SPF Record mit mehreren IP Adressen [GELÖST]

[Luukullus]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Es ist Keyhelp bezogen. Aber wo das Problem liegt müssen wir rausfinden xD


Server-Betriebssystem + Version
Ubuntu 22.04


Eingesetzte Server-Virtualisierung-Technologie
keine


KeyHelp-Version + Build-Nummer
24.0 (Build 3220)


Problembeschreibung / Fehlermeldungen
Bei aktueller Konfiguration von mehreren IP Adressen im Keyhelp, bekomme ich ab und an die Meldung beim Versenden von Emails, das der Server bzw. die IP nicht autorisiert sei.
Es wird im Normalfall auch in den DNS Rekords nur eine IP Adresse eingegeben. Da der Standard SPF record mx a -all ist, sind also nicht beide IPs zum Senden berechtigt.

Komischerweise tritt dies erst seit einiger Zeit auf (leider kann ich nicht genau sagen seit wann), doch die IP Adressen sind schon lange drin (2x ipv4, 2xipv6) wobei für den Emailversand ja ipv6 erstmal egal ist auf meinem Server.

Grundsätzlich dachte ich mir: Egal, dann lege ich halt meinen SPF Eintrag anders an und gut ist.
Aber da es bei neu hinzugefügten Kundendomains ebenso der Fall ist müsste jeder Kunde also erst mal den SPF Eintrag anpassen und dann erst anfangen zu mailen.

Erwartetes Ergebnis
Automatischer SPF Eintrag der beide IP Adressen beachtet, oder beide Adressen werden als A angelegt.

Tatsächliches Ergebnis
Default SPF Eintrag und Probleme bei der Emailzustellung mit Rückmeldung im Spam Checker, das sendender Server nicht berechtigt ist.
Bei absoluter Standardkonfiguration.

Schritte zur Reproduktion
Jede Mail die versendet wird vom Panel (sofern der SPF Record default ist.)

Zusätzliche Informationen
Noch keine.

Ich hoffe wir kommen dem Rätsel auf der Spur. Ich habe keine Ahnung wieso dies plötzlich passiert.
Email Versand und Spamchecker teste ich regelmäßig von den Panel domains und das ist bisher nie aufgetreten.
Das letzte mal habe ich es vor ca. einem Monat getestet. Da war noch alles OK.

Es gab sonst keine Änderungen meinerseits am System. Außer dem KH Update.

Gruß,
Luuk

[Jolinar]

Da der Standard SPF record mx a -all ist

Wenn die Parameter a und mx redundant sind, also auf dieselbe Adresse verweisen, dann laß den Parameter a einfach weg. Die Zuständigkeitsprüfung für den Mailserver findet dann über den MX Record statt und sollte damit ohne Probleme funktionieren.

[Luukullus]

Da der Standard SPF record mx a -all ist

Wenn die Parameter a und mx redundant sind, also auf dieselbe Adresse verweisen, dann laß den Parameter a einfach weg. Die Zuständigkeitsprüfung für den Mailserver findet dann über den MX Record statt und sollte damit ohne Probleme funktionieren.

Ja, das ist grundsätzlich möglicherweise auch machbar.
Allerdings würde dann immer noch das Problem bestehen, das jeder Kunde dann die DNS Records anpassen muss bevor es korrekt funktioniert.
Ich fände, das wäre nicht so Sinn der Sache. Bzw. eher nur Bekämpfung der Symptome.

Gibt es keine Möglichkeit zu steuern welche IP Adresse fürs versenden verwendet wird?
Oder eine Möglichkeit zu steuern, welche Default Einträge gesetzt werden? Dann könnte man direkt beide IPs im SPF festhalten und alles würde automatisch laufen.

Gruß,
Luuk

EDIT:
Ich weiß ich kann die bind IP vom postfix anpassen.
Bestimmt auch irgendwo die default DNS Records die verwendet werden beim Anlegen einer neuen Domain.
Aber ich möchte nicht irgendwas anpassen und das ganze Panel zerstören.

Ebenso möchte ich im Falle einer Anpassung sicherstellen, das nicht bei jedem KH Update alles erneut angepasst werden muss .

Gruß

[Jolinar]

Ich fände, das wäre nicht so Sinn der Sache. Bzw. eher nur Bekämpfung der Symptome

Völlig korrekt...Sieh meinen vorherigen Post deshalb auch nur als 'Workaround', bis Alex hier reingeschaut hat...

[Luukullus]

Ich fände, das wäre nicht so Sinn der Sache. Bzw. eher nur Bekämpfung der Symptome

Völlig korrekt...Sieh meinen vorherigen Post deshalb auch nur als 'Workaround', bis Alex hier reingeschaut hat...

Das ergibt natürlich Sinn.
Jo als Workaround definitiv ne super Sache.
Danke dir schon mal

Gruß,
Luuk

[Alexander]

Hallo,

Ich kann hier keinen Fehler erkennen, vielleicht versteh ich auch falsch, was du gemacht hast.

DNS-Einstellungen werden standardmäßig mit einer IP geschrieben. Alle Records passen für diese Einstellungen. -> Kein Fehler

Nur damit ich dich richtig verstehe, du hast bei allen Domains eine zweite IP in den DNS-Einstellungen einer Domain hinzugefügt? - korrekt?
Und jetzt soll KeyHelp deine nun benutzerdefinierten DNS Einstellungen automatisch Records anpassen?
-> Das wird so nicht passieren. Benutzerdefinierte DNS Einstellungen werden seitens KeyHelp nicht angerührt, dafür sind sie benutzerdefiniert und obliegen dem, was auch immer der Admin denkt dort eintragen zu müssen.

Du könntest über die API prinzipiell aber schnell die gewünschten Records nachtragen.

[tab-kh]

Ich verstehe den TE so, dass es schon reichen würde, den Versand auf eine der IP-Adressen zu beschränken. Sollte das nicht über die Konfiguration von postfix möglich sein (main.cf smtp_bind_address)? Natürlich müsste man das dann selbst so konfigurieren.

[Luukullus]

Hallo Alexander,

vielen Dank für deine Rückmeldung.
Da haben wir uns etwas missverstanden.

Ich versuche mich einmal einfacher auszudrücken:
Szenario:
1. Keyhelp Server wurde aufgesetzt (mit insgesamt 1x IPv4 (hier mal als Beispiel 8.8.8.8) + 1x IPv6).
So funktioniert auch alles. Alle DNS Einträge und so passen natürlich und Emails werden über die 8.8.8.8 rausgehen.

2. Später (so zwei Wochen später ca.) wurde dem Keyhelp Server eine weitere IPv4 (hier mal als Beispiel 8.8.4.4) und eine weitere IPv6 hinzugefügt.
Diese 8.8.4.4 wurde von Keyhelp nun priorisiert. Somit werden Domains nun mit dem A Record 8.8.4.4 angelegt, Emails werden allerdings weiterhin über die 8.8.8.8 versendet, da der postfix hier den Bind hat.
Dies kollidiert dann mit dem SPF Eintrag, da dieser a und mx verwendet, somit die 8.8.8.8 nicht mehr berechtigt ist zum Senden.

Mir geht's nicht um manuelle DNS Einstellungen in einzelnen Domains. Wenn hier Benutzerdefinierte Records sind, dann bin ich bei diesen Domains raus . Die sind nicht mehr in meiner "Verantwortung".

---------------------------------------------

Hier ein Beispiel anhand von dem IST Stand.
Der Besagte Keyhelp Server hat zwei IPs, von denen die .139 als "primäre (nenne ich sie mal)" verwendet wird:

Eingerichtet wurde der Server allerdings initial mit der .150. Die .139 ist erst später dazu gekommen, weshalb der Mailserver weiterhin über die .150 sendet, in Domains aber die .139. eingerichtet wird (was somit für folgende Ergebnisse sorgt):

Details:

Ich wüsste gerne wie ich vorgehen muss, um bezogen auf Keyhelp, den postfix neu zu binden. Oder evtl. die Standard DNS Records bei Anlage einer Domain nachhaltig anzupassen (mit nachhaltig meine ich updatebeständig).

Mir geht es nicht um das "wie funktioniert das binden neuer IPs", ic möchte wissen ob ich das so einfach machen kann oder ob Keyhelp hinterher Probleme hat.
Angenehmen fände ich, wenn es einen Weg gibt die default DNS Records anzupassen (also das ich einen neuen SPF default record angebe)

Ich hoffe du verstehst mein Kauderwelsch ,

Gruß Luuk

[Luukullus]

Ich verstehe den TE so, dass es schon reichen würde, den Versand auf eine der IP-Adressen zu beschränken. Sollte das nicht über die Konfiguration von postfix möglich sein (main.cf smtp_bind_address)? Natürlich müsste man das dann selbst so konfigurieren.

Neee.
Nach hinzufügen einer weiteren IP Adresse zum Keyhelp Server, bleibt der Postfix auf der ersten. Keyhelp nutzt aber die andere zum Einrichten neuer Domains.

EDIT:
Oder fast Neee.
Ich kann über die .cf die bind address anpassen und somit den postfix über die andere IP senden lassen.
Mir geht es in erster Linie allerdings darum, ob dies OK ist oder ob ich mir damit andere Probleme im Keyhelp schaffe.
Oder ob dies auch bei Updates bestehen bleibt.

Gruß,
Luuk

[Tobi]

Dies kollidiert dann mit dem SPF Eintrag

Und hier ist dann auch schon der Fehler.
Der SPF Record ist falsch.

Meine Empfehlung ist folgende:
Lege zuerst einen neuen SPF-Record auf der Subdomain "spf.luukullus.com" an.
Dieser bekommt folgenden Inhalt:

Code: Select all

v=spf1 ip4:100.100.100.100 ip4:100.100.100.101 ip4:200.100.100.201 ip6:1111:1111:1111:1111::2 ip6:2222:2222:2222:2222::2 -all

Wobei du natürlich die IPs an deine Gegebenheiten anpassen musst

Du kannst bis zu 20 IP Adressen in einen SPF Record packen. Sprich wenn neue IPs dazukommen brauchst du nur diesen eben erstellten SPF Record zu erweitern.

Sämtliche Domains welche über deine Mail-Infrastruktur senden bekommen dann nur noch folgenden SPF-Record welcher dann nie wieder angepasst werden muss.

Code: Select all

v=spf1 a mx include:spf.luukullus.com -all

[Alexander]

Eingerichtet wurde der Server allerdings initial mit der .150. Die .139 ist erst später dazu gekommen, weshalb der Mailserver weiterhin über die .150 sendet, in Domains aber die .139. eingerichtet wird (was somit für folgende Ergebnisse sorgt):

Okay, jetzt hab ich die Ursache verstanden.
KeyHelp sortiert die IPs und nimmt dann die erste IP für die Standard-DNS-Konfiguration. Damit wäre nach hinzufügen der zweiten IP nun die .139 die erste IP.
Laut Netzwerkkonfiguration ist die .150 aber die erste IP.
Postfix nimmt die erste IP laut Netzwerkkonfiguration.
-> Das verhalten sollte ich irgendwann mal anpassen, damit es erst garnicht zu so einem Verhalten kommt.

Mit dem expliziten setzten von smtp_bind_address sollte sich das Problem auch lösen lassen. KeyHelp schreibt dieses Parameter nicht. Er wird also auch nicht überschrieben.
Wenn es in der Zukunft ggf. mal ein Eingabefeld in der UI für diesen Parameter geben sollte, lese ich bei solchen Sachen i.d.R. den ggf. vorher vom Admin gesetzten Wert aus und übernehme ihn.

[Luukullus]

Dies kollidiert dann mit dem SPF Eintrag

Und hier ist dann auch schon der Fehler.
Der SPF Record ist falsch.

Meine Empfehlung ist folgende:
Lege zuerst einen neuen SPF-Record auf der Subdomain "spf.luukullus.com" an.
Dieser bekommt folgenden Inhalt:

Code: Select all

v=spf1 ip4:100.100.100.100 ip4:100.100.100.101 ip4:200.100.100.201 ip6:1111:1111:1111:1111::2 ip6:2222:2222:2222:2222::2 -all

Wobei du natürlich die IPs an deine Gegebenheiten anpassen musst

Du kannst bis zu 20 IP Adressen in einen SPF Record packen. Sprich wenn neue IPs dazukommen brauchst du nur diesen eben erstellten SPF Record zu erweitern.

Sämtliche Domains welche über deine Mail-Infrastruktur senden bekommen dann nur noch folgenden SPF-Record welcher dann nie wieder angepasst werden muss.

Code: Select all

v=spf1 a mx include:spf.luukullus.com -all

Hey Tobi,

vielen Dank für deine Hilfe.
Mir ging es tatsächlich nicht um das anpassen von SPF Einträgen.
Sondern um das korrekte generieren dieser bei unberührten DNS Settings der Domain.
Alex hat es in seinem Beitrag auf den Punkt gebracht .

---------------------------------------------------------------------------

Eingerichtet wurde der Server allerdings initial mit der .150. Die .139 ist erst später dazu gekommen, weshalb der Mailserver weiterhin über die .150 sendet, in Domains aber die .139. eingerichtet wird (was somit für folgende Ergebnisse sorgt):

Okay, jetzt hab ich die Ursache verstanden.
KeyHelp sortiert die IPs und nimmt dann die erste IP für die Standard-DNS-Konfiguration. Damit wäre nach hinzufügen der zweiten IP nun die .139 die erste IP.
Laut Netzwerkkonfiguration ist die .150 aber die erste IP.
Postfix nimmt die erste IP laut Netzwerkkonfiguration.
-> Das verhalten sollte ich irgendwann mal anpassen, damit es erst garnicht zu so einem Verhalten kommt.

Mit dem expliziten setzten von smtp_bind_address sollte sich das Problem auch lösen lassen. KeyHelp schreibt dieses Parameter nicht. Er wird also auch nicht überschrieben.
Wenn es in der Zukunft ggf. mal ein Eingabefeld in der UI für diesen Parameter geben sollte, lese ich bei solchen Sachen i.d.R. den ggf. vorher vom Admin gesetzten Wert aus und übernehme ihn.

EDIT:
Dieses Eingabefeld könnte theoretisch bereits erreicht sein, in dem man eine Radio Button Auswahl hinter die IPs packt, welche die bevorzugte sein soll.
Beispiel (mal ganz unprofessionell im Greenshot Editor reingepfuscht):

Vielen vielen Dank!
Dann Binde ich mal den postfix.
Ich berichte hier nachher wies ausgegangen ist

Gruß,
Luuk

[Luukullus]

Hallöchen Noch einmal.
Ich habe den IP Bind angepasst und postfix versucht nun auch die Mails über diese Adresse rauszusenden.
Allerdings funkt nun Amavis dazwischen und verbietet den Zugriff.
Kann mir jemand sagen, wie ich diesen Fehler beheben kann?

Hier das LOG:

[Ralph]

ich habe es mit KH bzw. Amavis noch nie versucht ... die Änderung in der main.cf sollte demnach so in etwa aussehen:

Code: Select all

inet_protocols = ipv4, ipv6
smtp_bind_address = xx.xx.xxx.xxx
smtp_bind_address6 = xxxx:xxx:xxx:xxxx::x

danach postfix und amavis neu starten
falls es nicht klappt, müsstest Du es mal ohne amavis versuchen

[Alexander]

Nur zur Info:

"inet_protocols" sollte über "Konfiguration -> E-Mail-Server -> Postfix: Akzeptierte Protokolle" verwaltet werden.