Tento rok řeším čtvrtou blokaci SMTP komunikace našich serverů Microsoftem. Jedná se o takový evergreen. A přitom neděláme nic špatného, teda alespoň si to myslím. Chyba S3150 udeří náhle a bez varování, je to noční můra postmasterů...
Nejprve je potřeba říci, že naše servery nejsou žádná béčka. :-) Máme nasazeno DKIM podepisování e-mailů s podpisovou politikou ADSP (dkim=all), striktní SPF záznam (-all), máme vytvořen TLSA záznam (a samozřejmě nasazen DNSSEC), máme funkční MTA-STS v režimu enforce, DMARC s politikou quarantine (+ necháváme si zasílat agregované reporty), máme v pořádku A + PTR záznamy serverů, nejsme na žádném veřejném blocklistu, naopak jsme na několika whitelistech, servery máme s vyhrazenými IPv4 adresami. Přemýšlím, co víc k serverům říci? Jo, taky máme platný SSL certifikát, ale to je snad už standard, ne? A přesto se čas od času setkáváme s chybou, kdy není možné poslat e-maily do domén jako outlook.com, hotmail.com, outlook.cz a podobně. Pokud se vám něco takového stane, začnete asi hledat na netu jako já. Pravděpodobně narazíte na komunitní fórum https://answers.microsoft.com, které je ale naprostá ztráta času - informace zde jsou naprosto k ničemu, akorát se naštvete nad některými odpověďmi rádoby specialistů, kteří si akorát nesmyslnými odpověďmi honí ratio do výšin a nemají ani ponětí, co vlastně řešíte nebo o čem mluvíte.
Microsoft vám doporučí, abyste si monitorovali reputaci IP adres službou Smart Network Data Service - https://sendersupport.olc.protection.outlook.com/snds/ - což sice uděláte, ale opět status všech IP bude normální, děj se co děj, a vy nezjistíte, v čem je problém, i když budete zablokováni. Taky vám doporučí nastavit si feed pro vybrané IP adresy ve službě Junk Mail Reporting Program - https://sendersupport.olc.protection.outlook.com/snds/JMRP.aspx - a opět, nezjistíte vůbec nic, žádný report pro sledované IP adresy, nic, nula. Za celou dobu nám nepřišel jediný report, že by třeba někdo nahlásit nějaký náš e-mail jako SPAM. Po těchto zjištěních (a ztrátě času) vám nezbyde nic jiného, než problém s blokací oznámit pomocí příslušného formuláře. K tomu slouží služba https://olcsupport.office.com/ - poctivě vše vyplníte včetně logů a během pár hodin vám přijde odpověď ve smyslu "Not qualified for mitigation", tak tedy píšete znovu, tentokrát už odpovídáte e-mailem člověku někde v Indii s dalšími informacemi, ale v podstatě to samé, co jste už vyplnili ve formuláři předtím. Za pár hodin vám přijde odpověď, že Microsoft vůči vašim serverům nedetekuje žádnou zábranu a údajně můžete s klidem e-mailem kontaktovat další uživatele služeb Outlook (sorryjako za ten krkolomný překlad). To není pravda. Prostě není! Takže následně sesmolíte další odpověď, kde zašlete (opět) podrobné logy poštovního serveru, kde je blokaci jasně vidět, ty logy posíláte už potřetí mimochodem:
Nov 21 07:26:44 server postfix/smtp[815015]: 24EC722392: to=<ballmer@outlook.com>, relay=eur.olc.protection.outlook.com[104.47.22.161]:25, delay=0.63, delays=0.09/0.02/0.49/0.04, dsn=5.7.1, status=bounced (host eur.olc.protection.outlook.com[104.47.22.161] said: 550 5.7.1 Unfortunately, messages from [x.x.x.x] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [DB8EUR06FT013.eop-eur06.prod.protection.outlook.com 2023-11-21T06:26:44.762Z 08DBEA044C3D095A] (in reply to MAIL FROM command))
Váš indický protějšek na podpoře Microsoftu je ale trpělivý, vždy mile pozdraví a poděkuje. Ale vy si říkáte, co to je za blbce, když nerozumí psanému textu a je schopen vám napsat, že i tak jste přeci schopni jejich servery bez problému kontaktovat a doručovat jim poštu. Potřetí to už ale obvykle zabírá a vy dostáváte v následném e-mailu informaci, že Vaše servery budou během 24-48 hodin zase schopny komunikovat jako dříve bez omezení. Nikdy vám nesdělí, v čem je nebo byl problém. Jestli u vás nebo někde v subnetu Vašeho ISP, kdy nějakému klientovi začal spamovat stroj se zavšivenými Windows XP a odnesou to všichni - jedinci i firmy. Taky mne podpora odkázala na nějaké PDF s best practices, kde většina relevantních odkazů nefunguje, super, že? Tak poděkujete a jede se dál. Za pár měsíců znovu. Jasně, teď už není pochyb, že to Microsoft dělá schválně, aby co nejvíce firem přešlo na jejich online řešení. :-P
Tweetštítky: blokace DKIM DMARC ISP rDNS S3150 spam SPF SSL
1863x přečteno
Copyright © 2015-2024 SOCL.cz, RSS 2.0
Všechna práva vyhrazena, nebo tak nějak.