Syman­tec bie­tet unter ande­rem auch einen Mail­ser­ver für Unter­neh­men an mit einer eige­nen Black­list. Wer auf die­ser gelan­det ist, hat es nicht gera­de leicht, sich dort ent­fer­nen zu lassen.

Betreibt man einen eige­nen Mail­ser­ver (wie ich), wird frü­her oder spä­ter immer wie­der mal mit dem Pro­blem kon­fron­tiert wer­den, dass die ver­sen­de­te E‑Mail nicht zuge­stellt wer­den konn­te, weil man auf der Black­list des Mail­ser­vers vom Emp­fän­ger gelan­det ist.

Auch Syman­tec betreibt einen Mail­ser­ver mit einer Black­list und ver­wei­gern die Annah­me von Mails, wenn die der Mei­nung sind, dass der Ser­ver in der Ver­gan­gen­heit Spam ver­sen­det hat. Über den Mail-Log lässt sich meis­tens her­aus­fin­den, wie man eine Ent­fer­nung auf deren Black­list bean­tra­gen kann.

In die­sem Fall ist es lei­der nicht ganz so leicht, wie ich es selbst erle­ben muss­te. Zwar wird im Log mit­ge­teilt, dass man auf der Black­list gelan­det ist und bie­tet auch direkt eine Anlauf­stel­le für wei­te­re Infor­ma­tio­nen an, aber die Infos hin­ter der Web­sei­te sind nicht wirk­lich hilfreich.

Es wer­den zwei Mel­dun­gen aus­ge­ge­ben, wenn man auf der Black­list gelan­det ist. Sie sehen unge­fähr so aus:

May 14 13:48:13 host postfix/smtp[8640]: 546ED358122E: host cluster8.eu.messagelabs.com[85.158.140.211] refused to talk to me: 501 Connection rejected by policy [7.7] 19402, please visit www.messagelabs.com/support for more details about this error message.

May 14 13:48:13 host postfix/smtp[8640]: 546ED358122E: to=<x>, relay=cluster8.eu.messagelabs.com[85.158.142.194]:25, delay=0.86, delays=0.09/0/0.77/0, dsn=4.0.0, status=deferred (host cluster8.eu.messagelabs.com[85.158.142.194] refused to talk to me: 501 Connection rejected by policy [7.7] 23905, please visit www.messagelabs.com/support for more details about this error message.)

Hin­ter der Web­sei­te die im Log genannt wird kann man aber nicht wirk­lich Kon­takt mit dem Sup­port auf­neh­men. Statt­des­sen wird dort über die Cloud gefa­selt und ein paar Tipps zur eige­nen Daten­si­cher­heit gegeben.

Nach rela­tiv lan­ger Recher­chen und Eigen­tests habe ich nun her­aus­ge­fun­den, wie man sich von der Black­list ent­fer­nen las­sen kann. Dazu lei­tet man die regu­lär ver­sen­de­te Mail an den Emp­fän­ger „[email protected]” (Syman­tec Bright­mail Inves­ti­ga­ti­ons) wei­ter und gibt direkt am Bes­ten noch den eige­nen Host­na­men als Domain sowie die IP-Adres­se vom eige­nen Mail­ser­ver an.

In der Regel erhält man dann zeit­nah eine Rück­mel­dung damit, dass der eige­ne Mail­ser­ver nicht mehr auf deren Black­list ist und es rund 48 Stun­den dau­ern kann, bis man wie­der Mails annimmt. Schreibt man ledig­lich nur eine Mail hin (auch mit Anga­be der IP-Adres­se), ver­zö­gert die Ent­fer­nung nur. Denn sie wol­len die ursprüng­li­che ver­sen­de­te Mail sehen, sowie „noch­mal” eine Bestä­ti­gung, dass das auch die betrof­fe­ne (eige­ne) IP-Adres­se ist und noch­mal schrei­ben muss an denen per Mail.

There was no sample message attached to this escalation. Please send us the sample message so that we can proceed with the investigation process.