T-Online: Keine SMTP-Zustellung möglich

Seit ein paar Tagen beschäftigen mich zwei Service-Fälle die vermutlich ähnlich gelagert sind. In beiden Fällen verwenden die Kunden eigene MDaemon Email Server (OnPrem) mit allem was dazugehört, d.h. feste öffentliche IP-Adresse, entsprechend DNS-Konfiguration, SPF, DKIM, DMARC, usw.

Vermutlich seit dem 15.01.2024, möglicherweise auch schon länger verweigert T-Online bei einem Kunden die Annahme von E-Mails mit folgender Meldung:

554 IP=<Öffentliche-IP-des-Kunden> - None/bad reputation. Ask your postmaster for help or to contact tobr@rx.t-online.de for reset. (NOWL)

Sucht man nach diesem Fehler findet man beispielsweise diesen Thread:

netcup – Forum – T-Online blockt meine Mails

Interessant bzw. hilfreich kann der Verweis auf postmaster.t-online.de, genauer ausgedrückt auf den Punkt

4. Anmerkungen für Betreiber von Mailservern

in folglich im speziellen “4.1 Voraussetzungen für einen reibungslosen Zugang zu unseren Mail-Exchanges” sein.

Folgt man dem Thread könnte ein Problem sein, wenn T-Online kein Impressum findet. Das kann z.B. dann geschehen, wenn der FQDN des Mailservers nicht auf die Homepage, sondern nur auf den  Webmail-Zugang (sofern vorhanden versteht sich) zeigt. Ich frage mich allerdings an dieser Stelle wie das dann mit großen Anbietern wie Microsoft, Google und Co., die Homepage und Mail hosten funktioniert oder wenn Mail- und Homepage-Domain sich unterscheiden oder wenn man gar keine Homepage hat.

Eine gute Woche später scheitert bei einem weiteren Kunden die Zustellung mit folgender Meldung:

554 IP=<Öffentliche-IP-des-Kunden> - Dialup/transient IP not allowed. Use a mailgateway or contact toda@rx.t-online.de if obsolete. (DIAL)

In beiden Fällen konnten wir bislang keine wirkliche Ursache(n) feststellen, die Server (gemeint ist deren öffentliche IP-Adressen, FQDNs und Mail-Domains) stehen auf keiner Sperrliste (aka Blacklist) und es hat zuvor jahrelang ohne Probleme funktioniert. Alle anderen Anbieter nehmen zudem Nachrichten direkt an. Es wurde unter der jeweils angegebenen E-Mail-Adresse eine Nachricht an T-Online gesendet, aber leider kam bisher keinerlei Reaktion zurück.

Als Workaround wurde jetzt erstmal darauf zurückgegriffen, das man im MDaemon Email Server angeben kann, wenn die direkte (SMTP-)Zustellung scheitert ein Smarthost verwendet werden soll. In beiden Fällen ist das Ionos by 1&1 und so klappt dann wieder die Zustellung an T-Online. Er war zwar ein gewisser Aufwand oder eher Fleißarbeit jetzt erstmal übermal die Smarthost-Zugangsdaten (getrennt pro Absender) einpflegen zu müssen, aber das ist immer noch besser als Tage-/Wochenlange keine E-Mails (an T-Online) senden zu können.

Ich bin mal gespannt ob noch Rückmeldungen seitens T-Online kommen werden. Wie ich per Zufall während des Schreibens dieser Zeilen erfahren habe, scheint es möglicherweise beim Versand von Microsoft/Office 365 zu T-Online ebenfalls Schwierigkeiten zu geben. Eine konkrete Fehlermeldung wurde mir hierzu leider noch nicht genannt.

Wie sieht es bei euch aus? Diese Meldungen oder andere schon mal gehabt?

11 Kommentare

  1. Thomas Wölfer

    Habe auch einen eigenen MDaemon (läuft aber nicht OnPrem sondern in einem externen Rechenzentrum und DNS dafür macht noris) und bisher keine Probleme mit dem Versand an t-online.

  2. Arias Tiesmeier

    Das selbe Problem hatten wir Mitte letzten Jahres bereits nach dem Umzug eines Kunden, der einen OnPremise-Exchange-Server inkl. öffentlicher IP-Adresse betreibt. Seine Homepage liegt allerdings ganz woanders. Nach dem Umzug änderte sich auch die öffentliche feste IP-Adresse des Kunden und prompt landete dieser auf der Blacklist der Telekom. Laut Telekom muss über die öffentliche IP-Adresse, über welche der Mailverkehr läuft, ein Impressum erreichbar sein. Theoretisch hätten wir also einen kleinen Webserver aufsetzen müssen, über den dieses erreichbar wäre. Nach regem Mailverkehr zwischen uns/dem Kunden und der Telekom schalteten Letztere die neue öffentliche feste IP aber trotzdem wieder frei.

  3. Andy

    Hallo Arias,

    ähnliches hat mir Jan mit seinem Mailcow-Setup bei Hetzner berichtet. Interessant ist, das sich bei meinen beiden Kunden seit round about 10 Jahren in Sachen IP oder FQDN nichts geändert hat. Aber ja, bei beiden kommt man über die Mail-Server IPs oder FQDNs nicht auf die Homepage bzw. das Impressum, die werden jeweils von irgendwelchen Agenturen betreut und sind ganz woanders.

    Bislang haben wir keinerlei Reaktion von T-Online erhalten. Habt ihr da eine bestimmte Stelle kontaktiert?

  4. Arias Tiesmeier

    Genauso ist das bei besagtem Kunden auch.. die Homepage wird von irgendeiner Agentur betreut und liegt ganz woanders.

    Wir hatten damals eine Mail an tosa(at)rx.t-online.de geschrieben und nach erstmaliger Antwort von postmaster(at)rx.t-online.de über eben diese.

    “Vielen Dank für Ihre Nachricht. Von der genannten IP Nummer war lange
    Zeit keine Aktivität bei uns feststellbar. Aus Sicherheitsgründen nehmen
    unsere Systeme von solchen IP Nummern erst nach Prüfung und Reset der
    Reputation E-Mails entgegen.

    Voraussetzung für eine Rücksetzung der Reputation ist eine
    Konfiguration, die sich nach den in unserer “Postmaster-FAQ”(*)
    beschrieben Punkten richtet. Bitte beachten Sie dort den Abschnitt 4.1
    (“Voraussetzungen für einen reibungslosen Zugang zu unseren
    Mail-Exchanges”). Eine Webweiterleitung oder ein Link zu einer Website
    mit entsprechend direkter Kontaktmöglichkeit zur für den Versand von
    E-Mail von diesem System verantwortlichen Person wäre hierfür
    ausreichend, damit diese im Störungs- oder Missbrauchsfall unmittelbar
    erreichbar wäre.”

    Hier nochmal der von T-Online beschriebene Abschnitt der Postmaster-FAQ: https://postmaster.t-online.de/#t4.1

    Wie gesagt, ging das dann ein bisschen hin und her. Ein Verweis auf die Webseite des Kunden inkl. dortigem Impressum hat T-Online zum damaligen Zeitpunkt nicht gereicht. Nach meinem Einwand, dass wir dafür quasi einen zusätzlichen öffentlich erreichbaren Webserver nur für ein Impressum aufsetzen müssten und dass dies ja wieder ein weiteres Einfallstor schaffen würde, haben sie die IP-Adresse dennoch wieder freigegeben.

  5. Antonio Raggovaivo

    Hallo,
    bei mir tritt genau das gleiche Problem auf. Ich habe die Postfix-Protokolldateien durchforstet und herausgefunden, dass der erste Fehler am 24.01.2024 um 16:52 Uhr aufgetreten ist.

    2024-01-24T16:52:23.645046+01:00 mail postfix/submission/smtpd[307608]: NOQUEUE: reject: RCPT from unknown[192.168.1.1]: 554 5.7.1 : Recipient address rejected: Sender is not same as SMTP authenticate username; from= to= proto=ESMTP helo=
    2024-01-24T16:52:23.791653+01:00 mail postfix/submission/smtpd[307608]: lost connection after RCPT from unknown[192.168.1.1]
    2024-01-24T16:52:23.791813+01:00 mail postfix/submission/smtpd[307608]: disconnect from unknown[192.168.1.1] ehlo=2 starttls=1 auth=1 mail=1 rcpt=0/1 commands=5/6
    2024-01-24T16:52:26.777575+01:00 mail postfix/submission/smtpd[307608]: connect from unknown[192.168.1.1]
    2024-01-24T16:52:26.843180+01:00 mail postfix/submission/smtpd[307608]: Anonymous TLS connection established from unknown[192.168.1.1]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature RSA-PSS (4096 bits) server-digest SHA256

    Dies geschah (und geschieht immer noch), obwohl sich an meinen Mailservern nichts geändert hat.
    Der Mail Server ist so konfiguriert, dass er das securesmtprelay.t-online.de verwendet und alles wie SPF, DKIM, DMARC und blabla ist bereits vorhanden.

    Ich bekomme täglich eine öffentliche dynamische IP-Adresse von der Telekom, aber auch das funktioniert mit T-Online und meinem selbst gehosteten Mailserver seit 20 Jahren und mehr…..bis zum 24. Januar 16:52 war alles in Ordnung.

    Viele Grüße

  6. Andy

    > 554 5.7.1 : Recipient address rejected: Sender is not same as SMTP authenticate username;

    Da stimmt Absender-Adresse und verwendetes Konto (für die Anmeldung) nicht überein, daher wohl die Ablehnung. Immer mehr Provider möchten das aber übereinstimmend haben. Gemeint ist: Verwendet man z.B. “info@…” für die Anmeldung und möchte dann als “abc@…” versenden wird das mittlerweile oft abgelehnt. “info@…” muss mit “info@…” versenden, ebenso “abc@…” als “abc@…” versenden muss.

  7. Antonio Raggovaivo

    Auch auf meinem selbst gehosteten Mailserver hat sich nichts geändert. Seltsam, dass die gleiche Mail mit der gleichen Absenderadresse mein Postfach bei gmail.com erreicht, aber nicht mein Postfach bei t-online.de. Ich habe weitere Nachforschungen angestellt und festgestellt, dass z.B. outlook.com keine Mails mehr von meinem Mailserver annimmt und dasselbe passiert mit meinem Geschäftspostfach, das von Microsoft (Office365) gehostet wird.

  8. Andy

    Ich selbst hatte das Problem zwar noch nicht, Kollegen haben allerdings berichtet, das sie “ihre” Mailserver auch bei MS/O365 haben freischalten lassen müssen.

  9. Lorenzo

    Ein ähnliches Problem hatte ich mit meinem neuen Cloud Server, der Plesk hat. Leider konnte der Plesk Maildienst nicht so konfiguriert werden, dass meine Mails bei T-Online, GMX und Co. ankommen, weshalb ich seitdem den Mailserver von DomainFactory benutze.

    Lorenzo

  10. JohnRipper

    Einen Teufel tue ich und lasse meine Emailserver bei T-Online freischalten. Dieser Dienst war schon immer eine Frechheit und soll sterben.

    Impressumspflicht bei eingehenden Emails das eine, das Verhalten zu SPF/DKIM das andere. Wie lächerlich diese Impressumspflicht ist zeigt sich ja spätestens daran, dass das teilweise unter der Domäne teilweise unter den MX gefordert wird. MX ist schon deshalb quatsch, weil die InMX oftmals ungleich der OutMX sind. Und überhaupt kann ich irgendein Impressum setzen, wenn mir danach ist.

    Sorry, aber jeder der T-Online Adressen verwendet ist für mich nicht seriös und soll sich mit seinen Problemen selbst rumärgern.

  11. PeterK

    Ich bin umgezogen zu einem neuen Server.
    Die erste Testmail ging problemlos raus an t-online, aber jetzt kann ich das nicht mehr wiederholen (None/bad reputation).
    Keine Ahnung, was ich jetzt machen soll 🙁

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑