Beantwoord

Mail niet afgeleverd, maar teruggestuurd door kpnxchange.com

  • 23 February 2018
  • 28 reacties
  • 1611 keer bekeken

Ik beheer de mailserver van de vereniging CompUsers. De afgelopen week heb ik van enkele leden bericht gehad van het feit dat mail gericht aan het bestuur, bestuur@compusers.nl, niet aankomt maar wordt teruggestuurd door de kpnxchange.com server met de mededeling: "Diagnostic-Code: smtp;553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)".
Het probleem treedt op sinds onze mailserver is verhuisd, dus een ander IP adres heeft gekregen. Voordien was er geen probleem. Mail gestuurd via niet aan KPN gelieerde smtp servers komt gewoon aan.
Hoe zou dit probleem kunnen worden opgelost?

Groet,
Hans Lunsing
icon

Beste antwoord door hlunsing 2 March 2018, 14:48

Bekijk origineel

28 reacties

Reputatie 7
Badge +11
Hi Hans ( @hlunsing ), welkom op het zakelijke forum van KPN! ☺️

Lastig probleem, wij denken graag met u mee. Wat voor verhuizing is er precies gedaan?

Hebt u een zakelijke internet aansluiting via KPN?

- Bij KPN Kleinzakelijk (Alles-in-1) faciliteren we WEL e-mail, u kunt gebruik maken van uw @kpnmail.nl account voor het versturen van e-mail via de mailserver van smtp.kpnmail.nl.
- Bij de overige zakelijke internet aansluitingen wordt GEEN e-mail voorziening geleverd. Als u wel e-mail bij KPN af neemt, bijvoorbeeld met een eigen domeinnaam en exchange, kunt u gebruik maken van de mailserver van Office 365.

Welke mailserver hebt u momenteel ingesteld?

De domeinnaam staat zo te zien geregistreerd bij KPN Internedservices, dit betreft een provider die we recent over hebben genomen. Voor vragen en ondersteuning over de domeinnaam, verwijs ik u graag door naar de helpdesk van KPN Internedservices. Ik kan bijvoorbeeld niet uw gegevens inzien en accountinstellingen bekijken. KPN Internedservices heeft wat dat betreft alleen een naamswijziging ondergaan met een nieuwe eigenaar maar opereert nog zelf.
We hebben geen zakelijke internet aansluiting via KPN. We hebben een eigen maildienst voor onderlinge communicatie en voor onze leden. Daartoe draaien we een Qmail mailserver aangevuld met Courier-IMAP als POP3/IMAP server. Deze werkten tot ongeveer een week geleden op een dedicated server bij Server4you.net en werden toen verhuisd naar een virtual private server, eveneens bij Server4you.net. De verhuizing is prima verlopen. Mail ontvangen van en verzenden naar externe adressen geeft geen probleem, behalve van en naar adressen die via de KPN Exchange servers lopen.

In mijn eerste bericht had ik het over mail van een KPN adres naar een adres bij ons. Later bleek dat ook het verzenden van mail naar een KPN adres (dat is inclusief kpnmail, telfort, planet, tiscali, worldonline etc.) niet gaat. Onze server geeft dan als foutmelding Connected_to_213.75.3.30_but_connection_died.. Het hierin genoemde IP nummer is van mailin.kpnxchange.com.

Een van onze mensen is het toch een keer gelukt om van een KPN adres mail te versturen naar een CompUsers adres. Gezien de mailheaders lijkt het alsof het lukken of mislukken van doorzending afhangt van de weg die de mail door het serverpark van KPN Exchange aflegt.

Voor zover relevant zijn dit de huidige DNS instellingen voor het domein compusers.nl bij Internedservices:

* MX mail.compusers.nl 10 7200
@ SOA ns01.is.nl domain-admin.is.nl 2018022503 10800 3600 604800 14400 300
@ MX mail.compusers.nl 10 7200
@ TXT "v=spf1 include:mail.compusers.nl -all" 12500000
_dmarc TXT "v=DMARC1; p=none" 12500000
euve2 A 62.75.189.81 86400
lijsten A 62.75.189.81 86400
mail A 62.75.189.81 86400
mail MX mail.compusers.nl 10 7200
mailing A 62.75.189.81 86400
webmail A 62.75.189.81 86400

Kunt u hier iets mee? Of hebt u meer informatie nodig?

Vriendelijke groet,
Hans Lunsing
Reputatie 7
Badge +11
Hans, wat zadelt u ons op met een flinke breinkraker! Wat dat betreft dus ook een echte Mastermind case ( cc: @SjorsK / @jaapjolman ) .. 😇

553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
De melding komt vanuit uw SMTP server. Deze verwacht een authenticatie welke nu mogelijk niet staat ingesteld. Ik kan mij goed voorstellen dat bijvoorbeeld intern mailen nog werkt zonder deze authenticatie en extern mailen niet werkt. Echter begrijp ik dat het alleen bij KPN voorkomt en niet bij andere mailadressen? Het is belangrijk en goed om te weten of het een KPN specifiek probleem is zoals u suggereert.

Reputatie 7
Badge +6
Vroeger ondersteunde de KPN SMTP server outgoing mails zonder authenticatie, dit is alleen veranderd zodat je jezelf moet authenticeren bij de KPN SMTP servers. Wordt dit gedaan?

Ik weet toevallig dat Jaap hier meer in zit 🙂
Reputatie 4
Badge +1
Hey allemaal!,

Controlleer op je mail server of je de hostname kloppend hebt, of je de ip van je server in je mailserver goed hebt ingesteld, of je eventueele spamfilters moet aanpassen, ook in de DNS settings van je domein of je de SPF goed hebt staan en de MX records en of je ip resolved naar je hostname als dit allemaal goed staat zou het moeten werken, welke provider hangt je mailserver? gewoon thuis op een server of heb je hem in een datacenter?, heb je gechecked of je ip / hostname geblacklist is?
Reputatie 4
Badge +1
je dns hoeft alleen maar 1 MX record te hebben namelijk @ mx 10 mail.compusers.nl die andere kunnen gewoon weg
Reputatie 4
Badge +1
nog even een standaard template die ik voor mijn hosting klanten heb op gezocht

@Tim, SjorsK: Onze SMTP server kan alleen met authenticatie worden gebruikt. Het is geen open relay.

@Jaapjolman: 1 MX record. OK, ik heb de andere verwijderd. Mijn SPF record heb ik gewijzigd. Het luidt nu: "v=spf1 mx ipv4:62.75.189.81 -all". Is dat OK? Het IP nummer is van onze mailserver. Hij draait in een data center. IP en hostname staan niet in een blacklist. Ik heb de oorspronkelijke hostname weer hersteld, waardoor reverse DNS naar de hostname verwijst (getest met dig -x 62.75.189.81).

Onze secretaris heeft een kpnmail adres. Na deze wijzigingen kan hij mail van dat adres naar een compusers.nl adres versturen. Het lijkt er dus op dat de wijzingen, m.n. het SPF record denk ik, hebben geholpen. Ik houd wel m'n vinger aan de pols....

Dan is er nog wel het omgekeerde probleem: Het verzenden van mail naar een KPN adres (dat is inclusief kpnmail, telfort, planet, tiscali, worldonline etc.) gaat nog steeds niet. Onze server geeft dan als foutmelding deferral: Connected_to_213.75.3.30_but_connection_died.. Ook volgende pogingen om de mail door te sturen slagen niet. Het hierin genoemde IP nummer is van mailin.kpnxchange.com. Hoe zou dit kunnen worden opgelost?

Alvast mijn dank!
Hans Lunsing

P.S.: Buiten de orde en ik verwacht dan ook geen beslissend antwoord, maar misschien kunnen jullie me op het rechte pad brengen. Mail van gmail wordt soms niet bezorgd en geretourneerd met de foutmelding [mail.compusers.nl. 62.75.189.81: unable to read banner]. Wat betekent dat?
Reputatie 4
Badge +1
@hlunsing

ik zou van je sfp dit maken "v=spf1 +a +mx +ipv4:62.75.189.81 -all",
zou ook even kijken of je een DKIM key kan aanmaken,

unable to read banner kan op een misconfiguratie duiden.



je hebt een verkeerde hostname in je smtp server staan en er is iets mis met de SPF, tegenwoordig is SPF een normale TXT record en niet meer een SPF record
@jaapjolman:
Ik heb een DKIM TXT record met public key toegevoegd. De correcte hostname staat nu in de server. Mxtoolbox zegt er nu dit van:



De syntax fout in het SPF record bleek de ipv4 te zijn. Dat moet zijn ip4. Ik heb dat gecorrigeerd, en nu geeft mxtoolbox geen fouten meer.

Wat betreft "Unable to read banner": dit is het volledige bericht dat Google aan de verzender stuurt:
"The recipient server did not accept our requests to connect. Learn more at https://support.google.com/mail/answer/7720. [mail.cumail.nl. 62.75.189.81: unable to read banner] "
Ik krijg hieruit de indruk dat het onze server is die de banner van Gmail niet kan lezen. Of heb ik dat mis?

Vriendelijke groet,
Hans
Reputatie 4
Badge +1
@hlunsing

net andersom google kan die van jullie niet lezen maar je hebt dns aangepast met een TTL van 86400 en dat klopt ook want jullie sturen mail.compusers.nl maar zoals je ziet is de reverse van jullie ip niet mail.compusers.nl maar euve260787.serverprofi24.net dit zou mail.compusers.nl moeten zijn
@jaapjolman
Maar hoe zou dat moeten als de mail server (Qmail) verschilllende domeinen bedient, in ons geval naast compusers.nl ook cumail.nl? Aan de hostname euve260787.serverprofi24.net van onze server en de bijbehorende reverse DNS kan ik niets doen; die is zo toegekend door de serverleverancier.

Hoe dan ook, dit draait zo al een aantal jaren, maar pas sinds begin januari treden die problemen met Google mail op. Bovendien ook niet voor elke mail. Er komen heel wat mails doorheen, maar zo af en toe wordt er een tegengehouden. Ik heb zelf ook een gmail account, en heb zeker een stuk of 10 testmails verzonden. Maar 1 ervan kwam er niet door.

Je noemt de TTL van 86400. Is dat niet in orde?
Reputatie 4
Badge +1
TTL 86400 is prima maar dan duren wijziging dus 24 uur om overal ter wereld door gevoerd te worden, als je meer mail doet moet je dus niet mail.compusers.nl als mx doen maar euve260787.serverprofi24.net

MX moet altijd de reverse van de server matchen anders kun je bij mail diensten die dit checken om spam te voorkomen nooit binnen of zelden als in 1 wel de rest niet omdat je dan over het limit voor verkeerd ingestelde servers gaat
OK, dank je. Ik ga de MX veranderen en zien wat dat oplevert. Ik ben al met al weer een stuk wijzer geworden!
Reputatie 4
Badge +1
@hlunsing

geen probleem, heb zelf een hosting / network / deployment bedrijfje heb er dagelijks mee te maken
Reputatie 4
Badge +1
en dus dan eerst ff 24 uur minimaal wachten tot dat de instellingen doorgevoerd zijn
Mxtoolbox is nu heel tevreden over onze mailserver. Mail van KPN adressen wordt nu in tegenstelling tot eerder correct bij de adressen op onze mailserver bezorgd.

Helaas blijft mail aan KPN adressen nog steeds hangen met de mededeling Connected_to_213.75.3.30_but_connection_died. Daar is nu mail aan outlook.com adressen bijgekomen met de mededeling: Connected_to_104.47.42.33_but_my_name_was_rejected./Remote_host_said:_501_5.5.4_Invalid_domain_name

Waarom de connectie met mailin.kpnmail.nl niet beklijft is me een raadsel. We staan noch bij KPN noch bij Symantec op een zwarte lijst.

En dan de kwestie met outlook.com: het gaat kennelijk (gezien my_name_was_rejected) om het domein euve260787.serverprofi24.net, maar wat is daar ongeldig aan?

Is er iemand die licht in de duisternis kan brengen?
Reputatie 4
Badge +1
voeg een punt achter .net toe dus euve260787.serverprofi24.net.
Reputatie 4
Badge +1
bij de dns niet bij hostname maar in je record van je mx en ptr
Reputatie 4
Badge +1
waarschijnlijk is de outlook melding het zelfde als waardoor kpn niet wil
De punt was het probleem, maar anders dan je dacht. In de naam van de mailserver (Qmail) stond een punt achter .net. Die heb ik weggehaald. Mail naar outlook.com adressen werkt nu weer. Naar KPN adressen helaas nog steeds niet.
Reputatie 7
Badge +11
Super bedankt @jaapjolman en @SjorsK voor het meedenken, ik zie dat er hele goede tips zijn gegeven! 😀
Begrijp ik goed dat het nu wel lukt om mail te ontvangen van kpn mailadressen maar zelf versturen naar kpn mailadressen nog altijd niet werkt?
Reputatie 7
Badge +11
@hlunsing Ik heb overlegd met onze afdeling Abuse. Mijn vermoeden is dat er een bepaalde anti-Spam regel ervoor zorgt dat de mails tegen gehouden worden. Mijn collega's nemen dit graag in onderzoek.

Mijn advies is om een e-mail te sturen naar onderstaand mailadres. Als u een link naar het topic in de mail zet met alle foutmeldingen, gaan mijn collega's een analyse starten. 🙂

Mail naar: abuse@kpn.com
@Tim Ik ben heel blij met alle tips en heb er zeker het een en ander van geleerd. Mail ontvangen van kpn mailadressen gaat nu inderdaad goed, maar erheen verzenden via onze smtp server inderdaad nog niet. Dank voor je advies om een mail te sturen naar het genoemde e-mailadres. Dat zal ik doen.

Vriendelijke groet,
Hans Lunsing
Reputatie 7
Badge +11
Graag gedaan Hans, we hebben onze best gedaan. Natuurlijk zijn wij ook erg benieuwd naar de reactie van de afdeling Abuse en horen graag wanneer je voortgang boekt.

Reageer