Как избавиться от poor reputation?
Всем доброго времени суток. Пару дней назад из почты повалился спам, замечено было не сразу, после устранения проблемы проверили домен и ip-адрес на всевозможные черные списки, не обнаружили. Однако обнаружили что Email Reputation Poor. И письма до некоторых адресатов не идут, их сервера нас блокируют с ошибкой:
Your access to this mail system has been rejected due to the sending MTA’s poor reputation. If you believe that this failure is in error please contact the intended recipient via alternate means.)
Прочел что это пройдет со временем, репутация восстановится, однако неизвестно как скоро. Прошло уже 3 дня (спама от нас не шло больше). С кем-то связались и добавили в белые списки, однако не со всеми работает, так как не все могут это сделать по каким-либо своим причинам. Можно ли ускорить процесс возобновления репутации?
Fixing My MTA’s Poor Reputation
I have a web site that needs to send email to customers to deliver files that they have purchased. Reliable email delivery is vital to this business. Unfortunately, most of the emails sent by my server are not delivered due to my MTA’s «poor reputation.» Here are some sample lines from my mail.log :
Feb 20 02:40:41 servername postfix/smtp[14580]: 4E30B1100C7: host aspmx.l.google.com[209.85.211.78] said: 421-4.7.0 [174.143.183.26] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 10si1216690ywh.92 (in reply to end of DATA command) Feb 20 12:49:22 servername postfix/smtp[5651]: A86CB1CC0CF: to=[email protected]>, relay=mx3.comcast.net[76.96.58.14]:25, delay=55186, delays=55185/0.01/0.93/0, dsn=4.0.0, status=deferred (host mx3.comcast.net[76.96.58.14] refused to talk to me: 554 imta36.westchester.pa.mail.comcast.net comcast 174.143.206.168 found on one or more DNSBLs, see http://help.comcast.net/content/faq/BL000001) Feb 16 10:50:11 servername postfix/smtp[6931]: 98B94380A1: host mx-in-2.webreus.nl[212.61.252.240] refused to talk to me: 554-mx-in-2.webreus.nl 554-Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means. 554 More information can be found on http://senderbase.org/senderbase_queries/detailhost?search_string=174.143.206.168 Feb 16 10:50:12 servername postfix/smtp[6931]: 98B94380A1: to=[email protected]>, relay=mx-in-1.webreus.nl[212.61.10.240]:25, delay=173653, delays=173650/0.22/2.8/0, dsn=4.0.0, status=deferred (host mx-in-1.webreus.nl[212.61.10.240] refused to talk to me: 554-mx-in-1.webreus.nl 554-Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means. 554 More information can be found on http://senderbase.org/senderbase_queries/detailhost?search_string=174.143.206.168) - set up reverse DNS lookups to work correctly
- set up SPF records for my domain
- disallow incoming connections to my SMTP server
- format messages according to RFC 2822
- never send unsolicited messages (I never have)
My server is in Rackspace’s cloud. Is it possible that the IP address’s bad reputation was inherited from a previous customer? Some of the above steps have been taken in the past week—am I going to have to wait for the situation to improve? Are there other things I should be doing? Should I hire a third party to send emails for me?
Fix NDR error «550 5.7.1» in Exchange Online
Mail flow rules are now available in the new Exchange admin center. Try it now!
It’s frustrating when you get an error after sending an email message. This topic describes what you can do if you see error code 5.7.1 in a non-delivery report (also known as an NDR, bounce message, delivery status notification, or DSN). This information also applies to error codes 5.7.0 through 5.7.999.
 |
I got this bounce message. How do I fix this issue? |  |
I’m an email admin. How can I fix this issue? |
This information also applies to error codes 5.7.0 through 5.7.999 in Exchange Online and Microsoft 365 or Office 365. There can be several causes for dsn error code 5.7.1, for which solutions are provided later in this topic.
Why did I get this bounce message?
Typically, this error indicates a security setting in your organization or the recipient’s organization is preventing your message from reaching the recipient. For example:
- You don’t have permission to send to the recipient.
- The recipient is a group, and you don’t have permission to send to the group or one of its subgroups.
- You don’t have permission to send email through an email server that’s between you and the recipient.
- Your message was routed to the wrong email server.
I got this bounce message. How do I fix this issue?
Typically, you can’t fix the problem yourself. You’ll need the recipient or the recipient’s email admin to fix the configuration on their end. However, here are some steps that you can try:
- If the recipient is external (outside of your organization): Contact the recipient (by phone, in person, etc.) and ask them to tell their email admin about your email delivery problem. Their email admin might need to reconfigure the recipient’s mailbox so it accepts email from you.
- If the recipient is an internal group: You might not have permission to send to the group or to one of its subgroups. In this case, the NDR will include the names of the restricted groups that you don’t have permission to send to. Ask the owner of the restricted group to grant you permission to send messages to the group. If you don’t know the group’s owner, you can find it in Outlook or Outlook on the web (formerly known as Outlook Web App) by doing the following steps:
- Outlook: Select the NDR, double-click the group name on the To line, and then choose Contact.
- Outlook on the web: Select the NDR, choose the group name on the To line, and then choose Owner.
- Messages sent to the group require approval by a moderator.
- Large messages can’t be sent to the group. However, senders of large messages will receive a different NDR. For more information about large messages, see Distribution group limits.
To resolve the issue, join the group, or ask the group’s owner or moderator to approve your message. Refer them to the I’m the owner of a restricted group. What can I do? section later in this topic.
If none of the previous steps apply or solve your issue, contact the recipient’s email administrator, and refer them to the I’m an email admin. How can I fix this issue? section later in this topic.
I’m the owner of a restricted group. What can I do?
If a message sender received this NDR when they attempted to send a message to your group, and you want them to successfully send messages to your group, try one of the following steps:
- Remove the sender restriction: Change your group settings to unblock the sender in one of the following ways:
- Add the sender to the group’s allowed senders list. Note that you must create a mail contact or a mail user to represent the external sender in your organization.
- If the sender is restricted because they’re external (outside your organization), configure the group to accept messages from external senders.
- If you’ve configured a mail flow rule (also known as a transport rule) to restrict certain senders or groups of senders, you can modify the rule to accept messages from the sender.
- Messages sent to the group require approval by a moderator.
- Large messages can’t be sent to the group (but you’ll receive a different NDR from this one if that’s the issue). See Exchange Online Limits.
To resolve the issue for the sender, approve their message, or add them to the group.
- Configure moderated recipients in Exchange Online
- Create and manage distribution groups in Exchange Online
I’m an email admin. How can I fix this issue?
The sender is external (outside your organization)
If only this recipient is having difficulty accepting messages from external senders, configure the recipient or your email servers to accept messages from external or anonymous senders.
The recipient is a public folder in your Exchange Online organization
When the recipient is a mail-enabled public folder in your Exchange Online organization, an external sender will receive an NDR with the following error code:
Remote Server returned ‘ #5.7.1 smtp;550 5.7.1 RESOLVER.RST.AuthRequired; authentication required [Stage: CreateMessage]’
To configure the public folder to accept messages from external senders, follow these steps:
New EAC
- Open the Exchange admin center (EAC). For more information, see Exchange admin center in Exchange Online.
- Go to Public folders >Public folders.
- Choose a public folder from the list, and then click Edit
. 
- Click Mail flow settings.
- Under Message Delivery Restrictions >Accept messages from, perform the following tasks:
- Clear the check box for Require that all senders are authenticated.
- Select All senders.
Classic EAC
- Open the Exchange admin center (EAC). For more information, see exchange admin center in exchange online.
- In the EAC, go to Public folders >Public folders > select the public folder from the list, and then click Edit.
- In the public folder properties dialog box that opens, go to Mail flow settings, and configure the following settings in the Accept messages from section:
- Clear the check box for Require that all senders are authenticated.
- Select All senders.
The sender is external and their source IP address is on Microsoft’s blocklist
In this case, the NDR the sender receives would include information in the Diagnostics for administrators section similar to the following information:
5.7.1 Service unavailable; Client host [xxx.xxx.xxx.xxx] blocked using Blocklist 1; To request removal from this list please forward this message to delist@microsoft.com
To remove the restriction on the sender’s source email system, forward the NDR message to delist@microsoft.com. Also see Use the delist portal to remove yourself from the blocked senders list.
Your domain isn’t fully enrolled in Microsoft 365 or Office 365
If your domain isn’t fully enrolled in Microsoft 365 or Office 365, try the following steps:
- Verify your domain appears as Healthy in the Microsoft 365 admin center at Settings >Domains.
- For information about adding your domain to Microsoft 365 or Office 365, see Add a domain to Microsoft 365.
- To troubleshoot domain verification issues, see Troubleshoot domain verification issues in Office 365.
Your domain’s MX record has a problem
If you have an incorrect MX record, try the following steps:
- Check the sender and recipient domains for incorrect or stale MX records by using the Advanced diagnostics >Exchange Online test in the Microsoft Support and Recovery Assistant. For more information about the Support and Recovery Assistant, see About the Microsoft Support and Recovery Assistant.
- Check with your domain registrar or DNS hosting service to verify the MX record for your domain is correct. The MX record for a domain that’s enrolled in Exchange Online uses the syntax _\_.mail.protection.outlook.com .
- Verify Inbound SMTP Email and Outbound SMTP Email at Office 365 >Mail Flow Configuration in the Microsoft Remote Connectivity Analyzer.
- Verify you have only one MX record configured for your domain. Microsoft doesn’t support using more than one MX record for a domain that’s enrolled in Exchange Online.
Your domain’s SPF record has a problem
The Sender Policy Framework (SPF) record for your domain might be incomplete, and might not include all email sources for your domain. For more information, see Set up SPF to help prevent spoofing.
Hybrid configuration issues
- If your domain is part of a hybrid deployment between on-premises Exchange and Exchange Online, the Hybrid Configuration Wizard should automatically configure the required connectors for mail flow. Even so, you can use the steps in this section to verify the connector settings.
- Open the Microsoft 365 admin center at https://portal.microsoftonline.com, and click Admin >Exchange.
- In the Exchange admin center, click Mail Flow >Connectors. Select the connector that’s used for hybrid, and choose Edit. Verify the following information:
- Delivery: If Route mail through smart hosts is selected, confirm the correct IP address or FQDN is specified. If MX record associated with the recipient domain is selected, confirm the MX record for the domain points to the correct mail server. You can test your MX record and your ability to send mail from your Exchange Online organization by using the Outbound SMTP Email test in the Microsoft Remote Connectivity Analyzer.
- Scope: If you need to route inbound internet mail to your on-premises Exchange organization, Domains need to include all email domains that are used in your on-premises organization. You can use the value asterisk (*) to also route all outbound internet mail through the on-premises organization.
If the connectors are configured incorrectly, your Exchange administrator needs to rerun the Hybrid Configuration Wizard in the on-premises Exchange organization.
Your message couldn’t be delivered to the recipient because you don’t have permission to send to it. Ask the recipient’s email admin to add you to the accept list for the recipient. For more information, see DSN 5.7.129 Errors in Exchange Online and Microsoft 365 or Office 365.
MTA’s poor reputation: да я вижу браток ты спамер простой?:)
При отправке почты на некоторые забугорные сайты (особенно те что на www.godaddy.com) можем напороться на «Your access to this mail system has been rejected due to the sending MTA’s poor reputation» в логе /var/log/maillog Просматривая отчеты выделенного сервера одного из наших клиентов, наткнулся на ошибку доставки почты на один из заграничных хостов по причине » 554 Your access to this mail system has been rejected due to the sending MTA’s poor reputation. «:
Mar 19 02:31:48 maindemon postfix/smtp[8468]: AB3DB4DA8B: host smtp.secureserver.net[216.69.186.201] refused to talk to me: 554-m1pismtp01-034.prod.mesa1.secureserver.net 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
Начинаем расследовать. Проверяемся в БД спамеров, хотя ещё раньше проверяли и было всё ок:
× Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!
Там своего IP не наблюдаем? Нет! Куда ещё копать? Чей это ИП 216.69.186.201? Ага — это IP принадлежит godaddy.com. Контактируем с godaddy.com и спрашиваем «вай май MTA’s poor reputation«?;( и получаем ответ типа:
The Domain Name Abuse Department has responded to your inquiry, details of which are described below: Discussion Notes Support Staff Response Dear Sir or Madam, Thank you for contacting Go Daddy's Network Abuse Department. Please go to http://unblock.secureserver.net and submit an unblock request so that our email administrators may investigate this issue further. Thank you for your cooperation. Sincerely, Network Abuse Department GoDaddy.com
Мол подайте запрос на разблокировку на странице http://unblock.secureserver.net, там же рекомендуется проверить, содержит ли наша обратная ДНС запись (так званая PTR или rDNS record) «mail», «SMTP», «relay», or «MX»:
What can I do if my IP address is blocked? We recommend that you troubleshoot some common problems that might be causing your IP address to be blocked. This can help to prevent your IP address from getting blocked in the future. Two common solutions are: Complete a thorough virus scan on all servers and computers behind the blocked IP address. Verify that your rDNS contains a name that includes "mail", "SMTP", "relay", or "MX". For example: mail.example.com, smtp.example.com, or mx1.example.com.
Сразу после отправки запроса о разблокировке ИП в браузер получено сообщение о том, что ИП не заблокирован в текущий момент и возможно был разблокирован по предыдущей заявке — ок, а что ж тогда не так, «вай май MTA’s poor reputation«? Потому как у некоторый возможны свои вывихи/завихи/за.обы и они могут не принимать почту от доменов, у которых нет ДНС записи MX указывающей на домен отправителя (т.е. если домен получателя (в MX записи) отличается от домена отправителя), то действуя на опережение мы в наш домен добавим несколько ДНС записей типа MX (на всяк случай):
Хост Тип Значение записи Приоритет --------------------------------------------------------- relay A ххх.ххх.ххх.ххх smtp A ххх.ххх.ххх.ххх @ MX mx.yandex.ru 10 @ MX relay.domain.com 50
Где ххх.ххх.ххх.ххх это ИП нашего домена domain.com, а MX указывающая на relay.domain.com с более низким приоритетом (чем больше значение, тем ниже приоритет MX записи), чем первая (другая) MX с приоритетом (более высоким) 10. Например MX mx.yandex.ru это реальный почтовый сервер для почты домена domain.com, а MX relay.domain.com с пониженным приоритетом для отвода глаз. Теперь убеждаемся, что соблюдены условия перечисленные ниже :
× Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!
Ждём пару суток. Проверяем /var/log/maillog и всё равно при отправке почты на некоторые заграничные сайты видим » 554 Your access to this mail system has been rejected due to the sending MTA’s poor reputation. » — фак!;( Снова и снова возвращаясь на страницу http://unblock.secureserver.net я обратил внимание на ссылки расположенные в левом верхнем углу, среди которых была ссылка на ещё незнакомый мне сайт Cisco IronPort SenderBase Security Network. Там же есть раздел «Reputation Look Up» по результатам проверки которого ИП сервера оказался в категории «poor reputation». IronPort это компания, которая была основана Scott Banister в 2000 году и занималась разработкой решений по безопасности сети — её клиентами были такие компании как Hotmail, eGroups, ListBot и Yahoo! Известна своим продуктом IronPort AntiSpam на базе репутаций почтовых отправителей из SenderBaseС 25 июня 2007 года IronPort была приобретена и интегрирована в подразделение безопасности Cisco. С тех пор IronPort AntiSpam является встроенной в различные продукты Cisco (Цисько:). Cisco IronPort – это комплексные решения для защиты почтового трафика от спама и вирусов ака IronPort Email Security Systems (Cisco Email Security Appliances). Устройства IronPort (шлюзы безопасности) обладают широким функционалом, который включает в себя различные механизмы антивирусной, антиспамовой и контентной фильтрации трафика, что даёт возможность заменить множество различных решений единым: Среди ключевых возможностей Cisco IronPort такие как :
- Защита от спама
- Репутационная фильтрация трафика — производится оценка угроз в режиме реального времени, идентификация отправителя на основе данных SenderBase.
- Антиспам фильтрация — использование уникального механизма (CASE) адаптивного контекстного сканирования.
- Карантин сообщений — возможность администрирования для конечного пользователя.
- Защита от вирусов
- Проактивная антивирусная идентификация, фильтрация блокирование вирусов.
- Антивирусное сканирование McAffee, Sophos.
- Virus Outbreak Filters — уникальный механизм защиты от неизвестных вирусов.
- Политики информационной безопасности
- Новое поколение фильтров соответствия стандартам информационной безопасности HIPAA, SOX, GLB и др.
- Шифрование почтового трафика, которое обеспечивает защищенный обмен почтовыми сообщениями между почтовыми ящиками и устройствами IronPort.
- Целостность почтовых сообщений
- Технология доменных ключей ака DKIM на основе цифровой подписи.
- Защита директорий от атак. Предотвращение кражи информации про внутреннюю структуру директорий.
- Функции управления
- Email Security Manager предоставляет графический инструмент для управления системой защиты электронной почты.
- Централизованное управление.
- Email Security Monitor для мониторинга и составления отчетов о почтовых угрозах.
Cisco IronPort (Циська ЖелезныйПорт) построена на основе операционной системы AsyncsOS, которая работает на модифицированном ядре FreeBSD. Эффективно работает для защиты от графического и русскоязычного спама — успешно отсеивает более 95%.
Существуют различные модели, которые предназначены для сетей различного масштаба:
- IronPort X1060 — Решение по защите систем электронной почты провайдерского класса.
- IronPort C660 — Для защиты систем электронной почты предприятия с количеством пользователей свыше 5000.
- IronPort 360/360D — Для защиты систем электронной почты предприятия с количеством пользователей от 1000 до 5000.
- IronPort C150 — Для защиты систем электронной почты предприятия с количеством пользователей до 1000.
Активация на «Циське» фичи для фильтрации почтового трафика по SenderBase описана в разделе » Configuring the Gateway to Receive Email — The Host Access Table (HAT): Sender Groups and Mail Flow Policies — Mail Flow Policies: Access Rules and Parameters » мануала «Cisco IronPort AsyncOS 7.3 for Email Security Configuration Guide» на стр. 113 — » Use SenderBase for Flow Control: Enable “look ups” to the IronPort SenderBase Reputation Service for this listener. «
Symantec тоже не отстаёт и выпускает свои шлюзы для безопасности почтового трафика «Symantec Messaging Gateway 8300 Series» ака «Brightmail Gateway» и имеет свои средства контроля репутации «Symantec: IP Reputation Investigation».
Итак. В особо паронаидальных случаях, когда используются устройства (шлюзы) комплексной защиты трафика используются не публичные БД спамеров, а свои собственные заточенные под конкретный тип устройства (шлюза):
- Cisco IronPort SenderBase Security Network
- Symantec: IP Reputation Investigation
В нашем случае с «Symantec: IP Reputation Investigation» у нас нет проблем, а вот в «Cisco IronPort SenderBase Security Network» наш ИП отмечен как «poor reputation«. Хоть на SenderBase и сказано, что мол » Репутация вашего ИП восстановиться автоматически после устранения нарушений «, но на самом деле не факт — ИП клиента уже как месяц под нашим контролем и с самого начала был проверен по всем возможным БД спамеров, а репутация (SBRS — SenderBase Reputation Scores) и ныне там «poor reputation«. Для урегулирования нужно контактировать с тех. поддержкой SenderBase с мотивированной просьбой о смене репутации и надеяться на положительное решение.
- Запись MX — Википедия
- AOL: Reputation Check Tool
- Blocking spammers with Postfix HELO controls
- IronPort — Wikipedia, the free encyclopedia
- IronPort Systems — Cisco Systems
- IronPort Now Part of Cisco — Cisco Systems
- Cisco IronPort AsyncOS 7.3 for Email Security Configuration Guide
- Cisco IronPort Email Security Plug-in Adminstrator Guide
- Cisco IronPort Knowledge Base
- Symantec Mail Security 8300 Series — Technical White Paper
Меня нет ни в Инстаграмме ни в Фейсбуке, я просто хожу по улицам и рассказываю первым встречным: сколько зарабатываю; с кем дружу; где живу и чем дышу. У меня даже появилось несколько подписчиков: ПСИХоЛОХ и участковый полицай!
Ещё статьи автора
- Принят стандарт Li-Fi 802.11bb + 5G, светодиодные лампы, мозговые чипы и анальные зонды
- Жадность мобильных операторов
- «Яндекс» в очередной раз отказала ФСБ
- «Awaiting seller dispatch» посылки с алиэкспресс
- Перехват и модификация HTTP POST (GET) запросов с помощью mitmproxy
Комментарии
0 #1 Aminoza 24.09.2019 17:05
Спасибо, статья хоть и старая, но работает, я реально пол года уже админы мучали, то днс прописывали, то айпи меняли, а все так банально просто, циско обработал заявку за 2 часа и вот тебе — хвала! почта пошла!)
Добавить комментарий
- Мессаги исключительно рекламного содержания, либо содержащие только одни оценочные суждения типа «круто» («отлично», «спасибо», «автор дебил» и т.п.) не публикуются;
- Злостным спамерам, пранкерам и прочей сетевой нечисти рекомендуем напрасно не тратить своего времени и удовлетворять свои больные фантазии на специализированных Интернет ресурсах!;
- Разумная обоснованная критика, замечания, дополнения приветствуются. Поля помеченные символом * обязательны к заполнению.
Похожие записи
- MTA PostFix и использование оперативной памяти
- Настройка sendmail и Postfix для правильной отправки электронной почты
- Установка и настройка OpenDKIM с MTA Postfix или Sendmail в CentOS 5,6
- Проблемы с отправкой электронных писем (E-Mail) через sendmail или SMTP в Joomla 1.5
- PHP защита от спамеров на базе PEAR Net_DNSBL
- PHP защита от спамеров — StopForumSpam на примере форума phpBB
- Как быть если Ваш тостер, кофемолка или холодильник начали рассылать спам
- В Сеть запущен фальшивый плагин «All in One SEO Pack» для движка WordPress
- BitMail — программа для обмена шифрованными сообщениями
- Вредоносные ретрансляторы в сети Tor
- Как отключить SmartScreen (Junk Email Filter) в Windows Live Hotmail
- Замочи спамера
- Google+ неадекват: глюки, хамство и невежество
- Рекомендации по работе с почтой Gmail, Яндекс.почта, mail.ru
- Мифы о взломе электронной почты