add Google OSPB post
[web.git] / personal / _posts / 2020-07-24-outlook.com-considered-harmful.md
1 ---
2 title: "Outlook.com Considered Harmful"
3 categories: rant sysadmin
4 ---
5
6 I am administrating the server that hosts this blog myself, and this includes running and maintaining my own mail server.
7 Email is a messy and complicated bit of infrastructure, born in a more innocent age where everyone connected to the internet trusted each other.
8 Over time, is has grown many layers of band-aids to provide at least some level of security.
9 Email is also beautiful, it is the most widely used example of federated infrastructure: in principle, anybody can set up a mail server and communicate with everyone else, no matter which provider they are using.
10 This is an amount of organizational resilience and user freedom that most messenger services can only dream of.
11
12 Perhaps surprisingly, I have had very little trouble with my own server; most big email providers do a good job blocking spam while permitting small independent mail servers to operate smoothly (this includs even Gmail, to my astonishment).
13 There is just one exception: Microsofts Outlook.com (formerly Hotmail.com) and the other services using the same underlying infrastructure (such as live.com).
14
15 <!-- MORE -->
16
17 Over the years, except for one brief issue with AT&T, only Microsoft ever rejected mails from my server.
18 This recently started happening again:
19
20 ```
21 <...>: host eur.olc.protection.outlook.com[104.47.22.161]
22     said: 550 5.7.1 Unfortunately, messages from [109.230.236.95] weren't sent.
23     Please contact your Internet service provider since part of their network
24     is on our block list (S3140). You can also refer your provider to
25     http://mail.live.com/mail/troubleshooting.aspx#errors.
26     [DB8EUR06FT011.eop-eur06.prod.protection.outlook.com] (in reply to MAIL
27     FROM command)
28 ```
29
30 So somehow, this server outright blocks everything coming from my IP, even though I am not listed on the usual blacklists.
31 Usually, the process is to find the form that Microsoft expects sysadmins to fill out for such cases (the URL of that form keeps changing and even much of Microsoft's documentation points to broken pages; the current form seems to be [this one](https://support.microsoft.com/en-us/supportrequestform/8ad563e3-288e-2a61-8122-3ba03d6b8d75)).
32 I fill out that form, and after a week or so emails work again.
33 I had to do this maybe four times over the last eight years (compared to once for AT&T and never for every other provider).
34 Last time, their guidelines insisted that I set up [SPF](https://en.wikipedia.org/wiki/Sender_Policy_Framework), which I did even though I am not a fan of that technology since it breaks email forwarding.
35 The better alternative is [DKIM](https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail), but amusingly, Microsoft [does not implement DKIM](https://sendersupport.olc.protection.outlook.com/pm/policies.aspx) ("Microsoft currently only validates inbound mail via SPF and Sender ID authentication").
36
37 However, setting up SPF seemingly was not enough.
38 This time, my request for unblocking my IPs was rejected.
39 I requested that I be told the reason for this, since as far as I am aware I am following all the usual best practices for mail servers.
40 The only response I was able to get is
41
42 > As previously stated, your IP's
43 > (109.230.236.95,
44 > 109.230.224.234)
45 > do not qualify for mitigation at this time.  I do apologize, but I am unable to provide any details about this situation since we do not have the liberty to discuss the nature of the block.
46
47 They did claim that "Hotmail customers have reported email from this IP as unwanted", but were unwilling to provide any details, so this is not an issue that I can diagnose.
48 Instead each new response linked to a different [set of guidelines](https://postmaster.live.com/pm/postmaster.aspx) or [whitepaper](https://download.microsoft.com/download/e/3/3/e3397e7c-17a6-497d-9693-78f80be272fb/enhance_deliver.pdf).
49 The only explanation I have is that my mailman instance could have caused [backscatter spam](https://en.wikipedia.org/wiki/Backscatter_(email)), which I have since tried to mitigate.
50
51 They also referred me to various "programs" I could join to help manage my IPs reputation, but all of these programs require a Microsoft account.
52 I have created such accounts in the past several times, most recently to experiment with Azure CI, and after a few months when I try to log in, I always get a message like this:
53
54 ![locked Microsoft account](/assets/azure-login.png)
55
56 (They also reject "+" characters in email addresses, hence the use of an "_" above.
57 They say "+" is an invalid character, which of course is just plain wrong.)
58
59 I am not sure what "activity" they have detected while I was not using my account for a month (yes I used a strong password); maybe that on its own is already violating their ToS.
60 Subsequently, they insist on me giving them my mobile phone number.
61 Needless to say, that is an entirely unacceptable request; my phone number is a too sensitive piece of personal information (comparable to my physical mail addresses) for me to share it with Microsoft.
62 Better stay away from Azure CI if you care about such matters.
63
64 Given the lack of proper security for text messages, this process is also unsuited to establish account security; if that was really their interest, they would insist on setting up two-factor authentication via some standard [OTP protocol](https://en.wikipedia.org/wiki/One-time_password#Standardization).
65 But this is not about the security of my account, it is a cheap method to prevent mass account creation and a thinly veiled attempt to collect more personal information.
66 Google at least requests the phone number upon account creation (so I know to stay away from the beginning); Microsoft is more sinister in that they let you use their service for some time so you start relying on it before they force you to hand over your phone number or be locked out.
67
68 To conclude, if you are using Outlook.com for your email, I am afraid I cannot respond to messages you are sending to me.
69 I can only recommend finding a better email provider.
70 Microsoft clearly could not care less about a decentralized internet; their policies are actively driving us towards a small oligopoly of big email providers with little choice left for users.
71 They are not even themselves implementing a reasonable minimum of email security technology (such as DKIM), but at the same time block servers without any means for sysadmins to learn what they are accused of.
72 I am only happy that I hardly notice this because most people already use more reasonable email providers.