Problem und Ablehnung von Mail bei anderen Providern

MS-DOWI

Hallo, bin ganz neu hier… wir haben unseren alten Exchange-Server von MS durch Mailcow ersetzt und dieser läuft nun seit rund einem halben Jahr Problemlos, bis auf eine Kleinigkeit.

Seit ein paar Tagen stehen wir wohl auf einer Black-List als Spamer. Grund dafür ist wohl das wir einen kleinen Fehler begangen haben, a haben wir Newsletter aus rund 800 ausgewählten Kunden (mit Einverständnis) geschickt haben und das der Informationsmailversand eines Dokumentenmanagements noch über den Provider gelaufen ist - am Tag so um die 50 Mails und fast immer an die gleichen Bearbeiter.

Jetzt können wir seit gestern Email nicht mehr an Geschäftspartner schicken, Mails kommen zurück .. Begründung, Empfängerprovider hat abgelehnt/gilt als Block wegen Spamverdacht und das die HELO Einstellungen nicht passen.

Also unser Mailcow ist hinter der -geschlossenen- Feierwall. Unsere Mails werden per fetchmail vom Provider geholt und dann an Mailcow zugestellt. Der Versand läuft wie normal sin sollte über Mailcow an die anderen Provider.

In den Helo-Daten der Mails steht natürlich der “interne” Rechnername wie z. B. Mailserver.internedomain.lan
Diese kann extern nicht aufgelöst werden - klar.

Muss ich den Rechnernamen dann ändern? auf was?

Könntet Ihr mir da freundlicherweise helfen? Wäre echt dankbar…

Viele Grüße
M

DocFraggle

MS-DOWI Der Versand läuft wie normal sin sollte über Mailcow an die anderen Provider.

In den Helo-Daten der Mails steht natürlich der “interne” Rechnername wie z. B. Mailserver.internedomain.lan
Diese kann extern nicht aufgelöst werden - klar.

Muss ich den Rechnernamen dann ändern? auf was?

Hat denn Euer alter Exchange das nicht auch so gemacht? Ihr werdet ja denke ich eine feste IP Adresse haben, und auf diese sollte ein DNS A Record ala “mail.meinedomain.de” zeigen. Diesen Namen dann bei Mailcow in der mailcow.conf als MAILCOW_HOSTNAME eintragen.

Das wäre schon mal der Anfang. Dann natürlich für Eure Domain einen SPF Eintrag erstellen, fürs Erste würde sowas hier reichen:

"v=spf1 ip4:EU.RE.IP.V4 ip6:ggf:eure:ipv6:addr ~all"

Aber ja, da stimme ich den Vorrednern zu, man sollte davon schon ein bisschen Ahnung haben bzw. sich aneignen, denn das o.g. ist das 1×1 der Mailserver-Kunde

esackbauer

Warum lasst ihr eure IP Adresse nicht whitelisten beim DNSBL betreiber?

Alternativ könntet ihr einen anderen Relay service wie z.b. smtp2go nutzen. Wichtig ist, dass sowas nicht mehr passieren darf… Oder ihr fügt in euren SPF record auch den smtp server des Providers ein.

Grundsätzlich ist Mailcow gedacht mit dem externen Hostnamen zu konfigurieren, keine Ahnung warum ihr das entgegen der Anleitung gemacht habt…

MS-DOWI

esackbauer
Hallo und vielen Dank für Deine schnelle Antwort…

Wir haben das gelesen ja, dass eigentlich der Einsatz so nicht vorgesehen ist (hinter einer Firewall + Fetchmail). Aber da Mailcow so unglaublich stabil laufen soll, “einfach” zu bedienen ist und wir dringend nach einer Alternative zu MS Exchange gesucht haben, war dies eine logische Entscheidung von uns.
Bisher hatten wir auch nicht die Probleme.

Das man eine IP White listen kann, wusste ich nicht.

Ich gebe auch zu, ich bin nicht der Experte… Daher hoffe ich auch bei Erklärungen, dass ich/wir verstehen.
Und auch aus diesem Grund, weil ich/wir keine top Experten sind, wollten wir den nicht “öffentlich” stellen bzw. direkt erreichbar haben.

Alternativ könntet ihr einen anderen Relay service wie z.b. smtp2go nutzen. Wichtig ist, dass sowas nicht mehr passieren darf… Oder ihr fügt in euren SPF record auch den smtp server des Providers ein.

Könnten Sie uns das genauer erkären? smtp2go ist dann Ersatz für Fetschmail?
Was wir gerade überhaupt nicht verstehen, SPD record… den smtp Server des Providers? also z. B. secure.t-onelin.de ?
Das müsste ich wo genau einsetzen? in unseren internen DNS Server oder in Mailcow?

Bitte entschuldigen Sie unsere vielleicht dummen Fragen, aber wir möchten es so gut es geht richtig machen und eine echte Spamschleuder zu “bauen”…
Und leider ist unser € Budget sehr klein gehalten…

Vg M

Ganzjahresgriller

MS-DOWI Auch wenn Euer Budget klein gehalten ist, wenn man einen Mailserver im Internet betreibt sollte man schon wissen was man tut. Und wenn man das nicht weis dann muss man jemanden engagieren der das kann. Dann muss man eben Prioritäten setzen was das Budget betrifft.

MS-DOWI

Ganzjahresgriller

wenn man einen Mailserver im Internet betreibt

Unser Email-Server ist nicht von außen erreichbar und somit nicht ins Internet gestellt

Das habe ich oben auch geschrieben, dass wir genau das nicht wollten um auch Probleme mit Bösewichten aus dem Weg zu gehen.

Ganzjahresgriller

Aber Ihr wollt ins Internet versenden. Dann muss sich jemand darum kümmern das das wieder klappt.

MS-DOWI

Ganzjahresgriller

Wie wäre es mit ein paar guten Tipps wie man da anfängt?

Ganzjahresgriller

Hat Dir doch @esackbauer schon beschrieben

MS-DOWI

DocFraggle

Erstmal vielen Dank für die Antwort und Tipps….

Um ehrlich zu sein, ich … wir sind dazugekommen wie die Jungfrau zum Kind. Mein Steckenpferd ist Warenwirtschaft, nicht Mailserver. Aber wie es leider oft so ist, GF sagt mach … hinstellen und nein sagen, wäre die beste Option, was letztendlich (Erfahrung in einem anderen Bereich) schlicht weg Verweigerung wäre + Kündigung… Wer Kind&Frau hat, überlegt sich das.

Im Moment bin ich dabei überhaupt mich einzulesen in diese doch nicht einfach Materie…

Werde das was du geschrieben hast mal nachlesen warum, wie, wo usw.

Bei unserem alten Mailserver (Exchange) … wüsste nicht, dass da sowas mal aufgetreten ist. Aber da hatten wir auch noch nicht so ein Dokumentenmanagementsystem, dass zu allem Mails versenden (wurde verschoben, bitte genehmigen usw.) und dann eben seit neuesten auch noch Newsletter - da habe ich aber darauf bestanden nur die zu verwenden, die Ihr Einverständnis gegeben haben.

Und ja wir haben eine feste IP.

Nochmal vielen Dank….

esackbauer

MS-DOWI GF sagt mach … hinstellen und nein sagen, wäre die beste Option,

In der Tat, Kündigung wg, Verweigerung würde vor dem Arbeitsgericht sicher nicht standhalten.
Ganz schöne Klitsche in der du da leider gelandet bist.
Den Besitzern der Firma scheint funktionierendes E-Mail nicht wichtig zu sein, sonst würden die dafür Geld in die Hand nehmen und den Mitarbeiter vernünftige Mittel und Ausbildung zu finanzieren, oder das ganze als Service zu kaufen.
Mein Rat: Versuche dir das Wissen anzueignen, da gibts viele gute Videos im Internet, z.b. von Dennis Schröder und wenn du es dann hast, dann verlass den Verein möglichst schnell…

CK_beats

IMHO ist es egal, ob ein System “direkt” im Netz erreichbar ist oder kompromittierte Daten von einem 3rd-party-tool geliefert bekommt.
Wobei wahrscheinlich niemand seine Servercow völlig nackig in die DMZ stellt.

Richte für Deine Mailcow einen extern auflösbaren DNS-Namen ein. Trage diesen in den MX-Record Eures DNS Providers ein und schon läuft es sauber.
Firewall Port 25 eingehend -> interne IP der Mailcow (NAT Reflection on).
Ausgehend gerade umgekehrt. Da kann nicht viel passieren.
Definierst Du noch Blacklists VOR Routing der Daten an Mailcow klatschen die meisten Spamer und Portscanner wie Fliegen von außen gegen eine Autoscheibe bei 200. 😅😅
Die restliche “Last” an Störern verkraftet Mailcow ohne dabei Schaden zu nehmen.
Kein Gemurkse mit anderen Tools, kein Verbiegen von irgendwelchen Settings und sich dann wundern, dass Mailcow läuft wie ein Sack Nüsse.

Bei Exchange hatten wir auch ein- und ausgehende Mails über Postfix und RspamD geleitet. Aber einfach nur, weil Exchange keinen ordentlich konfigurierbaren Spamschutz bereitstellt und man Updates nicht sofort gepatcht hat. Immer erst abgewartet, wie viele Systeme der anderen stehen geblieben sind, wie oft das Update wieder kassiert wurde und danach das nächste installiert. 😂😂
Das war aber der Update-Qualität von M$ geschuldet.

Alle übrigen Ports, die ihr von außen benötigt (443, IMAP/S & Co.) könnt ihr ja über die Firewall laufen lassen und nach Untersuchen der Daten per Virenscanner, IDS etc. dann über einen Reverse-Proxy an Mailcow geben. Das verbiegt nichts an den Daten.

MS-DOWI

CK_beats

Vielen Dank für deine Antwort. So wie du schreibst, hast wohl viel Erfahrung damit… wow 🙂

Bin gerade dabei mich in Mailcow einzulesen…

Als Firewall haben wir überall, mehrere Standorte, IPFire. Da ist da recht schnell gemacht.
Sorgen bereitet mir immer nur das Port freigeben… Wir haben es bis jetzt “geschafft” nicht einen Port freizugeben.

Muss mal lesen wir man das bei IPFire macht … das mit VOR Routing.

Ich hoffe dann klatschen die Fliegen auch bei mir auf die Scheibe und nicht mir ins Gesicht 🙂

Nochmals vielen Dank für Deine Nachricht.

CK_beats

MS-DOWI
Rate mal, wer vor ca. 20 Jahren seinen eigenen Mailserver als offenes Relay konfiguriert hat und sich wunderte, dass er überall gesperrt wurde.
Diese Erfahrung möchten ich und alle hier im Forum Dir gerne ersparen und Dir helfen.
Sie sind hier ein echt klasse Team!

Kümmer’ Dich erst in Ruhe um Eure Firewall.
Pass’ auf, dass Du wirklich nur das öffnest, was wirklich gebraucht wird und Dein Netzwerk nicht zum Scheunentor wird!
Mir einer ordentlich konfigurierten Firewall steht und fällt alles!

IPFire sagt mir persönlich überhaupt nichts. Noch nie damit gearebeitet.
Vielleicht hast Du noch den Kollegen, der sie damals konfiguriert hat?

Wenn Du die erste Hürde erfolgreich genommen hast stehen Dir hier alle gerne zur Seite, um Eure Servercow so richtig mit Arbeit zu versorgen! Damit Du genau so viel Freude an dem System bekommst wie wir!

Ganzjahresgriller

@CK_beats Stell Dir vor, ich kenne eine nicht unerhebliche Anzahl von Mailcows die vollkommen nackt im Internet stehen. Btw. dafür ist MC auch designed

CK_beats

Ganzjahresgriller
Ich kenne auch genügend Leute, die ohne Sicherheitsgurt Auto fahren.
Heißt nicht, wenn mehrere es machen, dass es dadurch schlau ist.

Ich behaupte mal, dass kein operatives System für den Einsatz nackt in der DMZ „designed“ ist.
Man kann jeden Tag eben darauf hoffen, dass die Community zero-day-explodis am nächsten Tag fixt.

In Zeiten, in denen man richtig gute Sicherheitsarchtitektur für eine kleine Spende, dazu Unmengen an Black- und Filterlisten für lau bekommt ist das in meinen Augen unprofessionell.

Ganzjahresgriller

Ich sage ja nicht das es professionell ist aber es ist möglich und mit minimalem Aufwand auch zuverlässig. Und wenn ich das für eine Firma betrieben würde sähe das auch ganz anders aus. Und für alles gilt wie immer kein funktionierendes und getestetes Backup, kein Mitleid

mlcwuser

CK_beats Rate mal, wer vor ca. 20 Jahren seinen eigenen Mailserver als offenes Relay konfiguriert hat und sich wunderte, dass er überall gesperrt wurde.

Wenn du Mailcow nach Anleitung aufsetzt und direkt ins Internet stellst, hast du definitiv kein offenes Relay.

Beim Rest, den du sagst muss man halt abwägen. Wenn man ein Open-Source-IDS/IDP nutzt, muss man wissen, was man tut. Ansonsten wird man entweder mit False Positives erschlagen, und wenn man es scharf stellt, werden auch legitime Zugriffe blockiert, was dann zur Folge hat, dass man irgendwann alles entnervt erlaubt, so dass man es auch gleich ganz weglassen könnte. Oder man nutzt eine kommerzielle Lösung, zahlt einen Haufen Geld und hofft, dass die ihre Zerodays rechtzeitig patchen oder keine Custom-Firmware mit hardcodierten Passwörtern aus Versehen an alle Kunden ausliefern. Fortigate, anyone? 😉

Egal, ich sage nicht, dass IDS/IDP komplett sinnlos ist. Wenn man aber weder Budget noch eigene Expertise hat, die am Ende auch wieder Budget braucht, dann stellt man seine Mailcow vielleicht doch besser direkt ins Netz, vertraut dem Mailcow-Team, dass sie Zero Days patchen, und verzichtet auf eine selbstgebastelte Lösung davor, die dann vielleicht wirklich ein offenes Relay oder andere Lücken auftut. Und falls es dann doch mal kracht, hat man hoffentlich ein Backup-Konzept, das funktioniert.

Alternativ kann man auch für Servercow oder einen anderen Emaildienst bezahlen. Das ist am Ende immer noch besser und wahrscheinlich auch billiger, als wenn man alle E-Mails verliert und/oder der Mailserver tagelang offline ist.. 😉

MS-DOWI

CK_beats

Verstehe, heißt du (ich darf du sagen?) auch Lehrgeld “bezahlt”…

Also ich habe mich nun soweit (nennen wir es mal minimal eingelesen) ….
Bevor ich den großen Schritt in die weite Welt mache, habe ich aber noch eine Verständnisfrage zu Zertifikate.
Denn beim alles durchschauen, prüfen usw. ist mir auch aufgefallen, dass der Hostname falsch war.
Warum das jemals funktioniert hat, entzieht sich meiner Kenntnis.

Habe den Server (Debian 12 neuester Stand) auf den korrekten Namen gesetzt (früher stand da mail.firma1.lan drin)
Jetzt hat er DEDWSMS01.Firma1.lan und das habe ich nach Anleitung Mailcow auch in der mailcow.conf geändert, sowie neugestartet.

Die DNS Einträge im DNS Server (Windows Server 2019) habe ich heute auch alle überarbeitet.

ping auf 192.168.2.232 als auch auf DEDWSMS01.firma1.lan funktioniert
nslookup auf 192.168.2.232 als auch auf DEDWSMS01.firma1.lan funktioniert auch ….

möchte ich mit
docker compose restart acme-mailcow [+] restart 0/1 ⠙ Container mailcowdockerized-acme-mailcow-1 Restarting
läuft es kurz an und bricht wohl ab und wenn ich mit
docker compose logs --tail=200 -f acme-mailcow das Protokoll anschaue kommt:
acme-mailcow-1 | Fri May 1 20:44:42 CEST 2026 - Initializing, please wait... acme-mailcow-1 | Fri May 1 20:44:42 CEST 2026 - Using existing domain rsa key /var/lib/acme/acme/key.pem acme-mailcow-1 | Fri May 1 20:44:42 CEST 2026 - Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem acme-mailcow-1 | Fri May 1 20:44:42 CEST 2026 - Detecting IP addresses... acme-mailcow-1 | Fri May 1 20:44:52 CEST 2026 - OK: 88.133.227.225, 0000:0000:0000:0000:0000:0000:0000:0000 acme-mailcow-1 | Fri May 1 20:44:52 CEST 2026 - No A or AAAA record found for hostname DEDWSMS01.FIRMA1.lan acme-mailcow-1 | Fri May 1 20:44:52 CEST 2026 - Cannot validate any hostnames, skipping Let's Encrypt for 1 hour. acme-mailcow-1 | Fri May 1 20:44:52 CEST 2026 - Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
was mich nun schon wundert, weil das Ergebnis bei nslookup:
root@DEDWSMS01:/opt/mailcow-dockerized# nslookup DEDWSMS01.FIRMA1.lan Server: 192.168.2.231 Address: 192.168.2.231#53 Name: DEDWSMS01.FIRMA1.lan Address: 192.168.2.232 Name: DEDWSMS01.FIRMA1.lan Address: ::ffff:192.168.2.232

Bin nun etwas ratlos, könntet Ihr mir da vielleicht sagen was ich falsch mache?

Habe versucht noch über Forenbeiträge auch zu vergleichen usw. und zu lösen, aber iwie mag “er” nicht.

Viele Grüße
M

DocFraggle

MS-DOWI 88.133.227.225

Das hier scheint Eure externe IP Adresse zu sein (hoffentlich eine feste IP Adresse und kein DSL oder sowas).
Was Du oben im DNS gesetzt hast ist ein interner DNS Eintrag (.lan), also kein DNS Eintrag den z.b. Ich auflösen kann, das geht nur bei Euch intern. Ergo kann auch Letsencrypt damit nicht viel anfangen.
Ihr braucht im EXTERNEN DNS Eurer Firmen Domain einen DNS Eintrag für diese IP Adresse, z.b. “mail.eurefirma.de”, und Mailcow muss von extern via HTTP und HTTPS erreichbar sein

MS-DOWI

DocFraggle

ich hab so gehofft, dass genau das nicht die Antwort ist, dass man einen externen DNS schon braucht für Letsencrypt 🙂
Die IP oben ist nur ein Webserver, der aber tatsächlich extern ist.

Ok soweit verstanden. Aber eine Frage dazu hätte ich: als noch der alte Hostname drinnen war “mail.firma1.lan” hatte Letsencrypt ein Zertifikat ausgestellt. Und bevor ich nun was gemacht hatte, war an extern gar nicht zu denken, außer das Emails abgeholt wurde per Fetschmail oder versendet wurden.

Wir konnte Letsencrypt das “damals” erstellen? Also eigentlich für den Hostnamen …

Und sorry wenn ich so dreist bin 🙂 Hab gelesen, dass man auch Zertifikate importieren kann. Auch über die GUI. Ist das empfehlenswert? Wir haben nämlich Zertifikate vom Strato für unsere Domain. (Weiß nicht ob ich das nun korrekt ausgedrückt habe) …

Danke für die Antwort auf jeden Fall, viele Grüße M