outlook.com und greylisting

Jeder, der Greylisting im Einsatz hat, wird sich darauf einrichten können, dass Mails teilweise nur stark zeitverzögert ankommen. Bei postfix kommt ein regelbasiertes Grelisting zum Einsatz, das beim Connect des Gegenstellenmailservers anhand der Einhaltung geltender RFCs entscheidet, ob der Client eine Ehrenrunde drehen muss oder sofort angenommen wird.

Problematisch ist hier mal wieder die Firma Microsoft. Gerüchte besagen, dass zum Versand von Mails unter anderem aus dem Office 365 Programm ca. 120 Mailserver zum Einsatz kommen.

Erreicht nun eine Mail von outbound.protection.outlook.com das Mailsystem wird sie auf Grund der Nichteinhaltung von RFCs dazu verdonnert eine Ehrenrunde zu drehen- sie wird mit einem 450er abgewiesen. Bei den weiteren Zustellversuchen kommt nicht zwangsläufig die gleiche IP beim Mailserver an. Somit ist sie wieder eine neue Verbindung und wird abermals mit einem 450er abgelehnt. Das Spiel kann sich nun lockere 120 mal wiederholen- jeweils mit einem gehörigen Zeitversatz von 1-6 Stunden bis zum erneuten Versuch.
Ganz grob gerechnet kann damit eine Mail 120x6 Stunden = 720 Stunden oder 30 Tage unterwegs sein ohne dass Absender oder Empfänger etwas davon mitbekommen. Hat man nun noch die "Verfallszeit" für den Greylisting-Cache auf 30 Tage eingestellt so kann man sich ausmalen was passiert.

Leider verwenden offenbar immer mehr, teilweise auch professionelle Firmen, Microsoft für den Versand von eMails was den Betreiber eines Mailsystems dazu zwingt entweder alle möglichen Netzblöcke von Microsoft vom Greylisting auszunehmen, oder aber die Hostnamen zu exkludieren.

In Postfix kann man sich hierzu eine Konfigurationsdatei anlegen, die die IP-Adressen der auszunehmenden Systeme beschreibt.
Hierzu wird im Konfigurationsverzeichnis eine neue Datei mit dem Namen postscreen_access.cidr angelegt. Der Inhalt ist die CIDR-Liste aller Microsoft- Mailserver:  
23.103.132.0/22	permit
23.103.144.0/22 permit
23.103.191.0/24 permit
23.103.198.0/23 permit
23.103.200.0/21 permit
23.103.136.0/21 permit
40.107.0.0/16 permit
64.4.22.64/26 permit
65.55.83.128/27 permit
65.55.88.0/24 permit
65.55.169.0/24 permit
94.245.120.64/26 permit
104.47.0.0/17 permit
134.170.132.0/24 permit
134.170.140.0/24 permit
134.170.171.0/24 permit
157.55.133.160/27 permit
157.55.158.0/23 permit
157.55.206.0/23 permit
157.55.234.0/24 permit
157.56.73.0/24 permit
157.56.87.192/26 permit
157.56.108.0/24 permit
157.56.110.0/24 permit
157.56.111.0/24 permit
157.56.112.0/24 permit
157.56.206.0/24 permit
157.56.208.0/22 permit
207.46.51.64/26 permit
207.46.100.0/24 permit
207.46.101.128/26 permit
207.46.163.0/24 permit
213.199.154.0/24 permit
213.199.180.128/26 permit
216.32.180.0/24 permit
216.32.181.0/24 permit
  (Stand: 15.07.2015- Quelle: https://technet.microsoft.com/library/dn163583%28v=exchg.150%29.aspx oder auch support.content.office.net/en-us/static/O365IPAddresses.xml)

Im nächsten Schritt wird in die main.cf folgender Eintrag ergänzt oder hinzugefügt:  
postscreen_access_list = ..., cidr:/etc/postfix/postscreen_access.cidr
 
Nach dem Neuladen der Konfiguration mittels  
postfix reload
  ist das Greylisting, bzw. die Überprüfung auf Compliance der Microsoft-Systeme deaktiviert.