SMTP-Server bei Proofpoint geblacklistet

Unser primärer SMTP-Postausgangsserver smtp.variomedia.de (bzw. smtp.securehost.de) wird seit gestern immer wieder für einige Stunden auf der Proofpoint Blacklist aufgeführt; dadurch können E-Mails an einige bekannte Anbieter wie z.B. Apple momentan nicht immer zugestellt werden. Sie erhalten dann von unserem Mail-Server eine Fehlermeldung wie:

554 Blocked - see https://ipcheck.proofpoint.com/?ip=81.28.224.28

Wir können momentan nicht sagen, was zu den Sperrungen führt, da es bisher keine brauchbaren Information von Proofpoint dazu gibt. Der betroffene SMTP-Server wird auf keiner anderen seriösen Blacklist aufgeführt, wir gehen daher von einem Fehler bei Proofpoint aus. Leider können wir nur abwarten, bis Proofpoint auf unsere Beschwerde reagiert.

Falls Sie von der Sperrung betroffen sind, können Sie alternativ unser Webmail oder unseren zweiten SMTP-Server smtp2.variomedia.de (bzw. smtp2.securehost.de) zum Versenden von E-Mails nutzen, bis der primäre SMTP-Server dauerhaft von dieser Blacklist entfernt wurde.

Update

Seit dem 14.02. ist kein erneutes Blacklisting durch Proofpoint mehr erfolgt. Wir haben die Konfiguration unserer SMTP-Server weiterhin so überarbeitet, dass mehrere unterschiedliche IP-Adressen zum Senden von E-Mails genutzt werden. Dadurch reduziert sich die Anzahl der gesendeten E-Mails pro IP-Adresse, wodurch ein Blacklisting bei Anbietern wie Proofpoint weniger wahrscheinlich ist.

Absenderverifizierung auf unseren Mail-Servern

Das Versenden von E-Mails mit einer ungültigen Absenderadresse (Envelope Sender) ist nicht zulässig und führt bei vielen Mail-Servern zu einer sofortigen Ablehnung. In diesem Fall besteht der begründete Verdacht, dass es sich um unerwünschte E-Mails (SPAM) handelt. Manchmal handelt es sich jedoch auch um legitime E-Mails, die versehentlich mit ungültigen Absenderadressen gesendet werden. Unsere Mail-Server haben bisher keine genauere Prüfung der Absenderadresse vorgenommen, wir haben uns nun jedoch dazu entschieden, ungültige Absenderadressen als zusätzliches Kriterium für unser bestehendes Greylisting zu nutzen, um weitere bisher nicht als SPAM erkannte E-Mails abzuweisen:

E-Mails mit einer Absenderadresse von einer nicht existierenden Domain oder einer Domain ohne gültigen A- bzw. MX-Eintrag führen jetzt ebenfalls zum Greylisting. Bei Absenderadressen, die auf unsere Mail-Server verweisen, wird zusätzlich geprüft, ob dieses Postfach auf unseren Mail-Servern existiert (bzw. ob es ein passendes Catch-All-Postfach gibt).

Durch das Greylisting werden diese E-Mails nicht abgelehnt, sondern erst nach einem zweiten Zustellversuch mit einer Verzögerung von mindestens 5 Minuten angenommen, es können also keine legitimen E-Mails verloren gehen.

Probleme bei der Einrichtung von E-Mail-Konten unter Thunderbird

Beim beliebten E-Mail-Client Thunderbird gibt es einen seit mehreren Jahren unbehobenen Bug bei der Erkennung der SMTP-Server-Einstellungen, der für Probleme bei der Einrichtung von E-Mail-Konten sorgt.

Das SMTP-Protokoll wird zum Versenden von E-Mails genutzt. Thunderbird nutzt für SMTP standardmäßig den TCP-Port 587, für den wir auf unseren SMTP-Servern (optional) Verschlüsselung mittels StartTLS anbieten. Bei der automatischen Erkennung der Server-Einstellungen versucht Thunderbird zunächst eine verschlüsselte Verbindung mittels StartTLS aufzubauen. Wenn dies fehlschlägt, wird eine unverschlüsselte Verbindung genutzt.

Leider hält sich Thunderbird bei der Erkennung der SMTP-Server-Einstellungen nicht genau an das SMTP-Protokoll, so dass unser Mail-Server beim Verbindungsaufbau mittels StartTLS eine Fehlermeldung zurückliefert, und Thunderbird dann automatisch eine unverschlüsselte Verbindung wählt:

smtp_500

In aktuellen Thunderbird-Versionen wird dann im nächsten Schritt eine Warnung angezeigt, dass keine Verschlüsselung genutzt wird, obwohl unsere Server sehr wohl Verschlüsselung unterstützen:

tb-fehler-500

Wählen Sie in diesem Fall für den SMTP-Server entweder unter Port 465 und unter SSL SSL/TLS und klicken dann auf “Erneut testen”, dann sollte die automatische Erkennung sofort funktionieren und Sie können “Fertig” auswählen.

Alternativ können Sie unter Port 587 und unter SSL StartTLS wählen und dann “Erneut testen” klicken. Meistens schlägt der Verbindungstest dann jedoch erneut fehl, und Thunderbird meldet einen Fehler. In diesem Fall sollten sie so lange auf “Erneut testen” klicken, bis es irgendwann klappt. Dies erfordert normalerweise mehrere Versuche, doch irgendwann funktioniert es und Sie können “Fertig” auswählen.

Probleme beim E-Mail-Versand mit Speedport-Routern der Deutschen Telekom

Bei den aktuellen Speedport-Routern (Modell “W 724V”) der Deutschen Telekom kommt es zu Problemen mit dem Mailversand über den Variomedia SMTP-Server, da die Telekom dort standardmäßig alle SMTP-Server bis auf die eigenen und die weniger anderer großer Anbieter gesperrt hat. Betroffen sind insbesondere Telekom-Kunden, die im Rahmen der Umstellung auf den IP-basierten Anschluss einen neuen Router erhalten haben.

Um wieder E-Mails über unseren SMTP-Server versenden zu können, müssen Sie diese Sperre entweder entweder ganz deaktiveren, oder den Variomedia SMTP-Server manuell freischalten. Loggen Sie sich dazu im Web-Interface des Routers (URL: “speedport.ip”) ein und wählen Sie oben das Menü “Internet”. Dann finden Sie links ein Menü “Liste der sicheren E-Mail-Server”, dort wählen Sie entweder die Option “Liste der sicheren E-Mail-Server verwenden” ab, oder Sie fügen den Variomedia SMTP-Server “smtp.variomedia.de” (bzw. “smtp.securehost.de”) zur Liste hinzu.

Nachtrag
Mit der Aktualisierung vom 10.03. hat die Telekom unsere SMTP-Server zu dieser Liste hinzugefügt, damit sollte das Problem behoben sein.