SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Locked
bwestpha
Posts: 5
Joined: Mon 4. May 2020, 13:06

SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by bwestpha »

Hallo,

erst einmal: vielen Dank für das tolle System und das ihr das so zur Verfügung stellt. das ist nicht selbstverständlich und ich
bin sehr dankbar darüber :)

Ich habe eines meiner Systeme auf Keyhelp umgezogen, und seit dem geht für eine Domain der Email-Empfang nur noch eingeschränkt.

Erstmal zur Fehlermeldung:

Code: Select all

This is the mail system at host blablabla.kasserver.com
"I'm sorry to have to inform you that ,....."


The Mail system

<info@MEINEDOMAIN.de> (expanded from 
<team@externalDomain.de>): host 
mail@MEINEDOMAIN.de[123.456.789.012] said 550 5.7.23 
<info@MEINEDOMAIN.de>: Recipient address rejected: 
Message rejected due to: SPF fail - not authorized. Please see 
http://www.openspf.net/Why?s=mfrom;id=my_sender_mail@gmx.de;ip=85.13.xxx.xxx;r=
<UNKNOWN> 
(in reply to RCPT TO command)

Mails direkt an info@MEINEDOMAIN.de gehen korrekt durch, nur durch die Umleitung funktioniert es nicht.
Habe ich etwas nicht konfiguriert am SPF / DKIM Framework und meinen NS Einträgen, oder ist etwas auf dem blablabla.kasserver.com (welcher zur der 85er IP Adresse auflöst) nicht korrekt eingestellt?

Was mache ich falsch, oder was macht der Admin von 85.13.xxx.xxx falsch? o.O
Egal wie die Antwort ausfällt, gibt es eine Möglichkeit den Fehler auf meiner Seite trotzdem zu vermeiden? (für mich ist der Empfang der Mails irgendwie doch recht wichtig dann :D )


LG und vielen dank im Voraus
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by ShortSnow »

Hi,

SPF und Weiterleitungen... Ein Thema für Stunden :lol:

Ich versuchs mal:

Wenn ein Absender mit GMX Mailsadresse an eine Weiterleitung sendet, dann prüft der Eingangsmailserver den SPF der GMX Mailadresse. Der SPF von GMX ist leider so eingestellt, das der Eingansmailserver die Mail ablehnen soll, da die Mail für den Eingansmailserver ja vom Weiterleitungsserver kommt.

Der Weiterleitungsserver müsste SRS einsetzten um das zu umgehen. Allerdings zerstört das wieder ein Stück den Gedanken hinter SPF...

Hier ist das weitaus besser erklärt:

https://www.heinlein-support.de/blog/ne ... durch-spf/

Gruß Arne
bwestpha
Posts: 5
Joined: Mon 4. May 2020, 13:06

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by bwestpha »

Vielen Dank für den link und die Informationen,


Mhhh okay, das klingt interessant und irgendwie auch mächtig verwirrend / kaputt.
GMX ist halt das eine, es scheint aber nicht nur die zu betreffen (Web.de und private Anbieter / Agenturen ) haben das anscheinend ähnlich konfiguriert.

Fakt ist, ich hatte vorher das Postfach auch in Betrieb und vorher ging es tatsächlich. Ich habe von gmx und anderen Domains problemlos Mails empfangen können.

Erst seit der Neuinstallation werden diese von GMX o.A rejected.


Was kann ich machen :D ? (
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by ShortSnow »

Leitest Du denn intern um oder nach extern?

Intern wäre es ja Dein Mailserver der -All abweist. Das könntest Du umstellen... :roll:

Gruß Arne
bwestpha
Posts: 5
Joined: Mon 4. May 2020, 13:06

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by bwestpha »

Also ich schicke von

Code: Select all

----------         -------------                            -----------------------
| GMX    | ------> | EXTERN    |    --------------------->  | meinedomain.de      | 
----------         -------------                            -----------------------
                     (blablabla.kasserver.de)             
                     (85.13.xxx.xxx)

SPF policy von GMX ist anscheinend relativ strikt. Verstanden.
SPF policy von EXTERN ist nicht vorhanden. Also leer.
SPF policy von meinedeomain.de ist inzwischen auf "v=spf1 a mx ?all" (sicher noch nicht global, aber ich habe es mal abgeändert - just in case)


Wie ist denn der Ablauf,

GMX verschickt an EXTERN, EXTERN leitet weiter zu meiendomain.de . Mein dovecot checkt nun GMX SPF ob EXTERN für GMX versenden darf und merkt: Nein. Dann kommt der Abbruch. Richtig?

Warum ist die Fehlermeldung dann:
"This is the mailsystem from blablabla.kasserver.com" ...?


Oder schaut EXTERN auf die meinedomain.de DNS Einträge, sieht da ist ein SPF '-' gesetzt, also darf ich die nicht weiterleiten an meinedomain.de ?


So ganz steig ich noch nicht durch wo genau der Fehler liegt. Denn irgendwie muss es ja an der Konfiguration meines mailservers / meines DNS liegen warum es ggf. geht , oder eben nicht.

Danke schon mal vielmals!
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by ShortSnow »

Hi,

richtig. Der Kasserver stellt fest, das Dein Mailserver die Mail nicht möchte und gibt die Meldung raus.

Also, wenn Du Debian hast (Ubuntu, könnte genauso sein), dann schau mal nach der Datei:

/etc/postfix-policyd-spf-python/policyd-spf.conf

Code: Select all

HELO_reject False

Mail_From_reject False
Wenn beide auf True stehen, nimmt dein Mailserver die Mails (völlig zurecht :lol: ) nicht an. Auf False ändern und

Code: Select all

/etc/init.d/postfix restart

Gruß Arne
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by Martin »

Hallo,

das würde SPF allerdings gänzlich außer Kraft setzen.

Sinnvoller wäre es hier meines Erachtens den fraglichen externen Server, welcher die Weiterleitung durchführt auf die Whitelist zu setzen:

/etc/postfix-policyd-spf-python/policyd-spf.conf

Code: Select all

Whitelist = 85.13.xxx.xxx/32
Alternativ GMX.de von der SPF Prüfung ausnehmen:

Code: Select all

Domain_Whitelist = gmx.de
Viele Grüße,
Martin
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Post by ShortSnow »

Hi,
Martin wrote: Tue 5. May 2020, 10:18 das würde SPF allerdings gänzlich außer Kraft setzen
Naja ja nicht gänzlich. Nur Absenderadressen, deren Betreiber auf -All gesetzt haben kommen dann zusätzlich durch, Softfail usw. gingen vorab auch schon.

Aber der Header in den Mails bleibt ja. Da kann man immer noch auf "Fail" Filtern (Postfachregel) und Spamassin sollte auch für Fail extra Punkte vergeben.

Code: Select all

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=xxx.213.191.201; helo=smtp201.sendfour.de; envelope-from=bounce+caavdglqqaaahmoaabu44aaaaaaaaa7g4h7hsq@pfm-bounce.eu; receiver=<UNKNOWN>

X-Spam-Status: Yes, score=5.486 tagged_above=-9999 required=5
	tests=[BAYES_00=-1.9, DATE_IN_PAST_06_12=1.543, DKIM_SIGNED=0.1,
	DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
	HEADER_FROM_DIFFERENT_DOMAINS=0.25, HTML_MESSAGE=0.001,
	MIME_HTML_ONLY=0.1, PYZOR_CHECK=1.392, SPF_HELO_NONE=0.001,
	SPF_PASS=-0.001, URIBL_BLACK=1.7, URIBL_DBL_SPAM=2.5]
	autolearn=no autolearn_force=no
Das Beispiel ist übrigens eine Spam Mail, wo SPF auch "pass" ist. Leider sind die meisten so und mit SPF erreicht man wenig, außer, das man sich mit GMX und Web.de quält...

Allerdings wollen GMX und web.de auch die Mails am liebsten direkt und keine Weiterleitungen :D
ShortSnow wrote: Mon 4. May 2020, 13:56 SPF und Weiterleitungen... Ein Thema für Stunden
Gruß Arne
Locked