Telenor fiber - SMTP relay

[jakobbg]

Skal sette opp min FreeBSD-boks til å levere epost frå mitt heimenettverk ut til internett - kva smtp-tjener kan relaye for mine to maskiner? Får bare denne meldinga tilbake når eg prøver å relaye via smtp.online.no:

<[email protected]>: host smtp.online.no[193.213.115.8] said: 554 5.7.1
    Access Denied (in reply to MAIL FROM command)

Nokre tips til kva eg kan gjere for å fikse dette? Er det ein annan smtp-server eg skal bruke?

[mobile999]

De som har levert deg domenet har kanskje en server du kan bruke.

[Norlig]

On 2/9/2020 at 9:50 PM, jakobbg said:

Skal sette opp min FreeBSD-boks til å levere epost frå mitt heimenettverk ut til internett - kva smtp-tjener kan relaye for mine to maskiner? Får bare denne meldinga tilbake når eg prøver å relaye via smtp.online.no:

<[email protected]>: host smtp.online.no[193.213.115.8] said: 554 5.7.1
    Access Denied (in reply to MAIL FROM command)

Nokre tips til kva eg kan gjere for å fikse dette? Er det ein annan smtp-server eg skal bruke?

Synd ingen ga deg noe konkret svar

Fant du ut av dette? Får telenor fiber om 1-3 måneder 😅

[jakobbg]

Hugsar ikkje kva konklusjonen var, men epost går rett frå meg til Google nå, ser eg via headers. Min Postfix har ingenting i relayhost… Har derimot nå satt opp SPF, DMARC, DKIM, CAA, STS og TLSrpt 🙂

[ali q]

Telenor krever autentisering.. Men selv da vil du normalt ende opp i SPAM buckets fordi Telenor i alt for mange år tillot kundene å sende uten Auth (og infiserte kunder sendte da enormt med SPAM og annen abuse) slik at online.no og Telenor sine SMTP-servere er ryktebasert ikke verdt en dritt.

Send via domenetilbyderen sin SMTP og slipp unna slike problemer.

[jakobbg]

Ser ut til at det går rett frå min boks til GMail, utan smtp.online.no involvert, og det fungerer finfint 👍🏻.

Received: from core24.grimstveit.no (ti0042a400-2881.bb.online.no. [85.165.170.75])
        by mx.google.com with ESMTPS id o3si22747941ljq.407.2022.02.02.18.03.17
        for <[email protected]>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Wed, 02 Feb 2022 18:03:18 -0800 (PST)
Received-SPF: pass (google.com: domain of [email protected] designates 85.165.170.75 as permitted sender) client-ip=85.165.170.75;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 85.165.170.75 as permitted sender) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=grimstveit.no
Received: by core24.grimstveit.no (Postfix) id 1D4C55D1AAA; Thu,
  3 Feb 2022 03:03:17 +0100 (CET)
Delivered-To: [email protected]
Received: by core24.grimstveit.no (Postfix, from userid 0) id 1B5F35D17C6; Thu,
  3 Feb 2022 03:03:17 +0100 (CET)

[swinge]

Fungerer fint å sende fra egen SMTP server på privat Telenor abonnement. Det eneste er at du ikke har statisk ip-adresse, og derfor er du svartelistet i SORBS DUHL, og du har ikke rDNS. Om noen mottakere bruker SORBS DUHL listen og/eller ikke godtar at reverse DNS ikke matcher domenet du sender fra, så får ikke mottaker eposten du sender. 

Du kan sjekke om ip-adressen din er svartelistet på mxtoolbox.com
Men om du har en statisk ip-adresse, så er det faktisk ingen problem å bruke egen SMTP server, så lenge du har DMARC, DKIM og SPF i orden. Statiske ip-adresser er ikke svartelistet i SORBS DUHL registeret. 
 

Endret 24. mars 2022 av swinge

[Norlig]

15 hours ago, swinge said:

Fungerer fint å sende fra egen SMTP server på privat Telenor abonnement. Det eneste er at du ikke har statisk ip-adresse, og derfor er du svartelistet i SORBS DUHL, og du har ikke rDNS. Om noen mottakere bruker SORBS DUHL listen og/eller ikke godtar at reverse DNS ikke matcher domenet du sender fra, så får ikke mottaker eposten du sender. 

Du kan sjekke om ip-adressen din er svartelistet på mxtoolbox.com
Men om du har en statisk ip-adresse, så er det faktisk ingen problem å bruke egen SMTP server, så lenge du har DMARC, DKIM og SPF i orden. Statiske ip-adresser er ikke svartelistet i SORBS DUHL registeret. 
 

Har ikkje statisk ip hos Altibox, men har ikkje fått ip-en min endret på 4år.

 

Var visst ikkje blokkert av noen av de 92 listene på den testen 👍

 

Har satt opp Spf og dkim, men med Dmarc så må du vel ha ein større kontroll av oversikt over pakker, som ikkje er tilgjengelig med privat abonnement? (spurte og fikk nei fra altibox) 

[swinge]

Dmarc setter du opp på i DNS registeret, Feks. _dmarc.domene.no med TXT til v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; fo=1; pct=100; ri=86400; adkim=s; aspf=s

Det er denne ptr recorden jeg bruker, du kan teste din epost leverbarhet med Mail-tester.com, mailgenius.com og MXtoolbox sine tjenester.

Endret 24. mars 2022 av swinge

[Norlig]

49 minutes ago, swinge said:

Dmarc setter du opp på i DNS registeret, Feks. _dmarc.domene.no med TXT til v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; fo=1; pct=100; ri=86400; adkim=s; aspf=s

Det er denne ptr recorden jeg bruker, du kan teste din epost leverbarhet med Mail-tester.com, mailgenius.com og MXtoolbox sine tjenester.

Sjekket domeneshop nå, Dmarc var det eg hadde ja, men DKIM mangler eg.

min dmarc: 

_dmarc.<mittdome.ne> | txt=DMARC1; p=none; ua=mailto:dmarcreports@<mittdome.ne>

SPF har eg satt opp med: txt=v=spf1 mx a:asav21.altibox.net ~all

 

På Mail-tester.com fikk eg 9/10

På MailGenius.com fikk eg 92/100

[swinge]

Norlig skrev (20 minutter siden):

Sjekket domeneshop nå, Dmarc var det eg hadde ja, men DKIM mangler eg.

min dmarc: 

_dmarc.<mittdome.ne> | txt=DMARC1; p=none; ua=mailto:dmarcreports@<mittdome.ne>

SPF har eg satt opp med: txt=v=spf1 mx a:asav21.altibox.net ~all

 

På Mail-tester.com fikk eg 9/10

På MailGenius.com fikk eg 92/100

Her har du DKIM generator. Hvilken programvare bruker du for epost server?

[Norlig]

9 hours ago, swinge said:

Her har du DKIM generator. Hvilken programvare bruker du for epost server?

Bruker Axigen Mail.

Skal gjøre eitt nytt forsøk på å sette opp DKIM, takk!

[Kimelimm]

Har du fått ordnet med reverse-DNS? 

Erfaringsmessig har det ikke vært så veldig interessant å aktivere dette for privatabonnement.

[swinge]

Norlig skrev (På 25.3.2022 den 8.22):

Bruker Axigen Mail.

Skal gjøre eitt nytt forsøk på å sette opp DKIM, takk!

Husk å bruke riktig DomainKey Selector. F.eks. dkimkey._domainkey.domene.no   TXT   v=DKIM1;t=s;p=LANG NØKKEL
hvor "dkimkey" er DomainKey selector, og denne må også føres inn i mail server software for å få DKIM til å fungere.

Kimelimm skrev (35 minutter siden):

Har du fått ordnet med reverse-DNS? 

Erfaringsmessig har det ikke vært så veldig interessant å aktivere dette for privatabonnement.

Tror nok reverse DNS er forbehold bedriftsmarked. Hverken Telenor eller Altibox gjør dette for sine privat kunder. Selv hoster jeg egen mail på privat Telenor fiber abonnement, og har ikke opplevd enda at mailer jeg sender ikke blir levert, så lenge du har riktig konfigurasjon, samt DKIM, SPF og SSL-sertifikat. Telenor sine private ip-adresser er dog svartelistet i SORBS DUHL registeret, men er nok svært få som bruker dette registeret. Altibox sine ip-adresser er ikke svartelistet i SORBS DUHL registeret, så det eneste du mangler når du hoster egen mail server på Altibox privat abonnement er reverse-DNS. Er nok svært få som har konfigurert SMTP servern til å ikke motta mail hvor domene ikke matcher reverse DNS, så egentlig tror jeg at dette ikke er et problem.

Siden Telenor sine ip-adresser er svartelistet i SORBS DUHL registeret, kommer jeg nok til å flytte min mail server fra Telenor til Altibox når svigermor har fått Altibox på plass😅

Endret 1. juni 2022 av swinge

[bmork]

4 hours ago, swinge said:

Tror nok reverse DNS er forbehold bedriftsmarked. Hverken Telenor eller Altibox gjør dette for sine privat kunder.

Huh?  Du får ikke ditt eget domenenavn, men alle IPv4-adresser Telenor deler ut skal ha fungerende revers-DNS med matchende forward DNS.  Det samme gjelder også Altibox etter min erfaring, uten at jeg kjenner policyene deres.  Dette skal være mer enn nok for mail-servere.  Det er sjelden (aldri?) noen som krever at revers-DNS skal matche hverken EHLO/HELO eller noe annet navn i mail-transaksjonen.

For IPv6 er bildet litt annerledes.  Der får du ikke revers-DNS hverken hos Telenor eller Altibox.  Det virker bare totalt meningsløst å generere unike navn som er  lenger og mer kompliserte enn IPv6-adressen.  I tillegg måtte DNS-serveren laget navnene på sparket ettersom det det ikke er særlig praktisk å lagre 2^80 linjer med adresser og navn per kunde.  Greit å slippe den slags.

Derfor er det forholdvis vanlig at revers-DNS mangler for IPv6, også for mail-servere. Kjenner ikke til spesielle problemer i den sammenheng. Men tar gjerne imot informasjon hvis det er noen som opplever problemer pga dette.

Vi begynte nylig å lage revers-DNS for de IPv6-adressene som tildeles dynamisk ("IA_NA" - altså ikke PD-prefikset), ettersom noen hadde en use case. Husker ikke i farten hva den var.  Men siden dette er relativt få adresser så var det overkommelig med enkle navn:

bjorn@canardo:~$ host 2001:4610:a:3a::2
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.a.3.0.0.a.0.0.0.0.1.6.4.1.0.0.2.ip6.arpa domain name pointer ti0300a400-v6a0002.bb.online.no.
bjorn@canardo:~$ host ti0300a400-v6a0002.bb.online.no.
ti0300a400-v6a0002.bb.online.no has IPv6 address 2001:4610:a:3a::2

Normalt er IA_NA-adressene noe som bare brukes av CPE for egen trafikk.  Og de er også helt dynamiske, i motsetning til PD-adressene.  Men dersom revers-DNS på IPv6 er kritisk nødvendig så er det jo mulig å ta i bruk en slik adresse til serveren.  Da må du i så fall også bruke din egen ruter.

TLS-sertifikat, DKIM, SPF, DMARC og et gyldig servernavn for EHLO/HELO er alt sammen ting som du oppretter med ditt eget domenenavn.  Ingenting av dette må matche din revers-DNS.

(Jeg fikler litt med DNS-ting i Telenor)

[swinge]

bmork skrev (6 timer siden):

Huh?  Du får ikke ditt eget domenenavn, men alle IPv4-adresser Telenor deler ut skal ha fungerende revers-DNS med matchende forward DNS.  Det samme gjelder også Altibox etter min erfaring, uten at jeg kjenner policyene deres.  Dette skal være mer enn nok for mail-servere.  Det er sjelden (aldri?) noen som krever at revers-DNS skal matche hverken EHLO/HELO eller noe annet navn i mail-transaksjonen.

 

rDNS er bestemmelsen av et domenenavn som er knyttet til en gitt IP-adresse. Noen selskaper som AOL vil avvise alle meldinger som sendes når rDNS ikke matcher domenet du sender ifra.

bmork skrev (6 timer siden):

TLS-sertifikat, DKIM, SPF, DMARC og et gyldig servernavn for EHLO/HELO er alt sammen ting som du oppretter med ditt eget domenenavn.  Ingenting av dette må matche din revers-DNS.

Stemmer det. Det må ikke matche, men gir bedre leverbarhet om rDNS matcher domenet ditt.

 

[bmork]

23 minutes ago, swinge said:

Noen selskaper som AOL vil avvise alle meldinger som sendes når rDNS ikke matcher domenet du sender ifra.

Det der høres pussig ut. Det har da aldri vært slik at det er noen sammenheng mellom mail-domene og servernavn, hverken for inngående eller utgående.  Det ville jo gjort det rimelig krøkkete å håndtere flere domener.

[swinge]

bmork skrev (49 minutter siden):

Det der høres pussig ut. Det har da aldri vært slik at det er noen sammenheng mellom mail-domene og servernavn, hverken for inngående eller utgående.  Det ville jo gjort det rimelig krøkkete å håndtere flere domener.

Regner sterkt med at dette er en funksjon i et spamfilter som ikke er default. Som sagt, hoster jeg selv egen mail server med dymaisk telenor ip, og har ikke opplevd at e-post jeg sender ikke blir levert på grunn av rDNS. Har derimot opplevd at noen mottakere bruker SORBS DUHL registeret, og at mailene mine ble market som spam/ikke levert. Dette er på grunn av dynamisk ip hos Telenor.

 

Edit: Her kan du lese litt om rDNS

Endret 1. juni 2022 av swinge

[bmork]

9 hours ago, swinge said:

Edit: Her kan du lese litt om rDNS

Og der står det jo det samme som jeg forsøkte å si litt lenger opp i tråden:

• ip-adressen må ha en PTR som peker til et navn med en matchende A.  Dette garanterer Telenor for dynamiske IPv4 adresser.
• navnet serveren din bruker i HELO/EHLO  må også peke til samme adresse.  Dette kontrollerer du selv så lenge du bruker et navn i ditt eget domene
• det er ingen krav om at disse navnene skal være like, eller tilhøre samme domene
• det er ingen krav om at noen av disse navnene skal ha sammenheng med mail-adressen din

 

[swinge]

bmork skrev (På 2.6.2022 den 8:29 AM):

Og der står det jo det samme som jeg forsøkte å si litt lenger opp i tråden:

• ip-adressen må ha en PTR som peker til et navn med en matchende A.  Dette garanterer Telenor for dynamiske IPv4 adresser.
• navnet serveren din bruker i HELO/EHLO  må også peke til samme adresse.  Dette kontrollerer du selv så lenge du bruker et navn i ditt eget domene
• det er ingen krav om at disse navnene skal være like, eller tilhøre samme domene
• det er ingen krav om at noen av disse navnene skal ha sammenheng med mail-adressen din

 

Riktig. Poenget mitt var at Telenor eller Altibox endrer ikke PTR om du har privat abonnement. 
F.eks. om du gjør en nslookup på telenor ip 80.213.2.2 vil du få domenenavn ti0004a400-3829.bb.online.no og Altibox ip 80.203.3.3 vil du få domenenavn 3.80-203-3.customer.lyse.net. Disse vil du ikke få endret med privat abonnement hos Telenor og Altibox. Store selskaper som Equinor bruker jo gjerne Microsoft Office (Enterprise) sin løsning, og da må PTR i mange tilfeller kunne endres. Men uansett er det ikke er problem å kjøre en egen mail server uten å endre PTR da det ikke er et krav å endre det, bare at de matcher allerede.

Uansett til de som tenker å ha egen mail server hjemme med privat internett abonnement:
Altibox har stengt utgående port 25, så du får ikke sendt e-post her uansett, kun motta. 
Telenor har åpen utgående port 25, så her får du sendt e-post, men alle Telenors dynamiske ip-adresser er registrert i 2 spam filter, SORBS DUHL og Spamhaus ZEN, så du må avliste ip-adressen din hver gang du får ny ip hos Spamhaus. SORBS DUHL får du ikke avlistet ip-adressen. Så om du sender med dynamisk ip fra telenor, så får du bare håpe at mottaker ikke bruker SORBS DUHL spamfilter.

Min anbefaling er å bruke SMTP relay. Selv bruker jeg Amazon Simple Email Service, gratis, enkelt og har aldri hatt problemer med å få levert e-post fra min mailserver stående hjemme. Om du har utgående port 25 stengt, er vel SMTP relay den eneste måten å få sendt e-post fra egen mail server på privat internett abonnement.