Kurze Frage in die Runde, ob jemand aus dem Leserkreis das bestätigen kann. Mir liegt eine Information vor, dass Microsofts E-Mail-Dienste outlook.com (.de) und hotmail.com E-Mails seit dem 12. Oktober 2025 von europäischen Cloud-Anbietern wie Hetzner oder Scaleway blocken sollen.
Ein Verdacht: E-Mails werden geblockt
Ein Blog-Leser hat mich auf einen LinkedIn-Post von Jeroen Jacobs (Head of Cloud BV) vom 12. Oktober 2025 aufmerksam gemacht (danke für den Hinweis). Im Beitrag schreibt Jacobs, dass er etwas Interessantes (wohl zum 12. Oktober 2025) beobachtet habe.
Es sieht für Jacobs so aus, dass Microsoft Outlook/Hotmail den gesamten E-Mail-Verkehr blockiert, der von europäischen Cloud-Anbietern wie Scaleway und Hetzner stammt.
Ganze IP-Bereiche geblockt
Natürlich findet sich in obigem LinkedIn-Thread auch der Hinweis, dass 30 % des Spams von europäischen Servern wie Hetzner komme. Aber das Argument verfängt nicht. Denn Jacobs schreibt, dass er hier nicht von der Sperrung einzelner IP-Adressen spricht.
Der obige Screenshots zeige, dass Microsoft den gesamten Netzwerkbereich von Scaleway über deren IP-Adressen sperren. Scaleway ist ein französischer Cloud-Anbieter. Laut Jacobs gebe es keine Möglichkeit, diese Sperrung aufzuheben, selbst wenn diese IP-Adressen nie für E-Mail-Missbrauch verwendet wurden. Es spiele wirklich keine Rolle, ob der Server kein E-Mail-Relay ist und ob Dinge wie SPF/DKIM/DMARC korrekt eingerichtet wurden. Die IP-Adressbereiche blieben für immer gesperrt, heißt es.
Aussage des Microsoft Supports
Jacobs gibt an, diese Beobachtung mit dem MS-Support besprochen zu haben. Ihm sei dann lediglich mitgeteilt worden, dass dies [also Mailzustellung von diesen Cloud-Anbietern an Microsoft Postfächer] nicht erlaubt sei.
Jacobs schreibt: "Ich frage mich, auf welcher rechtlichen Grundlage das gesamte Netzwerk eines europäischen Cloud-Konkurrenten blockiert wird, zumal MS gemäß dem europäischen Gesetz über digitale Märkte (DMA) als „Digital Gatekeeper" gilt?"
Im LinkedIn-Thread bestätigen andere Leute diese Beobachtung – auch Google habe dies schon so praktiziert. Da ich keinen LinkedIn-Account habe, kann ich allerdings nicht alle Kommentare abrufen.
Ich habe auch mal bei Hetzner und Scaleway nachgefragt, ob einer der Anbieter diese Beobachtung bestätigen kann oder eine Erklärung hat. Daher die Frage: Hat jemand ähnliche Erfahrungen gemacht und kann das bestätigen? Gibt es eine Erklärung seitens Microsoft dazu?
Statement von Hetzner
Die Presseabteilung von Hetzner hat zügig geantwortet und bestätigt das Problem und schreibt folgendes:
Wir können bestätigen, dass Microsoft tatsächlich große Bereiche blockiert. Vor etwa zehn Jahren war dies ein größeres Problem, aber wir haben in den letzten Jahren viele Maßnahmen ergriffen, um die Menge an Spam-Mails, die über unser Netzwerk versendet werden, zu reduzieren, und haben nun nicht mehr annähernd so viele Probleme mit Microsoft wie früher.
Microsoft hat eine eigene interne Blacklist, die sehr aggressiv geführt wird. Viele IPs und sogar ganze Subnetze stehen auf der Liste, obwohl sie weder Spam verschickt haben noch auf anderen Blacklists stehen. Hinzu kommt, dass Microsoft keine Informationen über die auf der Blacklist stehenden IPs zur Verfügung stellt, sodass es nicht möglich ist, herauszufinden, warum eine einzelne IP aufgeführt wurde.
Die einzige Lösung besteht laut der Presseabteilung von Hetzner darin, sich an Microsoft zu wenden und zu beantragen, dass die IP von der Liste ausgetragen wird. In der Regel funktioniert das auch. Hetzner hat mir noch folgenden Tipp für die Leserschaft gegeben. Es gibt ein offizielles Formular, was Hetzner auch seinen Kunden mitteilt, über welches man IP-Adressen von der Blacklist austragen lassen kann.
Eine ausführliche Beschreibung der Probleme mit Microsoft und deren Blacklists, sowie einen Leitfaden für die Antworten des Supports, findet sich im Hetzner-Support-Beitrag Microsoft-Blacklist.
Ähnliche Bestätigung von Lesern
Auf Facebook ging mir die Information zu "Blocken nicht. Sie [die Mails] werden angenommen per SMTP aber landen weder im Posteingang noch im Junk Mail Ordner. Der Absender kriegt nix mit. Der Empfänger weiß von nix. Prekäre Situation." Das beobachtet der Leser seit Jahren – und ein zweiter Leser bestätigt das auf Facebook.
Von einem weiteren Leser kam per E-Mail die Bestätigung: "war bis vor kurzem, dass die Mails nicht gleich geblockt wurden, aber immer im SPAM-Ordner bei Outlook com landeten". Es gibt Aussagen, dass prinzipiell alle Mails von bestimmten europäischen Hostern im Junk-E-Mail-Ordner von Outlook.com landen. Dabei ist es egal, ob man SPF, DKIM und DMARC verwendet – und die E-Mail-Server seien auch auf keiner Blockierliste.
Ähnliche Artikel:
Exchange Online: False SPAM-Flagging Bug bei GMail behoben
Gibt es heute Mail-Probleme [bei Microsoft]? 27.6.2025
Problem: Massen-Mails von azuredevops@microsoft.com
Microsoft 365: Werden wieder E-Mails automatisch gelöscht?
Spamhaus-Ärger: Delisting-Mails in Bearbeitung stark verzögert? (Juni/Juli 2025)
MVP: 2013 – 2016
Habe ich bisher nicht beobachtet.
Ich habe Domains bei Hetzner, nutze deren Mailserver und sende regelmässig Mails an Leute, die Outlook-Accounts haben. Soeben nachgefragt: bis 13.10. ist alles angekommen.
Eine Bekannte sendet auch regelmässig von einer Hetzner-Domain viele Rundmails an Mitglieder eines grossen Vereins, auch da sind keine Probleme bekannt.
Es geht bei MS explizit um Cloud. Shared Hosting und vermutlich auch dedicated Server dürften nicht betroffen sein.
Meine E-Mails (Hetzner) -> Outlook.com kommen an.
Klingt irgendwie nach dem üblichen Längenvergleich. MS behauptet Hetzner wäre so ein schlimmer Spammer, ich hab bei meinen Hetzner-Kisten regelmäßig das Postfach voll mit Unfug, der über gekaperte Microsoft-Dienste versendet wird. Vielleicht sollte man erst mal bei sich selbst aufräumen, bevor man mit dem Finger auf Andere zeigt. Es sei denn natürlich, dass einem SPAM komplett egal ist und man das nur als Vorwand nutzt um der Konkurrenz zu schaden.
Ich denke, dass hier das Problem ist, dass Spammer auf Cloud Providern wie Scaleway virtuelle Maschinen hochziehen, über diese Maschinen Hundertausende Spam Email versenden und dann weiterziehen. Deshalb sperrt Microsoft solche Cloud IP Ranges.
Wenn man jedoch über die offiziellen Scaleway oder Hezner Mail Server Mails verschickt geht es, da diese nicht in diesem IP Range sind.
Die Idee dahinter ist, dass nicht jede Cloud VM seine eigenen Mails direkt rausschicken sollte, sondern via Email Gateway des Cloud Providers gehen sollte. Wenn ich zum Beispiel eine exemplarische IP von Scaleway anschaue:
51.15.98.131
dann hat diese einen Reverse Lookup:
131-98-15-51.rev.scw.cloud
Idealerweise sollte aber Forward Lookup, Reverse Lookup und HELO übereinstimmen. Also z.B. mail.firma.de.
Fazit: Solche Cloud IP Ranges sind nicht geeignet, um eigene Mail Server zu betreiben.
Spamhaus hat einen ähnlichen Mechnismus in ihrer Policy Block List (PBL). Dort sind IP Ranges gelistet, auf denen nie Email Server laufen sollten (z.B. End User IPs bei ISPs).
Amazon AWS wird auch öfters geblockt, wie hier beschrieben:
https://www.suped.com/knowledge/email-deliverability/sender-reputation/why-are-microsoft-ips-blocking-aws-smtp-servers
Ist genau das gleiche Problem.
"auf denen nie Email Server laufen sollten (z.B. End User IPs bei ISPs)" Das ist eine mehr als diskriminierende Aussage. Das Internet ist ein peer to peer Netz und gehört weder Microsoft noch sonstigen Konsorten. Die einschlägigen RFCs für Email beeinhalten keine solchen Beschränkungen. Warum sollte ich nicht auf einer Endkunden IP einen korrekt eingerichteten Email Server laufen haben? Dafür gibt es keinen technischen Grund, außer solche Nutzer absichtlich zu diskriminieren. So eine Einstellung dient IMHO dazu, das freie Internet weiter zu demontieren. Ich spreche hier nicht von Bastlern, sondern von IT Professionals.
Es ist seit Jahren üblich, dass ISPs den Port 25 sperren, wegen Spammern. Auf diesen IPs ist dann ein Betrieb eines Mail Servers auch nicht möglich.
https://service.weber.digital/index.php?/Knowledgebase/Article/View/mein-internet-provider-erlaubt-keinen-e-mail-versand-uber-smtp-port-25-was-kann-ich-tun
Leider gibt es viele "Bastler", auch in der Cloud, weshalb dann ganze IP Ranges gesperrt werden.
Auch wenn das in den Anfängen des Internet nicht so war (damals hatte man auch noch offene Relays), ist es heutzutage so, dass man Mail Server nur von dedizierten (nicht geshared, nicht dynamisch) IP Adressen betreiben sollte.
Dazu muss man sich halt entweder einen Business Internet Anschluss für einen on-premise Mail Server oder in der Cloud eine dedizierte IP Adresse besorgen. Dies kostet natürlich etwas mehr. Alternativ kann man seine Emails via den Email Server vom Provider relayen.
Und trotzdem bleibt es Diskriminierung. Es zerstört das Web genauso wie der Wahnsinn alles nur noch auf Facebook anzubieten oder nur Nachrichten in WhatsApp.
Wenn ich einen ordentlichen DNS Eintrag samt spf, dkim und dmarc hinbekomme muss das reichen, ggf. noch ein Rate-Limit. Tatsächlich kenne ich keine sinnvolle Anwendungen wo jemand plötzlich ein paar Hundert E-Mails von einem solchen Aufbau in kurzer Zeit losschickt, außer unerwünschten Nachrichten oder amokgelaufene Tests.
Der letzte Satz ist doch genau das Argument.
Leider stammen die einschlägigen RFCs aus einer Zeit, in der man herausfinden konnte, wer die Kontrolle über eine IP-Adresse hatte. Das ist durch die Verwendung von dynamischen IP-Adressen im Privatbereich (wer nimmt ernsthaft Mails direkt von DSL-IPs an?) schon lange nicht mehr möglich. Ähnlich ist es mit Cloud-Diensten – wenn es für mich als Betreuer eines empfangenden Mailsystems nicht möglich ist, irgendeinen Hinweis auf den Betreiber des sendenden System zu bekommen, sinkt meine Lust, von da Mails anzunehmen. SPF/DKIM/DMARC würden es möglich machen, sind aber mit den mir zur Verfügung stehenden Mitteln nur mit erheblichem Aufwand zu verifizieren (und die false positive Rate wäre enorm hoch). Ich kann verstehen, wenn Cloud-Dienste blockiert werden, ich tue es auch bei z.B. Google und diversen anderen. Meine Fehlermeldungen beinhalten einen Link auf ein Web-Formular, in dem man fälschliche Blockierungen melden kann, und darauf reagiere ich auch sehr zeitnah. Und unsere Benutzer finden eine Mailbox ohne oder mit sehr viel weniger Spam richtig gut.
@Hans-Martin: Du schreibst: "SPF/DKIM/DMARC würden es möglich machen, sind aber mit den mir zur Verfügung stehenden Mitteln nur mit erheblichem Aufwand zu verifizieren"
Was macht es Dir so schwer SPF/DKIM/DMarc auszuwerten? Das hat doch heutzutage jedes Email-Gateway im Bauch?
Es ist trotzdem erst mal mit einigem Konfigurationsaufwand verbunden (ich betreue Postfix-Server, da geht das nicht mit ein paar Settings in main.cf). Außerdem ist mein Hauptproblem dabei, dass SPF und DKIM an so vielen Stellen kaputt geht, dass man mit dem Ergebnis "SPF und DKIM failed" fast nichts anfangen kann, außer einen Spamverdacht-Score etwas hochzusetzen. SPF kann aus Prinzip nicht mit Weiterleitungen umgehen, das benutzen aber viele, obwohl wir davon abraten. Und DKIM geht spätestens bei Mailinglisten kaputt oder bei zwischengeschalteten Mailservices, die das Subject oder andere DKIM-signierte Header-Felder "hilfreich" verhunzen.
Theoretisch könnten ARC-Header helfen, aber da wird die Auswertung dann noch etwas komplizierter. Mir wäre lieber, ich könnte Spams an die Hoster melden und die stoppen es dann an der Quelle, aber das funktioniert leider fast gar nicht.
Kleine Ausnahme beim vielgescholtenen Microsoft Outlook/Hotmail: gemeldete Spams (v.a. Kredit-Spam und Webseiten-Überarbeitungs-Angebote) werden untersucht, es kommt eine detaillierte Rückmeldung, und vermutlich (das kann ich nicht nachprüfen) werden die Accounts auch gesperrt. Im Gegensatz dazu sind die Abuse-Adressen bei Google, OVH, AWS und vielen anderen schwarze Löcher, man bekommt keine Antwort und in vielen Fällen sieht man auch, dass nichts getan wurde.
Solange die Provider so wenig mitarbeiten, um von ihnen ausgehenden Spam zu stoppen, müssen sie (und ihre Kunden) damit leben, dass das auf der Empfängerseite gemacht wird.
@Hans-Martin: Interessant, was der Praktiker so spricht ;-)
Ich teile Deine Aussagen:
1) "SPF kann aus Prinzip nicht mit Weiterleitungen umgehen"
2) "DKIM geht … bei zwischengeschalteten Mailservices, die das Subject oder andere DKIM-signierte Header-Felder "hilfreich" verhunzen."
zu 1) Dafür wurde ja Sender Rewriting Scheme eingeführt, aber wie Du sagst nutzen das nicht alle.
zu 2) Auch das kann ich bestätigen.
Ich würde noch einen Punkt hinzufügen:
3) Selbst große Mailversender schaffen es nicht, die DKIM-Signatur in Exchange Online richtig zu konfigurieren.
MS hat nämlich die "unangenehme" Default-Einstellung, dass mit der MOERA-Domain d= <>.onmicrosoft.com signiert wird. Dann aligned die DKIM-Signatur natürlich nicht mit dem Header-From und geht auf "Fail".
Alles in allem trauen wir uns (auch) nicht, den DMARC-Check scharf zu schalten, da wir viele Emails "falsch-positiv" rejecten oder quarantinen würde. Leider!
Es wird schon seinen technischen, automatische erkannten Grund haben…
Seit in etwa dem genannten Datum bekomme ich (in Exchange Online) von diversen E-Mail-Postfächern täglich ein Handvoll Antwort-E-Mails auf E-Mails, die wohl ein gekaperter Client (oder mehrere) zurücksendet bzw. Trojaner darauf.
Mag sein, dass Microsoft das zum Glück erkannt und bekämpft hat. Danke sehr dafür.
Denn in so einem Fall, wenn die "Ich bin in Urlaub" und "Wir haben Ihre Anfrage erhalten"-E-Mail von zahlreichen, stets unterschiedlichen, normalen Dienstleistern kommen, kann man da selbst nichts unternehmen, sondern muss das ganze einfach aussitzen, bis das Problem an der Quelle (oder eben der Mail-Server-Firewall) behoben wurde. Das scheint mittlerweile auch geschehen zu sein.
Mehrfach kam z. B. "da@zf.thesparklebar.com im Auftrag von …" vor. Vielleicht auch bei jemand anderem hier?
Das kann ich bestätigen. Wir haben ebenfalls in den letzten zwei Wochen in Exchange Online hunderte von Mails mit diesem Schema gehabt. Alle in der Quarantäne gelandet, die Anwender haben also nichts davon bemerkt.
Ich aber seit gestern oder so etwas besser geworden.
Guck dir bitte mal die Rohdaten der EMail an. Deine Adresse ist wahrscheinlich auf einer Google Mailinglist gelandet.
Du bekommst dann natürlich auch alle automatischen Antworten (Ticketsysteme, Out of Office, etc) von allen anderen auf der Liste
In den Rohdaten solltest du eine E-Mail-Adresse finden, die "unsubscribe" enthält. Ist eine legitime "@googlegroups" (oder so ähnlich). Sobald du eine Mail an diese Adresse schickst, bist du auch runter von der Liste.
Hat aber nicht direkt etwas mit klassischem Spam wie o.g. zu tun, da die Mails idR von legitimen Google-Servern kommen.
Da gibt es einen anderen Thread dazu vor einigen Tagen inkl. Anleitung das zu unterbinden.
"Legitim" ist da fragwürdig. Diese Gruppen entstehen am laufenden Band bei Google (gerade um ca. 12:30 neu: liposuktiof.de), und irgendwie kommen tausende Adressen in die Empfängerlisten. Das passiert nicht aus Versehen.
Google dürfte eigentlich das Eintragen von Adressen ohne Zustimmung der Empfänger überhaupt nicht zulassen. Die Liste sollte ein ordentliches Confirmed Opt In für neue Benutzer haben, und wenn der Listen-Admin Massen-Subscriptions macht, sollte das nur gehen, wenn er identifizierbar ist und bei Missbrauch auch schnell fliegt.
@Hans-Martin: Wenn das so ist, wie Du schreibst, dann ist ja die Sachlage geklärt. Dann stimmt aber Einiges nicht bei Google.
– kein Confirmed Optin (oder es kann umgangen werden)
– kein Blocken von Usern, die Google Groups mißbrauchen.
Wir haben nur verzögerte Zustellung zeitweise an Outlook/Hotmail Adressen. Eine Freischaltung der IP im MS Formular brachte Entspannung.
Gruss PN
Nicht selbst betroffen, aber aus einem Gespräch heute tagsüber. Ein Kunde, selbst Hosting-Kunde bei IONOS, bekommt zur Zeit keine Mails mehr verschickt, und seine "Versuche" kommen mit einer kryptischen Outlook.com-Adresse an, statt mit der üblichen Mailadresse, deren Domain offenbar bei Ionos liegt.
Kann aber auch was anderes sein. Nur irgendwie scheint das zu passen …
So gar nicht
Hallo,
ich habe bei Hetzner eine managed Domain und betreibe darauf eine Anwendung, welche einzelne Infomails verschickt, wenn etwas vom Empfänger zu erledigen ist. Hier eine Online Anmeldung, welche bearbeitet werden muss.
Letzte Woche gingen einige Mails an ein Outlook.de Konto nicht durch.
Ich habe mich wie bei Hetzner beschrieben an MS gewandt. Das Ergebnis war, dass man seitens MS keinen Block feststellen konnte. Dazu gab es den Link auf ein 10 seitiges englisches Dokument mit gefühlt 50 Links quer durchs Netz, wie man Mails erzeugen soll. Man hat nichts unternommen und trotzdem habe ich seitdem keine Probleme mehr.
Ich würde festhalten, dass da was war, MS die entsprechende IP von der Blacklist genommen hat und nichts zugibt.
Es spricht für sich, dass Hetzner bereits eine Anleitung hat in der unter anderem unterschiedliches Verhalten seitens MS abgedeckt ist.
Gruß
Martin
> Ich würde festhalten, dass da was war, MS die entsprechende IP von der Blacklist genommen hat und nichts zugibt.
Ich kann mir kaum vorstellen, dass bei solchen Dingen wie automatischen Spam-Schleuder-Erkennungen bei Microsoft sich Menschen damit befassen, wenn einige Systeme dann für einige Stunden oder Tage einfach blockiert werden. Wie oben schon von mir geschrieben, wird das seine Ursache gehabt haben…
Keine Ahnung, wir blocken alles, was von outlook/hotmail kommt und geht schon seit Jahren. Beste Anti-Spam-Maßnahme aller Zeiten.
Wir nicht, und von diesen Domänen kommt seit Jahren auch kein Spam durch irgendwelche automatischen Filter. Spam kommt bei Exchange Online ohnehin nahezu nicht vor, weil die Erkennung aufgrund der riesigen Zahl eingehender E-Mails dort offensichtlich sehr gut automatisiert funktioniert. Ganz anders als z. B. bei gmx.de, web.de und anderen Konsorten. Da landet extrem viel im Junk-Ordner, in den man ab und an ja doch mal reinschauen sollte.
interessant, ich bekomme seit einigen Wochen in meiner Mailingliste immer eine bounce Nachricht von Hotmail/Outlook Servern, wenn der Absender eine Posteo.de-Mailadresse hat. da Google und andere Server keinen DMARC Fehler sehen, scheint das Problem wohl eher bei den MS-Servern zu liegen. ich hatte schon versucht das Problem mit dem Support zu klären, aber da wird die Verantwortung hin und her geschoben…
also anscheinend hat MS noch mehr ips auf der Feindesliete…
hier die Fehlermeldung
550 5.7.515 Access denied, sending domain POSTEO.DE doesn't meet the required authentication level. The sender's domain in the 5322.From address doesn't meet the authentication requirements defined for the sender. To learn how to fix this see:
https://go.microsoft.com/fwlink/p/?linkid=2319303 Spf= Pass , Dkim= Pass , DMARC= Fail [DU0PR10MB5195.EURPRD10.PROD.OUTLOOK.COM 2025-10-16T16