Skip to main content

Dit heeft al eens eerder gespeeld en dat leek toen opgelost, maar misschien ook niet omdat ik bij het afsluiten van de KPN relay server erachter kwam dat ik deze nog of weer in mijn email configuratie had staan.

Hoe dan ook, bij mailen naar outlook.com krijg je dus het volgende terug:

<abuse@outlook.com>: host outlook-com.olc.protection.outlook.com[52.101.11.18] said: 550 5.7.1 Unfortunately, messages from [<redacted>] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [SN1PEPF000397B2.namprd05.prod.outlook.com 2024-08-19T14:07:53.486Z 08DCBE7F117BF70F] (in reply to MAIL FROM command)

 

De vraag hier is natuurlijk, hoe komen die cowboys erbij om complete IP ranges uit te sluiten en daar dan überhaupt niet eens een SPF verificatie op te doen? Verzinnen ze dat zelf of geeft KPN adressen op waar volgens hen geen valide email servers op zouden mogen bestaan? Dat laatste is nogal lomp namelijk gegeven dat KPN de enige alternatieve route heeft afgesloten.

Oh, ik kan het bericht niet meer veranderen, maar maak er maar van dat ik de relay server weer terug had ingesteld omdat het dus nooit was opgelost.

Gelukkig ken ik erg weinig mensen met een hotmail account, waardoor ik er dus nu pas achter kwam dat KPN helemaal niks heeft gedaan om het probleem op te lossen. Sterker nog, waarschijnlijk sindsdien (vorige melding dateert van toch zeker wel ruim vijf jaar geleden) nieuw geregistreerde klantenbereiken eveneens aan outlook.com heeft doorgegeven om op de blocklist te plaatsen.

Aangezien het desondanks lastig is om mailtjes te ontvangen van iemand die een reactie vraagt heb ik het nu maar omgedraaid in mijn spam filter. Mensen die mij nu nog mailen vanaf de betreffende domeinen ontvangen een bounce bericht dat outlook.com haar servers fout heeft ingesteld waardoor communicatie met mijn email server niet mogelijk is.


Hi @gordonb3, heb je je mail wel met deze instellingen ingesteld? Dan zou het geen probleem moeten zijn. Zo niet, dan ben ik benieuwd naar welk e-mailprogramma je gebruikt, hoe je het nu ingesteld hebt en of 't verschil maakt als je ze aanpast naar voorgaande instellingen in de link.


Oh, ik kan het bericht niet meer veranderen, maar maak er maar van dat ik de relay server weer terug had ingesteld omdat het dus nooit was opgelost.

Wat bedoel je hiermee?

Gebruik je nu wel of niet de smtp server van KPN als relay server?

Klopt het dat jij zelf een mailserver draait?

Kan jij dan de instellingen t.a.v. die relay hier eens delen?


Hi Gordon,

Wanneer bepaalde 'cowboys' besluiten om ip-ranges te blacklisten, dan zullen ze zich nooit bekommeren om verdere SPF verificaties. Het is uiteindelijk aan henzelf om te bepalen van wie ze wel, en geen mail willen ontvangen. Als zij de keuze maken dat ze geen mail willen ontvangen van mensen die een mailserver op hun thuisaansluiting hebben staan (wat ik gezien je posthistorie maar even aanneem, de uitgaande mailserver van KPN wordt in elk geval niet geblacklist door Microsoft), dan is dat de keuze die ze maken, en dient eventuele kritiek daarover ook aan hen gericht te worden.

Ik weet niet op welke alternatieve route je doelt die KPN afgesloten zou hebben?


De relay server van KPN is eind vorig jaar afgesloten

Oh, ik kan het bericht niet meer veranderen, maar maak er maar van dat ik de relay server weer terug had ingesteld omdat het dus nooit was opgelost.

Wat bedoel je hiermee?

Gebruik je nu wel of niet de smtp server van KPN als relay server?

Klopt het dat jij zelf een mailserver draait?

Kan jij dan de instellingen t.a.v. die relay hier eens delen?

 

Nee, want die mogelijkheid is eind vorig jaar afgesloten. Als ik email van mijn eigen domein via die weg naar buiten probeer te krijgen dan wordt dat sindsdien geweigerd. NB de route via de KPN relay was tot eind 2015 juist de enige weg, zowel voor inkomend als uitgaand omdat KPN poort 25 op de hoofdrouter had geblokkeerd, maar volgens mij loop jij hier al lang genoeg rond om dat te weten.


Hi Gordon,

Wanneer bepaalde 'cowboys' besluiten om ip-ranges te blacklisten, dan zullen ze zich nooit bekommeren om verdere SPF verificaties. Het is uiteindelijk aan henzelf om te bepalen van wie ze wel, en geen mail willen ontvangen. Als zij de keuze maken dat ze geen mail willen ontvangen van mensen die een mailserver op hun thuisaansluiting hebben staan (wat ik gezien je posthistorie maar even aanneem, de uitgaande mailserver van KPN wordt in elk geval niet geblacklist door Microsoft), dan is dat de keuze die ze maken, en dient eventuele kritiek daarover ook aan hen gericht te worden.

Ik weet niet op welke alternatieve route je doelt die KPN afgesloten zou hebben?

 

Dat is raar natuurlijk, want op basis van welke criteria besluit outlook.com (i.e. Microsoft) dan welke IP segmenten geblokkeerd zouden moeten worden? Of anders gesteld, waarom staat mijn segment dat beheerd word door KPN wel op de blacklist, en het door KPN beheerde segment waar de eigen email server van KPN op staat niet?

Hoe dan ook, de melding die zij teruggeven is dat ik contact met KPN moet opnemen om dit op te lossen. Mijns inziens impliceert dit dat KPN invloed heeft op de blacklist die door outlook.com wordt gehanteerd. Als jij een betere uitleg voor die zin hebt hoor ik het graag.


Hi @gordonb3, heb je je mail wel met deze instellingen ingesteld? Dan zou het geen probleem moeten zijn. Zo niet, dan ben ik benieuwd naar welk e-mailprogramma je gebruikt, hoe je het nu ingesteld hebt en of 't verschil maakt als je ze aanpast naar voorgaande instellingen in de link.

 Is niet van toepassing. Ik heb mijn eigen email domein, dus ik mail niet met een KPN adres.

Het gaat hier dus om specifiek deze zin in het bounce bericht:

Please contact your Internet service provider since part of their network is on our block list (S3150).

 

Het ligt dus niet aan mijn instellingen maar aan de relatie die KPN heeft met outlook.com.


Nee, want die mogelijkheid is eind vorig jaar afgesloten. Als ik email van mijn eigen domein via die weg naar buiten probeer te krijgen dan wordt dat sindsdien geweigerd. NB de route via de KPN relay was tot eind 2015 juist de enige weg, zowel voor inkomend als uitgaand omdat KPN poort 25 op de hoofdrouter had geblokkeerd

Je kan gewoon de SMTP server van KPN als uitgaande relay gebruiken. Die mogelijkheid is nooit afgesloten. Je zult hiervoor wel authenticatie in moeten stellen, en mail accepteert ie ook niet op poort 25, maar het linkje wat @Alexandra van KPN post, zou je op weg moeten helpen naar de juiste instellingen.

Blokkades op poort 25 in het netwerk zijn er al heel lang niet meer, zoals ik vorig jaar ook al benoemde.

 

Dat is raar natuurlijk, want op basis van welke criteria besluit outlook.com (i.e. Microsoft) dan welke IP segmenten geblokkeerd zouden moeten worden? Of anders gesteld, waarom staat mijn segment dat beheerd word door KPN wel op de blacklist, en het door KPN beheerde segment waar de eigen email server van KPN op staat niet?

Geen idee, maar we zien wel vaker bij dat soort grote providers dat als ze iets vinden, ze het dan ook gelijk doorvoeren. Zo lang ze onze mailservers niet blokkeren, is er bij ons geen reden tot paniek in elk geval.

 

Mijns inziens impliceert dit dat KPN invloed heeft op de blacklist die door outlook.com wordt gehanteerd.

Er zijn blacklists waarbij KPN opgeeft welke ip-ranges mailservers zijn, en welke ranges dynamische IP-adressen (beter gezegd: thuisaansluitingen) zijn. Voor zover ik weet is Microsoft daar niet een van, maar mogelijk halen zij info uit een van de andere lijsten waarbij we die info wel kenbaar maken.

 

Is niet van toepassing. Ik heb mijn eigen email domein, dus ik mail niet met een KPN adres.

Dat maakt niet uit. Die link laat wel zien hoe je de uitgaande server (o.a.) configureert in je e-mailclient, en met diezelfde gegevens zou je dus je relay van je mailserver kunnen configureren. Het gaat er uiteindelijk om dat je moet weten met welke server, welke poort, welk protocol etc etc je moet connecten.


Geachte heer/mevrouw,

U krijgt deze e-mail omdat u gebruikmaakt van het KPN SMTP Relay systeem om e-mail te versturen en/of te ontvangen. Wij hebben dit systeem als service aangeboden aan klanten met een eigen mailserver, die geen e-mail konden versturen en ontvangen door de blokkade van poort 25 in verband met veiligheidsproblemen. Deze problemen hebben wij gelukkig opgelost. In deze e-mail leest u wat dit voor u betekent.

Poort 25 blokkade opgeheven
Vanaf nu kunt u poort 25 weer gebruiken voor uw uitgaande en binnenkomende e-mail. Het KPN SMTP Relay systeem gaat daarom per 1 september 2015 offline. U moet daarvoor wel uw e-mailinstellingen aanpassen.

Vóór 1 september uw e-mailinstellingen wijzigen
Voor het wijzigen van uw e-mailinstellingen gaat u als volgt te werk:

Stap 1: Het aanpassen van de configuratie voor de binnenkomende e-mail
Voor het ontvangen van e-mail op uw mailserver, moet u uw DNS-domein aanpassen. Dit doet u bij uw eigen domein provider. Op dit moment heeft u daar twee MX-records in staan. Het eerste MX-record - die met de hoogste prioriteit - verwijst naar het KPN SMTP Relay systeem. Het tweede MX-record - die met een lagere prioriteit - verwijst naar uw mailserver.
Om goed e-mail te kunnen blijven ontvangen, verwijdert u het eerste MX-Record

Stap 2: Het aanpassen van de configuratie voor uitgaande e-mail
Voor het versturen van e-mail vanaf uw mailserver, moet u de configuratie van uw mailserver aanpassen. Uw mailserver staat nu zo geconfigureerd dat alle e-mail wordt verstuurd via het KPN SMTP Relay systeem of een andere mailserver van KPN. Deze configuratie wordt meestal 'smart host' genoemd.
Om goed e-mail te kunnen blijven versturen, configureert u uw mailserver zo dat hij geen smart host meer gebruikt.

Uw systeembeheerder kan u helpen
Hebt u iemand die voor u uw systeem beheert, dan raden wij aan om deze e-mail door te sturen. uw systeembeheerder kan u ongetwijfeld helpen met het wijzigen van uw e-mailinstelllingen.


Met vriendelijke groet,


Bob Mols
Directeur Klantenservice

 
 

Destijds was er een aparte relay voor hen die een eigen mailserver hadden, omdat relayen op de smtp niet toegestaan werd. Die is destijds uitgezet, en sindsdien is de normale smtp server gewoon te gebruiken als relay. Dit is alweer enige tijd geleden overigens.


Destijds was er een aparte relay voor hen die een eigen mailserver hadden, omdat relayen op de smtp niet toegestaan werd. Die is destijds uitgezet, en sindsdien is de normale smtp server gewoon te gebruiken als relay. Dit is alweer enige tijd geleden overigens.

 

Nee dat is niet waar. Die relayserver is pas eind vorig jaar uitgezet (met een buitengewoon ongelukkige timing) en ik heb jullie vorig jaar al verteld dat als ik email verstuur op de wijze waar @Alexandra van KPN  naar verwees dat dan de envelope wordt gewijzigd naar mijn KPN account met als gevolg dat:

  1.  de email sowieso spam is vanwege verschillende adressen in MAILFROM en FROM
  2. SMTP bounces terechtkomen in mijn ongebruikte KPN mailbox in plaats van bij de afzender (die dus ook mijn vrouw of een van de kinderen kan zijn)

Dus nee dit is geen valide optie voor klanten met een eigen mailserver.


Dat zijn begrijpelijke bezwaren, maar op dit moment biedt KPN niet meer aan om dergelijke zaken te faciliteren. Je zou dan op zoek moeten gaan naar externe mailrelays, bijvoorbeeld op de plek waar je je domeinnaam geregistreerd hebt. De hoeveelheid mensen die anno 2024 nog een eigen mailserver op de thuisverbinding heeft staan is dermate klein, dat het allesbehalve rendabel is om daar allerlei zaken uitgebreid voor in te richten.


Het kost ook geen drol om je mail bij een mailprovider onder te brengen.

Zelf heb ik mijn zakelijke mail bij mijndomein.nl ondergebracht en dat bevalt me uitstekend.


Dat zijn begrijpelijke bezwaren, maar op dit moment biedt KPN niet meer aan om dergelijke zaken te faciliteren. Je zou dan op zoek moeten gaan naar externe mailrelays, bijvoorbeeld op de plek waar je je domeinnaam geregistreerd hebt. De hoeveelheid mensen die anno 2024 nog een eigen mailserver op de thuisverbinding heeft staan is dermate klein, dat het allesbehalve rendabel is om daar allerlei zaken uitgebreid voor in te richten.


Dat idee van “faciliteren” ontgaat me. Het is voldoende om geen actieve blokkades in te richten of te helpen overeind te houden, buiten op zichzelf dubieuze wettelijke verplichtingen dan. Het komt mij verder voor dat een open relay in de lucht houden een stuk simpeler is dan wat er nu als vervanging voor is ingezet. Niet dat dit verder nog heel veel uitmaakt, want door voortschrijdende anti-spam technieken waar outlook.com kennelijk dus nogal op achterloopt zou dat aan mijn kant weer heel veel extra administratieve handelingen opleveren.


Het kost ook geen drol om je mail bij een mailprovider onder te brengen.

Zelf heb ik mijn zakelijke mail bij mijndomein.nl ondergebracht en dat bevalt me uitstekend.

 

Ik zie daar de toegevoegde waarde niet van in. Zoals gezegd loop ik er nu pas tegenaan, iets meer dan tien maanden nadat KPN Netwerk mijn aansluiting heeft weten te herstellen. Door het in eigen beheer te houden bepaal ik zelf het gedrag van mijn spamfilter en als ik zo door de rest van de onderwerpen hier blader is dat alleen al goud waard.


Door het in eigen beheer te houden bepaal ik zelf het gedrag van mijn spamfilter en als ik zo door de rest van de onderwerpen hier blader is dat alleen al goud waard.

Als u de mailserver van KPN gebruikt als relay, dan gaat die mail ook door het spamfilter van KPN. Dan bepaald u dus niets zelf. Volgens mij schreef u in een eerdere reactie als dat er mail in de SPAM map van KPN terecht kwam.

Een open relay zonder filtering is denk ik echt wel geschiedenis. Het risico dat daar misbruik van gemaakt word is veel te groot.


Door het in eigen beheer te houden bepaal ik zelf het gedrag van mijn spamfilter en als ik zo door de rest van de onderwerpen hier blader is dat alleen al goud waard.

Als u de mailserver van KPN gebruikt als relay, dan gaat die mail ook door het spamfilter van KPN. Dan bepaald u dus niets zelf. Volgens mij schreef u in een eerdere reactie als dat er mail in de SPAM map van KPN terecht kwam.

Een open relay zonder filtering is denk ik echt wel geschiedenis. Het risico dat daar misbruik van gemaakt word is veel te groot.

 

Je moet wel het hele verhaal lezen hoor…

 

Voor het begrip helpt het wellicht wanneer ik uitleg hoe email globaal werkt. Eigenlijk is het niet heel veel anders dan een zakelijke brief schrijven. Je begint met een tekstblokje wie jij bent en waar dus ook een eventueel antwoord naartoe moet, vervolgens een tekstblokje waar de brief naartoe moet, dan een blokje waarin je het onderwerp vermeldt en de datum, en dan komt hetgeen je wilt vertellen. Alleen kan je de brief natuurlijk zo niet op de post doen, dus vervolgens pak je een enveloppe en daar schrijf je nogmaals op naar wie de brief moet en op de achterkant of linkerbovenhoek in kleinschrift opnieuw het retouradres.

 

Aan de ontvangstzijde zijn voorts spamfilters grofweg in twee groepen te verdelen:

  • De eerste groep kijkt terwijl de email wordt afgeleverd en ziet daardoor zowel de enveloppe als de inhoud van de brief en zelfs de postbezorger. Deze filters kunnen daardoor heel snel malafide emails eruit pikken door te controleren of de bezorger (het IP adres) wel gemachtigd is om namens de vermelde afzender mail te bezorgen. Het kan dan natuurlijk nog steeds zo zijn dat de inhoud van de brief reclame is die de ontvanger als ongewenst beschouwt, maar het gros van de echt schadelijke emails ben je dan wel kwijt. Nadere filtering op inhoud kan door deze groep filters zelf worden gedaan of overgelaten aan de tweede groep filters.
  • De tweede groep komt pas in actie nadat de email is bezorgd en uit de enveloppe gehaald. Deze ziet daardoor uitsluitend de brief en dit zijn (zonder voorfiltering door de eerste groep) ook de spamfilters waar jij soms of als je pech hebt vaak bounce berichten van ontvangt voor emails die jij zelf niet hebt verzonden. Deze filters worden meestal aangeduid als “zelflerend” maar je ziet steeds vaker ook het label A.I. erbij genoemd worden. Persoonlijk vind ik die veronderstelde intelligentie doorgaans ver te zoeken, maar kennelijk verkoopt het.

 

Het punt is nu dat ALS (hypothese - dus niet zoals jij veronderstelt de daadwerkelijke situatie) ik de mailserver van KPN als relay zou gebruiken richting outlook.com en deze dit bericht weigert, dan zal deze op basis van wat ik hun (groep 1) spamfilter zie doen deze weigering worden gestuurd naar mijn@kpnmail.com zoals dat als retouradres op de enveloppe staat vermeld vanwege de nu verplicht gestelde inlog op deze “relay”, welke dientengevolge uiteraard helemaal geen relay is maar gewoon een SMTP server.

 

PS De “open” relay van voorheen was natuurlijk uitsluitend toegankelijk vanuit de KPN adressen. Zoals gezegd zou het gebruik daarvan nu vrij problematisch worden omdat steeds meer email hosts daar een Groep 1 filtering (specifiek: SPF) over doen en dat is een afhankelijkheid waar ik me liever niet meer aan brand maar genoegen mee zou moeten nemen als het echt niet anders kon (en überhaupt aangeboden, hetgeen dus niet het geval is).


@gordonb3 Hi Gordon, Raymondt heeft hierboven uitgelegd welke opties we wel en niet hebben:

Dat zijn begrijpelijke bezwaren, maar op dit moment biedt KPN niet meer aan om dergelijke zaken te faciliteren. Je zou dan op zoek moeten gaan naar externe mailrelays, bijvoorbeeld op de plek waar je je domeinnaam geregistreerd hebt. De hoeveelheid mensen die anno 2024 nog een eigen mailserver op de thuisverbinding heeft staan is dermate klein, dat het allesbehalve rendabel is om daar allerlei zaken uitgebreid voor in te richten.

Mooier kunnen we het helaas niet maken, een ander antwoord heb ik niet voor je, want dit is hoe het technisch in elkaar steekt. 


Mooier kunnen we het helaas niet maken, een ander antwoord heb ik niet voor je, want dit is hoe het technisch in elkaar steekt. 

 

Politiek heeft bitter weinig met techniek te maken. De algemene indruk hier is toch weer dat KPN in een ontzettend klein bubbeltje leeft en alsof dat nog niet erg genoeg is zich daar nog veel kleinere bubbeltjes bevinden.

Zo stelt @Raymondt  redelijk onomwonden dat hij geen aanleiding ziet om namens (klanten van) KPN contact op te nemen met Microsoft om navraag te doen over de door hen gehanteerde policy ten aanzien van het KPN netwerk zolang de door hemzelf beheerde dienst daar niet onder lijdt. Hij vergeet alleen dat deze dienst waar hij over gaat een aanvullende dienst is waar KPN geen cent extra voor ontvangt van haar betalende klanten. Aan de andere kant, gegeven al het gedraai, is de kans zeer aanwezig dat hij zelf verantwoordelijk is voor het rapporteren van de “onveilige” segmenten juist vanwege zijn “persoonlijke” belang.

Ik resumeer daarmee:

  • ja, KPN is bekend met deze handelswijze van Microsoft
  • ja, KPN rapporteert om niet nader genoemd eigen belang aan Microsoft welke IP bereiken in aanmerking komen voor uitsluiting.

Ik markeer dit dan ook maar bij deze als antwoord op de vraag

 


Reageer