Unschön: Spam-Welle von outlook.com – und keine Reaktion (Okt. 2022)

Kurze Information zu einer ziemlich unschönen Geschichte, die Nutzer von outlook.com-Konten trifft. Seit einer Woche gibt es wohl eine massive Spam-Welle, die von outlook.com-Konten ausgeht. Das werden die Empfänger regelrecht zugenagelt und Microsoft bekommt das Problem wohl nicht wirklich in den Griff. In Folge landen dann Microsoft IP-Adressen als Absender in öffentlichen Spam-Black-Lists.


Anzeige

Hinweis eines Blog-Lesers

Blog-Leser Sven H., der als Dienstleister unterwegs ist, hat mich am 7. Oktober 2022 per E-Mail auf das Thema aufmerksam gemacht. Bei ihm sind mehrere Kunden von einer massiven Spam-Welle betroffen. Sven schrieb:

Spamwelle seit einer Woche von outlook.com

Sie berichten über Windows- und IT-Themen. Vielleicht ist das aktuelle große Problem, was Microsoft nicht in Griff bekommt, für Sie Interessant?

[… Links entfernt]

Das Resultat des Nicht-Handelns ist, das immer mehr Microsoft IPs auf öffentlichen Spam-Blacklisten landen, z.B. Spamhaus, Spamcop usw.

Spam-Welle von outlook.com
Spam-Welle von outlook.com, zum Vergrößern klicken 

Sven schreibt, dass von ihm aktuell 3 Kunden betroffen seien und war so freundlich, mir obigen Screenshot mit einem Beispiel des eintreffenden Spams zuzusenden. Dazu schreibt er:

Das größte Problem ist, jemanden vom Support zu erreichen. Das ist leider erst nach einer Woche gelungen. Trotzdem besteht das Problem nach wie vor.

Details zum Thema lassen sich in Microsoft Answers in diesem Forenbeitrag nachlesen. Dort wird auch der Header einer Spam-Mail angegeben. Die Diskussion auf Microsoft Answers ist aber erwartbar im "Sande verlaufen" – da passiert nichts. Ich selbst habe in diesem Forum keine Moderator-Rolle und kann da auch nichts eskalieren – das Ganze ist daher "etwas mit der Wand gegenüber sprechen".


Anzeige

Weitere Funde im Netz

Sven hat mit darauf hingewiesen, dass dies kein Einzelfall sei – neben seinen Kunden gibt es wohl inzwischen weitere Meldungen im Internet. Sven hat in seiner initialen Mail bereits auf den Thread Massiver Beschuss von Exchange Online bei den Kollegen von administrator.de verwiesen. Der Thread wurde von Blog-Leser Alex F. am 4. Oktober 2022 unter dem Alias MysticFoxDE eröffnet.

Massiver Beschuss von Exchange Online

Moin Zusammen,

einer unserer Kunden wird gerade massiv per SPAM beschossen und mir fällt nicht wirklich etwas ein was ich dagegen machen soll, da die SPAM's allesamt von "*.outbound.protection.outlook.com", sprich, von irgendwelchen online Exchange kommen.

Es sind alleine schon heute > 10.000 Nachrichten und zwar nur einen Empfänger betreffend, die zum allergrößten Teil zum Glück durch die Mailsecurity aufgehalten werden.

Jedoch gehen einige dennoch durch und zudem werden die SPAM's immer mehr.

Ich kann jetzt wohl schlecht hingehen und pauschal die ganzen "Exchange Online" IP-Range's sperren.

Danach kann dieser Kunde mindestens die hälfte seiner Geschäftspartner nicht mehr erreichen und diese ihn auch nicht mehr, da viele davon ihre Mails bereits über Exchange Online abwickeln.

Hat jemand eine Idee?

Auf administrator.de gibt es dazu eine längere Diskussion. Die Abuse-Abteilung von Microsoft macht wohl nichts, wie ein Administrator schreibt, der ständig Spam von Exchange Online-Postfächern enthält. Irgend jemand von Euch eine Idee, was die Betroffenen da tun können? Stellt ihr auch diese Spam-Welle fest, oder sind es Einzelfälle?

Mein outlook.com-Testkonto ist da noch frei von Spam- das Gleiche gilt für das private E-Mail-Konto einer Familienangehörigen. Neu ist das Thema jedenfalls nicht – im englischsprachigen MS Answers Outlook.com Forum gibt es diesen Thread vom Januar 2022, wo ein Nutzer beklagt, dass der "Spam-Filter" von Hotmail nicht mehr funktioniere und er durch Spam im Posteingang zugemüllt werde. Ergebnis der Diskussion: Null.


Anzeige

Dieser Beitrag wurde unter Outlook.com abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

33 Antworten zu Unschön: Spam-Welle von outlook.com – und keine Reaktion (Okt. 2022)

  1. Bolek sagt:

    "Ich kann jetzt wohl schlecht hingehen und pauschal die ganzen "Exchange Online" IP-Range's sperren."

    Doch, nur das hilft. Gleiche Erfahrungen mit unkooperativen Mail-Servern existieren zuhauf, erst nach der Aufnahme im Spamhaus, Spamcop etc. bewegen sich die Verantwortlichen der technischen Infrastruktur.

    • Bernd B. sagt:

      +1
      So unkooperativ, wie MS bei der Entfernung von IPs aus eigenen Blacklists ist, sollen sie gerne ihre eigene Medizin zu schmecken bekommen.

      Sehr unschön aber, dass es auf dem Rücken der (hier: MS-) Kunden ausgetragen werden muss (geht halt nicht anders).

      • Paul sagt:

        Für MS ist es natürlich viel einfacher die geblack listete IP durch eine sauberer neue zu ersetzt. Sie haben ja ein paar zig Millionen eigene IPs.
        Natürlich machen die Blacklists das nicht lange mit und hauen das ganze AS da rein.
        MS muß aber bei europäischen Kunden darauf achten, das sie nur europäischen IPs verwenden…

        Das die RBLs dabei Kollateral-Schaden erzeugen ist gewollt:
        so setzen auch die Kunden des unseriöver/unfähigen/unwilligen Billig-Providers ihn unter Druck…
        Uups. es geht ja um MS…das Attritut "Billig" ist da wohl falsch.

        Also:
        Jede einzelene eMail an Spamcop&Co.
        Die freuen sich.
        Ich sage mal, das Spam-Emails nicht dem Datenschutz unterliegen. Zumindest wenn sie zwischen Postmastern ausgetauscht werden zur Behebung von Störungen.

    • Paul sagt:

      Er wollte wohl eher den IP-Range von MS auf seinem Ingress-Mailserver sperren.

      Früher war das durchaus eine gängige Option:
      Man sperrte die IP, und ließ nur dann eMails durch, wenn der Absender bekannt war.
      Auch war das "teergruben" (graylist) hilfreich,
      oder -einfach- die Bandbreite reduzieren.
      Man weiß ja in etwas wieviel emails man bekommt, und wenn das mal ein bisschen mehr wird, spoolt der Sender das ja.
      Email ist ja kein Echtzeit-Medium…
      Ja. die Spammer sind nicht doof und sie benutzen nur einen Teil der vermuteten Bandbreite, da mit sich niemand genötigt sind, wirksamen Massnahmen zu treffen. IP ist billig.
      Und eines können Spammer nicht ab:
      Warten.

      Natürlich wird"abuse" von der IP-Sperre/Sonstigen Filtern generell ausgenonmmen.
      Erfahrungsgemäß kommt rel. wenig bis garkein Spam für "abuse" rein.
      Andereseits kann man so legitime Beschwerden überhaupt bekommen,
      sofern der (Neue Kunde) durch den Reject entsprechend informiert wird.
      Allerdings scheinen manche eMail Provider Rejects zu filtern…
      Mit DMARC müssten sie das nicht, weil sie so falsche Bounces von echten
      Rejects unterscheiden könnten.

      Ich würd noch gene wissen, ob die Empfänger den Absender validieren und
      auch prüfen ob es den Empfänger gibt und dann nur mit einem "Reject" nich einem Bounce antworten.
      Bitte nicht "aber dann mache ich doch den Spamer schlau", das ist naiv.
      Wenn man aber Bounces erzeugt, dann hat der Spammer das erreicht, was er will!
      Er benutzt den legitimen Mail server als Offenes Relay.
      Denn die Absender sind ja i.d.R. gefälscht, SPF funktioniert nicht in der Cloud, weil nur ein paar IPs für tausende Domains zuständig sind.
      Irgendwie wäre auch zu wissen ob DKIM oder DMARC verwendet wird.
      Was ich so gesehen habe war der DNS Eintrag frei von all diesem "Zeug".
      Man hat das Mail filter einfach zu einem externen Provider wie z.B. Baracuda ausgelagert…dessen "KI" regelt das schon, gegen einwurf nicht mal so kleiner Münzen…und er hat natürlich kein Interesse den falschen Empfänger zu rejecten, denn je mehr eMails spam sind, desto mehr Kohle.
      Und für Spammer sind solche Systeme sehr interessant, bei denen erst der Kunden Server den Empfänger validiert und dann einen Bounce machen muß
      (und auf der back scatter black list landet)

      • DW sagt:

        @Paul
        > Ich glaube nicht das MS sooo viele Mailserver gleichzeitig laufen hat und deren IP so schnell wechselt.
        Schau dir einmal die DNS-Zone "outbound.protection.outlook.com." an. Da gibt es alleine über 1000 DNS Einträge. Ein paar Stichproben zeigen, dass hinter einem FQDN nicht nur IPv4 und IPv6 sich verbirgt, sondern bis zu 10 Stück. Sicher, dass eine oder andere Mal werden die IP-Adressen"duplicated" sein, aber im Summe werden die E-Mail-Server quer über die Welt in Azure verteilt sein. In der Größenordnung geht es primär um Lastverteilung des Volumens.

        > Alle 2..5 Minuten eine Spammail würde ich nicht als "massiver beschuß" bezeichnen.
        Jein… es geht hier um E-Mails die Spam sind, aber zugestellt werden. Zumal ich meine gelesen zu haben, dass die Anzahl auf einen relativ kurzen Zeitraum beschränkt.

        • Paul sagt:

          Ven einer Mailserver IP ein paar Hundert Domains zu versorgen und ein paar zig Tausend User ist kein Problem. Zumindest in der Unix welt.
          Ich erinnere mich leise grinsend als MS Hotmail gekauft hatte und deren Unixe gegen MS smtp tauschen wollte… (das Marketing das wollte)
          Das war ein klarer Fall
          "a broken software with a hardware patch".
          Fager hat MS mengen an Servern hinstellen müssen um die zig Millionen Hotmail User versorgen zu können…
          Du wirst hier im De kaum von allen 50Million IPs Mails annehmen müssen.
          Jede bräuchte einen revers Record.

          Any way :
          Ich weiß nicht wie es bei all den tollen Filtern unerwünschte Emails durch kommen.
          10000 für einem User in nur wenigen Minuten würde ich auch als viel identifizieren, aber auch fragen:
          Muss ich für einen User mehr als z. B. Mails pro Minute annehmen?
          Als Spammer würde ich mir einen dickeren Server suchen.
          Wie gesagt:
          Ich will keinen DOS gegen den User fahren sondern die Bounces als Relay Missbrauchen.
          Und klar:
          Wenn MS weder spf, dkim, dmarv unterstützt habe ich beim filtern verloren.
          Such wenn mein Server erstmsl alles annimmt und erst der 3. Server feststelkrb kann das es den User nicht gibt und den.-vom Spammer erwünschten- bounce erzeugt.
          Evtl. Will er auch einfach das Posdtfach vollknallen, und so Bounces erzeugt, möglicherweise mit error 400, weil dss Problem ja lokal ist und lokal gelöst werden kann.

        • Paul sagt:

          MS müsste auch die SPF-Einträge anpassen.
          Wenn die da die Millionen IPs ihre Cloud reinhauen machen sie das SPF kaput, klar.

          • DW sagt:

            Warum müsste MSFT die Einträge anpassen? Die Einträge werden doch pro Domain gesetzt und damit in der Veranwortung des jeweiligen Kunden. Die Kunden sollten aber auf den SPF Eintrag von MSFT referzieren, damit mögliche Anpassungen sofort übernommen werden.

            Unabhängig davon werden bei solche großer Anzahl von IP-Adressen die Subnetze in SPF Eintrag aufgenommen und nicht jede IP-Adresse.

    • Anonymous sagt:

      Das Projekt NixSpam betreibt einige eigene Honeypotadressen und -Server. Seit Jahren leite ich Mails, bei denen es sich mit hoher Wahrscheinlichkeit umSpam handelt unverändert dorthin weiter und sorge somit dafür, daß die ausgehenden MXe geblacklistet werden. Hilft öfters.

      • Paul sagt:

        Ja, nixspam ist sehr aktuell und hält die Sperre nur eine rel kurze Zeit aufrecht.

        Bei Provider wie MS nutzt eine Blacklist nur wenig:
        Weil MS quasi für jede Nachricht eine neue IP nehmen kann…

    • justsomenut sagt:

      Typische Antwort eines Techies ohne Sinn für die Realität.

      Nur weil über gewisse Office 365 Server SPAM verschickt wird, sollen ALLE Mails ALLER Office 365 Kunden via Blacklist geblockt werden???!!!

      Um Microsoft "eine Lehre zu erteilen"???!!!!!!

  2. Sven sagt:

    Danke für den Beitrag. Mal sehen, ob wir bei Microsoft noch jemanden wachrütteln können. Die Spam-Mails treffen leider nach wie vor noch massenhaft ein.

  3. Christian Krause sagt:

    Wenn man Microsoft schreibt, sollte man vermutlich lügen,, dass die eigenen E-Mails im Spam Filter hängen bleiben.
    Das Interessiert die nämlich mehr als "ich bekomme Spam von euch".
    Mein Spam Filter funktioniert zum glück zur Zeit Recht gut.
    Spams in dem maße sind echt ätzend.

  4. Carsten sagt:

    Zum Glück haben wir auf unserer UTM RBL Listen aktiviert u.a. Spamcop und werden von solchen Wellen verschont. Dennoch ist mir auch aufgefallen, dass seit ein paar Wochen plötzlich ganz plumpe Spam Mails einfach als legitim zugestellt werden, welche zuvor abgewiesen wurden. Wahrscheinlich hängt das auch hiermit zusammen. Da es immer nur einzelne Mails waren bin ich dem nicht so sehr hinterher gewesen. Lässt sich relativ einfach aus den Postfächern per Powershell löschen. Werde da aber jetzt mal aufmerksamer sein.

  5. Aurin Azadî sagt:

    Bei mir nix. Ich hänge an zwei MXen, einer davon mein eigener.

    Ist aber nicht ungewöhnlich, daß Spam- und Angriffs-Wellen nur einen Teil der potentiellen Targets trifft. Schlimmer wäre es aber, wenn sie gleich alle treffen würden …

    Microsoft ist, was Mail angeht, sowieso … interessant. Auf einem Host (Netcup V-Server), den ich (noch) betreue, hatte ich das Problem, daß Mails an Microsofts Mail-Domains einfach nicht angenommen wurden. Der Host ist reiner Mail-Weiterleiter ohne eigene Postfächer. Alles, was an Hotmail- etc. -Adressen rausgehen sollte, wurde von Microsofts MXen pauschal abgelehnt, auch auf Nachfrage bekam ich keine Begründung. Ich bekam nur einen Link zu einer Website, die ungefähr drölfzig mögliche Gründe aufführt, aus der ich mir dann raussuchen sollte, was denen an „unserem" MX nicht paßt. Ja, Arschlecken, ich hab echt anderes zu tun.

    Ergebnis: Ich teilte den Leuten mit, daß sie bitte keine Adressen aus der Domäne von Microsoft verwenden sollten, weil die unsere Mails halt einfach nicht wollen, und daß ich keine Adressen mehr in die Weiterleitungsdatei eintrage, die zu einem MX von Microsoft gehören.

  6. Paul sagt:

    Früher(tm) konnte man am (nennen wie ihn) Egress-SMTP-server einstellen, dass er sich merkt, an wen eMails geschickt wurden.
    Diese kamen auf eine Whiteliste.
    Der Ingress-Server ließ dann nur eMails durch, die auf der Whitelist waren.
    Ich weiß jetzt nicht wie oft Neue Kunden und Lieferanten sich spontan per eMail melden. Man könnte diese auch erstmal über das Web-Portal schicken.
    Ich vermute mal, das der MS Schraddel so etwas nicht kann, oder?

    Es ist eine manuelle Whitelist natürlich nihct mach bar.

    Ganz wichtig ist, das man mit einem "500"er Fatal-Fehler Rejected.
    Mit einem "400"er macht man sich nur mehr traffic.
    Und mit einem Bounce genau das was die Spammer wollen:
    Ihren Spam an Dritte durch seriöse EGrass-Server weiter verteilen,
    auch wenn der Absender dann hoffentlich "" ist.

  7. Paul sagt:

    Da haben wir doch schon das Problem:

    Authentication-Results:
    dkim=none (message not signed)
    header.d=none;
    dmarc=none
    action=none
    (siehe)

    "Hinter "*.protection.outlook.com" stecken laut der MS Dokumentation die folgenden Netze …
    40.92.0.0/15
    40.107.0.0/16
    52.100.0.0/14
    52.238.78.88/32
    104.47.0.0/17
    "

    Das Thema hatten wir schon mal.
    Ich glaube nicht das MS sooo viele Mailserver gleichzeitig laufen hat und deren IP so schnell wechselt.
    Und wenn?
    Wenn man alles blockt das von den IPs kommt und deren Absender man nicht kennt?

    Ausserdem:

    Alle 2..5 Minuten eine Spammail würde ich nicht als "massiver beschuß" bezeichnen.
    Ausser dass sieht bei 500 User zeitgleich so aus, und das Limit ist halt nur das des Intenetanschlusses/Mailservers gesetzt. (Einfach drosseln, die normalen, gewollten mails kommen schon durch, da achten die Spammer aus Eigennutz schon drauf.)

    • DW sagt:

      @Paul
      > Ich glaube nicht das MS sooo viele Mailserver gleichzeitig laufen hat und deren IP so schnell wechselt.
      Schau dir einmal die DNS-Zone .outbound.protection.outlook.com. an. Da gibt es alleine über 1000 DNS Einträge. Ein paar Stichproben zeigen, dass hinter einem FQDN nicht nur IPv4 und IPv6 sich verbirgt, sondern bis zu 10 Stück. Sicher, dass eine oder andere Mal werden die IP-Adressen"duplicated" sein, aber im Summe werden die E-Mail-Server quer über die Welt in Azure verteilt sein. In der Größenordnung geht es primär um Lastverteilung des Volumens.

      > Alle 2..5 Minuten eine Spammail würde ich nicht als "massiver beschuß" bezeichnen.
      Jein… es geht hier um E-Mails die Spam sind, die zugestellt werden. Zumal ich meine gelesen zu haben, dass die Anzahl auf einen relativ kurzen Zeitraum entstanden ist.

    • DW sagt:

      @Paul
      Schau dir einmal die DNS-Zone .outbound.protection.outlook.com. an. Da gibt es alleine über 1000 DNS Einträge. Ein paar Stichproben zeigen, dass hinter einem FQDN nicht nur IPv4 und IPv6 sich verbirgt, sondern bis zu 10 Stück. Sicher, dass eine oder andere Mal werden die IP-Adressen"duplicated" sein, aber im Summe werden die E-Mail-Server quer über die Welt in Azure verteilt sein. In der Größenordnung geht es primär um Lastverteilung des Volumens.

  8. Paul sagt:

    Hat denn mal wer geschaut von wo das Zeugs an MS geliefert wird?
    Das entsteht ja nicht bei MS in der Cloud, sondern bei eine one-click-hoster.

    • M.D. sagt:

      Nee, laut der Header der dargestellten SPAM-Mails kommen die direkt von ".outlook.com." Da wurden anscheinend Exchange-Server/O365-Konten von Kunden übernommen, und die haben's wahrscheinlich noch nicht bemerkt. Login-Daten waren ja in den letzten Wochen reichlich erbeutet worden und im Netz verfügbar.

      Das wirksamste Mittel wäre jetzt, wenn Microsoft die befallenen Server/Konten sperrt oder abschaltet. Aber, was wenn die Kunden richtig gehandelt haben und Microsoft gepennt hat und Kunden für etwas bestraft, das diese in erster Linie nicht zu verantworten haben? Die Filter gegen den 0-Day waren ja erstmal wirkungslos. Dass Exchange-Online von dem ganzen Schlamassel angeblich nicht betroffen war, kann ich mir nicht so recht vorstellen. Die Häufung der SPAM-Ereignisse in den letzten Tagen und deren Ursprung spricht meiner Meinung nach eher dagegen.

      Den wahren Hintergrund wird nur Microsoft selber aufklären können, wenn sie es denn wollen.

      • Paul sagt:

        @M.D.
        Also man klar erkennen, dass MS nicht nur die Auslieferung macht sondern auch den client hostet?
        Und die Kunden nicht eigene smtp clients betreiben, und MS nur als smart host zum Ausliefern nutzen?
        Emm, dann ist das wirklich das Problem von MS.
        Ich glaube die meisten Provider haben Grenzen für eimsls pro Account pro Zeiteinheit.
        Schon als Schutz vor Künstlern die Mailschleifen bauen könnten, was bei den Bandbreiten von M S sehr fatal werden könnte.

  9. Anonymous sagt:

    Leute mit Outlook.com/Hotmail oder Gmail oder GMX/Web.de haben es nicht besser verdient, können gerne Platz in den Blacklisten haben. Alles Spamschleuder die auch jeden Mist akzeptieren, selbst wo nicht mal Hostnamen vom Absender existieren. Gibt ständig mit den Problemen, und wenn nicht, werden „Kunden" eh noch mit eigener Werbung zugemüllt oder Abos und sammeln Daten.

  10. Singlethreaded sagt:

    Ich habe auf Grund des Artikels unsere Mail-Server-Statistik geprüft und wir verzeichnen derzeit kein erhöhtes Aufkommen an Spam-Mails. Das Ganze liegt ungefähr auf dem Level der Vormonate.

    Spams zu 100% sauber zu filtern ist quasi nicht möglich. Wir haben aber ganz gute Erfahrungen mit SpamAssassin und einem Punkte basierten Ansatz gemacht. Jede Mail wird auf dem Mail-Server nach verschiedenen Kriterien bewertet und erhält dafür Punkte. Liegt die Gesamtpunktzahl über einem bestimmten Wert, so wird die Mail als Spam eingestuft.

    Wir als IT haben die Möglichkeit eigene Regeln einfließen zu lassen und diese entsprechend mit Punkten zu belegen. Damit kann man recht gut auf bestimmte Schlüsselwörter oder Eigenschaften aktueller Spam-Wellen regieren. Kommt in einer Mail z.B. das Wort "Partnersuche" vor, so ist das ehr nix Dienstliches. Entsprechend erhält die Mail einen Punkteaufschlag und wird mit größerer Wahrscheinlichkeit insgesamt als Spam eingestuft und aussortiert. Schaue ich mir die Betreffzeilen aus dem Artikel so an, so hätte ein Großteil unsere Filter so nicht passieren können.

    Dazu kommt dann noch die Auswertung von Spamlisten, Prüfung von Reverse-DNS mit Rückauflösung, Prüfung der Absenderdomain auf Existenz, Prüfung von SPF-Einträgen (falls vorhanden), Greylisting (nicht mit Microsoft) und die Freigabe von Domains wichtiger Geschäftspartner.

    Gruß Singlethreaded

    • Paul sagt:

      Warum geht gray listing nicht bei MS?
      MS muss doch auch die 400er Emails spoolen oder bauen die die jedes mal neu?

      • Singlethreaded sagt:

        Jede neue Zustellung einer Mail kommt von einem anderen Server und der Timer fürs Greylisting läuft wieder von vorne. Erst wenn scheinbar zufällig ein Server ein zweites Mal genutzt wurde, dann geht die Mail durch.
        Wir hatten Mails in den Logs, welche über Stunden verzögert wurden. Auch wenn E-Mail keine Echtzeit-Kommunikation ist, war es so nicht zu gebrauchen.

        • Paul sagt:

          Achso. Ich habe gesehen das MS DNS "ozilierende" IP für einen Hostnamen ausliefert.
          Das ist natürlich ätzendes billig loadbalancing.
          MS SMTPs hat also nach 20 Jahren immer noch nicht die Performance von Unix Kisten…vermute ich mal.
          Auch wenn ich diesen riesigen internen Pfad sehe..
          Für jede Funktion einen eigenen Server…
          Naja ist ja nicht das Problem hier, nur für die Umwelt.
          Dafür klappt es ja mit dem Service und ist spottbillig…

          • Carsten sagt:

            Ja, auch der Grund warum wir die Outlook Server als Ausnahme im Greylisting aufnehmen mussten. Emails werden Stundenlang, manchmal sogar Tage, von einem Email Server zum nächsten gejagt und irgendwann meldet sich dann der Kunde warum man kein Angebot bekomme. Bei Google übrigens das Gleiche. Daher sehe ich persönlich das Greylisting auch als sehr ineffizient im Vergleich zu gescheit geführten Mailfiltern. Aber das macht jeder anders.

  11. Paul sagt:

    Schau Dir an wo der Spsm herkommt.
    Ich sehe da oft one-click hoster.
    Hängt aber von der Art des Spams ab

  12. JohnRipper sagt:

    Also seit dem 5. Oktober werde ich massiv mit Spam überzogen, aber nicht (nur) aus dem MS Netwerk, sondern von offensichtlichen Schrottsendern. Oft auch mit blöden Sonderzeichen im Betreff.
    Infrastruktur ist EXO.

    Mein Account hatte zuletzt 0 bis 3 Spamemails/Tag, wobei alle korrekt erkannt wurden.

    Kann das sein, dass das eher ein allgemeines Problem ist und MS idZ einfach mit auffällt?

  13. DW sagt:

    Die neuste Antwort von MSFT in Answer Forum zeigt die Kompentenz. Hätte man 5 Minuten den E-Mail Header im initialen Beitrag/Frage studiert, wüsste Mann dass um Spam von der Microsoft Welt an On-Premise E-Mail-Servern geht. :-(

    Bei uns ist es nach wie vor ruhig ( ~172660 abgelehnte E-Mails/Tag). Davon entfallen im Schnitt 1722 E-Mails auf Microsoft. Wobei die Gründe vielfältig sind (SPF/DKIM Eintrag nicht korrekt, verbotene Dateianhänge, RBL, zu große Anhänge, Newsletter, etc.). Ich hoffe, dass bleibt so. Gibt schon genug im Microsoft Umfeld zu tun.

    • Paul sagt:

      "~172660 abgelehnte E-Mails/Tag"

      Habt ihr da einen Catchall laufen und das sind im wesentlichen Brute force an unbekannte User eurer Domain (die erst bei einem späteren System einen "Unkown User/(Mailbox full"-bounce auslösen würden, wären sie ansonsten formal richtig ?))

      • DW sagt:

        Nein, CatchCall ist nicht konfiguriert. Das wäre heutzutage vermutlich ein Lasttest für das E-Mail-Backbone. :-)
        Brut Force über SMTP? Was muss ich mir darunter vorstellen?

        Unkown User/Mailbox u.ä. wird direkt an den MX'en abgearbeitet. Bei den Zahlen handelt sich um E-Mails an existerende E-Mail-Adressen, die aus verschiedenen Gründen abgelehnt wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.