T-Online Bad reputation Impressum gefordert

delphi99

Hallo,
ich habe Probleme mit der Mail-Zustellung an einen T-Online Nutzer. Fehlermeldung Telekom: Bad Reputation.

Die Suchmaschine meines geringsten Misstrauens spuckt darauf hin eine Reihe von Regeln aus, die T-Online von seinen Kommunikationspartner erwartet. U. a. ein Impressum.
Mein Nachfrage an die zuständige Technik-Abteilung ergab folgende Antwort:

"
Von der genannten IP Nummer war lange Zeit keine Aktivität bei uns
feststellbar. Aus Sicherheitsgründen nehmen unsere Systeme von solchen
IP Nummern erst nach Prüfung und Reset der Reputation E-Mails entgegen.

Voraussetzung für eine Rücksetzung der Reputation ist eine
Konfiguration, die sich nach den in unserer “Postmaster-FAQ”(*)
beschrieben Punkten richtet. Bitte beachten Sie dort den Abschnitt 4.1
("Voraussetzungen für einen reibungslosen Zugang zu unseren
Mail-Exchanges").

Für “(http(s)://)(mx.)domain.com” ist dies bisher leider noch
nicht gegeben. Eine Webweiterleitung oder ein Link von dort zu einer
Website mit entsprechend direkter Kontaktmöglichkeit zur für den Versand
von E-Mail von diesem System verantwortlichen Person wäre hierfür
ausreichend, damit diese im Störungs- oder Missbrauchsfall unmittelbar
erreichbar wäre.
"

Habt Ihr eine einfache Idee, wie man das realisieren könnte?
Besten Dank
Frank

D4niel

Die Suchfunktion beißt nicht 🙂
https://community.mailcow.email/d/2472-mails-werden-nicht-vom-telekom-mx-angenommen
https://community.mailcow.email/d/522-manche-emails-bleiben-in-der-message-queue
https://community.mailcow.email/d/1350-e-mail-an-t-online-meldung
https://community.mailcow.email/d/1698-familien-mailkuh-und-impressum-datenschutzhinweis

delphi99

D4niel
naja, ich hatte nach reputation gesucht.
Ich habe jetzt einen Footer mit Email-Adresse hinzugefügt (das war der passende Tip, den ich nicht gesehen hatte), mal sehen ob das ausreicht.

Besten Dank.

AonH

ja der Footer reicht in der Regel… sobald die deine MX-Einträge dann in das “listing” übernommen haben, kannst du das Impressum wieder rausnehmen.
Falls du eine kleine moo betreibst, richte dir direkt ein sauberes DMARC Reporting und MTA-STS mit “rua-flag” ein, dann hast du zukünftig Ruhe falls die deinen MX wegen Inaktivität wieder aus ihrem “listing” fliegt, da immer mal wieder Reports durch die Gegend gesendet werden…

MTA-STS
DMARC-REPORTING

delphi99

Hi,
Danke für den Hinweis auf DMARC. Schaue ich mir bei Gelegenheit nochmal an. Bislang erschien mir das als überambitioniert, da ich außer mit T-Online keine Probleme habe.

Zu T-Online: Die EMail-Adresse im Impressum (Footer reicht mit Name und Email) MUSS außerhalb der vom Server verwalteten Mail-Domains liegen, also eine externe sein (eigentlich logisch, wenn mal was mit dem Server sein sollte, aber naja). Danach ließ sich T-Online zum Reset erweichen.

Trotzdem ist das ganze Vorgehen so, als ob die Post die Annahme eines Briefes verweigern würde, weil man sich nicht vorher registriert und verifiziert hat, mit Ausweis und was was ich noch :-/

AonH

delphi99
Ja das ist halt schon irgendwie ein wenig lästig muss man sagen…
Auf der anderen Seite… wenn man schon sieht von vielen Hosts gespammed wird wo die MTA’s nicht ordentlich abgesichert sind, kann man das eventuell nachvollziehen. Allerdings finde ich das mit den Personenbezogenen Daten die man da veröffentlichen muss um mit den Servern sprechen zu können schon ein wenig überzogen, kann man auch anders lösen, aber so is et 😉

Aktives DMARC-Reporting (ausgehendes) schadet auch nicht und bevor du im Zweifelsfall in zwei Monaten wieder den “T-Online Tanz” machen darfst würde ich das empfehlen…

Ein kleiner Tipp noch nebenbei, halte deine Benutzer dazu an auf 2FA, Passkeys und vor allem “App-Kennwörter” zu setzen. Hatte vor zwei Wochen leider den Fall, dass durch Passwordspray ein Postfach auf meiner Moo gekapert wurde…. dem User wurde innerhalb von 1,5Minuten sämtliche Accounts geklaut und auf externe GMail Adressen umgeschrieben… Ging dort auch recht einfach da sich rausgestellt hat das derjenige nirgends eine 2FA aktiv hatte.

Die Implementation der Authentifikation mittels Passkeys in der Moo ist ja nunmal mehr als Toll umgesetzt und somit sind dann 30-40 stellige, generische Kennwörter auch kein “Komforteinbussen” für die User mehr.

So ein “Mailbox-overtake” tut einem schon echt leid, aber unterm Strich fällt dann zum Ende immer wieder der Satz “Ich habe es euch doch gesagt und oft genug gepredigt…”
Die Sache ist natürlich zur Anzeige gekommen, hatte auch genügend Logs die ich zu Verfügung stellen konnte.
Der Einbruch erfolgte über IMAPs, war/ist ein gigantisches Botnetz, die connects waren dann schließlich von Hosts aus Brasilien und Israel.

Trotzdem habe ich mich dann dazu entschieden nicht nur Blocklists auf der vorgeschalteten OpnSense zu nutzen, sondern nun auch GeoIP (falls man Abschätzen kann wo sich die Clients so rum treiben)…

Allerdings bin ich noch nicht so zufrieden mit MTA-STS, da hierfür 443 offen sein muss, das werde ich dann noch auf einen Public nginx umziehen demnächst, oder über den HAProxy filtern, dazu fehlt mir aber grade noch die Zeit 😉

CK_beats

Wenn Du einen eigenen Mailserver betreibst würde ich DNS und TXT Einträge zumindest auf dem aktuellen Stand halten.
Damit ist Dein Server sauber identifizierbar und die allgemeine Reputation steigt.

Sprich

DKIM
DMARC
Reverse Lookup
TLS

sollten Standard-Werkzeuge sein, die laufen.

delphi99

bis auf DMARC ist alles eingerichtet. Für DNS habe ich einen separaten Anbieter mit alles erforderlichen Einträgen Funktioniert auch ohne Probleme. Inzwischen auch mit T-Online :-)

CK_beats

AonH
Meiner Meinung nach gehört zu einem sicheren Betrieb eines Server nicht nur dazu sämtliche Vorkehrungen für die eigenen Benutzer zu treffen, sondern auch dem Client (anderen Mailserver) gegenüber so viel wie Möglichkeit an Sicherheit zu bieten.
Damit die Datenströme so sicher wie möglich von A nach B laufen.
Einfach, um es anderen so schwer wie möglich zu machen.
100% Sicherheit gibt es nicht.
Aber Standard Verschlüsselungen, DKIM, SPF und DMARC zu setzen tut nicht weh und muss nur einmalig erfolgen.
Damit erhöht sich auch automatisch die Reputation des eigenen Servers.

Filter am Frontend finde ich auch extrem sinnvoll.
Wer nicht weltweit operiert und hier Mailkommunikation benötigt kann natürlich gut mit Geoblocking arbeiten.

Somit übersteht man vielleicht die erste Angriffswelle aus anderen Ländern, bis sie Server aus einem “erlaubten” Land gekapert haben.
Wir arbeiten auch an allen offenen Ports mit Geoblocking auf der OPNsense.
Es ist wirklich interessant, wer so alles hartnäckig anklopft und versucht hineinzukommen.

AonH

CK_beats
absolut, bin ich vollkommen bei dir…
Ich habe leider auch täglich auf der Arbeit mit fehlerhaften Konfigurationen von Unternehmen zu tun, wo Leute mit “Halbwissen” an Mailserver spielen, die nicht mal in der Lage sind einen korrekten SPF zu setzen, sich aber beschweren, warum unsere Gateways die Mails nicht annehmen…. so ist das halt leider heute.

DU hast aber vollkommen Recht mit deiner Aussage, dass man für einen User keine komplette Struktur umkrempelt, aber schaden tut GeoIP nichts, hatte ich sowieso vor, jetzt war ein Grund dafür da.

Eine “Sense” vor der Mailcow macht schon Sinn, habt ihr zusätzlich Proxys davor?
Falls ja was kannst du da empfehlen? Ein kleiner nginx ist ja recht schnell davorgeschaltet, allerdings finde ich persönlich das Monitoring nicht so pralle, aber vielleicht gibt es zusätzliche Backends dafür?
Oder einfach HAProxy, wobei ich sagen muss “beim ersten Drüberschauen” dass der HAProxy wohl schon ordentlich krass im Umfang ist…. bin bisher nicht wirklich tief im geschehen mit Proxys…..

CK_beats

AonH
Erschreckt mich auch immer wieder! Vor allen Dingen, wie viele große Unternehmen / Mittelständler eine richtig schlechte Konfiguration fahren.
Am Ende wird sich dann gewundert, wenn gefälschte E-Mails im Umlauf sind.
Aber zu faul DKIM zu konfigurieren, damit der Empfänger-Server auch korrekt arbeiten kann.

Ich kann GeioIP Blocking in jedem Fall empfehlen. Gerade, wenn man sieht, wer da so alles normalerweise Last auf den Systemen erzeugt hätte.
Da wir nur regional / europäisch tätig sind brauche ich keine Mails aus Afrika oder Russland.
Vor allen Dingen stehen die meisten großen Serverfarmen nicht dort.

Wir hatten vor Mailcow (ich komme aus der MS Exchange Ecke) alles auf der OPNsense.
Vom MTA, über RspamD, HAProxy, Squid mit SSL Abladung.
Hier geht fast nichts rein oder raus, ohne vorher geprüft worden zu sein. Auch, wenn das hin und wieder Leistungsverluste oder Kompatibilitätsprobleme bedeuetet.
In unserem näheren Umfeld sind mittlerweile so viele von massiven Hacker Attacken und allem, was ein erfolgreicher Angriff mit sich bringt, betroffen. Da ist es mir herzlich egal, ob wir minimal längere Ladezeiten haben.

Seit Mailcow in Betrieb ist haben wir keinen davor geschalteten MTA mehr.
Eingehender Datenverkehr SMTP -> Blacklisting -> Geoblocking -> Mailcow.
Ebenfalls HTTP/S & VPN.

Aber eingehend Port 443, 80 etc. läuft alles über den HAProxy inkl. SSL Abladung und Prüfung.
Es hängen aber auch noch andere Dienste an den Ports, daher ist der HAProxy erforderlich.

Eigentlich wollte ich Mailcow auch nur komplett hinter der OPNSense betreiben.
Geht aber nicht, RspamD kann nicht mit Proxys umgehen und lädt dann nicht mehr.
Eingehend ist “Herr Moo” nur über den SMTP-Port “direkt” erreichbar. MTA-STS läuft ebenfalls über HAProxy an Mailcow.

Was es vielleicht noch etwas erschwert: Sämtliche IPs sind “umgebogen”.
Die im öffenentlichen DNS eingetragenen IPs entsprechen nicht der tatsächlichen des Servers.
Zielt primär alles auf die “Sense”.

AonH

CK_beats
Ahh Okay… ich tendiere auch Richtung HAProxy auf der Sense…. dann wird es das wohl auch werden.
25, , 143, 993, 587 sind bei mir auch “nur forwarded”…

Danke schon mal, guter Tipp bzgl. RSpamd,
Ist es für MTA-STS von Relevanz, das dass Cert den gleichen Fingerprint hat wie vom MTA?
Nicht wirklich, oder? Solange der Webserver ein gültiges Cert hat sollte der fingerprint doch nicht relevant sein…

CK_beats

AonH
HAProxy ist einfach super!
Lass’ Dir die Zertifikate vom ACME Client auf der Sense bauen, übergebe sie direkt an HAProxy. Nach hinten raus an die Server ist es fast völlig egal, was dort für ein Zertifikat installiert ist.
ACME kann die Zertifikate über eingebautes Skript auch an Mailcow übergeben, dann die Container neu starten und schon ist der Datenstand überall gleich.
Nach innen habe ich überall nur selbstsignierte über die eigene Root-CA, damit keine Fehlermeldungen erscheinen, nach außen macht alles HAProxy.

Mailcow bekommt vom ACME der Sense sein Zertifikat mit den alternativen Namen autodiscover, mta-sts für die einzelnen Domains.
Als ich MTA-STS eingerichtet habe antwortete Mailcow nicht mit der txt-Datei, als das Zertifikat noch nicht passte.
Von daher gehe ich davon aus, dass Mailcow das richtige Zertifikat benötigt.
HAProxy gibt auch nur Daten heraus, wenn es auf https://mta-sts.meineschönedomain.tld/well-known/mta-sts.txt angesprochen wird.
Das ist natürlich alles einmalig Aufwand zur Einrichtung. Aber wenn es läuft passt es.

Ich würde auch nicht empfehlen generell sämtliche Anfragen an eine Subdomain weiterzuleiten. Ausschließlich nur, wenn es passt.
Z. B. werden Verbindungen an meinSogo.tld/admin abgewiesen, wie auch /RspamD.
Geht nur per VPN “von innen heraus” anzusprechen.

Dann konfigurierst Du in der Sense noch Squid mit transparentem Proxy, installierst Dein eigenes Zertifikat des Squid auf den Clients (GPO oder 1x händisch auf den Linux Distributionen) und schon wird jeglicher Webtraffic komplett gescannt.

Port 25 ist bei uns aktuell der Einzige, der nicht mehr auf der Sense geprüft wird. In der Hoffnung, dass das Mailcow hier Eindringversuche “totlaufen” lässt.

AonH

CK_beats
Meeeeeega! Vielen lieben dank 😉

CK_beats

AonH
Nicht dafür! Immer gerne! Dafür sind Foren da!
Ich bin auch für jeden Tipp hier dankbar. Gerade, wenn man wie ich noch nicht so viel im Bereich Open Source unterwegs war!
Bei Fragen zu HAProxy gerne melden! Den habe ich mittlerweile im Griff 😅😅😅😅

Wichtig ist eben, dass du SSL immer aufbrichst, sonst ist der Datenverkehr für die Sense nicht scannbar.

Auch Blacklists generell beidseitig verwenden!
Wenn der Wurm schon mal im eigenen System (wie auch immer) ist sollte er sich nicht noch nach außen so einfach weiter verbreiten können.

Angenommen unsere Mailcow wäre irgendwie von außen infiltriert worden kann nicht an die einschlägig in Blacklists bekannten “bösen Netze” gesendet werden.

Ganzjahresgriller

@CK_beats darf ich fragen wie Du Geoblocking auf der Mailcow realisiert hast?

CK_beats

Ganzjahresgriller
Guten Morgen!
GeoBlocking haben wir nicht auf Mailcow direkt realisiert. Sondern auf der davorgeschalteten OPNsense.
Diese nutzt die GeoIP-Daten von maxmind.

So sieht das für HAProxy aus.

… und so für Mailcow.

Anticloudazure

Hänge mich jetzt auch mit rein.

Ich verfolge diese Diskussionen seit einigen Jahren.

Mein Fazit war immer Versand über Smarthost.

In jeder dieser Diskussionen gibt es gerade was die TKOM angeht widersprüchliche Aussagen, wahrscheinlich weil die TKOM widersprüchlch haandelt.

Es scheint abers so zu sein, dass ein vorhandenes Impressum mit Angabe der Adresse des “Betreibers” der “Goldstanddard!” ist ???

Das Impressum kann auch im Footer der Mailcow stehen? Stimmt das so?

Wie geht man mit den anderen Jungs um?

Hotmail, Appleicloud, Gmail usw.

Kann das jemand nochmal schildern? Mailcowbetreiber wie ich die immer Smarthosts aus Unsicherheit verwenden könnten ein eingermaßen wasserdichtes Howto gebrauchen.

Vielen Dank für die Infos!

Ganzjahresgriller

Ich habe das so gemacht:

Ich habe einen Webserver mit Impressum
Ich habe eine freundliche Mail an tosa@rx.t-online.de geschickt und gebeten meine IP Adresse für die Kommunikation mit der Telekom freizuschalten. Da kam dann eine Mail zurück in der Sie mir bestätigten das das so nun in Ihrer Reputationsliste eingetragen ist.

Seitdem keine Probleme mit der Telekom

Wlanium

Ganzjahresgriller korrekte Vorgehensweise bei jeder neuen Domain und oder Veränderungen kann es sein das T-Online die IP vorsorglich aus dem “Verkehr” zieht. Durch Freischalten per Mail ist das innerhalb kürzester Zeit geklärt. Achtung nur wer mehr als Domain von dem Mailserver sendet, sollte der Mailserver das Impressum haben. Ist mir so passiert 😉 der hat jetzt nur ne Betreiber Kennung als simple Vorschaltseite auf dem root Pfad und damit war T-Online zufrieden.