550 5.7.23 - SPF validation failed

[ThomasTailor93]

Hallo!

Ich habe folgendes Problem: SPF validation failed.

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Bei einigen Providern werden meine Mails generell abgelehnt mit SPF failed. Das Problem tritt aber nicht bei größeren Providern (GMX, Web, T-Online, Google Mail, Apple, Microsoft) auf.

Server-Betriebssystem + Version
Debian 12.6 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
24.2 (Build 3326)

Problembeschreibung / Fehlermeldungen
Wie oben beschrieben werden Mails mit SPF validation failed rejected.

Erwartetes Ergebnis
E-Mails werden nicht rejected.

Tatsächliches Ergebnis
550 5.7.23 - SPF validation failed

Schritte zur Reproduktion
Ich sende eine E-Mail über das Webmail an eine E-Mail Adresse. Die Mail von mir lautet eric@hylla-erfurt.de - Keyhelp läuft unter hylla-server.de (entsprechend dann auch mail.hylla-server.de - die NS sind ebenfalls unter hylla-server.de anzutreffen).

Zusätzliche Informationen
ich habe keinerlei Änderungen meinerseits vorgenommen - einen Screenshot der Domain DNS Zone habe ich anbei. Allerdings hatte ich vor kurzem eine E-Mail an BattlEye versenden wollen, diese kam mit folgendem Fehler zurück: 550-128.140.55.64 is not allowed to send mail from hylla-erfurt.de

Ich bin mir unsicher ob diese Info auch benötigt wird, aber hier der Auszug der DNS-Abfrage aus Keyhelp:

Code: Select all

> A
-----------------------------
VALUE: 5.75.210.94
TTL  : 1 day

VALUE: 128.140.55.64
TTL  : 1 day


> AAAA
-----------------------------
VALUE: 2a01:4f8:c012:e959::2
TTL  : 1 day

VALUE: 2a01:4f8:c012:e959::1
TTL  : 1 day


> MX
-----------------------------
VALUE: 10 mail.hylla-server.de
TTL  : 1 day


> NS
-----------------------------
VALUE: ns2.hylla-server.de
TTL  : 1 day

VALUE: ns.hylla-server.de
TTL  : 1 day


> SOA
-----------------------------
VALUE: ns.hylla-server.de root.hylla-server.de 2024061101 14400 1800 604800 3600
- MNAME  : ns.hylla-server.de
- RNAME  : root.hylla-server.de
- SERIAL : 2024061101
- REFRESH: 4 hours
- RETRY  : 30 minutes
- EXPIRE : 7 days
- MIN-TTL: 1 hour
TTL  : 1 day


> TXT
-----------------------------
VALUE: v=spf1 a mx -all
TTL  : 1 day

Alle Test E-Mails, die die Fehler ausliefern, habe ich direkt über das Webmail von Keyhelp gesendet (um E-Mail Programme auszuschließen.. man weiß ja nie).

Gerne liefere ich noch weitere Informationen soweit benötigt.

Ich bedanke mich im Voraus!

VG

[Florian]

Hallo,

128.140.55.64 darf auch keine Mails senden von Deiner Domain:

Code: Select all

host -t TXT hylla-erfurt.de
hylla-erfurt.de descriptive text "v=spf1 a mx -all"

host hylla-erfurt.de
hylla-erfurt.de has address 5.75.210.94
hylla-erfurt.de has IPv6 address 2a01:4f8:c012:e959::1
hylla-erfurt.de mail is handled by 10 mail.hylla-erfurt.de.

host mail.hylla-erfurt.de
mail.hylla-erfurt.de has address 5.75.210.94
mail.hylla-erfurt.de has IPv6 address 2a01:4f8:c012:e959::1

Die IP 128.140.55.64 wird weder als A noch als MX zurückgeliefert im DNS

[Tobi]

Guck mal bei spf-record.de vorbei.
Dort kannst du deinen SPF Record passend konfigurieren.
https://www.spf-record.de/spf-lookup/hylla-erfurt.de

[ThomasTailor93]

Hallo,

danke für die schnelle Rückmeldung!

die IP 128.140.55.64 ist zwar im Keyhelp hinterlegt, aber an der Konfiguration selbst habe ich keine Änderungen vorgenommen. Ich dachte mir bei der Installation "wird nicht gefragt, muss wohl so sein". Gab auch nie Probleme, die sind jetzt erst aufgetreten. Ich frage mich allerdings warum der Mailserver auf dieser IP senden will. Gibt es dafür einen Grund? Nochmals zu erwähnen: ich habe keine Änderungen an den Konfigurationsdateien manuell vorgenommen.

Bei spf-records habe ich schon vorbei geschaut. Für jeweils hylla-server.de und hylla-erfurt.de sind die SPF Records gesetzt und valide. Bei der Hauptdomain sieht auch alles tip top aus bzgl. der IP-Adressen, siehe https://www.spf-record.de/spf-lookup/hylla-server.de - sollte das nicht auch auf neu angelegte Domains übertragen werden (reine Interessefrage)?

// Edit: ich bin leicht übermüdet und etwas schwer von Begriff. Ich hatte zwischenzeitlich einen neuen * und @ Record für die beiden vermissten Adressen auf IPV4 und IPV6 angelegt. Aber v=spf1 a mx ip4:128.140.55.64 ip64f8:c012:e959::2 -all sollte es ja demnach auch tun, sehe ich das richtig?

VG

[Florian]

ja passt und sollte das SPF Problem lösen

[otto58]

Geht es denn? Es sieht noch etwas verworren aus.
SPF, DKIM und DMARC "Ergebnisse" kannst Du hier selbst testen: https://www.learndmarc.com/

T-Online kümmert sich m.E. darum aber nicht, sondern macht sein eigenes Ding. Das was Du für T-Online machen musst, hatte ich in diesem Post (verletzter Beitrag) beschrieben: viewtopic.php?p=50025&hilit=keine+mails+senden#p50025