Microsoft IP-Adressen auf Blacklists gelandet (Jan. 2023)

Mail[English]Kurzer Hinweis an die Leserschaft, vielleicht hat jemand bei Kunden ähnliches beobachtet. Es scheint so zu sein, als ob einige IP-Adressen, die Microsoft Mail-Servern zugeordnet werden können, auf Blacklists gelandet sind. Dann lassen sich von diesen Mail-Servern eventuell keine Mails mehr versenden, da diese beim Empfänger bei einer Prüfung abgelehnt werden.


Anzeige

Ein Blog-Leser hat mich heute in einer privaten Nachricht auf Facebook darüber informiert (danke dafür). Der Leser schreibt, dass er bei einem Kunden darauf gestoßen sei, dass wohl einige Microsoft IP-Adressen auf Blacklists stehen und deswegen beim E-Mail-Versand abgelehnt werden. Bei seinem Kunden betraf es die IP-Adresse 40.107.20.44.

Ich habe es gerade auf mxtoolbox.com geprüft, aktuell scheint die IP-Adresse wieder von diesen Listen entfernt worden zu sein. Der Blog-Leser meinte, dass es eventuell mehr Kunden betrifft bzw. betroffen habe. Gemäß obigen Angaben zur IP ist das wohl ein europäisches Relay, was hier Probleme macht(e). Die deutschen Relay-Server waren wohl nicht betroffen.

Eine Testmail, die der Leser über einen deutschen Kunden-Tenant verschickt hatte, ging problemlos zum Empfänger durch. Wie schrieb der Leser: "Aber da meine Kunden viele Mails auch über die europäischen Server bekommen, ist das schon nervig." Hat jemand ähnliche Erfahrungen gemacht?

Ergänzung: Der Blog-Leser hat mir noch die Information zukommen lassen, dass auch der Anbieter NoSpam-Proxy einen Beitrag Vermehrte Fehlerkennungen durch Echtzeit-Blocklisten zum Thema mit Hinweisen veröffentlicht hat. 

Ergänzung 2: Der Beitrag fungiert ganz gut als Honeypot – die nachfolgenden Kommentare zeigen, dass es wohl kein Einzelfall ist. Als besonderes Problem sehe ich, dass das Ganze etwas "Microsoft Black Box" ist und mal funktioniert, mal nicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Mail abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

46 Antworten zu Microsoft IP-Adressen auf Blacklists gelandet (Jan. 2023)

  1. Anonymous sagt:

    Vielleicht hat das seine Ursache bzw. seinen Hintergrund in der unter https://www.borncity.com/blog/2023/12/12/massive-spam-welle-von-office-com-konten/ beschriebenen Problematik…?

    • Andreas sagt:

      Ist nicht ungewöhnlich.
      Ich hatte im September mit einer massiven Spamwelle von Hotmail zu kämpfen und hatte den Provider für 3 Wochen bei uns aussperren müssen.

      Mann, dürften die volle Logs gehabt gaben. :-)

  2. Jan sagt:

    Ja, kurzzeitig auch das Problem gehabt. Aber welchem E-Mail-Provider passiert das nicht…

  3. MasterBlaster sagt:

    Ja, kann ich bestätigen. Bei uns bereits im Dezember der Fall gewesen (19.12.)
    mit IP 40.107.22.105

  4. Andi sagt:

    Das Problem ist im Admin-Portal als EX703958: Some users may be unable to send or receive email messages and receive a Non-Delivery Report (NDR) gelistet. Laut Support (nicht dem Eintrag) mittlerweile gelöst, was ich zumindest für die Mails, die bei mir nicht rausgingen, bestätigen kann. Bestand für uns merkbar seit Montag, seit heute morgen ist Ruhe.

  5. Pau11 sagt:

    Tja, das ist der Vorteil der Cloud…
    Ein Account von einem Spamner reicht, und der
    Mailout von tausenden Kunden landet auf einer Blacklist.
    MS könnte natürlich selbst die Blacklist prüfen, wie es jeder gute Provider macht und dann den gelisteten Server deaktivieren…
    Aber wozu? kostet doch nur
    Aber zu oft geht's mit dem Wechsel zu frischen IPs nicht, dann wird nämlich das ganze Subnetz gelistet…ver
    Äppeln lassen sich die RBL Betreiber auch nicht.
    Spam ist Spam, egal wem die IP gehört.

    Macht MS inzwischen eigentlich DKIM?
    (hilf aber nix bei Spam aus gehackten Zugängen, klar)

    • DW sagt:

      JA, DKIM ist (inzwischen) möglich.

    • yoyobo sagt:

      Ja, Microsoft 365 / Exchange Online kann DKIM. Muss man nur einschalten und die generierten DNS-Einträge setzen. Klappt problemlos, muss man aber als Admin selbstständig machen.

      • Pau11 sagt:

        Thanks4info.
        Dann könnte man ja seinen Filter so einstellen:
        Wenn DKIM OK ist, dann sind SPF und RBL egal.

        Denn
        Ich höre Cheffe schon: Dann kann ich aber nicht mehr abstreiten, dass ich diese blöde Email geschrieben habe…

  6. Daniel sagt:

    Wer Microsoft oder Google für Mails verwendet muss damit rechnen dass Mails nicht ankommen.

    Habe keinen Mitleid. Hätten die IP Adressen gute Reputation, wären diese auch in Whitelist und würden entsprechend nicht auf seriösen Blacklist landen.

    • Pau11 sagt:

      Hast Du mal gesehen wie viele zig Millionen IP Addressen MS ansich gerissen hat?
      Die alle in eine White list würde das RBL System sinnlos machen.
      Spam ist Spam, egal wer die IP hält.

    • 1ST1 sagt:

      Und du glaubst, mit einem selbst betriebenen Mailserver kann dieses Problem nicht auftreten?

      • Pau11 sagt:

        Ja, ich finde, wenn ich 1000 Leute einer Firma auf dem Mailout habe ist das Risiko einen Spammer darunter zu haben deutlich geringer, als wenn ich 1000 Unternehmen mit je 10…1000 Usern habe.
        Man landet nur sehr selten auf einer RBL ohne Grund.
        Ein guter Grund ist Spamversand oder open relay oder Back scatter. Das kann ich auf einem eigenen Server mit einer klaren Userschafr sehr viel besser kontrollieren, als wenn die E-Mails über einen Mailout rausgehen, den auch 999 andere evtl. unseriöse Unternehmen nutzen.

        • JohnRipper sagt:

          Auch von einer geschlossenen Nutzerschaft können Postfächer gehackt werden.

          • Pau11 sagt:

            ja natürlich. Aber dann ist das mein Problem und ich leide nicht unter Fehlern der anderen.
            Ich teile mir die Mailout IP bei Microsoft ja mir vielen anderen.
            Daher ist das Risiko größer.
            Auch muss es da nur einen Kunden mit einer blöden Marketing Abteilung geben, die auf die tolle Idee gekommen sind kurz vor ihrem Konkurs einen ungefragen Newsletter zu verschicken, an eingekaufte Adressen

        • Joerg sagt:

          nur das ca 75% der "privaten" Mailserver nicht korrekt eingerichtet sind, mal fehlen die SPF Einträge, mal sind MX Einträge falsch, DKIM nicht oder unzureichend eingerichtet usw. usw.

          Wir haben haben deutlich mehr "Probleme" mit den ganzen "privaten" Mailservern aufgrund fehlerhafter Servereinstellung als mit M$ oder anderen Cloudanbietern.

          Wobei das fast irrelevant ist, ca 95% aller Mails mit schadhaften Inhalt, bzw. Verweis auf Seiten mit Schadhaften Code kommt von M365 Account und nicht von irgendwelchen Spammer-Adresse die eh auf Blacklists landen. Das aktuell größte Sicherheits"risiko" ist M365.

          Noch schlimmer wird die Unsitte, eine Rechnungsmail zu versenden mit einem Link auf irgendeine Sharepoint-Seite des Rechnungserstellers wo man sich die PDF dann runterladen kann. Wir verfahren mittlerweile so, dass die Rechnungen, wenn Sie nicht direkt per PDF kommen, auch nicht bezahlt werden – denn das ist der gleiche Weg wie Spammer die Leute auf Seiten mit Schadecode leiten.

          • Pau11 sagt:

            Zum Versenden braucht man keinen MX.
            Auch bei MS wird kein DKIM aktiviert weil diese Windows-Klicki-Bunti-Mochtegern-Admins keine Ahnung haben vulgo: "Funktioniert doch".
            "Microsoft wird das schon alles richtig machen".
            Ich will mit solchen Leuten nicht mein Mailout teilen müssen.

            Wir reden hier jetzt nur über Outgoing und die Wahrscheinlichkeit auf schwarzen Listen zu landen.
            Wieso kennst Du 100% aller privaten Mail Server?

            • Joerg sagt:

              Nein, ich sprach von 75% und das bezieht sich auf die Mails die bei uns eingehen, nicht auf den weltweiten MailFlow.

              Wenn man mit Filtern, DKIM, SPF oder was sonst noch alles arbeitet, muss man sich auch die Mails kümmern die alle abgelehnt werden um FailsPositiv zu beheben (was auch vorkommen kann).

              • Pau11 sagt:

                Das muß ich auch, wenn das Teil in der Cloud ist.
                Nur gibt es da das zusätzliche Problem, das Microsoft nicht alle Logfiles an jeden rausgibt. U.U. weil ja auch andere Kunden mit auf dem Server sitzen und nicht jeder Logeintrag klar genau einem Kunden zu zuordnen ist. Was wäre das für ein Geschrei…

                Mit einem eigenen mailout sehe ich alle Ereignisse, und nur meine User können meinen Server auf die RBL bringen.
                Das ist klar, das dagegen kein Kraut gewachsen ist.
                Natürlich läuft ein Cron job, der unsere Mailout-IP gegen alle relevanten RBLs checkt. Welche IP das ist weiß ich. Das kann ich auch einfach an unseren SPF ablesen.
                Wenn unsere E-Mails bei MS rausgehen können die jederzeit die IP ändern, müssten nur den SPF nachziehen, aber da sind sowieso zig MS Adressen per include freigeschaltet…
                Außerdem: Ich könnte nichts bei der RBL bewirken, da ich ja irgendwie nachweisen muß, das mir der Server wirklich gehört und ich etwas ändern könnte.

  7. Rolf Beyer sagt:

    Wir haben das Problem seit einigen Tagen auch. Die Absender und auch die Empfänger befinden sich in diesem Fall alle in den USA, ich vermute also dass die sendenden IP alle aus dem amerikanischen 365-Umfeld kommen. Ich habe ein Support-Ticket bei Microsoft eingereicht aber der Support versteht anscheinend das Problem nicht, auch nicht nach Verweis auf diverse Artikel im Internet. Mir scheint da hat jemand Microsoft wirklich "eine Laus in den Pelz gesetzt", d.h. die haben ein ernstes Problem mit einem Spammer – und sind dessen bisher nicht habhaft geworden.

    • pau11 sagt:

      Hm, manche RBLs dokumentieren ja, wie oft und seit wann die IP auffällig ist.
      Auch geben manche ursachenspezifische 127er Adressen raus.

      Wenn man die geblockte IP kennt, dann könnte man mal nachsehen. Aber es scheint ja, das MS seine IPs sehr schnell wieder aus den RBLs raus bekommt.
      Andererseits ist es doch nicht Dein Problem, wenn der Sender einen Dienst benutzt, der nicht zuverlässig ist?
      Er weiß doch viel genauer wo er seine Leichen im Keller hat, er hat detaillierte Logfiles und User die direkt betroffen sind und sich (vielleicht ) bei ihm beschweren und kann das viel einfacher ändern als Du, der die RBL benutzt, und der ja nur mutmaßen kann, wie der Absender es auf die Liste geschaft hat und wieder runter kommt.
      Wenn's wichtig ist telefoniert man heute.(oder faxt…).

      Eine einzelne Spam-Mail oder Backscatter (was in MS Konfigurationen wahrscheinlicher ist) führt ja nicht sofort zur Listung.

      Es ist natürlich ein Problem, wenn/das Microsoft die Übersicht verloren hat. Sie müssten eigentlich jedem Kunden einen eigenen Mailout geben. Das kostet aber Geld und damit Profit.

    • Pau11 sagt:

      Vielleicht hat wer mal wieder einen getarnten General-Schlüssel ergaunert?
      Oder MS hat zu viele Leute entlassen um die notwendige Leistungen zu erbringen?

    • Anonymous sagt:

      …und daran sieht man mal wieder sehr schön, in welche Abhängigkeit man sich begibt und wie hilflos man ist, wenn sich Microsoft nicht direkt kümmert. Man hängt dann völlig in den Seilen, kann nichts machen und eventuell nimmt noch das eigene Business dadurch ordentlich Schaden.
      Ich rate als IT-Dienstleistern allen meinen Kunden von solchen Abhängigkeiten ab (egal ob MS oder andere Konzerne) – man kriegt sie im Falle eines Falles nicht zu packen und ist ihnen völlig ausgeliefert.
      Dann lieber selbst hosten oder nen Dienstleister des Vertrauens damit beauftragen, damit garantiert(!) sehr zeitnah das Problem gelöst werden kann.

  8. Sagobal sagt:

    Die Probleme haben wir auch und bekommen aktuell fast jeden Tag Meldungen von Kunden, dass E-Mails nicht zugestellt werden konnten.
    Die Prüfung der Server der Absender zeigt ein breites IP Spektrum und lokalisiert bei uns in ganz Europa. Ich habe durch einen Zufall sogar E-Mails vom 06.12.2023 gefunden, bei denen der Microsoft 365 Server bei SpamCop gelistet gewesen ist.

    • Pau11 sagt:

      Welche RBL listen denn die IPs?
      Ich frage weil:
      Es gibt manchmal den Fall, das eine RBL seinen Dienst einstellen muß. Das wird rechtzeitig, Monate, vorher bekannt gegeben.
      Admins können diese RBL also raus nehmen. Leider ist das manchen Admins scheiss egal, es funktioniert doch auch so.
      Da der Betreiber den Traffic aber los werden muss, darf seine RBL nicht mehr abgefragt werden. Selbst wenn er den DNS record löscht, bleibt völlig sinnloser Traffic erhalten.
      Er wartet halt den Monat oder so, beantwortet alles mit "kenn ich nicht", die Admins haben Zeit die RBL rauszunehmen.
      Wie gesagt, machen das nicht alle. Also wird die Notbremse gezogen.
      In dem er fortan jede Anfrage mit "listed" beantwortet. Man bekommt also keine E-Mails mehr in ein schlecht gewartetes System, das diese abgeschaltete Liste immer noch nutzt. Alle Absender sind Spammer.
      So etwas fällt natürlich sofort auf, wenn man die eigene IP ständig automatisch testet. Aber wenn man es nicht kann (weil die IP wechselt aus zig Möglichkeiten, und z.Z. irgendwelche Whitelists eingetragen hat, die die RBL ignoriert, ) nicht sofort bemerkt.
      Auch melden User nicht unbedingt zeitnah, wenn sie gar keine E-Mails bekommen, sondern freuen sich…BTST.

      • Sagobal sagt:

        Moin Paul,
        also bei uns ist es immer SpamCop.

        • Pau11 sagt:

          Ich glaube nicht dass es weiße wäre SpamCop SCBL zum blocken zu verwenden weil sie sehr rabiat ist.

          Es scheint aber das Problem zu sein, Microsoft seine User zu nehmend nicht im Griff hat und seine Kunden nicht sortiert.
          Neue Kunden/ alte Kunden.
          Die neuen Kunden kommen auf den einen IP range und die alten auf einen anderen mit dem Mailout.
          Auch wenn MS das Problem schnell behebt, ist es ein Unding das seriösen Kunden der Email Versand überhaupt erschwert wird weil MS jeden Spammer nimmt.

  9. Markus Siglbauer sagt:

    wir hatten auch einen Fall am Montag, aber nur bei einem Dienstleister von uns. ging aber eine Stunde später wieder. Von daher haben wir es nicht weiter nachverfolgt, da es auch die einzige Meldung der Kollegen war.

  10. Malte Domsky sagt:

    Das haben wir häufiger bei Kunden, dass die M365 Exchange Server auf Blacklisten stehen. Verstärkt, seit dem dauernd Spam Versender sich .onmicrosoft.com Adressen registrieren und zum Versenden von Spam nutzen. Microsoft reagiert aber sehr schnell.

  11. Rick sagt:

    das Probleme bestehen jetzt eh schon seit mehr als einer Woche. Hauptauslöser war Spamcop, die MS IPs aufgrund von Pishing Wellen gesperrt hatten. Nachdem MS Tage nicht reagiert hätte und Phishing Flut weiter ging, würde MS auch nicht von der Blacklist gestrichen.

  12. Thomas sagt:

    Moin zusammen!

    Wir hatten auch das Problem mit einem unserer Kunden. Das betraf die erste Januarwoche (4.1-8.1.) und eben SpamCop. Dort waren mehrere Dutzend MS-IP's gelistet – alle mit 40.10x.yy.zz.
    Ich empfinde es auch als störend, wenn ein Mitkunde "meiner IP" dafür sorgt, dass ich als "lieber Kunde" keine Mails mehr verschicken kann. Zudem sollte die Reaktionszeit von MS da besser werden. 5 Tage ohne Mailout – dass kann für Unternehmen kritisch werden.

  13. Günter Born sagt:

    Max schrieb mir gerade per E-Mail:

    Hallo Herr Born,

    es ist schon wieder soweit… Einige Microsoft-IPs sind schon wieder geblockt, wieder bei SpamCop.
    Hier der Auszug aus dem Proxmox-Mailgateway eines Kunden:

    Jan 15 13:09:40 mgw01 postfix/postscreen[93597]: NOQUEUE: reject: RCPT from [40.107.105.77]:25784: 550 5.7.1 Service unavailable; client [40.107.105.77] blocked using bl.spamcop.net; from=<mp@apnit.com >, to=<xxx>, proto=ESMTP, helo=<EUR03-AM7-obe.outbound.protection.outlook.com > </xxx>

  14. Anonymous sagt:

    Das Problem besteht bei unseren Kunden immer noch, habe gestern und heute Fälle dazu bearbeitet. Ich finde zwar keine Einträge mehr auf Blacklists aber irgendwo ist der Wurm drin!

  15. Martin sagt:

    Jo wir haben heute auch wieder bei der 40.107.8.48 das diese IP die Fortgate laut DNSBL ablehnt und somit nicht zugestellt werden.

  16. jcvr sagt:

    Ich bestätige dass offensichtlich IPs wieder auf der Blacklist gelandet sind (oder nie entfernt wurden).

    • Günter Born sagt:

      Ich kriege da auch auf FB und per Mail neue Meldungen. Irgendwie müssen wir dieses E-Mail doch kaputt kriegen. Vor gefühlt 8 Jahren las ich in den vdi nachrichten einen Artikel, dass IBM der Meinung wäre, dass E-Mail tot sei und die Leute künftig nur noch über Messenger kommunizieren. Nun ja, ich nutze immer noch E-Mail als bevorzugtes Kommunikationslösung – ergo muss man das ändern ;-).

      • jcvr sagt:

        Microsoft hat das Advisory EX703958 nach langer Funkstille endlich wieder aktualisiert. Die Aussage ist, dass man das Spamsystem verbessert hat (ich denke mal hier ist Outbound Spam protection gemeint) und man an dem Thema arbeitet, man habe wohl schon einige IPs freigeschaltet.

        Ich kann aber noch keine Entwarnung geben.

  17. Dominik sagt:

    Am 17. Januar immer noch keine Besserung. Kümmert sich MS da eigentlich drum oder muss ich da selbst aktiv werden? Wir haben das sowohl bei unserem eigenen Tenant als auch bei mehreren Kunden. Zieht mir wirklich bald den Nagel aus dem Zylinder

  18. S.P. sagt:

    Wir kämpfen auch seit Tagen wieder mit der Problematik, dass Mail von Kunden und Partnern aufgrund Blacklisting abgelehnt werden.
    Interessanterweise listet ausschließlich die SPAMCOP RBL die IP der Server, als hätte jemand bewusst SPAM von gekaperten M365 Postfächern an die SPAMCOP Honeypot-Adressen (die eigentlich geheim sein sollten) gesendet um wissentlich Microsofts Server auf die schwarzen Listen zu setzen und so Schaden zu verursachen.
    Wir haben jetzt SPAMCOP aus der Liste der abzufragenden Server entfernt um für unsere Kunden wieder erreichbar zu sein.

    Was ich nicht verstehe: das Problem müsste eine relativ große Tragweite haben da alle M365 Kunden betroffen sind die an Email-Systeme mit RBL Lookup senden, trotzdem liest man nichts in den üblichen Online-Medien …

  19. Anonymous sagt:

    Ich wundere mich auch etwas, dass man sich seine Infos in Foren zusammensammeln muss und dass es nichts offizielles gibt.
    Uns steigen inzwischen die User aufs Dach..

  20. ChrS sagt:

    Auch Kunden von mir hatten und haben damit zu kämpfen. Beginn im Januar, andauernd bis mindesten 22.01.
    Der Support bittet um Geduld und verweisst auf den im Beitrag https://www.borncity.com/blog/2024/01/12/exchange-online-stoerung-ex703958-5-11-jan-2024/ genannten Incident EX703958.

    Gerade die Meldung, dass es scheinbar am Absender liegt, obwohl der Kunde halt nichts dafür kann – oder ändern kann – , ist für Unbedarfte ziemlich verwirrend.
    Ich bin froh, dass es hier im Blog die beiden Beiträge gibt.

    Die IP Adressen der Server hatte ich zu verschiedenen Zeitpunkten selbst nicht auf meiner üblichen Blacklist Infoseite gesehen.

    Andere Kunden die jedoch über All-Inkl Server senden, ganz bescheiden, mit einem Postfach (via IMAP) hatten ebenfalls Probleme ua mit dem oben genannten SpamCop. Hier stand zumindest die IP Adresse als gelistet. Wie sie jedoch dazu kamen, ist ein Rätsel. Das M365 Problem empfinde ich als sehr gravierend.

  21. Martin sagt:

    Microsoft und T-Online und gleichartige Konzerne lehnen seit über 20 Jahren legitime Email nach Gutsherrenart ab. Zwischenzeitlich konfigurieren immer mehr Leute und Betreiber *@outlook.com, *@t-online.de etc. pp. auf ihren Servern als unerwünscht. Ich würde ja fast sagen, es ist wie "eat your own dogfood". Wer damit sicher Rechnungen verschicken und Geschäftsemails betreiben will, wird sich bald umgucken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.