wenn der Reverse dns lookup nicht funktioniert.
Vielleicht mal den Kunden fragen ob du den Namen dieses Spamfilters (Hardware/Software) nennen darfst? Vielleicht kann dir dann geholfen werden.

Ich denke ohne rDNS kein durchkommen...
Also nur reine Vermutung bei dir.

Gruß,
Peter
Mitglied: Kraemer
Kraemer 25.11.2016 um 18:13:56 Uhr
Goto Top
Gegen beschissene Antispam-Systeme kannst du nichts ausrichten. Dein Gedanke mit dem Smarthost war schon ganz richtig.
Mitglied: StefanKittel
StefanKittel 25.11.2016 um 19:28:44 Uhr
Goto Top
Hallo,

nur mal damit wir alle vom selben reden.

Der Server vom Provider (z.B. mailout01.office365.com) verschickt diese Mail.

Also verbindet der Server sich mit dem SMTP-Server des Empfängers und sagt: "Ich bin mailout01.office365.com und habe hier eine Mail von name@firma1.de für name@firma.de".

Der Server prüft nun ob die IP und der Hostname von mailout01.office365.com zusammenpassen.
Das nennet man rDNS. Wird die IP zu dem Hostname aufgelöst.

Danach kommt die Prüfung ob dieser Host für die Domain firma1.de senden darf.
Das ist dann DKIM, SPF und MS.

Einen rDNS der Microsoft-Server können wir zu 99% ausschliessen.

Also ist der Server des Empfängers vermutlich falsch konfiguriert.
Lass Dir doch mal deren Log geben wo Hostname, IP, Sender und Receiver steht.

Stefan
Mitglied: MyApps2GO.de
MyApps2GO.de 28.11.2016 um 13:51:28 Uhr
Goto Top
Zitat von @Chonta:

Deshalb wollte ich ja schauen, ob ich bei Exchange Online einen Smarthost für eine Domäne anlegen kann.
ExchangeOnline ist aber ein ganzer Mailservercluster und hat auch keine DynamischenIP sondern "normale IP" aber halt XXXX Server von denen jeder eine andere IP hat, aber alle unter einem bestimmten domainnamen agieren.


Wie finde ich den eigentlich heraus, mit welcher IP Exchange Online versendet? Im Mailheader steht als Versender immer nur eine Adresse aus dem privaten Netz.
Received: from VI1XX0802MB2544.eurprd08.prod.outlook.com (10.175.20.146) by
VI1XX0802MB2542.eurprd08.prod.outlook.com (10.175.20.144)...


Es ist keine Aktion erforderlich"
Sagt wer? Verweisen die Einträge auf die Domain von MS als erlaubte Mailserver für Deine Domäne?
http://mxtoolbox.com/

Gruß

Chonta

Das sagt der DNS Test im Exchange Admin Center.
Mitglied: Chonta
Chonta 28.11.2016 um 13:58:44 Uhr
Goto Top
Sind das die Headerangaben auf Empfängerseite oder Absenderseite?

Das sagt der DNS Test im Exchange Admin Center.
Und was sagt die mxtoolbox?

Gruß

Chonta
Mitglied: MyApps2GO.de
MyApps2GO.de 28.11.2016 um 14:07:21 Uhr
Goto Top
Aber genau deshalb kann der rDNS Dienst doch nie funktionieren mit Exchange Online, der schreibt nämlich folgendes in den Header.

Received: from VI1XX0802MB2544.eurprd08.prod.outlook.com (10.175.20.146) by
VI1XX0802MB2542.eurprd08.prod.outlook.com (10.175.20.144)...

Wenn er jetzt einen rDNS lookup auf 10.175.20.146 versucht, naja dann kommt er nicht weit...

Also eigentlich müsste die versende IP Adresse doch mit dem mx-record passend zur Domain antworten, oder nicht?

Oder hab ich da was falsch verstanden?
Mitglied: MyApps2GO.de
MyApps2GO.de 28.11.2016 um 16:39:22 Uhr
Goto Top
Zitat von @Chonta:

Sind das die Headerangaben auf Empfängerseite oder Absenderseite?

Das sagt der DNS Test im Exchange Admin Center.
Und was sagt die mxtoolbox?


Zeigt auf:
domain-de03a.mail.protection.outlook.com 213.199....


Gruß
Mitglied: Chonta
Chonta 28.11.2016 um 16:44:33 Uhr
Goto Top
domain-de03a.mail.protection.outlook.com
Wenn ich nen nslookup auf domain-de03a.mail.protection.outlook.com mache, dann kommt da garnix raus...
Sind die anderen Zahlen der IP geheim?

Gruß

Chonta
Mitglied: StefanKittel
StefanKittel 28.11.2016 um 17:13:04 Uhr
Goto Top
Zitat von @MyApps2GO.de:
Also eigentlich müsste die versende IP Adresse doch mit dem mx-record passend zur Domain antworten, oder nicht?
Nein, der MX ist für eingehend. Er wird häufig zweckemfremded.
Relevant dafür welcher Server für eine Domäne senden darf, ist SPF, DKIM und MS.

Hier mal ein Beispiel für eine Mail von O365.
Und hier passen IP und Hostname zusammen. Also rDNS OK.

Received: from EUR01-DB5-obe.outbound.protection.outlook.com
(mail-db5eur01on0139.outbound.protection.outlook.com [104.47.2.139])

Stefan
Mitglied: Chonta
Chonta 28.11.2016 um 17:16:04 Uhr
Goto Top
Das sind mal auch namen und IP die sich auflüsen lassen und zwar in beide Richtungen face-smile

Gruß

Chonta
Mitglied: MyApps2GO.de
MyApps2GO.de 29.11.2016 aktualisiert um 16:08:59 Uhr
Goto Top
Bei mir steht da:

Received: from VI1PR0802MB2545.eurprd08.prod.outlook.com ([10.175.30.146]) by
VI1PR0802MB2545.eurprd08.prod.outlook.com ([10.175.30.146])

Unterscheidet sich auch, ob via outlook owa oder outlook versendet wurde.
Ich hab die IPs nicht ausgetauscht, der schreibt da wirklich Private Adressen rein (also in den Nachrichtenheader).
Mitglied: StefanKittel
StefanKittel 29.11.2016 um 19:19:50 Uhr
Goto Top
Hallo,

was MS da bei internen receives macht kann uns ja egal sein.
Der empfangende Server muss die SMTP-Verbindung ja aber von einer öffentlichen Adresse bekommen. Irgendwo muss es ja rausgehen.

Die musst Du im Log des empfangenden Servers finden. Irgendwo muss die stehen.
Bei MS meist was mit mailout.

Stefan
Mitglied: MyApps2GO.de
MyApps2GO.de 30.11.2016 um 14:11:48 Uhr
Goto Top
Wurde eben nochmal von Microsoft zurückgerufen.

Es gibt dafür keine Lösung, der Empfänger muss folgende Bereiche Whitlisten:

Quelle: https://technet.microsoft.com/de-de/library/dn163583%20(v=exchg.150).asp ...

23.103.132.0/22
23.103.136.0/21
23.103.156.0/22
23.103.198.0/24
23.103.200.0/22
23.103.212.0/22
40.92.0.0/14
40.107.0.0/16
65.55.88.0/24
65.55.169.0/24
94.245.120.64/26
104.47.0.0/17
134.170.132.0/24
134.170.140.0/24
157.55.133.0/25
157.55.234.0/24
157.56.110.0/23
157.56.112.0/24
207.46.51.64/26
207.46.100.0/24
207.46.163.0/24
213.199.154.0/24
213.199.180.128/26
216.32.180.0/23

Sehr schade....