T-Online TOSA-Check

T-Online TOSA Check

Wenn du einen deutschen Mailserver betreibst, kennst du es vermutlich, dass beim Versand von E-Mails an @t-online.de bzw. @magenta.de-E-Mailadressen eine der folgenden Fehlermeldungen als Bounce zurückkommt:

host mx03.t-online.de[194.25.134.73]
refused to talk to me: 554 IP=89.58.54.140 - Dialup/transient IP not
allowed. Use a mailgateway or contact toda@rx.t-online.de if obsolete.
(DIAL)

oder

554 IP=<DEINE-NEUE-IP> - None/bad reputation. Ask your postmaster for
help or to contact tobr@rx.t-online.de for reset. (NOWL)

Oft liegt das einfach nur daran, dass du deinen Mailserver umgezogen hast und sich daraufhin dessen IP-Adresse geändert hat.

Mailversand zu T-Online testen

Jedes ernstzunehmende Unternehmen nutzt heutzutage hoffentlich keine E-Mailadresse mehr, die mit @t-online.de oder @magenta.de endet. In der Praxis kommt es dennoch vor, dass Menschen und Handwerker:innen das (noch) tun.

Und um diese wenigen verbleibenden Menschen zuvor nicht mit Testmails nerven zu müssen, gibt es jetzt das

Sende einfach eine E-Mail (Inhalt egal) an tosa-check@t-online.de ✉️ oder an tosa-check@magenta.de ✉️.

🔴 Falls überhaupt nichts passiert,

• kann es sein, dass das sog. Greylisting greift, d.h. die Mail wird von der Telekom erst nach einem erneuten Versandversuch deines Mailservers angenommen. Warte einfach noch etwas ab.
• versucht dein Mailserver die Mail immer wieder zuzustellen, wird von den Telekom-Servern aber mit einer der zu Beginn genannten Meldungen abgewiesen (z.B. Dialup/transient IP not allowed). Das Eintreffen der entsprechenden E-Mailbenachrichtigung (Delayed Mail (still being retried)) kann ein paar Stunden dauern.
• ging die Mail vllt. nie raus? (vllt. aufgrund einer Fehlkonfiguration?)
• hat die Telekom deine Mail stillschweigend als SPAM eingestuft und verworfen. Nutze am Besten einen Dienst wie mail-tester.com oder SMTPserver Free Mail Tester um die grundsätzliche Konfiguration deines Mailservers zu prüfen.

🟠 Falls du einen automatischen Bounce der Telekom mit weiteren Anweisungen (siehe Abschnitt zu Beginn) bekommst, kann dein Mailserver (noch) keine Mails an @t-online.de oder @magenta.de-Adressen versenden. Good luck beim Kontakt mit dem TO❎✅-Team 😅

🟢 Falls du hingegen folgenden Autoresponder: erhältst, ging deine Mail erfolgreich durch und dein Mailserver darf an @t-online.de oder @magenta.de-Adressen versenden:

• Autoresponder-Inhalt anzeigen

  --- ENGLISH VERSION BELOW ---

  Liebe:r Einsender:in,

  danke für deine E-Mail an das automatische Mailpostfach tosa-check@t-online.de 🤖.

  Da du diese Antwort bekommen hast, scheint der Mailversand an E-Mailadressen, die auf @t-online.de bzw. @magenta.de enden, zu funktionieren. Dein Mailserver scheint also keinen Einschränkungen durch die TOSA-Regeln der Telekom zu unterliegen (siehe https://postmaster.t-online.de/#t4). Deine an mich versendete E-Mail wurde automatisch gelöscht.

  WICHTIG: Jede Absender-Adresse wird vom T-Online E-Mailcenter nur EINMALIG mit der Abwesenheitsnotiz geantwortet und das für immer. Das ist eine Telekom-Beschränkung. Verwende für einen erneuten Test einfach eine andere Absende-Adresse, z.B. mit Plus-Adressierung (siehe https://machsmitplus.de/)

  Übrigens sind die TOSA-Regeln der Telekom mehr als umstritten und sollten deutlich kritisiert werden, v.a. weil sie teils willkürlich wirken und seitens der Telekom (zu) viel Interpretationsspielraum lassen (z.B. Punkt 4.1):

  "Aus dem Hostnamen (FQDN) zur IP-Adresse des anliefernden Systems muss für Betroffene die Domain und somit auch die Website des Betreibers mit unmittelbarer Kontaktmöglichkeit einfach recherchierbar und nachvollziehbar hervorgehen (RFC 1912, FCrDNS, EU-Richtlinie 2000/31/EG Artikel 5)."

  Wenn du mehr dazu lesen möchtest, schau gerne in diesen Thread:

  https://telekomhilft.telekom.de/conversations/e-mail/tosarxt-onlinede-fordert-impressum-von-privatpersonen/668887c54ae73561da68333e

  Lieber Gruß

  Dein automatisches Mailpostfach tosa-check@t-online.de 🤖

  PS: Mich erreichst du alternativ auch unter tosa-check@magenta.de

  PPS: Dies ist ein kostenfreier Service von SWEETGOOD (https://sweetgood.de/)

  --- ENGLISH VERSION ---

  Dear sender,

  Thank you for your email to the automated mailbox tosa-check@t-online.de 🤖.

  Since you have received this reply, it seems that sending mail to e-mail addresses ending with @t-online.de or @magenta.de seem to work. Your mail server does not appear to be subject to any restrictions due to Telekom's TOSA rules (see https://postmaster.t-online.de/#t4). The e-mail you initially sent to me was automatically deleted.

  IMPORTANT: Each sender address will only be replied to ONCE by the T-Online e-mail center with the out-of-office message and this applies forever. This is a Telekom restriction. Simply use a different sender address for a new test, e.g. with plus addressing (see https://machsmitplus.de/)

  Incidentally, Telekom's TOSA rules are more than controversial and should be clearly criticized, above all because they partly seem arbitrary and leave (too) much room for interpretation on the part of Telekom (e.g. point 4.1):

  "From the host name (FQDN) to the IP address of the delivering system, the domain and thus also the website of the operator with direct contact options must be easily searchable and comprehensible for those affected (RFC 1912, FCrDNS, EU Directive 2000/31/EC Article 5).""

  If you would like to read more about this, take a look at this German thread:

  https://telekomhilft.telekom.de/conversations/e-mail/tosarxt-onlinede-fordert-impressum-von-privatpersonen/668887c54ae73561da68333e

  Best regards,

  Your automated mailbox tosa-check@t-online.de 🤖

  PS: Alternatively, you can also reach me at tosa-check@magenta.de

  PPS: This free service is brought to you by SWEETGOOD (https://sweetgood.de/)

Viel Freude beim Testen deines E-Mailservers 🚀

Fall 1: IP-Wechsel SRV1 🔴

Die IP eines Mailservers (SRV1), der jahrelang mit guter Reputation in Betrieb war (und auch Mails an die Telekom zustellen durfte) hat sich geändert.

• 📤️ Initiale Anfrage: 2. Januar 2025 um 22:42

  Sehr geehrte Damen und Herren,
  
  bitte entfernen Sie die Sperre für die IP 5.5.5.5, der E-Mailserver wurde von 2.2.2.2 zu dieser neuen IP-Adresse umgezogen und hat eine einwandfreie Reputation. Auch die hauseigenen (branchenUNüblichen) Regeln von T-Online bzgl. eines "Zwangsimpressums" werden bei diesem Server berücksichtigt, siehe "Betreiberinfo" unter mx.sub.domain.de.

  Hier die Fehlermeldung:

  host mx03.t-online.de[194.25.134.73] refused to
    talk to me: 554 IP=5.5.5.5 - None/bad reputation. Ask your postmaster
    for help or to contact tobr@rx.t-online.de for reset. (NOWL)

  Falls Sie noch Informationen benötigen, melden Sie sich gerne. Danke.
  

  Gruß

  Christian Süßenguth

• 📥️ TOSA-Team: 3. Januar 2025 um 14:31

  Sehr geehrter Herr Süßenguth,
  
  on Thu, 02 Jan 2025 21:42:56 +0000, you wrote:
  
  554 IP=5.5.5.5 - None/bad reputation. Ask your postmaster for help or to contact tobr@rx.t-online.de for reset. (NOWL)

  Vielen Dank für Ihre Nachricht.
  
  Voraussetzung für eine Rücksetzung der Reputation ist eine
  Konfiguration, die sich nach den in unserer "Postmaster-FAQ"(*)
  beschriebenen Punkten richtet. Der Abschnitt 4.1 unserer Postmaster FAQ
  besagt (<https://postmaster.t-online.de/#t4.1>):
  
  "Aus dem Hostnamen (FQDN) zur IP-Adresse des anliefernden Systems
  muss für Betroffene die Domain und somit auch die Website des Betreibers
  mit unmittelbarer Kontaktmöglichkeit einfach recherchierbar und
  nachvollziehbar hervorgehen."
  
  Für "http(s)://[mx.sub.]domain.de" ist dies bisher noch nicht gegeben.
  Eine Webweiterleitung oder ein Link von dort zu einer Website mit
  entsprechend direkter Kontaktmöglichkeit(**) zur für den Versand von
  E-Mail von diesem System verantwortlichen Person wäre hierfür
  ausreichend, damit diese im Störungs- oder Missbrauchsfall /unmittelbar/
  erreichbar wäre.
  
  Das genannte System trägt einen Namen in der Domäne "domain.de" im
  PTR, zu dieser Domäne gibt es allerdings keinen MX Eintrag(***). D.h.
  die Domäne "domain.de" kann so auf regulärem Weg keine E-Mail für die
  vorgeschriebenen Funktionsadressen empfangen und ist deshalb nicht
  für ein Mailsystem geeignet.
  
  Jedes E-Mail System muss nach international gültigen Standards Konten
  haben, um technische oder andere systembezogene Fragen zu klären.
  Dies ist obligatorisch und wenn der Name des Systems (PTR) in der Domain
  "harznetz.de" liegt muss es dazu einen MX-Eintrag geben, damit diese
  Konten ohne Schwierigkeiten erreichbar sind und bedient werden können.
  
  (*) <https://postmaster.t-online.de/#t4>
  
  (**) Hinweis:
  Bei einer Störung steht das Medium E-Mail nicht zur Verfügung.
  Deshalb ist eine E-Mail Adresse in einer Domane des Systems
  nicht dafür geeignet.
  
  (***) Vgl.
  https://mxtoolbox.com/SuperTool.aspx?action=mx%3adomain.de&run=toolpage
  
  Mit freundlichen Grüßen

  Herr G.
  
  Deutsche Telekom AG
  E-Mail Engineering
  Deutsche-Telekom-Allee 9
  D-64295 Darmstadt
  E-Mail: tosa@rx.t-online.de
  www.telekom.de

• 📤️ SWEETGOOD: 3. Januar 2025 um 17:21

  Hallo Herr G.,
  
  vielen Dank für Ihre ausführliche Antwort.
  
  Ich habe mir Ihre Ausführungen nun mehrfach durchgelesen und kann nicht nachvollziehen, wo meinerseits eine Fehlkonfiguration vorliegen soll.
  
  Von der geänderten IP-Adresse abgesehen wurden seit meinem letzten Kontakt mit dem Telekom-Team keinerlei Änderungen im DNS vorgenommen. Mein Mailserver hat eine einwandfreie Reputation und Mails von/zu Telekom-Kunden wurden über Jahre problemlos zugestellt.
  
  Wieso das jetzt aufgrund eines IP-Adresswechsels plötzlich nicht mehr der Fall sein soll, erschließt sich mir nicht.
  

  "Aus dem Hostnamen (FQDN) zur IP-Adresse des anliefernden Systems
muss für Betroffene die Domain und somit auch die Website des Betreibers
mit unmittelbarer Kontaktmöglichkeit einfach recherchierbar und
nachvollziehbar hervorgehen."

Für "http(s)://[mx.sub.]domain.de" ist dies bisher noch nicht gegeben.
Eine Webweiterleitung oder ein Link von dort zu einer Website mit
entsprechend direkter Kontaktmöglichkeit(**) zur für den Versand von
E-Mail von diesem System verantwortlichen Person wäre hierfür
ausreichend, damit diese im Störungs- oder Missbrauchsfall /unmittelbar/
erreichbar wäre.

  Der Hostname zur anliefernden IP-Adresse 5.5.5.5 lautet mx.sub.domain.de. Diese Domain mx.sub.domain.de verweist auf eine Internetseite, von welcher aus man jederzeit an die von Ihnen geforderten Betreiberinfos gelangt. Das war auch vorher schon so und daran hat sich nichts geändert. Bitte sagen Sie mir doch, wo das angeblich "bisher noch nicht gegeben" sein soll.
  
  Ich entnehme ihrer Mail außerdem eine Forderung, wonach unter der "Hauptdomain" (domain.de) ein MX-Eintrag und damit auch ein Mailserver zu betreiben wäre. Bitte nennen Sie mir doch noch, auf welcher Grundlage Sie diese Forderung stellen. Mir ist von keinem anderen Mailserver-Provider eine derartige Forderung bekannt.

  D.h. die Domäne "domain.de" kann so auf regulärem Weg keine E-Mail für die
vorgeschriebenen Funktionsadressen empfangen und ist deshalb nicht
für ein Mailsystem geeignet.

  Das ist teilweise korrekt, denn diese Domain ist weder dafür gedacht, noch geplant, Mails zu empfangen oder zu versenden. Ich entscheide gerne selbst, wie ich meine Domains nutze und wenn diese Domains keine Mails empfangen soll und wird, erhält sie auch keinen MX-Eintrag. Der Betrieb eines Mailservers in einer Subdomain setzt meines Wissens nach nicht voraus, dass unter der Hauptdomain ebenfalls ein Mailserver betrieben werden muss. Daher ist die Domain mx.sub.domain.de in meinen Augen selbstverständlich für ein Mailsystem geeignet, da für diese Domain alle Anforderungen erfüllt sind.

  Jedes E-Mail System muss nach international gültigen Standards Konten
haben, um technische oder andere systembezogene Fragen zu klären.
Dies ist obligatorisch und wenn der Name des Systems (PTR) in der Domain
"harznetz.de" liegt muss es dazu einen MX-Eintrag geben, damit diese
Konten ohne Schwierigkeiten erreichbar sind und bedient werden können.

  Von welchen "vorgeschriebenen Funktionsadressen" sprechen Sie hier konkret? Bitte zitieren Sie doch auch hier konkrete Quellen, auf die ich mich stützen kann. Ich betreibe mehrere (baugleiche) Mailserver und habe eine derartige Forderung seitens der Telekom bei keinem der anderen Mailserver je erhalten, obwohl dort (aus selbigem Grund) ebenfalls keine MX-Einträge für die übergeordnete Domain gesetzt sind.

  Ich möchte noch einmal betonen, dass ich bei keinem anderen Mailprovider jemals so große Schwierigkeiten hatte, wie bei der Telekom. Mir ist schleierhaft, welche Agenda die Telekom mit diesem Verhalten verfolgt, denn es führt am Ende zu Frust und unnötigem Mehraufwand auf beiden Seiten. Und im Extremfall sogar dazu, dass Mailserver-Betreiber wie ich aktiv darauf hinwirken, dass Menschen ihre E-Mailadresse von der Telekom weg hin zu einem seriösen und v.a. kooperativen Provider migrieren. Ich kann mir schwer vorstellen, dass das in Ihrem Sinne ist.

  Vielen Dank schonmal im Voraus für Ihre Antwort.
  
  Gruß

  Christian Süßenguth

• 📥️ TOSA-Team: 3. Januar 2025 um 21:46

  Sehr geehrter Herr Süßenguth,
  
  vielen Dank für Ihre Nachricht. In dem genannten Abschnitt heißt es:
  
  "/Aus/ dem Hostnamen ...muss ...die /Domain/ und somit auch die
  Website...hervorgehen."
  
  Primär ist demnach "http(s)://domain.de" gemeint und dort ist keine
  Kontaktinformation zu finden.
  
  Information zur notwendigen Funktionsadresse für ein Mailsystem finden
  Sie z.B. unter <https://en.wikipedia.org/wiki/Postmaster_(computing)>.
  Zur problemlosen Erreichbarkeit ist ein MX Eintrag zu jeder Domäne auf
  dem System erforderlich.
  
  Bitte beachten Sie:
  
  Wir bitten um Verständnis, dass es nicht zu unseren Aufgaben gehört, die
  Policies der Deutschen Telekom mit Dritten zu diskutieren. (Ein Kontakt-
  Formular o.ä. hätte aber wohl auch genügt, um eine "unmittelbarere
  Kontaktmöglichkeit" für Betroffene im Falle von Störungen und Missbrauch
  zu gewährleisten und u.a. auch den "Best Practices for running a mail
  server" der Mailop.org, vgl. https://www.mailop.org/best-practices/, zu
  entsprechen.)
  
  Alternativ nutzen Sie bitte ein SMTP-Relay/Mailgateway Ihres Hosters
  oder eines anderen Anbieters, wie diese kostenlos im Internet angeboten
  werden (bspw. hier: https://support.google.com/a/answer/2956491?hl=de).
  
  Mit freundlichen Grüßen
  Herr G.
  
  Deutsche Telekom AG
  E-Mail Engineering
  Deutsche-Telekom-Allee 9
  D-64295 Darmstadt
  E-Mail: tosa@rx.t-online.de
  www.telekom.de

• 📤️ SWEETGOOD: 4. Januar 2025 um 00:14

  Sehr geehrter Herr G.,
  
  danke für Ihre Antwort.

  Ein Kontakt-Formular o.ä. hätte aber wohl auch genügt, um eine "unmittelbarere
Kontaktmöglichkeit" für Betroffene im Falle von Störungen und Missbrauch
zu gewährleisten und u.a. auch den "Best Practices for running a mail
server" der Mailop.org, vgl. https://www.mailop.org/best-practices/, zu
entsprechen.

  Verstehe ich Sie richtig, dass der Deutschen Telekom ein Kontaktformular ausreicht, um die "unmittelbarere Kontaktmöglichkeit für Betroffene im Falle von Störungen und Missbrauch zu gewährleisten"? Das wäre zumindest eine datenschutzfreundliche Möglichkeit, mit dieser Anforderung der Telekom umzugehen.

  "/Aus/ dem Hostnamen ...muss ...die /Domain/ und somit auch die
Website...hervorgehen."

Primär ist demnach "http(s)://domain.de" gemeint und dort ist keine
Kontaktinformation zu finden.

  Genau das ist der Fall. Der Hostname des Mailsystems lautet mx.sub.domain.de und die zugehörige Domain lautet ebenfalls mx.sub.domain.de, unter welcher eine entsprechende Betreiberinfo zu finden ist. Wieso sie immer wieder von der Domain domain.de sprechen, erschließt sich mir nicht. Falls das E-Mailsystem mx.sub.domain.de selbst Störungen oder einen Missbrauch aufweist, ist die Domain mx.sub.domain.de über HTTPS weiterhin erreichbar und die Betreiberinfo somit einsehbar/nutzbar. Damit sind die Anforderungen der Deutschen Telekom diesbezüglich vollständig erfüllt.

  Ich zitiere weiterhin aus Ihrer E-Mail:

  Information zur notwendigen Funktionsadresse für ein Mailsystem finden
Sie z.B. unter <https://en.wikipedia.org/wiki/Postmaster_(computing)>.
Zur problemlosen Erreichbarkeit ist ein MX Eintrag zu jeder Domäne auf
dem System erforderlich.

  Auch das ist der Fall. Es kommen nämlich keine anderen Domänen für SMTP zum Einsatz als mx.sub.domain.de. Nach Ihrer Argumentation müsste auch für sub.domain.de ein MX-Eintrag vorhanden sein, was jedweder Logik entbehrt, denn mein Mailserver könnte auch unter der Domain sehr.lange.domain.mx.sub.domain.de RFC-konform betrieben werden, ohne dass für die einzelnen Subdomains MX-Einträge notwendig wären. Ihre Forderung "Zur problemlosen Erreichbarkeit ist ein MX Eintrag zu jeder Domäne auf dem System erforderlich" geht nicht aus dem Wikipedia-Artikel und dem RFC-Standard hervor und ist mir bislang auch noch nie über den Weg gelaufen.

  Hier das Zitat des von Ihnen genannten Wikipedia-Artikels:

  Every domain that supports the SMTP protocol for electronic mail is
required by RFC 5321 and, as early as 1982, by RFC 822, to have the postmaster address.

  Darüber hinaus werden Ihrerseits zwei Dinge immer wieder abwechselnd genannt, nämlich die ausschließlich von der Deutschen Telekom geforderten Betreiberinfo und der vom RFC geforderte MX-Eintrag zur einfachen Kontaktaufnahme über die postmaster@-Adresse.

  Der MX-Eintrag für die Domain, unter welcher das versendende Mailsystem betrieben wird, ist vorhanden:

  mx.sub.domain.de. 3600 IN MX 10 mx.sub.domain.de.

  Für alle weiteren Domains (sub.domain.de oder domain.de) gab es nie einen MX-Eintrag und wird es auch nicht geben.

  Für den Kontakt zum Mailserver-Betreiber im Fehlerfall des Mailservers sind alle Kontaktinformationen über die von Ihnen geforderte Betreiberinfo per HTTPS unter mx.sub.domain.de einsehbar.

  Damit sind auch hier alle Anforderungen der Deutschen Telekom vollständig erfüllt.

  Ich bitte daher erneut um einen Reputations-Reset der neuen IP-Adresse für diesen Server.

  Danke!

  Gruß

  Christian Süßenguth

• 📥️ TOSA-Team: 4. Januar 2025 um 12:11

  Sehr geehrter Herr Süßenguth,
  
  vielen Dank für Ihre Rückmeldung.
  
  Wir werden veranlassen, dass die Reputation dieser IP-Adresse bei
  unserem System resettet wird. Bitte berücksichtigen Sie, dass es bis zu
  24 Stunden dauern kann, bis die Änderung wirksam wird, erfahrungsgemäß
  dürfte es allerdings in ein bis zwei Stunden erledigt sein.
  
  Bitte beachten Sie:
  
  Es gibt derzeit zur Domain des Hostnamens, also "domain.de", keinen
  MX-Eintrag im DNS. Im Falle einer Spambeschwerde eines Kunden führt das
  dann ggf. zu einem negativen Resultat einer Reputationsprüfung und damit
  zu einem erneuten Listing der IP. Wir raten deshalb, unbedingt einen
  MX-Eintrag für die Domain einzurichten.
  
  Mit freundlichen Grüßen
  Herr B.
  
  Deutsche Telekom AG
  E-Mail Engineering
  Deutsche-Telekom-Allee 9
  D-64295 Darmstadt
  E-Mail: tosa@rx.t-online.de
  www.telekom.de

• 📤️ SWEETGOOD: 4. Januar 2025 um 14:45

  Sehr geehrter Herr B.,
  
  ich danke Ihnen für Ihre Antwort.

  Leider wurde darin eine essenzielle Frage noch nicht beantwortet, um deren Beantwortung ich bitte.

  Ihr Kollege hat mir folgende Passage in der Mail zuvor gesendet:

  Ein Kontakt-Formular o.ä. hätte aber wohl auch genügt, um eine
"unmittelbarere Kontaktmöglichkeit" für Betroffene im Falle von
Störungen und Missbrauch zu gewährleisten und u.a. auch den "Best
Practices for running a mail server" der Mailop.org, vgl.
https://www.mailop.org/best-practices/, zu entsprechen.

  Verstehe ich richtig, dass der Deutschen Telekom ein Kontaktformular ausreicht, um die "unmittelbarere Kontaktmöglichkeit für Betroffene im Falle von Störungen und Missbrauch zu gewährleisten"? Das wäre zumindest eine datenschutzfreundliche Möglichkeit, mit dieser Anforderung der Telekom umzugehen.

  Ich freue mich auf eine Antwort zu dieser Frage.
  

  Gruß

  Christian Süßenguth

• 📥️ TOSA-Team: 4. Januar 2025 um 15:02

  Sehr geehrter Herr Süßenguth,
  
  aus unserer Sicht reicht ein Kontaktformular aus. Dieses sollte auch
  dann funktionieren, wenn der Mailserver selbst nicht erreichbar sein
  sollte, aber das lässt sich natürlich durch uns nicht verifizieren.
  
  Mit freundlichen Grüßen
  Herr B.
  
  Deutsche Telekom AG
  E-Mail Engineering
  Deutsche-Telekom-Allee 9
  D-64295 Darmstadt
  E-Mail: tosa@rx.t-online.de
  www.telekom.de

• 📤️ SWEETGOOD: 4. Januar 2025 um 15:04

  Sehr geehrter Herr B.,
  
  vielen Dank für diese Auskunft, das hilft mir und meinen Kolleg:innen schon deutlich weiter.
  
  Ich danke Ihnen fürs Weiterhelfen und wünsche ein schönes verlängertes Wochenende 🙏

  
  Gruß

  Christian Süßenguth