Unsolicited mail Exchange Online > GMail

[Sinna]

Ik heb eind maart een Microsoft-tenant verder geconfigureerd waarbij de mail overgebracht is van een aantal losse GMail-accounts naar een eigen domein.
Na het opvoeren van contacten en een aantal distributielijsten werkt het grotendeels, maar berichten die via een distributielijst naar een contactpersoon met een GMail-adres gestuurd worden, worden niet afgeleverd:

550 5.4.300 Message expired -> 421 4.7.28 [2a01:111:f400:fe1e::630 15] Our system has detected an unusual;rate of unsolicited mail originating from your IP address. To;protect our users from spam, mail sent from your IP address has been;temporarily rate limited. Please visit; https://support.google.com/mail/‎

Exchange Online probeert een dag zowat elk uur opnieuw, maar telkens met dezelfde foutmelding:

Reason: [{LED=421-4.7.28 [2a01:111:f400:7e1b::624 15] Our system has detected an unusual 421-4.7.28 rate of unsolicited mail originating from your IP address. To 421-4.7.28 protect our users from spam, mail sent from your IP address has been 421-4.7.28 temporarily rate limited. Please visit 421-4.7.28 https://support.goo. OutboundProxyTargetIP: 2a004025:401::1a. OutboundProxyTargetHostName: gmail-smtp-in.l.google.com

Ik heb het SPF-record voor het domein als volgt ingesteld:

Code: Selecteer alles

"v=spf1 include:spf.protection.outlook.com ~all"

met spf.protection.outlook.com (op dit moment):

Code: Selecteer alles

v=spf1 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14 ip4:104.47.0.0/17 ip6:2a01:111:f400::/48 ip6:2a01:111:f403::/49 ip6:2a01:111:f403:8000::/50 ip6:2a01:111:f403:c000::/51 ip6:2a01:111:f403:f000::/52 -all

Dat lijkt mij dus goed: 2a01:111:f400:7e1b::624 valt in de 2a01:111:f400::/48-range.

Ik ging er initieel van uit dat dit een tijdelijk probleem zou zijn, maar de problemen houden aan.
Een online zoektocht maakt me niet veel wijzer, buiten een aantal berichten die in IT-termen stokoud zijn.

Help?

[dragonflo]

Heb je dmarc, dkim ingesteld?

Bij mijn weten moet je maar één spf record instellen. Dat instellen voor spf.protection.outlook.com lijkt me onnodig.

Bij mij ziet het er zo uit.

v=spf1 a mx include:spf.protection.outlook.com -all

[Sasuke]

Het SPF van de TS is juist, daar ligt het niet aan. Sterker nog, jouw SPF is veel te uitgebreid, iedereen met een hostname in jouw domein mag mail versturen nu.
@TS, heb je toevallig nog een oude connector in die tenant voor mail naar google/gmail, of een transport rule of dergelijke?

[Sinna]

@Sasuke: geen connectors gedefinieerd, geen transport rules. Deze tenant verwerkte tot voor kort geen mail. Het probleem blijft echter bestaan.

[Sasuke]

Heb je het al eens met een ander gmail adres geprobeerd ? Kwestie van dat er geen forwards of loops in het spel zitten ? Is een fixed of een dynamic distribution list ? Is het een grote distri lijst, e.g. met veel gmail contacts ?

Heb je DKIM keys ingesteld in je O365 tenant ? Of staan er toevallig nog DKIM keys op je domein van gmail of ... ?

[Sinna]

Het lijkt met alle GMail-adressen die een bericht sturen naar een distributielijst problematisch te zijn. Het een simpele (geen dynamische) distributielijst met 84 contacten waarvan 17 GMail-adressen.

Ik heb DKIM ingesteld in de tenant via https://security.microsoft.com/dkimv2.

De overeenkomstige DNS-records zijn opgevoerd:

Code: Selecteer alles

CNAME selector1._domainkey > selector1-[domein.ext]._domainkey.[tenant].onmicrosoft.com.
CNAME selector2._domainkey > selector2-[domein.ext]._domainkey.[tenant].onmicrosoft.com.

Dit zijn de enige DKIM-sleutels voor het domein.
Er zijn geen transport rules ingesteld.

Voor wat het waard is heb ik het domein opgevoerd in https://postmaster.google.com, maar er zit zo weinig verkeer op dat het wel even zal duren vooraleer daar iets van zinvolle data uit zal komen.

Ik heb met behulp van MailHardener al SPF, DKIM, DMARC, TLS (STARTSSL) en MTA-STS kunnen instellen. TLS (DANE) kan voor zover ik weet nog niet ingesteld worden voor Exchange Online.
De Inbound SMTP TLS Reports melden wél dat Google rapporteert dat er No MTA-STS or DANE gebruikt wordt. Dit kan ik (nog) niet plaatsen.

[Sasuke]

MTA-STS of DANE gaat dit zeker niet veroorzaken. Ultieme test is bvb eens proberen met mail-tester.com, steek het randomized tijdelijke adres effe in je mailinglijst (als het kan) en zie dan eens.

Maar ... ik lees net het is met alle mails 'vanaf' gmail.com ? Dus gmail ==> distributielijst op Exchange ==> gmail ? Want indien ja, dan vrees ik dat Gmail dat inderdaad niet leuk gaat vinden en nu begrijp ik die outbound-proxy vermelding in je originele logs ook wat beter. Denk niet dat er veel providers happy worden van zo'n mail route, maar ik begrijp de opzet wel. Nog niet eerder tegengekomen ook ni.

[Sinna]

Dat MTA-STS daar geen oorzaak van is, begrijp ik. Ik wou gewoon de situatie zo volledig mogelijk schetsen.
Het mailpad wat je beschrijft, klopt en klinkt niet echt logisch.

Voor de migratie had ik dat probleem niet maar dan belandden veel doorgestuurde berichten in de spam bij @telenet.be-adressen.

Ik ga die mail-tester.com eens proberen. Ik dacht dat dat enkel voor eenmalig gebruik was.

@Sasuke: kan je even

Nog niet eerder tegengekomen ook ni.

duiden?

[Sasuke]

Dat ik zo'n mailpad nog niet eerder was tegengekomen, dat je een extern adres laat mailen naar een interne distributielijst die dan terug naar externe adressen verdeelt

[Sinna]

Een kleine organisatie met een beperkt aantal distributielijsten waarbij externe adressen ook mogen sturen, zo uitzonderlijk is dat toch niet? Dat het bericht van Google over Microsoft terug naar Google moet misschien wel.

[Sasuke]

Ja, vooral dat laatste En een distributielijst met externe contacten in die ook beschikbaar is voor externe afzenders is redelijk "Mail Relay Spoofing" achtig ... dus het lijkt me logisch dat dat tegengehouden wordt hoor.

[Sinna]

Ik kan er geen rechte kant aan krijgen. Net een bericht van GMail via een andere distributielijst (maar wel hetzelfde domein) doorgekregen op een GMail-account...

van: [afzender] <[afzender]@gmail.com>
aan: [distributielijst]
datum: 11 mei 2023 11:18
onderwerp: ***
verzonden door: [domein van de tenant]
ondertekend door: gmail.com
beveiliging: Standaardversleuteling (TLS)

[Sinna]

Het lijkt er op dat door de introductie van het google-site-verification TXT-record, emails vanaf een GMail via een Exchange-distributielijst naar een andere GMail niet meer opgehouden en uiteindelijk gedropt worden.

[openaf]

Welk SMTP server gebruikt u ?

[Sinna]

Exchange Online, dus die van Microsoft zelf.

[openaf]

Probeer eens met uw domein SMTP server. Ik had iets gelijkaardig met alle mails naar gmail, ik gebruikte toen een hotmail server.

[Sinna]

Die had ik, maar daar waren nog meer problemen mee...
Zoals het er nu naar uitziet, lijkt de flow goed te gaan.

[Sinna]

Helaas pindakaas: terug dezelfde vodden.
Mails vanaf een GMail-adres via een Microsoft-distributielijst naar een ander GMail-adres worden weer stelselmatig opgehouden om uiteindelijk te falen.
Ik heb een support-ticket geopend bij Microsoft, maar de vriendelijke dame lijkt er ook niet wijs uit te geraken.