Klant gebruikt Microsoft Office 365 Exchange Online als mailoplossing.
Op alle aan KPN mailadressen (@planet.nl, @hetnet.nl, @kpnmail.nl enzovoorts) gerichte mail komt echter een NDR terug in de trant van:
“cpsps-ewsXX.kpnxchange.com
Remote Server returned '550 5.0.0 Mail rejected.”
Wat me opvalt: In de NDR vindt ik:
“received-spf: None (protection.outlook.com: domeinnaam.nl does not designate permitted sender hosts)”
..terug.
Qua DNS records/SPF is alles echter keurig ingesteld.
Ik heb dit getest via MXToolbox.com. Uitgaande Exchange on premises SMTP mail en Office 365 Exchange Online SMTP tests gedaan via testconnectivity.microsoft.com
SPF getest via MXToolbox en dmarcian.com.
We staan niet op blacklists. (Getest via MXToolbox en ultratools.com)
We staan ook niet op “de” (?) KPN blacklists. Alle combinaties van domein-emailadressen en externe ip adressen getest via blacklist.kpnmail.nl
Andere uitgaande mail van andere klanten die ook gebruik maken van Microsoft Office 365 Exchange Online met één-op-één vergelijkbare instellingen qua MX, Reverse DNS en SPF komt WEL gewoon aan bij KPN mailboxen.
Enige redenen die ik kan bedenken:
Klant (witgoedbedrijf) stuurt dagelijks enkele tientallen legitieme afspraakbevestigingen (“onze monteur is bij u om..”) naar hun klanten via een “planning @ domeinnaam.nl” emailadres. Wellicht dat het volume en gelijksoortigheid van deze legitieme emailberichten door de spamfilters van KPN als spam gezien worden.
Klant gebruikt verder een Microsoft Office 365 Exchange Online Open Relay (poort 25) gebaseerd op IP authenticatie (Uit veiligheid alleen bruikbaar voor verkeer vanaf dat specifieke ip adres) voor uitgaande mail van software en/of devices die geen native Exchange support bieden. (poort 587, TLS, authenticatie op basis van gebruikersnaam en wachtwoord) als scanners, raid controllers en dergelijke. Wellicht dat puur het bestaan van een Open Relay binnen de mailomgeving van de klant heeft geresulteerd in “blacklisting” door KPN van het hele domein. Aan de andere kant: Microsoft Office 365 Exchange Online Open Relays zijn feitelijk doodnormale oplossingen, worden officieel door Microsoft ondersteund en het IP adres van de Open Relay van deze klant is netjes opgenomen in het SPF record voor het desbetreffende domein.
Whitelisten van het domein/de ip adressen door KPN is in deze meer dan wenselijk, maar wie bij KPN kan ons daar bij helpen? Ik heb al twee keer gebeld en niemand weet met wie door te verbinden om de “Abuse” afdeling aan de lijn te krijgen. Mailen naar abuse @ kpnmail.nl heeft sinds gisterenmiddag nog geen reactie opgeleverd.
Verder begrijp ik niet waarom “received-spf: None (protection.outlook.com: domeinnaam.nl does not designate permitted sender hosts)” in de NDR's voorkomt. SPF is naar ons idee 100% goed ingesteld en de diverse testen die we hebben uitgevoerd bevestigen zulks.
Inmiddels opgelost: KPN Abuse heeft op onze mail gereageerd en externe leverancier spamfilter verwittigt.
Uitgaande mail kwam direct daarna weer aan bij @kpn geadresseerden.
Oorzaak, en afwezigheid domeinnaam en/of ip adressen van de desbetreffende klant op blacklist.kpnmail.nl, werden niet gegeven en blijven derhalve duister.
Ik heb nog verduidelijking gevraagd:
“Wat was overigens de waarschijnlijke oorzaak?
Waarom de SPF melding bij een SPF record dat in orde is?
Waarom domein en emailadressen klant niet geregistreerd als geblokkeerd op blacklist.kpnmail.nl?
Kans op herhaling?”
Eventuele reacties van KPN Abuse post ik hier weer “for the benefit of all”.
Ondanks stevig doorvragen bleven de reacties van KPN Abuse (medewerker “Dennis”) nogal beperkt:
“Wat was overigens de waarschijnlijke oorzaak?:
Antwoord KPN Abuse: “Wij hebben geen onderzoek gedaan naar de grond oorzaak. Mocht het nogmaals voorkomen zullen wij dit alsnog doen.”
“Waarom de SPF melding bij een SPF record dat in orde is?”
Ondanks twee keer vragen geen antwoord.
“Waarom domein en emailadressen klant niet geregistreerd als geblokkeerd op blacklist.kpnmail.nl?”
Antwoord KPN Abuse: “blacklist.kpnmail.nl is voor interne blacklistings voor het verzenden van mail, niet voor externe partijen.”
Simpel gezegd: Op die url kun je uitsluitend controleren of uitgaande mail vanaf het IP adres behorende bij je KPN internet verbinding (als je die hebt) of uitgaande mail vanaf je KPN emailadres (als je dat hebt) uitsluitend door KPN geblokkeerd wordt.
Kans op herhaling?”
Antwoord KPN Abuse: “Over eventuele herhaling is niets te zeggen, bij sommige partijen gebeurt het wel, bij anderen niet.”
En dat, lieve mensen, verklaart waarom even “Googlen” op “550 5.5.5. Mail rejected” op de eerste pagina met zoekresultaten uitsluitend KPN gerelateerde resultaten geeft. Tweede resultaat lijkt bijvoorbeeld Ziggo, maar gaat om iemand met een Ziggo mailbox die bij mailen naar KPN mailadressen ook de bekende “550 5.5.5. Mail rejected” melding retour krijgt.
Men geeft er gewoon geen vliegend fokzeil om.
Reageer
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.