ich bin gerade etwas irritiert über das Verhalten des neuen Outlook (Microsoft 365 / Outlook.com) und würde gern mal hören, wie andere Mailadmins / Hoster damit umgehen bzw. ob ich hier etwas falsch einordne.
Uns ist bei mehreren Kunden aufgefallen, dass das neue Outlook nicht mehr direkt "von lokal" gegen den konfigurierten SMTP-Server authentifiziert, sondern die Submission über Microsoft-Infrastruktur (outlook.com) läuft.
Die Kunden haben dabei ganz normale externe IMAP-/SMTP-Postfächer bei uns gehostet, also kein Exchange Online.
In den Received-Headern sieht das dann z. B. so aus (erster Received-Header):
Code: Select all
Received: from [2603:1026:c03:783b::5]
(helo=AS5PR09MB8631.eurprd09.prod.outlook.com)
by relay.example.net with esmtpsa (TLS1.3)
(Exim 4.98)
(envelope-from <kunde@example.org>)
Microsoft authentifiziert sich aktiv per SMTP AUTH gegen unseren Submission-Server – nicht mehr der Client direkt.
Dadurch ergeben sich bei uns gerade mehrere Probleme bzw. Fragestellungen:
* Fehlersuche wird schwierig, weil in Logs nur noch Microsoft auftaucht
* Kunden glauben natürlich weiterhin, Outlook würde direkt mit unserem SMTP sprechen
* lokale Mailwege verlassen plötzlich das eigene RZ und laufen über Microsoft
* Support landet trotzdem bei uns
* Kunden scheinen nicht wirklich klar darüber informiert zu werden, dass Microsoft die SMTP-Authentifizierung stellvertretend übernimmt
Davon, dass die Credentials der bei uns existierenden Postfächer bei MS gespeichert werden und nicht mehr lokal auf dem Rechner des Kunden, rede ich nicht mal.
Besonders irritierend fand ich aber Fälle, in denen Kunden im M365-/Teams-Kontext bei MS Adressen mit ihrer eigenen Domain anlegen, die auf der eigentlichen Mailinfrastruktur bei uns gar nicht existieren, Outlook/M365 verwendet diese aber trotzdem als Absenderidentität für den Versand. Die Adresse vorname.nachname@[beiUnsGehosteteKUNDENDOMAIN] existiert so nicht bei uns. Wir sind aber der zuständige MX, stellen den autoritativen NS…
Code: Select all
Received: from mail01.[unserMailhost]
by mail01.[unserMailhost] with LMTP
id YMZfBl5xDGoGKgkAaz1+GQ
(envelope-from <vorname.nachname@[beiUnsGehosteteKUNDENDOMAIN]>)
for <support@[unserMailhost]>; Tue, 19 May 2026 16:19:10 +0200
Received: from DB3PR0202CU003.outbound.protection.outlook.com
(mail-northeuropeazon11020087.outbound.protection.outlook.com [52.101.84.87])
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
key-exchange ECDHE (secp384r1) server-signature RSA-PSS (4096 bits) server-digest SHA256)
(No client certificate requested)
by mail01.[unserMailhost] (Postfix) with ESMTPS id 7ACE2DC8BF
for <support@[unserMailhost]>; Tue, 19 May 2026 16:19:04 +0200 (CEST)
Authentication-Results: mail01.[unserMailhost];
dkim=pass header.d=tenant.onmicrosoft.com
header.s=selector1-tenant-onmicrosoft-com header.b=MOkuXYZZ;
arc=pass ("microsoft.com:s=arcselector10001:i=1");
spf=softfail
(mail01.[unserMailhost]: 52.101.84.87 is neither permitted nor denied by domain of
vorname.nachname@[beiUnsGehosteteKUNDENDOMAIN])
smtp.mailfrom=vorname.nachname@[beiUnsGehosteteKUNDENDOMAIN];
dmarc=none
ARC-Authentication-Results: i=1; mx.microsoft.com 1;
spf=pass smtp.mailfrom=[beiUnsGehosteteKUNDENDOMAIN];
dmarc=pass action=none header.from=[beiUnsGehosteteKUNDENDOMAIN];
dkim=pass header.d=[beiUnsGehosteteKUNDENDOMAIN];
arc=none
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=tenant.onmicrosoft.com;
s=selector1-tenant-onmicrosoft-com;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version;
bh=+ga143YMGsks68pofst0pHkX0I/aLeAPMGgY0xWXMcM=;
b=MOkuXYZZmk+oSa4XAAomw0Pxvg1gNu9MfyVii5wpF9uPX0o6ruS+pObjuNkVsXwez0...
Received: from DU0P190MB1825.EURP190.PROD.OUTLOOK.COM
(2603:10a6:10:349::8)
by GVXP190MB2596.EURP190.PROD.OUTLOOK.COM
(2603:10a6:150:2ac::8)
with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
id 15.21.25.24;
Tue, 19 May 2026 14:18:57 +0000
Received: from DU0P190MB1825.EURP190.PROD.OUTLOOK.COM
([fe80::40e2:70a6:7b71:444b])
by DU0P190MB1825.EURP190.PROD.OUTLOOK.COM
([fe80::40e2:70a6:7b71:444b%6])
with mapi id 15.21.0025.023;
Tue, 19 May 2026 14:18:56 +0000
Bisher kommen Mails von diesen MS-Tenants zum Teil bei Empfängern an, da wir DMARC mit p=quarantine und die Policy auf relaxed haben. Aber spätestens mit
Code: Select all
v=DMARC1; p=reject; adkim=r; aspf=s;
Code: Select all
v=DMARC1; p=reject; adkim=s; aspf=s;
Dadurch entstehen dann Konstrukte wie:
* MX bei uns
* SMTP bei uns
* aber Submission und DKIM über Microsoft ("with Microsoft SMTP Server")
* dadurch potenziell zusätzliche Probleme mit SPF/DKIM/DMARC-Alignment und Zustellbarkeit
* Natürlich können die Antworten nicht zugestellt werden, da das Postfach im zuständigen MX nicht existiert.
* Und natürlich schlägt auch SMTP-Authentifizierung fehl, was dann als Supportfall bei uns landet.
Ich frage mich gerade ehrlich:
Bin ich hier einfach zu altmodisch unterwegs oder empfindet ihr das ebenfalls als problematisch?
Und zweite Frage:
Informiert ihr eure Kunden aktiv über diese Veränderung des Mailflusses bzw. darüber, dass Zugangsdaten und Mailverkehr faktisch über Microsoft-Infrastruktur laufen können?
Oder ist das inzwischen einfach „normal“ und ich reagiere über?
Würde mich wirklich interessieren, wie andere Hoster/Admins das aktuell handhaben.
Gruß,
T
Edit: die Code-Tags waren falsch.