Wir haben vermehrt festgestellt, dass E-Mails unserer Kunden an Office365 von Microsoft (*.mail.protection.outlook.com) abgelehnt oder nur stark verzögert angenommen werden. Beim Mail-Versand tritt dann häufig folgende Fehlermeldung auf: 451 4.7.500 Server busy. Please try again later

Warum werden meine E-Mail-Nachrichten von Microsoft Office Protection geblockt bzw. nicht angenommen?

Ursächlich für dieses Verhalten ist eine von Microsoft geänderte Sicherheitsrichtlinie für den Empfang von E-Mails. Die rockenstein-Mailserver befinden sich nicht auf einer Real-Time-Blacklist, sondern Microsoft nutzt hier einen eigenen internen Prüf-Mechanismus ("Smartscreen"), der sich von der rockenstein AG nicht beeinflussen lässt.
In Folge dessen werden unsere Mailserver teilweise als "unbekannt" eingestuft und es kommt zum permanenten Greylisting durch xxxx-de.mail.protection.outlook.com.

Der Sachverhalt tritt in mehreren Situationen auf:

1. Sie nutzen die rockenstein-Mailserver als Mail-Exchanger (MX) und nutzen parallel Office365 für diese Domains. In diesem Fall haben Sie im rockenstein-Serviceportal E-Mail-Weiterleitungen an Ihre Office365-E-Mail-Adresse eingerichtet.
2. Sie nutzen nur die rockenstein-Mailserver, aber versenden E-Mails an Kommunikationspartner, welche Office365 nutzen. Auch in diesem Fall kann der oben genannte Fehler auftreten und Ihre E-Mail von Microsoft nicht angenommen werden.

Eine permanente Abhilfe schafft das Whitelisting der rockenstein-Mailserver in Ihrem Office365-Zugang:
IP-Adressbereiche der rockenstein-Mailserver:

• 213.214.0.0/26
• 212.63.85.192/26

Um die IP-Adressen eines externen Server zu whitelisten, müssen Sie einen Connector in Ihrer Exchange-Umgebung erstellen.
Wenn Sie regelmäßigen und häufigen Kontakt zu Partnern mit Office365 haben, müssen diese Einstellungen jeweils von Ihren Partnern vorgenommen werden.

Gehen Sie bitte wie folgt vor:

• Öffnen Sie die Exchange-Verwaltungskonsole (Exchange admin center).
• Klicken Sie auf E-Mail-Fluss und dann auf Connectors. Erstellen Sie einen neuen Connector.
• Von: “E-Mail-Server Ihrer Organisation”, An: “Office 365“.
• Klicken Sie auf "Weiter".
• Geben Sie dem neuen Connector einen Namen.
• Lassen Sie beide Checkboxen angehakt.
• Klicken Sie auf "Weiter".
• Wählen Sie “By verifying that the IP address of the sending server matches one of these IP addresses that belong to your organization” aus.
• Fügen Sie die IP-Adresse des Servers hinzu.
• Klicken Sie auf "Weiter" und anschließend auf "Speichern".

Die Original-Anleitung seitens Microsoft finden Sie hier:

• https://docs.microsoft.com/de-de/exchange/mail-flow/connectors/outbound-smart-host-routing?view=exchserver-2019#use-the-eac-to-create-a-send-connector-that-uses-smart-host-routing
• https://docs.microsoft.com/de-de/exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/set-up-connectors-to-route-mail?redirectedfrom=MSDN#part-2-configure-mail-to-flow-from-your-email-server-to-office-365

Uns ist aktuell nicht bekannt, ob die in Office365 beinhaltete Sicherheitsrichtlinien möglicherweise aktuell oder zukünftig auf lokalen Exchange-Installationen ebenfalls angewendet werden. Sollten Sie hier ähnliche Probleme feststellen, empfehlen wir nach identischen Verfahren vorzugehen.

Darüberhinaus empfehlen wir, passende SPF-Records in der DNS-Zone für die Absender-E-Mai-Domain zu setzen.
Falls Sie die Mailserver der rockenstein AG nutzen, können Sie in Ihrem SPF-Record unsere Mailserver inkludieren:

• include:spf.rockenstein.de

Beispiel: "v=spf1 a mx include:spf.rockenstein.de -all"