Frage Wird es unmöglich, ein kleiner Mail-Provider zu sein?


Ich betreibe einen kleinen Mailserver für meine privaten E-Mails, einige Freunde, die Websites haben und zwei NGOs. Insgesamt sendet mein Server zwischen 60 und 400 Nachrichten pro Tag. Jetzt sind viele dieser E-Mails persönlich Mails zwischen zwei oder mehr Personen, die sich kennen. Gelegentlich (normalerweise ein- oder zweimal pro Woche) wird es ein Mailing geben, das an "Mitglieder" einer NGO geht und sie informiert, was neu ist usw.

Jetzt habe ich bereits die "Massenmailings" (ca. 100 Empfänger, alle persönlich bekannt und manuell per Papierformular abonniert) nach mailgun.org verschoben.

Ich bekomme immer noch (und zunehmend mehr) zurückgewiesene Nachrichten. Vor allem große E-Mail-Provider wie Gmail, Yahoo oder Microsoft (hotmail, live.com, ...) entscheiden sich einfach mit einem 550 abzulehnen oder persönliche Nachrichten in den Spam-Ordner der Empfänger zu schicken. Manchmal passiert das:

  • Google Mail-Benutzer sendet E-Mails an Benutzer auf meinem System
  • Benutzer auf meinem System antwortet
  • Die Antwort wird abgelehnt oder an Spam gesendet

Dinge, die ich getan habe:

  • Einrichten von DKIM (Per-Domain-Signierung aller ausgehenden E-Mails)
  • Einrichten von SPF, Domänen haben in der Regel ~all, etwas -all
  • Ich habe eine korrekte PTR für meine Mail-Server-IP
  • Offensichtlich keine offene Relais, Benutzer können nur nach der Authentifizierung von ihrer eigenen E-Mail-Adresse senden
  • Ich habe DMARC-Richtlinien für die meisten Domains
  • Ich bewerte die Anzahl der ausgehenden Nachrichten, für einige Mailserver auf 1 pro Minute
  • Mail-Test-Dienste melden "perfekte" Ergebnisse (alle bestanden) für alle oben genannten Punkte
  • Ich überprüfe regelmäßig meine IP für Blacklisting mit http://www.dnsbl.info - Es ist immer grün

Jetzt kommt das Paradoxon: Für die meisten großen Mail-Provider gibt es eine Möglichkeit, sich zu registrieren, um Ablehnungsraten und IP-Reputation zu überwachen:

aber Ich klassifiziere nicht als Massensender, wegen der geringen Lautstärke. Also ich hat getan registrieren, um meine Reputations- und Ablehnungsquoten zu überwachen, aber weil ich es tue nicht Senden Sie Massen-E-Mails, es liegen keine Berichte vor.

Kann ich noch etwas tun, um die Zustellungsraten für E-Mails zu verbessern? Oder sollte ich nachgeben und aufhören, meinen eigenen Mailserver zu betreiben?

Falls es relevant ist: Ich benutze Postfix und habe sehr strenge Regeln eingehend Mail (d. h. keine unbekannten Domains / Hostnamen oder ungültige SPF-Records, verwende ich spamassassin etc.)

Aktualisieren

Hier ist ein Beispiel, von mir an meine Schwiegereltern geschickt und es kam in ihren SPAM-Ordner: http://pastebin.com/BC6YgjpQ (Ich habe die Absenderadresse Domain mit ersetzt example.com und die Empfängeradresse mit example@gmail.com)

Da die Frage aufkam: Verbindungen zu Google Mail sind Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) verschlüsselt.


39
2018-04-21 18:15


Ursprung


Ich habe schon eine ganze Weile aufgegeben. Jetzt sende ich sogar meine persönliche Email über SendGrid. - Michael Hampton♦
Ich hatte ähnliche Probleme, aber ich habe noch weniger Mailverkehr. In meinem Fall habe ich einen SPF-DNS-Eintrag hinzugefügt, und Google hat meine Mails wieder zugelassen. Für mich ist dieses Thema sehr wichtig. Einen eigenen Mailserver zu betreiben ist für mich ein grundlegendes Menschenrecht. Vielleicht können Sie mit der EFF sprechen, sie behandeln große Themen wie diese. - guettli
Mögliches Duplikat von Wie kann ich E-Mails senden und vermeiden, dass sie als Spam eingestuft werden? - MadHatter
Ich habe festgestellt, dass Sie der ausgehenden Nachricht einen Authentifizierungsheader hinzugefügt haben. Google behandelt dies möglicherweise als Versuch, die Authentifizierung zu manipulieren. Das Lesen des Authentifizierungs-Headers ist so zu verstehen, dass er von MX (Border-Servern) zu eingehenden Nachrichten hinzugefügt werden soll. Es ist zulässig / empfohlen, dass der MX vorhandene Authentifizierungsheader entfernt. - BillThor


Antworten:


Es sollte keine Probleme geben, ein kleiner Mail-Provider zu werden. Du scheinst die richtigen Dinge zu tun. Viele große Anbieter bringen die Dinge nicht in Ordnung, und die meisten ihrer Post bekommen sie hoffentlich.

Wenn E-Mails an den SPAM-Ordner gesendet werden, haben Sie wahrscheinlich etwas verpasst. Es sollte eine Aufzeichnung geben, warum Sie Lieferprobleme haben:

  • Bei unzustellbaren Nachrichten lesen Sie die Antwort. Es sollte angeben, warum die E-Mail zurückgeschickt wurde. Wenn Sie können, stellen Sie sicher, dass Bounce-Nachrichten protokolliert werden.
  • Überprüfen Sie für Nachrichten, die an den Spamordner gesendet werden, die Nachrichtenkopfzeilen der übermittelten Nachricht. Dies sollte (für GMail oder Yahoo) Einzelheiten zu einigen der durchgeführten Überprüfungen enthalten. Dies hilft Ihnen festzustellen, was das Problem ist.

Einige Dinge, die Sie nicht angegeben haben, obwohl einige vom Validierungsbericht erfasst werden sollten:

  • Die rDNS-Validierung Ihrer Mail-Server-Adresse ist erfolgreich. (Ihr PTR-Datensatz sollte nur eine Adresse zurückgeben.)
  • Ihr Server verwendete den Namen für den PTR-Eintrag in seiner EHLO- oder HELO-Nachricht.
  • Richten Sie einen SPF-Eintrag für die Domäne Ihres Mail-Servers ein ("v = spf1 a -all").
  • Sie haben sich bei dnswl.org registriert.
  • Sie haben die öffentlichen DKIM-Schlüssel an der richtigen Stelle veröffentlicht. Sie können denselben Schlüssel für mehrere Domänen verwenden. Es kann hilfreich sein, wenn andere Organisationen CNAME-Datensätze für von Ihnen kontrollierte DNS-Datensätze verwenden.
  • Sie haben einen großen DKIM-Schlüssel 1024 oder größer verwendet.
  • Verarbeiten Sie ausgehende E-Mails über einen Spam-Filter (mindestens Log-Probleme).

Wenn Sie DMARC haben, können Sie Berichte zum Lieferstatus und Bounce-Berichte konfigurieren. Auf diese Weise können Sie Zustellungsberichte erhalten. Ich erhalte Berichte von Google, Microsoft und Yahoo. Bitte beachten Sie, Disposition "keine" zeigt an, dass die Post geliefert wurde.


19
2018-04-22 00:05



Hier ist ein 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command)  Das sagt mir nichts. - Stefan Seidel
Wer ist der Besitzer der IP? Ist es ein Wohn- oder Geschäftsanbieter? Wäre es eine Option, Ihren ausgehenden SMTP-Verkehr über die SMTP-Server Ihres Internetanbieters weiterzuleiten? Sie haben also immer noch die Kontrolle über den eingehenden Datenverkehr (ich weiß, nicht genau das, was Sie wollen, aber immer noch jedes Mal Ihren eigenen Gesetzen erklären zu müssen, warum Ihre Nachrichten als Spam markiert oder zurückgewiesen werden, könnte bald peinlich werden ;-) ) - natxo asenjo
@StefanSeidel Sie haben Ihnen einen Link zu einer Site zur Verfügung gestellt, auf der Sie vertrauenswürdig sein können. Sie müssen als CNAME- oder TXT-Datensatz in jede Signaturdomäne aufgenommen werden. Es ist ein ziemlich schneller und schmerzloser Prozess. - BillThor
@BillThor redest du über die Registrierung für postmaster.google.com? Das hat nichts damit zu tun, "vertraut zu werden". Sie können die Spam-Berichterstellungsraten für verifizierte Domains anzeigen. Ich habe das gemacht und es führt genau zu der Situation, die ich oben beschrieben habe: Da das Sendevolumen so niedrig ist, gibt es keine Daten. Ich habe meine 4 Top-Domains verifiziert und keine angezeigt irgendein Daten. - Stefan Seidel
@StefanSeidel hast du auch den Domainnamen deines Mailhosts registriert? - BillThor


Eine Sache, die in den obigen (ausgezeichneten) Antworten fehlt, ist, abgehende TLS einzurichten. Gmail hat begonnen, Absender zu bestrafen, die TLS nicht verwenden, und andere Anbieter sagen nichts, aber ich bin mir sicher, dass sie dem Beispiel folgen werden.


10
2018-04-22 02:18



Vielen Dank. Postfix bevorzugt TLS standardmäßig, und ich kann sehen, dass es verwendet wird. - Stefan Seidel
Verwenden Sie ein selbstsigniertes Zertifikat? Ich weiß es nicht genau, aber ich vermute eher, dass die Verwendung eines von einem Drittanbieter verifizierten Zertifikats die Angelegenheit weiter verbessert, und sie werden furchtbar billig. - MadHatter
Nein, StartCom Level 2 validiert. Auch das ist für ausgehende Post nicht relevant, oder? - Stefan Seidel
@StefanSeidel warum würde es nicht für ausgehende E-Mails gelten? Die Überprüfung des TLS-Zertifikats gilt für alle TLS-Transaktionen und ausgehende E-Mails von einem modernen MTA an einen Server, der Werbung macht STARTTLS, wird unter TLS gesendet. - MadHatter
@MadHatter korrigiere mich, wenn ich falsch liege, aber ich glaube nicht, dass mein Server senden wird meine Zertifikat beim Aufbau einer ausgehenden TLS / SSL-Verbindung. Es empfängt und validiert möglicherweise das Zertifikat des Remote-Servers. Nur für eingehende Verbindungen wird es mein Zertifikat (Kette) senden. - Stefan Seidel


Heutzutage sind die Spam-Aktivitäten ein echter Kopfschmerz. Die großen Jungs wie Gmail, Microsoft, Yahoo etc. versuchen ihre User vor den Spams zu schützen. Daher müssen sie ihre Techniken verbessern, um die Spams zu filtern. Aus Sicherheitsgründen offenbaren sie niemals ihre Spam-Richtlinien. Daher konnten wir keine Richtlinie finden, um einen Mailserver so zu konfigurieren, dass wir E-Mails an die großen Diensteanbieter senden können.

Es gibt keine speziellen Regeln, die nicht in ihrem schlechten Buch aufgeführt sind, aber Sie sollten Ihren Server mit den neuen Richtlinien auf dem neuesten Stand halten. Hier sind einige davon.

1) Überprüfen Sie die Ursache der zurückgewiesenen Mail. Bezieht sich dies auf die falschen DNS-Einträge der Server-IP-Reputation ODER -Domäne.

2) Verwenden Sie keinen SPF-Datensatz mit einem Standardwert wie ~ all. Erstellen Sie einen bestimmten SPF-Datensatz wie ein MX -all

3) Vermeiden Sie die E-Mail-Weiterleitung von Ihrem Server zu Gmail / Yahoo / Microsoft / Comcast. Wenn sie in Ihren weitergeleiteten E-Mails Spam-Mails entdecken, werden sie sich nicht darum kümmern, von wo die E-Mail stammt. Sie betrachten Ihren Mail-Server einfach als Spam-Ursprung und Sie werden möglicherweise zur Blacklist hinzugefügt.

4) Installieren Sie ein SSL auf Ihrem Server und verwenden Sie Outbound mit TLS-Verbindung.

5) Halten Sie Double Opt-In-Liste in allen Newslettern. Und viele mehr...


4
2018-04-21 20:50





Untrusted TLS connection established to gmail-smtp-in.l.google.com

Ich denke, Sie haben hier einen Fehler in der Zertifikatskette. Stellen Sie sicher, dass Sie das Zwischenzertifikat zusammen mit Ihrem Zertifikat senden.


1
2018-04-27 12:50



Das bedeutet nur, dass mein Server vertraut nicht dem Google Mail-SMTP. Ich habe hinzugefügt smtp_tls_CApath zu meinem postfix conf, das ist also a Trusted TLS connection jetzt. Aber da diese Verifizierung nur lokal für meinen Mailserver ist, kann es meiner Meinung nach für eine Bewertung nicht relevant sein. - Stefan Seidel


@ Stefan

Sie scheinen sehr kenntnisreich zu sein, was großartig ist. Ich habe mir Ihre Header angeschaut. Ohne Ihren Domain-Namen ist es sehr schwierig, Ihnen bei der Fehlersuche zu helfen. Die einzige Sache, die ich in Ihren Kopfzeilen bemerkt habe, ist, dass Sie "Simple / Simple" verwenden, um Ihr DKIM zu signieren. Sie sollten das wirklich auf "Relaxed / Relaxed" umstellen. Viele Mailserver haben Probleme mit simple.

Sie haben auch den Namen des Mailservers in Ihrem Pastebin hinterlassen, der auf einem Server angezeigt wird schwarze Liste. Ich bezweifle, dass dies Ihr Problem verursacht, aber dieses Tool scannt viel mehr als das, das Sie verwendet haben.

Sende eine Email an mailtest@unlocktheinbox.com um zu sehen, wie viele Kritiker Sie haben. Sie könnten ein paar Hinweise bekommen.


1
2018-04-26 13:28



Diese Seite ist ein bisschen schwierig für meine Augen zu lesen. Ich sehe nur grüne Rechtecke. Ich habe diese E-Mail gesendet, und angeblich gibt es 5 Warnungen und 3 kritische Punkte, aber alles, was ich dazwischen sehen kann Email Authentication Pro Feature - Learn More Links sind "Pass" und "Erfolg". - Stefan Seidel
Ja, du musst von dieser einen schwarzen Liste abrollen. Die meisten öffentlichen Blacklists entfernen Sie, wenn sie eine bestimmte Zeit lang keinen Spam entdecken, normalerweise ein oder zwei Tage. - Henry


Antwort ist nein.

Ich sage das hauptsächlich, weil ich mir bewusst bin, dass es eine Anzahl von Leuten mit mehr Erfahrung in allen Aspekten des ESP-Admins als mir schwer vorzustellen ist, und dennoch führe ich Dutzende von Produktions-E-Mail-Systemen, die sich als "klein" ohne vorgestellte Probleme qualifiziert.

Von dem, was du gepostet hast, sieht es so aus, als hättest du alles gelehrt und, vorausgesetzt, du hast das, was aufgelistet ist, richtig implementiert, gibt es nur noch eine Option - dass deine IP-Adresse in ihrem vergangenen Leben schlechte Dinge getan hat.

ich meine (Ja wirklich) Schlecht. Ihre IP-Adresse kann auf der Initiative des Internetdienstanbieters aus öffentlichen Blacklists gezogen werden (was wesentlich effizienter ist), aber davor diente Virus- und Phishing-Verkehr wiederholt für einen längeren Zeitraum.

Wenn das der Fall ist, kann leider nach bestem Wissen wenig getan werden. Eine Möglichkeit besteht darin, den Versuch zu unternehmen, den legitimen E-Mail-Server für eine lange Zeit aufrecht zu erhalten, indem der Preis für viele E-Mails bezahlt wird, die zuvor abgelehnt wurden Absender Ruf - ganz anders als auf öffentlichen Blacklists zu sein oder nicht - ist langsam etabliert.

Bitte halten Sie uns über Ihren Fall auf dem Laufenden.


1
2017-11-03 14:27



Danke, und ich denke, ja, die große Sache nach all den anderen Sachen kann IP-Reputation sein. Ich habe kürzlich einen zweiten Mail-Server hinzugefügt, und ich habe einige Ablehnungen an Microsoft-Adressen erhalten. Es stellte sich heraus, dass mein Hosting-Provider mich in eine "schlechte Nachbarschaft" gebracht hat. Ich konnte jedoch ein Ticket bei Microsoft eröffnen und sie haben meine IP aus dem Bereich der schlechten IPs genommen - vorbehaltlich eines anhaltend guten Verhaltens (was ich offensichtlich zeigen werde). - Stefan Seidel