Wird es unmöglich, ein kleiner Postanbieter zu sein?

41

Ich betreibe einen kleinen Mailserver für meine privaten E-Mails, einige Freunde mit Websites und zwei NGOs. Insgesamt sendet mein Server täglich zwischen 60 und 400 Nachrichten. Nun sind viele dieser E-Mails persönliche E- Mails zwischen zwei oder mehr Personen, die sich kennen. Gelegentlich (in der Regel ein- oder zweimal pro Woche) wird ein Mailing an "Mitglieder" einer NGO verschickt, in dem sie darüber informiert werden, was es Neues gibt.

Jetzt bin ich bereits von den "Massenmailings" (ca. 100 Empfänger, alle persönlich bekannt und manuell über ein Papierformular abonniert) auf mailgun.org umgezogen.

Ich erhalte immer noch (und zunehmend) abgelehnte Nachrichten. Besonders große E-Mail-Anbieter wie Gmail, Yahoo oder Microsoft (hotmail, live.com, ...) entscheiden sich einfach mit einem 550 abzulehnen oder persönliche Nachrichten an den Spam-Ordner des Empfängers zu senden. Manchmal passiert folgendes:

  • Google Mail-Benutzer sendet E-Mail an Benutzer auf meinem System
  • Benutzer auf meinem System antwortet
  • Die Antwort wird abgelehnt oder an Spam gesendet

Dinge, die ich getan habe:

  • DKIM einrichten (Signieren aller ausgehenden E-Mails pro Domain)
  • SPF einrichten, haben Domänen in der Regel ~alleinige-all
  • Ich habe eine korrekte PTR für meine Mailserver-IP
  • Offensichtlich kein offenes Relay, Benutzer können erst nach der Authentifizierung von ihrer eigenen E-Mail-Adresse senden
  • Ich habe DMARC-Richtlinien für die meisten Domänen
  • Ich bewerte das Limit für ausgehende Nachrichten für einige Mailserver auf 1 pro Minute
  • E-Mail-Testservices geben für alle oben genannten Punkte "perfekte" Ergebnisse (alle bestanden) an
  • Ich überprüfe regelmäßig meine IP auf Blacklisting mit http://www.dnsbl.info - es ist immer alles grün

Jetzt kommt das Paradoxon: Für die meisten großen E-Mail-Anbieter gibt es eine Möglichkeit, sich zu registrieren, um die Ablehnungsraten und die IP-Reputation zu überwachen:

aber ich klassifiziere mich wegen des geringen volumens nicht als massenabsender. Ich habe mich registriert, um meine Reputations- und Ablehnungsraten zu überwachen. Da ich jedoch keine Massen-E-Mails versende, gibt es keine Berichte.

Kann ich noch etwas tun, um die Zustellraten für E-Mails zu verbessern? Oder sollte ich nachgeben und aufhören, meinen eigenen Mailserver zu betreiben?

Falls es relevant: Ich verwende Postfix und haben sehr strenge Regeln über eingehende Mail (dh keine unbekannten Domänen / Hostnamen oder ungültige SPF - Einträge, verwende ich .spamassassin etc.)

Aktualisieren

Hier ist ein Beispiel, das von mir an meine Schwiegereltern gesendet wurde und in deren SPAM-Ordner eingegangen ist: http://pastebin.com/BC6YgjpQ (Ich habe die Sendeadressendomäne durch example.comund die Empfängeradresse durch ersetzt [email protected])

Da kam die Frage auf: Verbindungen zu Google Mail werden Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)verschlüsselt.

Stefan Seidel
quelle
3
Ich habe vor einiger Zeit aufgegeben. Jetzt sende ich sogar meine persönliche E-Mail über SendGrid.
Michael Hampton
2
Ich hatte ähnliche Probleme, habe aber noch weniger E-Mail-Verkehr. In meinem Fall habe ich einen SPF-DNS-Eintrag hinzugefügt und Google hat meine E-Mails wieder zugelassen. Für mich ist dieses Thema sehr wichtig. Einen eigenen Mailserver zu betreiben, ist für mich ein grundlegendes Menschenrecht. Vielleicht können Sie mit der EFF sprechen, die sich mit so großen Themen befasst.
Guettli
1
Mögliches Duplikat von Wie versende ich E-Mails und vermeide, dass sie als Spam eingestuft werden?
MadHatter unterstützt Monica am
Ich habe festgestellt, dass Sie der ausgehenden Nachricht einen Authentifizierungsheader hinzugefügt haben. Google behandelt dies möglicherweise als einen Versuch, die Authentifizierung zu fälschen. Ich habe den Authentifizierungsheader gelesen und gelesen, dass er von MX (Border Server) eingehenden Nachrichten hinzugefügt werden soll. Es ist zulässig / empfohlen, dass der MX vorhandene Authentifizierungsheader entfernt.
BillThor

Antworten:

20

Es sollte keine Probleme geben, ein kleiner E-Mail-Anbieter zu werden. Sie scheinen die richtigen Dinge zu tun. Viele große Anbieter machen die Sache nicht richtig und bekommen hoffentlich den größten Teil ihrer Post zugestellt.

Wenn E-Mails an den SPAM-Ordner gesendet werden, haben Sie wahrscheinlich etwas verpasst. Es sollte eine Liste der Gründe für Lieferprobleme vorhanden sein:

  • Für zurückgewiesene Nachrichten lesen Sie die Antwort. Hier sollte angegeben werden, warum die E-Mail zurückgeschickt wurde. Wenn Sie können, stellen Sie sicher, dass Unzustellbarkeitsnachrichten protokolliert werden.
  • Überprüfen Sie für Nachrichten, die an den Spam-Ordner gesendet werden, die Nachrichtenkopfzeilen in der zugestellten Nachricht. Dies sollte (wird für GMail oder Yahoo) Details zu einigen der durchgeführten Überprüfungen enthalten. Auf diese Weise können Sie das Problem ermitteln.

Einige Dinge, die Sie nicht angegeben haben, obwohl einige vom Validierungsbericht erfasst werden sollten:

  • Die rDNS-Überprüfung Ihrer Mailserver-Adresse ist erfolgreich. (Ihr PTR-Datensatz sollte nur eine Adresse zurückgeben.)
  • Ihr Server hat den Namen im PTR-Datensatz in seiner EHLO- oder HELO-Nachricht verwendet.
  • Richten Sie einen SPF-Eintrag für die Domäne Ihres Mailservers ein ("v = spf1 a -all").
  • Sie haben sich bei dnswl.org registriert.
  • Sie haben die öffentlichen DKIM-Schlüssel am richtigen Ort veröffentlicht. Sie können denselben Schlüssel für mehrere Domänen verwenden. Es kann hilfreich sein, wenn andere Organisationen CNAME-Einträge für von Ihnen kontrollierte DNS-Einträge verwenden.
  • Sie haben einen großen DKIM-Schlüssel 1024 oder größer verwendet.
  • Verarbeiten Sie ausgehende E-Mails über einen Spamfilter (zumindest Protokollprobleme).

Wenn Sie über DMARC verfügen, können Sie Zustellstatusberichte und Bounce-Berichte konfigurieren. Auf diese Weise können Sie Zustellberichte erhalten. Ich erhalte Berichte von Google, Microsoft und Yahoo. Bitte beachten Sie "keine" bedeutet, dass die Post zugestellt wurde.

BillThor
quelle
2
Hier ist ein 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) Das sagt mir nichts.
Stefan Seidel
Wem gehört die IP? Ist es ein Wohn- oder ein Geschäftsanbieter? Wäre es eine Option, Ihren ausgehenden SMTP-Verkehr über die SMTP-Server Ihres Internet-Providers weiterzuleiten? So hätten Sie immer noch die Kontrolle über den eingehenden Datenverkehr (ich weiß, nicht genau, was Sie wollen, aber ich muss Ihnen jedes Mal erklären, warum Ihre Nachrichten als Spam markiert oder abgelehnt werden, was sehr schnell peinlich werden kann ;-) )
Natxo Asenjo
@StefanSeidel Sie haben einen Link zu einer Website bereitgestellt, auf der Sie vertrauen können. Sie müssen für jede Signaturdomäne einen CNAME- oder TXT-Eintrag erstellen. Es ist ein ziemlich schneller und schmerzloser Vorgang.
BillThor
4
@ BillThor Sprechen Sie über die Registrierung für postmaster.google.com? Das hat nichts mit "Vertrauen gewinnen" zu tun. Hier können Sie die Spam-Berichterstellungsraten für überprüfte Domains anzeigen. Ich habe das getan und es führt genau zu der Situation, die ich oben beschrieben habe: Da das Sendevolumen so niedrig ist, gibt es keine Daten. Ich habe meine 4 Top-Domains überprüft und keine zeigen keine Daten.
Stefan Seidel
@StefanSeidel hast du auch den Domainnamen deines Mailhosts registriert?
BillThor
10

Eine Sache, die in den obigen (ausgezeichneten) Antworten fehlt, ist das Einrichten von ausgehendem TLS. Google Mail hat damit begonnen, Absender zu bestrafen, die TLS nicht verwenden, und andere Anbieter sagen nichts, aber ich bin mir sicher, dass sie diesem Beispiel folgen werden.

Matt Sergeant
quelle
Vielen Dank. Postfix bevorzugt standardmäßig TLS, und ich kann sehen, dass verwendet wird.
Stefan Seidel
1
Verwenden Sie ein selbstsigniertes Zertifikat? Ich weiß das nicht genau, aber ich vermute eher, dass die Verwendung eines von Drittanbietern verifizierten Zertifikats die Situation weiter verbessert und sie furchtbar billig werden.
MadHatter unterstützt Monica am
Nein, StartCom Level 2 validiert. Auch das ist für ausgehende Mails nicht relevant, oder?
Stefan Seidel
@StefanSeidel warum sollte es nicht für ausgehende E-Mails gelten? Die TLS-Zertifikatüberprüfung gilt für alle TLS-Transaktionen, und ausgehende E-Mails von einem modernen MTA an einen Server, der Werbung macht STARTTLS, werden unter TLS gesendet.
MadHatter unterstützt Monica
1
@StefanSeidel Du liegst falsch. Hier ist eine sehr typische Zeile aus dem Protokoll meines Mailservers im TLS - Servermodus (dh Empfangen einer eingehenden Verbindung von einem anderen Server), die die Validierung des Zertifikats des Remote-Servers zeigt ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter unterstützt Monica
4

Heutzutage sind die Spam-Aktivitäten ein echtes Problem. Die Großen wie Google Mail, Microsoft, Yahoo usw. versuchen, ihre Benutzer vor Spam zu schützen. Daher müssen sie ihre Techniken zum Filtern von Spam verbessern. Aus Sicherheitsgründen geben sie auch niemals ihre Spam-Richtlinien bekannt. Daher konnten wir keine Richtlinie finden, um einen Mailserver so zu konfigurieren, dass wir E-Mails an die großen Dienstanbieter senden können.

Es gibt keine spezifischen Regeln, die nicht in ihrem fehlerhaften Buch aufgeführt werden sollen, aber Sie sollten Ihren Server mit den neuen Richtlinien auf dem neuesten Stand halten. Hier sind einige davon.

1) Überprüfen Sie die Ursache der zurückgesendeten E-Mail. Bezieht es sich auf die falsche IP-Reputation des Servers oder die falschen DNS-Einträge der Domain?

2) Verwenden Sie keinen SPF-Datensatz mit einem Standardwert wie ~ all. Erstellen Sie einen bestimmten SPF-Datensatz wie einen MX-all

3) Vermeiden Sie die Weiterleitung von E-Mails von Ihrem Server an Gmail / Yahoo / Microsoft / Comcast. Wenn sie in Ihren weitergeleiteten E-Mails Spam-Mails entdecken, werden sie nicht danach suchen, woher die E-Mails stammen. Sie betrachten Ihren Mailserver einfach als Spam-Ursprung und Sie werden möglicherweise auf die schwarze Liste gesetzt.

4) Installieren Sie ein SSL auf Ihrem Server und verwenden Sie Outbound mit TLS-Verbindung.

5) Halten Sie die Double Opt In-Liste in allen Newslettern. Und viele mehr...

mohemmadAli
quelle
2
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Ich denke, Sie haben hier einen Zertifikatkettenfehler. Stellen Sie sicher, dass Sie das Zwischenzertifikat zusammen mit Ihrem Zertifikat senden.

langer Hals
quelle
1
Das bedeutet nur, dass mein Server dem Google Mail-SMTP nicht vertraut. Ich habe smtp_tls_CApathzu meinem Postfix conf hinzugefügt, das ist also ein Trusted TLS connectionjetzt. Da diese Überprüfung jedoch nur für meinen Mailserver lokal ist, kann sie meines Erachtens für keine Bewertung relevant sein.
Stefan Seidel
2

@ Stefan

Sie scheinen sehr gut informiert zu sein, was großartig ist. Ich habe mir Ihre Header angesehen. Ohne Ihren Domain-Namen ist es sehr schwierig, bei der Fehlerbehebung zu helfen. Was mir in Ihren Headern aufgefallen ist, ist, dass Sie "Einfach / Einfach" verwenden, um Ihr DKIM zu signieren. Sie sollten dies wirklich auf "Entspannt / Entspannt" umstellen. Viele Mailserver haben Probleme mit einfachen.

Sie haben auch den Namen des Mailservers in Ihrem Pastebin belassen, der auf einer schwarzen Liste angezeigt wird . Ich bezweifle, dass dies Ihr Problem verursacht, aber dieses Tool scannt viel mehr als das, das Sie verwendet haben.

Senden Sie eine E-Mail, um [email protected]zu sehen, wie viele kritische Punkte Sie haben. Sie könnten ein paar Hinweise bekommen.

Henry
quelle
Diese Seite ist für meine Augen etwas schwer zu lesen. Ich sehe nur grüne Rechtecke. Ich habe diese E-Mail gesendet, und angeblich gibt es 5 Warnungen und 3 kritische Punkte, aber alles, was ich zwischen den Email Authentication Pro Feature - Learn MoreLinks sehen kann, ist "Bestanden" und "Erfolg".
Stefan Seidel
Ja, Sie müssen von dieser einen schwarzen Liste gestrichen sein. Die meisten öffentlichen Blacklists entfernen Sie, wenn sie für einen bestimmten Zeitraum, normalerweise ein oder zwei Tage, keinen Spam erkennen.
Henry
1

Antwort ist nein.

Ich sage dies hauptsächlich, weil ich mir bewusst bin, dass es eine kaum vorstellbare Anzahl von Leuten gibt, die mehr Erfahrung in allen Aspekten des ESP-Administratorseins als ich haben, und ich dennoch ein Dutzend Produktions-E-Mail-Systeme verwende, die sich ohne Probleme als "klein" qualifizieren.

Nach dem, was Sie gepostet haben, sieht es so aus, als hätten Sie alles gelehrt und, vorausgesetzt, Sie haben die aufgelisteten Elemente ordnungsgemäß implementiert, gibt es nur noch eine Option: Ihre IP-Adresse hat in der Vergangenheit schlechte Dinge getan.

Ich meine (wirklich) schlecht. Ihre IP-Adresse wird möglicherweise auf Initiative des Internetdienstanbieters von öffentlichen Sperrlisten abgerufen (was erheblich effizienter ist). Zuvor wurde der Viren- und Phishing-Verkehr jedoch wiederholt und über einen längeren Zeitraum verteilt.

Wenn dies der Fall ist, kann meines Wissens leider wenig getan werden. Eine Möglichkeit besteht darin, den Versuch, einen legitimen E-Mail-Server für eine lange Zeit aufrechtzuerhalten, aufrechtzuerhalten und den Preis für viele E-Mails zu zahlen, die abgelehnt werden, bevor die Absender-Reputation - ganz anders als wenn sie auf öffentlichen schwarzen Listen stehen oder nicht - langsam hergestellt wird.

Bitte halten Sie uns über Ihren Fall auf dem Laufenden.

Miloš Đakonović
quelle
Vielen Dank, und ich denke, ja, die große Sache nach all den anderen Sachen kann IP Ruf sein. Ich habe kürzlich einen zweiten Mail-Server hinzugefügt und einige Ablehnungen gegenüber Microsoft-Adressen erhalten. Es stellte sich heraus, dass mein Hosting-Anbieter mich in eine "schlechte Nachbarschaft" brachte. Ich konnte jedoch ein Ticket bei Microsoft eröffnen und meine IP wurde aus dem Bereich der schlechten IPs entfernt - vorbehaltlich eines weiterhin guten Verhaltens (das ich offensichtlich zeigen möchte).
Stefan Seidel