Profis am Werke! Microsoft sendet beim Anmeldeprozess im Appstore Mails von account-security-noreply@microsoft.com – leider mit einem falschen HELO Header, sodass Mails von vielen Spamfiltern nicht angenommen werden.
Sep 28 15:56:18 XXXX postfix/smtpd[26350]: NOQUEUE: reject: RCPT from co1gmehub07.msn.com[65.55.52.235]: 450 4.7.1
In /etc/postfix/main.cf hat man üblicherweise sowas wie hier, um möglichst früh möglichst viele Spammer abzuwehren:
smtpd_helo_restrictions = permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unknown_hostname
Kaum zu glauben, aber extrem viele Spammer scheitern bereits an dieser Hürde.
Die Lösung: um den Host zu Whitelisten macht man folgendes:
smtpd_helo_restrictions = permit_mynetworks,
check_helo_access hash:/etc/postfix/helo_access,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unknown_hostname
Außerdem auf der Kommandozeile:
echo "smtpi.msn.com OK" >> /etc/postfix/helo_access
postmap /etc/postfix/helo_access
/etc/init.d/postfix reload
So kommt auch Microsoft durch die smtpd_helo_restrictions. 
Gute Lösung, die sicher auch für andere nicht standardkonform sendende smtpds brauchtbar ist. Allerdings sträube ich mich noch dagegen, diesen, ich nenns mal Microsoft-Erlaubnis-Mist, auf meinem smtpd einzustellen. Was denken die, wer die sind? Ok, ich habs etwas einfach: ich hab keine Microsoft-Anwender bei meinem smtpd im Nacken
Nö,
wer kein sauberes HELO absenden kann, ist auch keiner Ausnahmeregelung würdig. Oder gibts da ausser MS-Snakeoil echten Mehrwert ?
Sowas läuft mir leider in letzter Zeit immer wieder über den Weg.
Nicht nur bei Microsoft sondern z.B. auch bei Comodo. Wenn man sich da jetzt ein Zertifikat bestellt kann es passieren das die Verifikationsmail nicht ankommt weil die es nicht hinbekommen ihre DNS Einträge sauber zu hinterlegen und die Mailserver ordentlich zu konfigurieren.
Leider ist bei sowas der Mailadmin vom Empfänger der gelackmeierte. Die Nutzer beschweren sich ja nicht bei Microsoft, Comodo & Co sondern bei dem den sie leichter zu fassen bekommen. Wenn sie es doch mal tun werden sie mit “Wenden sie sich an ihren Admin” abgeschmettert.
…oder man lehnt Mails von derart falsch konfigurierten Hosts einfach ab, egal ob sie von Microsoft kommen oder von sonst wem. Bessere Methode.
Wenn man in der Firma Entwickler sitzen hat, die dringend auf diese Mails waren und man sich weigert, das freizuschalten, wird man sicher bei den Vorgesetzten keinen guten Stand haben.
Ob das jetzt eigentlich richtig oder falsch ist, ist ja eine andere Sache…man kann es ja z.B. auch nur für kurze Zeit aktivieren und danach wieder rausnehmen.