Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen  [GELÖST]

Locked
545c84
Posts: 13
Joined: Tue 5. Jul 2022, 13:24
Location: Königswinter

Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by 545c84 »

Hallo zusammen,

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
=> definitiv, da hier eine Policy mit installiert wird, die (möglichen) SPAM mittels Abgleich DKIM und/oder SPF filtert. Diese Funktion muss in meiner Konfiguration raus. Der Mailserver soll ALLE E-Mails annehmen, da diese bereits über ein Anti-Spam-Gateway vorgefiltert werden.


Server-Betriebssystem + Version
Debian 11.3 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
Proxmox Virtual Environment => (reguläre) VM


KeyHelp-Version + Build-Nummer
22.0.1 (Build 2660)


Problembeschreibung / Fehlermeldungen
Der Server soll ALLE ihm zugestellten E-Mails ungeachtet von SPF und DKIM annehmen. Die Mails werden bereits durch ein Anti-Spam-Gateway vorgefiltert und was dort durch kommt, soll auch zugestellt werden. Leider weist der Server diverse E-Mails zurück.

Erwartetes Ergebnis
250 2.0.0 Ok: queued as...

Tatsächliches Ergebnis
Remote Server returned '554 5.7.0 [...] Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=prvs=178036e1c=sascha.ullmann@*****.de;ip=[IPv6];r=<UNKNOWN>>

Schritte zur Reproduktion
E-Mail von einer Domain senden, die einen "harten" Abweisungs-SPF im DNS hat.

Zusätzliche Informationen (Log ohne Filter)

Vorab zur Info: bonn.hpzone.de (138.201.115.0) ist das Mailgateway, das vorfiltert. koenigswinter.hpzone.de (138.201.115.1) ist der KeyHelp-driven Mail- und Webserver.

Code: Select all

cat /var/log/mail.log |grep "Sascha.Ullmann"
Jul  3 08:03:23 koenigswinter postfix/smtpd[600693]: NOQUEUE: reject: RCPT from bonn.hpzone.de[138.201.115.0]: 550 5.7.23 <Sascha.Ullmann@hpzone.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=bounce-mc.us10_42031197.1000837-8d1846c137@*v.net;ip=138.201.115.0;r=<UNKNOWN>; from=<bounce-mc.us10_42031197.1000837-8d1846c137@*v.net> to=<Sascha.Ullmann@hpzone.de> proto=ESMTP helo=<bonn.hpzone.de>
Jul  3 10:04:26 koenigswinter postfix/smtpd[617695]: NOQUEUE: reject: RCPT from bonn.hpzone.de[138.201.115.0]: 550 5.7.23 <Sascha.Ullmann@hpzone.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=return@*.*e.net;ip=138.201.115.0;r=<UNKNOWN>; from=<return@*.*e.net> to=<Sascha.Ullmann@hpzone.de> proto=ESMTP helo=<bonn.hpzone.de>
Jul  4 07:49:32 koenigswinter postfix/smtpd[813375]: NOQUEUE: reject: RCPT from bonn.hpzone.de[138.201.115.0]: 550 5.7.23 <Sascha.Ullmann@hpzone.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=bounces-141368-19984038@*.*z.org;ip=138.201.115.0;r=<UNKNOWN>; from=<bounces-141368-19984038@*.*z.org> to=<Sascha.Ullmann@hpzone.de> proto=ESMTP helo=<bonn.hpzone.de>
Jul  4 12:22:13 koenigswinter postfix/smtp[852919]: 6F2DD440083C: to=<sascha@ullmann.nrw>, orig_to=<Sascha.Ullmann@hpzone.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.29, delays=0.17/0.01/0/0.11, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 89BFE44009DA)
Jul  4 21:16:58 koenigswinter postfix/smtp[945144]: 4EF264400490: to=<sascha@ullmann.nrw>, orig_to=<Sascha.Ullmann@hpzone.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.45, delays=0.29/0.01/0/0.15, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 750B64401366)
Jul  5 02:20:08 koenigswinter postfix/smtpd[988350]: NOQUEUE: reject: RCPT from bonn.hpzone.de[2a01:4f8:202:6369:1::2]: 550 5.7.23 <Sascha.Ullmann@hpzone.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=system@f*e.de;ip=2a01:4f8:202:6369:1::2;r=<UNKNOWN>; from=<System@F*e.de> to=<Sascha.Ullmann@hpzone.de> proto=ESMTP helo=<bonn.hpzone.de>
Jul  5 08:36:37 koenigswinter postfix/smtp[1042406]: E665F44007C9: to=<sascha@ullmann.nrw>, orig_to=<Sascha.Ullmann@hpzone.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.27, delays=0.08/0/0.01/0.19, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 210EB4401495)
Jul  5 09:59:53 koenigswinter postfix/smtp[1054250]: F169E44007C9: to=<sascha@ullmann.nrw>, orig_to=<Sascha.Ullmann@hpzone.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.73, delays=0.47/0.03/0/0.22, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 3AA414401495)
Jul  5 11:06:33 koenigswinter postfix/smtpd[1063430]: NOQUEUE: reject: RCPT from bonn.hpzone.de[2a01:4f8:202:6369:1::2]: 550 5.7.23 <Sascha.Ullmann@hpzone.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=return@n*.*e.net;ip=2a01:4f8:202:6369:1::2;r=<UNKNOWN>; from=<return@n*.*e.net> to=<Sascha.Ullmann@hpzone.de> proto=ESMTP helo=<bonn.hpzone.de>
Jul  5 13:30:38 koenigswinter postfix/smtpd[1086001]: NOQUEUE: reject: RCPT from bonn.hpzone.de[2a01:4f8:202:6369:1::2]: 550 5.7.23 <sascha@ullmann.nrw>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=prvs=178036e1c=sascha.ullmann@orbit.de;ip=2a01:4f8:202:6369:1::2;r=<UNKNOWN>; from=<prvs=178036e1c=Sascha.Ullmann@orbit.de> to=<sascha@ullmann.nrw> proto=ESMTP helo=<bonn.hpzone.de>
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen  [GELÖST]

Post by Florian »

Hallo,

dann einfach unter /etc/postfix-policyd-spf-python/policyd-spf.conf eine Whitelist mit der IP des Mailgateways definieren.

Syntax ist hier zu finden: https://manpages.debian.org/testing/pos ... .5.en.html
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
545c84
Posts: 13
Joined: Tue 5. Jul 2022, 13:24
Location: Königswinter

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by 545c84 »

Wow, das ging schnell!
Vielen Dank!

Problem gelöst!
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by MLan »

mach doch einfach so

Code: Select all

v=spf1 mx a:koenigswinter.hpzone.de ~all
545c84
Posts: 13
Joined: Tue 5. Jul 2022, 13:24
Location: Königswinter

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by 545c84 »

MLan wrote: Thu 7. Jul 2022, 12:33 mach doch einfach so

Code: Select all

v=spf1 mx a:koenigswinter.hpzone.de ~all
Hallo @MLan,
DAS funktioniert in diesem Sinne leider nicht, da nicht das heraussenden, sondern der Empfang gestört war...
Hier gilt es zu bedenken, dass ich, wenn ich zum Beispiel von meiner @orbit.de - Mailadresse aus sende, den SPF der Domain orbit.de als Grundlage habe, weswegen der Mailserver (koenigswinter.hpzone.de) die Mail abgewiesen hat, weil der SPF der orbit.de NICHT zum selbstbetriebenen Mailgateway (bonn.hpzone.de) passt. Dies ist nun gelöst, indem ich den Hinweis von Florian genommen habe und das Mailgateway damit gewhitelistet habe...
Da ALLE E-Mails nur über das Gateway laufen (ausgehend wie eingehend), habe ich somit das Problem nicht mehr, eben weil er nichts gegencheckt, wenn die Mail übers Gateway "eingeworfen" wird...

Der Port 25 (Haupt-Kommunikationsport aller Mailserver) ist überdies mittels Firewallregel ausschließlich über das Mailgateway erreichbar, womit ich die Zustellung über Direktzuweisungen (z.B. Domainspoofing) des Mailservers und die Hackversuche auf Port 25 eliminiert habe...

Um es, zum besseren Verständnis, kurz zu Skizzieren...:
Internet => Mailgateway => Mailserver || Mailserver => Mailgateway => Internet => Endpunkt

Somit sind Versuche, den Server zum Spamrelay zu machen nahezu gänzlich eliminiert, da alle (bisher) protokollierten Hackversuche ausschließlich auf Port 25 stattfanden, welcher nun ja nicht mehr von extern erreichbar ist... Überdies besitzt das Mailgateway keinerlei Mailboxen, sodass ich mich seit einiger Zeit über die Hackversuche des "Mailservers" im Gateway herzlich amüsiere... ;-)

ich hoffe, ich konnte das damit einigermaßen nachvollziehbar erklären...

Viele Grüße,
Sascha
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by Florian »

MLan wrote: Thu 7. Jul 2022, 12:33 mach doch einfach so

Code: Select all

v=spf1 mx a:koenigswinter.hpzone.de ~all
Was genau soll das bringen? Es gilt der SPF der Absender-Domain. Wenn eine Mail beispielsweise von web.de kommt gilt deren SPF, den kann er nicht beeinflussen. Und mit SRS o.ä. wird hier offenbar nicht gearbeitet sonst käme es höchstwahrscheinlich nicht zu einem SPF Fehler
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by MLan »

Florian wrote: Thu 7. Jul 2022, 13:05
MLan wrote: Thu 7. Jul 2022, 12:33 mach doch einfach so

Code: Select all

v=spf1 mx a:koenigswinter.hpzone.de ~all
Was genau soll das bringen? Es gilt der SPF der Absender-Domain. Wenn eine Mail beispielsweise von web.de kommt gilt deren SPF, den kann er nicht beeinflussen. Und mit SRS o.ä. wird hier offenbar nicht gearbeitet sonst käme es höchstwahrscheinlich nicht zu einem SPF Fehler
Ich war davon ausgegangen, dass es hier nur um seine eigene Domain hpzone.de geht.
Von web.de war bisher keine Rede.
545c84
Posts: 13
Joined: Tue 5. Jul 2022, 13:24
Location: Königswinter

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by 545c84 »

MLan wrote: Thu 7. Jul 2022, 13:26
Florian wrote: Thu 7. Jul 2022, 13:05
MLan wrote: Thu 7. Jul 2022, 12:33 mach doch einfach so

Code: Select all

v=spf1 mx a:koenigswinter.hpzone.de ~all
Was genau soll das bringen? Es gilt der SPF der Absender-Domain. Wenn eine Mail beispielsweise von web.de kommt gilt deren SPF, den kann er nicht beeinflussen. Und mit SRS o.ä. wird hier offenbar nicht gearbeitet sonst käme es höchstwahrscheinlich nicht zu einem SPF Fehler
Ich war davon ausgegangen, dass es hier nur um seine eigene Domain hpzone.de geht.
Von web.de war bisher keine Rede.
Hallo MLan,
danke für Deine Rückmeldung.
Tatsächlich hatte ich das Beispiel mit der @orbit.de gewählt, weil es eine Adresse ist, unter der ich das reproduzieren konnte. Auf die DNS der orbit.de habe ich, da ich dort "nur angestellt" bin, DNS-administrativ keinen Zugriff.

Florian hat das anhand dem Beispiel mit web.de (was von den meisten vermutlich eher verstanden worden wäre) ganz gut erklärt, denke ich... Ich persönlich wollte das nur hier auch nocheinmal kurz aufgedröselt haben, um auch hier Klarheit darüber zu verschaffen, dass mein Beispiel auch bereits eine nicht von mir administrierte Domäne beinhaltet (auch für die anderen Leser)... :)


Viele Grüße aus dem Siebengebirge,
Sascha
User avatar
BasHeijermans
KeyHelp Translator
Posts: 158
Joined: Mon 20. Jun 2022, 12:01
Location: Heppen Belgium
Contact:

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by BasHeijermans »

Du hast beide IPv4 und IPv6.

Code: Select all

nslookup koenigswinter.hpzone.de
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	koenigswinter.hpzone.de
Address: 138.201.115.1
Name:	koenigswinter.hpzone.de
Address: 2a01:4f8:202:6369:1::3
Ich wurde das so machen:

Code: Select all

"v=spf1 a mx ip4:138.201.115.1 ip6:2a01:4f8:202:6369:1::3 ~all"
Das Domain das kennen die ja, aber nicht die IP's die damit verbunden sind.
Greetings Bas.

Ik heb KeyHelp naar het Nederlands vertaald, contacteer me als er translatie fouten zijn.
(I have translated KeyHelp into Dutch, contact me if there are translation errors.)
Next version 24 of KeyHelp 100% translated.
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by Florian »

Hallo,

das bringt nicht. Es geht um den Mailempfang über das Mailgateway von allen Domains auf der Welt die einen strikten SPF Record haben. Diese SPF Records kann er nicht beeinflussen, daher muss das Mailgateway von der SPF Prüfung ausgenommen werden
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
BasHeijermans
KeyHelp Translator
Posts: 158
Joined: Mon 20. Jun 2022, 12:01
Location: Heppen Belgium
Contact:

Re: Mails via Anti-Spam-Gateway werden aufgrund SPF abgewiesen

Post by BasHeijermans »

Thuis may help:

Code: Select all

smtpd_recipient_restrictions =
            permit
It will permit anything to pass :lol:
Greetings Bas.

Ik heb KeyHelp naar het Nederlands vertaald, contacteer me als er translatie fouten zijn.
(I have translated KeyHelp into Dutch, contact me if there are translation errors.)
Next version 24 of KeyHelp 100% translated.
Locked