Eigene Mail wird blockiert - aber nicht überall? "Blocked using zen.dnsbl"

[servilianus]

Liebe Fachleute, vielleicht könnt Ihr mir weiterhelfen.

Ich habe den Mailserver erfolgreich installiert (feste ip) und kann Emails problemlos empfangen und vielfach auch versenden. Nur nicht immer. Bei Googlemail kommen meine Mails beispielsweise problemlos an, landen beim Empfänger dort auch nicht im Spamordner. Bei anderen Hostern jedoch geht meine Mail nicht durch. Hier erhalte ich folgende Fehlermeldung zurück:

host xyz.de said: 554 5.7.1 Service
unavailable; Client host [meine.ip] blocked using zen.dnsbl;

und weiter:

Action: failed
Status: 5.7.1
Remote-MTA: dns; xyz..de
Diagnostic-Code: smtp; 554 5.7.1 Service unavailable; Client host
[meine.ip] blocked using zen.dnsbl;

laut mail-tester.com habe ich einen Score von 9/10. SPF aktiviert. Das einzige, was ich noch nicht aktiviert habe ist DKIM/DMARC (daher auch nicht 10/10). Daran kann es doch nicht liegen, oder? Laut spamhaus.org ist alles ok, keine Blacklist, bei dnsbl.info auch alles grün, nirgendwo ist meine ip gelistet.

Was kann das sein - was könnte ich noch verbessern? Danke Euch!

 

[servilianus]

Nachtrag - oder kann es sein, dass MEINE Mail-Station den Ausgang blockiert, denn ich sehe gerade, dass die Empfänger IP bei dnsbl auf ein paar blacklists steht?

 

[mexx81]

Hallo servilianus,

ich nehme jetzt mal an, dass Deine feste IPv4 eine WAN IP ist und dass Dein PTR Eintrag Dein HELO Hostname ist?! Ich frage deswegen, weil Deine Fehlermeldungen wirklich zu dünn sind. Was meinst Du mit "meine.ip"? Könntest Du den vollständigen Header mal zeigen. Nimm halt den letzten Qualifier der IP Adresse mal raus.

Dann würde ich Dir raten mal Deine IP Adresse nicht nur auf spamhaus und dnsbl zu suchen, sondern auch mal hier: https://mxtoolbox.com/blacklists.aspx und hierhttps://whatismyipaddress.com/blacklist-check.

Gerne schicke ich Dir per PN meine E-Mail Adresse und Du schickst mir eine Mail von Deinen MTA. Dann kann ich Dir auch mehr sagen.

Welche Version vom MailPlus verwendest Du?

 

[servilianus]

Hallo Mexx 81, ersteinmal vielen Dank für Deine Unterstützung, dies ist ausgesprochen freundlich. Ich sende Dir gleich einmal eine PN. Bereits vorab:

Es ist eine feste WAN IP via Unitymedia. PTR Eintrag mein Helo Hostname. "meine.ip" - hatte ich hier fürs Forum geändert: ist also meinname.de. Reverse DNS ist auch ok. Sämtliche Tools wie mxtoolbox etc. zeigen mir an, dass ich auf keiner Blacklist bin.... Mailplus verwende ich nicht, da ich (noch) eine DS216j habe, und der darauf nicht läuft. Also der ganz normale Mail-Server, Version: 20171201-0283

Das seltsame ist: In der Antwort-Blockierungs-Mail, die ich zurück bekomme, heisst es ja, dass eine Blockierung des client-hosts aufgrund zen.dnsbl / spamhaus.org durchgeführt wurde. Wenn ich dort aber meine IP bzw. meine Domain teste, ist dort alles "grün" und ok...

Vielleicht noch eine weiterführende Frage: Ich versuche, bei Strato DKIM zum laufen zu bringen. Ich habe in der Synology DKIM aktiviert - und versuche nun, dies bei Strato ebenfalls zu tun.

Dort habe ich bei meiner Domain bei DKIM eingetragen:

Präfix: selector_1.domainkey (Strato fügt meine Domain dort offenbar automatisch an, in der Synology gesetzt: selctor_1.domainkey.meinedomain.de)
Typ: Txt
Wert: v=DKIM1; k=rsa; p=Der von der Synology generierte öffentliche Schlüssel.

Ist das so korrekt? Muss dies ebenso in meiner Subdomain mail.meinedomain.de eingetragen werden - oder reicht die eigentliche Domain?

 

[servilianus]

Hallo an alle, habe jetzt nach vielen Versuchen endlich sowohl DMARC als auch DKIM im Mail-Server und bei Strato einrichten können. DKIM klappte allerdings nicht ganz so, wie Synology es als Workaround beschrieben hatte. Nun wird mir auch bei email-tester.com ein Score von 10/10 für meine Testmail angezeigt. Sämtliche Prüfbereiche grün/mit Haken

 

[Fusion]

Wäre schön wenn du das hier dokumentieren könntest damit andere weniger viele Versuche brauchen.

 

[servilianus]

Tue ich gern, lege gleich ein eigenes Thema an, damit es besser gefunden wird.

 

[servilianus]

GELÖST! Das Problem war, dass Emails von meinem Mail-Server an xyz@telekom.de-Kunden nicht angenommen worden sind. Offenbar sperrt die Telekom komplette IP-Bereiche. Eine Mail an tosa@rx.t-online.de mit der Bitte um De-Listiung hat geholfen. Muss man erst einmal darauf kommen, denn man bekommt vom Telekom-Server keine Rückmail, dass der eigene Server gesperrt ist. So verschwinden Mails an @telekom.de einfach so im digitalen Nirwana. Danke an mexx81 für den Tipp.

Hier die Rückantwort:

Teile des dieser IP-Adresse
übergeordneten Netzbereichs wegen früherer Beschwerden und
Unregelmäßigkeiten bei uns für die Einlieferung von E-Mails gesperrt.
Wir werden veranlassen, dass diese Sperre entfernt wird. Bitte
berücksichtigen Sie, dass es bis zu 24 Stunden dauern kann, bis die
Änderung wirksam wird, erfahrungsgemäß dürfte dies allerdings in ein bis
zwei Stunden erledigt sein.

Mit freundlichen Grüßen
Stefanie Kunz

Deutsche Telekom AG
eMail Communication
T-Online-Allee 1
D-64295 Darmstadt

 

[synfor]

An wen soll denn der Telekomserver die E-Mail senden? Eine passende Fehlermeldung beim Ablehnen muss genügen. Alles darüber hinaus sorgt nur für Ärger. Wenn die E-Mails deswegen im digitalen Nirwana verschwinden, dann liegt der Fehler bei dir. Denn eigentlich wäre es die Aufgabe deines Mailservers, die Fehlermail mit der Fehlermeldung zu erstellen und an den Absender zu schicken. Darüber hinaus sollten solche Fehlermeldungen doch wohl geloggt werden, so dass der Serverbetreiber sich um so etwas kümmern kann.

 

[servilianus]

Das Problem ist, es gibt eben keine "passende" Fehlermeldung. Der Synology-Email-Server gibt als Bemerkung nur "deferred" aus. Woher soll er auch wissen, dass meine feste IP bei der Telekom in einem IP-Range-Bereich ist, der dort intern blockiert wird? Auf der SSH-Ebene wird man leider auch nicht wirklich schlauer. Es gibt dort von Seiten des Telekom-Email-Servers keine Antwort/Begründung für die Nicht-Annahme. Wenn die Telekom also ganze IP-Bereiche blockiert, wäre es schon wichtig, diese Information auf irgendeine Art an den Absender zu kommunizieren. Und was man dagegen tun kann. Denn man kommt zunächst nicht ohne weiteres darauf, dass die Nicht-Zustellung auf einer Telekom-Internen Blacklist beruht, und dass man als Absender eine Mail an tosa@ fürs Delisting zu schreiben hat. Aber hier hat fleissiges Googlen und die Unterstützung eines Users hier dann ja schließlich geholfen.

Andere Email-Empfänger-Server geben ja durchaus eine Rückantwort mit Begründung für die Nicht-Annahme, so z.B. der aus meinem ersten Post hier.

 

[synfor]

Es gibt nur eine einzige Stelle, an der es sinnvoll ist solche Infos zu übermitteln. Das ist der Fehlertext (zusätzlich zum Fehlercode) bei der Ablehnung. Soweit ich mich noch an ähnlichen Fällen an anderen Stellen im Netz erinnere, wird das vom Telekomserver auch genutzt. Daher habe ich auch so meine Zweifel daran, dass es gar keine "passende" Fehlermeldung geben soll. Das Problem ist also eher entweder, dass die Originalmeldung nicht geloggt wird oder du nicht weißt, wie du an sie herankommst.

Was die Meldungen von anderen Servern angeht, im Startbeitrag kam vom anderen Server nur das: "554 5.7.1 Service
unavailable; Client host [meine.ip] blocked using zen.dnsbl;", der Rest ist aus einer DSN die dein eigener Server erstellt hat.

Deferred ist übrigens noch keine endgültige Ablehnung wie im Beispiel des Startbeitrages, weshalb da dein Server möglicherweise auch noch keine DSN produziert und die E-Mail weiterhin für weitere Zustellungsversuche in der Queue hat. Außerdem ist deferred auch nicht die originale Fehlermeldung des Empfängerservers.