Ich stelle mal eine Beobachtung eines Blog-Lesers hier ein, die sich auf Microsofts Exchange Online bezieht. Der Leser sieht sich mit dem Problem konfrontiert, dass Beschwerden von Geschäftspartnern über nicht "angekommene" E-Mails auflaufen. Der Verdacht, dass Exchange Online die E-Mail-Absender vielleicht manipuliert, steht im Raum.
Anzeige
Ein Blog-Leser hatte sich bereits zum 13. Dezember 2024 bei mir per E-Mail gemeldet und schrieb unter dem Betreff "Microsoft Exchange Online verändert Absender?", dass er im Unternehmen im Moment immer mehr Beschwerden bekomme, das E-Mails nicht beim Partner ankommen.
Die IT ist dann diesem Problem nachgegangen. Nach Recherchen hab man herausgefunden, schreibt der Leser, das als Absender immer eine MS Cloud IP in den betreffenden Mails steht.
Im Unternehmen werden aber die E-Mail-Server nur On-Premises betrieben. Alle Logs zeigen, so der Leser, dass die Mail das im Unternehmen betriebene E-Mail-System verlassen hat und erfolgreich bei Exchange Online eingereicht wurde.
Da das Unternehmen eine strikte SPF-Richtlinie eingerichtet hat, wird die Mail als SPAM verworfen, gibt der Leser an. Sofern jemand "schon bei MS in der Cloud sitzt und die Kommunikation von Microsoft zu Microsoft (Exchange Online-Postfächern) stattfindet, sei das egal, da ja die Microsoft IPs in den SPF-Einträgen steht.
Anzeige
Der Leser merkt an, dass man die SPF-Richtlinie jetzt aufweichen könnte, bis Microsoft das gefixed hat. Aber dann macht auch eine Blockierung von Mails über Blacklistening keinen Sinn, schreibt der Leser und begründet dies damit, dass auch immer mehr Microsoft IP-Adressen in diesen Sperrlisten landen. Der Leser fragt: "Sind wir die einzigen die so was beobachten?"
Anzeige
Ich verstehe das Problem nicht aus dem Text ;)
Alle Logs zeigen, so der Leser, dass die Mail das im Unternehmen betriebene E-Mail-System verlassen hat und erfolgreich bei Exchange Online eingereicht wurde.
Dann steht doch eine Exchange Online IP in dem Absender, wenn dieser es an dem Empfänger Server gibt.
Ich glaube das ist etwas missverständlich formuliert.
Der Sender hat Exchange nur OnPrem.
Der Empfänger nutzt Exchange Online.
On Prem sendet laut logs alles sauber raus, ExO ist Empfänger.
Der soll jetzt mutmaßlich den Absender ändern.
Erschließt sich mir aber auch nicht, denn die SPF Prüfung würde ja genau dieser Empfänger ExO Server machen.
Nutzt man natürlich ExO im Hybrid oder als Smarthost, dann ist die das works as designed.
das spf schlägt beim Empfänger zu. Logo. und nicht beim Transport Server des Absenders.
es gibt eine FAQ E-Mails Header verstehn" Ich glaube da wird das mit SPF ganz gut erklärt.
hier müsste der Absender seinen SPF kastrieren, oder alle potentiellen Empfänger sich nur nur noch auf DKIM verlassen(was deutlich besser ist als SPF,da MS ja Millionen IP aus eigener Bequemlichkeit mit in den SPF einträgt und ihn so wirkungslos macht.)
wenn das wirklich ein Problem bei Microsoft ist, dann sollte man schnellstens von diesen Saft laden weg.
nicht alle Kunden machen sich die Mühe zurück fragen wo denn die E-Mails bleiben. Und neue Kunden schon gar nicht
aber andererseits muss eigentlich auch der Absender Bescheid bekommen, wenn seine E-Mails rejected werden, mit einem lauten Alarm.
oder muss man sich den Zugriff auf diese Log Einträge teuer erkaufen?
wo bleiben denn die NDR?(bounce mail)
Achso, die können nicht zugestellt werden, weil MS ja den Absender verhundst und keine Sau im Error Log nachsehen kann, da Aufpreis pflichtig.
da ist ein richtiges Konzept hinter… aber welches?
zurück zum Telefon?
Aber was hat MS damit zu tun wenn der Empfänger seine config nicht im griff hat. So ein verhalten kenne ich nur von falschen connector Einstellungen oder falsche hybrid Umgebung. Da bekommt die email nochmal einen releay host dazwischen und dann schlägt die spf fail das ist korrekt.
"Spamfilter Problem.
Nur dass hier alles fehlt was man braucht zum debuggen. Also Fehlermeldung, IPs, usw.
Übrig bleibt dir Glaskugel, und die sagt Schnee."
Ich selbst verwende eigenen Server, und habe nichts mit Microsoft am laufen außer Windows auf dem PC Client. Es reicht also dass der Empfänger Exchange/Azure Zeugs verwendet. Manchmal ist aber auch noch ne Amazon oder Oracel IP bei, was auch immer diese da zusuchen hat bei Outlook Business.
Bei kurzem Überfliegen hat Microsoft wohl meine Email an Outlook Business über 104.47.11.41 oder 104.47.17.171 zugestellt was zu spf fail führt wenn man sich mal DMARC Berichte anschaut. Ist aber normal nicht problematisch da ja DKIM signiert sind.
Wer also Probleme vermeiden möchte trennt sich mal endlich von Microsoft, Google und Amazon Cloud Zeugs. Bisschen Postfix und Dovecot sind kein Hexenwerk und laufen hervorragend. Da bedarf es kein Exchange Zeugs. Gibt da auch Alternativen, und dass sogar ohne Abokosten. Aber Cloud ist ja der „heiße Scheiß"… da machts auch KI nicht besser…
Dem kann ich nur zustimmen. Es erschliesst sich mir einfach nicht, wie gerade Unternehmen, die über Ressourcen und Möglichkeiten verfügen, nicht im Stande sind, eigene Mailserver zu betreiben. Mit richtig eingerichteten Mailservern und vor allem strikten SPF/DMARC Policies schafft man auf einen Schlag Vertrauen in das Medium EMail und beseitigt gefühlt 95% aller Spam und Phishing Versuche nicht nur bei sich im Hause sondern auch bei Zulieferern/Kunden.
Nunja, ganz so einfach ist es dann doch wieder nicht. Es gibt Mail-Provider, die nehmen nur von den großen Anbietern E-Mails entgegen, da guckt man dann mit seiner Maschine (und IP) doof aus der Wäsche, wenn man an den Anbieter keine E-Mails senden kann.
Zumal muss auch eine auf Linux Infrastruktur gewartet werden, dafür benötigt man Personal und Zeit. Es gibt etliche Firmen, die sich diesen Klotz nicht ans Bein binden möchten.
Dann die größte Hürde: Microsoft Outlook. Man muss kein Fan davon sein, jedoch ist das gerade im geschäftlichen Umfeld der defacto Standard. Muss man nicht mögen, aber das ist (leider) die Realität. Das wird nochmal komplizierter, wenn sich Fachsoftware in Office Produkte integriert (wir hatten es die Tage hier im Blog mit DATEV). Dann kommt aus der Abhängigkeit zu Microsoft Outlook nur sehr schwer bis gar nicht mehr raus. Microsoft Exchange Server zu administrieren macht solange Spaß, bis man Updates installieren muss. An dem Punkt sagen sich viele, dann soll Microsoft den Krempel betreiben und gut ist.
> Nunja, ganz so einfach ist es dann doch wieder nicht. Es gibt Mail-Provider, die nehmen nur von den großen Anbietern E-Mails entgegen, da guckt man dann mit seiner Maschine (und IP) doof aus der Wäsche, wenn man an den Anbieter keine E-Mails senden kann.
Blödsinn und Falschaussage!
Ich betreibe seit 10 Jahren für eine handvoll Kunden und mich meinen eigenen Mailserver, da hat noch niemand eine Mail abgewiesen.
> Zumal muss auch eine auf Linux Infrastruktur gewartet werden …
mit deutlich weniger Aufwand als den Klicki-Bunti Windows-Schrott, der kaum zu automatisieren ist.
> Microsoft Outlook… defacto Standard…
So what? Active Sync mit Sogo und gut ist…
>Blödsinn und Falschaussage!
>
>Ich betreibe seit 10 Jahren für eine handvoll Kunden und mich >meinen eigenen Mailserver, da hat noch niemand eine Mail >abgewiesen.
Mach mal halblang. Google mal "Telekom abgelehnte Mails vom eigenen Mailserver".
> mit deutlich weniger Aufwand als den Klicki-Bunti Windows->Schrott, der kaum zu automatisieren ist.
Das kann nur jemand behaupten der davon aber mal so gar keine Ahnung hat. Die Aussage disqualifiziert dich aber mal komplett. Gerade mit Windows 10/11, Windows Server 2016/2019 und der neuen PowerShell ist die Automatisierung unter Windows besser denn je.
Marketing, Lobbyismus, "Cloud ist toll", Digitalisierung, Transformation, usw., auf eins oder mehrere der Buzzwords sind die entspr. Entscheider reingefallen…
Es geht nicht um können, sondern wollen.
Und ein Mail System korrekt zu betreiben ist mehr Arbeit als einen MTA wie postfix einmal zu installieren. Ein MTA ist auch nur ein sehr kleiner Teil von dem was Exchange zur Verfügung stellt. So toll und unproblematisch dovecot funktioniert, so eingeschränkt sind am Ende die Möglichkeiten für alles was komplexer wird.
Es scheitert schon daran, dass der postfix keine Mail-Logs nach User Sessions kann, man also jedesmal wenn man eine Mail sucht, erstmal reverse engineeren muss, wie die Mail zugestellt wurde, anstatt beim Empfänger auf auf Zustell-Protokoll zu gehen, und das unter einmal den Weg zu sehen, von irgendwelchen smtp-proxys und miltern reden wir besser nicht.
Und ja.. Kunden von mir haben tatsächlich Mitarbeiter im Support Callcenter für Online Shopping, die aktuell sehr wohl in Echtzeit auch das E-Mail log einsehen können, um Kunden bei .. "Ich hab das Mail nicht bekommen" Situationen sinnvolle Auskunft zu geben.
Früher gab es mal passende Kommentare hier die man als Hilfe verwenden konnte. Mittlerweile sobald irgendwie MS im Title der Artikel ist, kommen immer die selben Kommentare von den selben Personen angezogen, die einem natürlich als einzige Professionelle Lösung das Abschalten jeglicher MS Produkte wieder und wieder nahelegen. Aber nicht eine Lösung die dem Topic oder Problem irgendwie weiterhelfen könnte. Das ist wie wenn man einen Dienstleister hat der nur seine eigene Scheiße Verkaufen will und kann.
Ist leider das gewohnte Bild. Mir stehen nur die im Text gegebenen Informationen von Leserseite zur Verfügung. Und im letzten Satz war die explizite Frage des Betroffenen, ob es weitere Admins, die das beobachten, gibt.
Aktuell stelle ich fest, dass sich kein weiterer Betroffener bisher gemeldet hat (ok, ist Wochenende, kann also noch kommen). Falls es Einzelfall bleibt, würde das bedeuten, in die Konfigurierungen zu gehen und zu schauen, ob da was falsch eingetragen ist.
Aber es gibt sehr viele Vermutungen und ein Flame-Ware, was imho niemanden weiter bringt. Schade.
> so eingeschränkt sind am Ende die Möglichkeiten für alles was komplexer wird.
Ab hier bin ich bei Dir lachend raus…
So so Linux-Mailserver sind eingeschränkter als ein Exchange… gerade wenn es komplexer wird… sehr interessant.
> reverse engineeren
Für manche ist es Reverse Engineering, für andere normales Handwerkszeug von CLI Tools und Skripten.
Und bei uns in der Firma wurde alles zu MS verlagert, Adobe hat man sich auch ans Bein gebunden, dazu noch etwas Schlangenöl. Vor betrieb man alles im Haus unter eigener Regie. Kannst nur mit dem Kopf schütteln… Tatsache ist nun, dass es immer wieder Probleme gibt, Mails kommen nicht an, Server machen Probleme und einiges mehr.
damit ist Dein Job doch sicher :-)
ok, das die ganze Firma an Reputation verliert, wenn Kunden Anfragen nicht beantwortet werden (scheinen) wird völlig überbewertet. Hauptsache das Kontroling ist glücklich, weil es nun die ,IT Kosten auf Heller und Pfennig genau berechnen kann… Nur du störst da noch. Besonders wenn du auf Stunden Basis abrechnet. (Werte das du nicht als persönliche Anrede da sondern als Ersatz für ein diskriminierendes "man")
> IT Kosten auf Heller und Pfennig genau berechnen kann…
by the way. Das genau kann es bei einem Abo-Modell und zudem in Abhängigkeit durch einen Dienstleister genau nicht, da dieser jederzeit ide Spielregeln ändern kann und es auch genau macht. Oder kann mir jemand ein Abo-Modell nennen, das jemals günstiger geworden ist?
Dürfte ja eigentlich nur bei denen funktionieren, die nicht über einen Connector die Mails raushauen.
Wenn der Empfänger dann nicht bei Microsoft ein Konto hat, dann wird auch keine Microsoft IP im Header zu finden sein.
Ich habe auch mehr Fragen als Klarheit, zum Beispiel über die Konfiguration auf Empfängerseite.
Ein mögliches Szenario, das ich in der Form leider auch schon sehen durfte, ist eine Exchange Hybridstellung mit Umleitung auf die @onmicrosoft.com Tenant-Adresse ohne korrekt gepflegtem Connector für den hybriden Mailfluss.
Dadurch werden die E-Mails von EXO bei Empfäng über den OnPrem-Exchange Server als extern deklariert (und nicht als unternehmensintern via Hybridstellung), dann greifen natürlich auch mehr Regeln.. ;-)
Oder aber Microsoft beginnt wieder damit eine Latte alter Server zu drosseln oder abzuweisen? Wäre auch eine weitere Möglichkeit.
Oder aber es wird im Nachgang wieder klar, dass es Probleme mit den – wo sind wir gerade dieses Jahr mit der Verfügbarkeit? – M358 Diensten gibt?
oh, gibt es schon ein Update auf M358…?
nimmt MS da nicht wieder mal den Mund zu voll?
358 Tage verfügbar?
Spamfilter Problem.
Nur dass hier alles fehlt was man braucht zum debuggen. Also Fehlermeldung, IPs, usw.
Übrig bleibt dir Glaskugel, und die sagt Schnee.
zur Klärung
die Adressen die im spf stehen sind in der Regel "White Listed" und somit ist das wo Microsoft seine Adressen einträgt(um Service Fälle zu vermeiden sehr großzügig) keine "Sperr Liste" sondern eine "White list", zumindest in meiner Welt
Wir haben bei uns festgestellt, dass Microsoft Outlook beim weiterleiten von Termineinladungen den Absender so verändert, dass der Absender dem Organisator des Termins entspricht.
Angenommen weiter@leitung.com sendet den Termin von org@nisator.net an empf@nger.de sieht der Mailserver von empf@nger.de als Absender org@nisator.net und prüft auf dessen SPF.
Da die Mail aber effektiv über die Server von weiter@leitung.com schlägt die SPF Prüfung ziemlich sicher fehl, es sei denn org@nisator.net und weiter@leitung.com nutzen die selben Mailserver.
Sprich nutzen beide Office365 und haben entsprechende SPF Einträge, kommen die Mails erfolgreich an.
Passen die SPF Einträge nicht zusammen, wird die Mail abgelehnt.
was macht Microsoft denn da wieder für einen Stuß?
dieses Problem wurde schon vor Jahrzehnten für mailing Listen gelöst in dem der Absender vom mailing Listen Server so geändert wurde dass er zum SPF des ausgehenden Hosts passt,
der empfangenende Server baut das sofort zurück, wenn er zustellen kann, so dass der Listen teilzunehmer das gar nicht wahrnimmt. Das hat auch den Vorteil, dass bounces an den Listen Admin gehen und nicht an den armen Teilnehmer.
es ist unglaublich welchen Murkss seinen Kunden zumutet um diese in die Cloud zu nötigen (ich glaube nicht dass die Leute bei MS so dumm sind und diese uralten RfC nicht kennen. auch wenn der Satz heißt: wenn Dummheit den Fehler ausreichend beschreibt, unterstelle keinen Vorsatz…