Problem mit DKIM und SPF - e-Mails werden verschickt und Google kommt zurück [SOLVED]

[RR_Tappi]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
DNS-Zone


Server-Betriebssystem + Version
Debian 11.7 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
keine


KeyHelp-Version + Build-Nummer
23.1.1 (Build 3016)


Problembeschreibung / Fehlermeldungen
E-Mails aus dem Adminpanel des Forums werden rausgeschickt, alle werden auch zugestellt, abgesehen die welche nach Google gehen (gmail und googlemail) kommen alle samt zurück

Code: Select all

host gmail-smtp-in.l.google.com[108.177.126.27] said:
    550-5.7.26 This mail is unauthenticated, which poses a security risk to the
    550-5.7.26 sender and Gmail users, and has been blocked. The sender must
    550-5.7.26 authenticate with at least one of SPF or DKIM. For this message,
    550-5.7.26 DKIM checks did not pass and SPF check for [t-online.de] did not
    550-5.7.26 pass with ip: [193.32.222.160]. The sender should visit
    550-5.7.26https://support.google.com/mail/answer/81126#authentication  for
    550 5.7.26 instructions on setting up authentication.
    se20-20020a170906ce5400b0099331b3e6f2si3837741ejb.663 - gsmtp (in reply to
    end of DATA command)

Erwartetes Ergebnis
Das die Mails bei den Mitgliedern ankommen

Tatsächliches Ergebnis
Sie kommen zurück

Schritte zur Reproduktion


Zusätzliche Informationen
Habe mal Screenshots gemacht, bei default._domainkey habe ich das untere eingetragen, welches auf Bild2 zu sehen ist.

Mir wurde schon angeraten DKIM ganz zu deaktivieren und nur SPF als Validierung zu verwenden.
Vor allem was hat t-online.de da drin zu suchen,das ergibt absolut keinen Sinn für mich




[Mod-Edit]
CODE-Tags eingefügt.
Konsolenausgaben, Inhalte von Konfigurationsdateien, Auszüge aus Logfiles o.ä. bitte zukünftig immer mit CODE-Tags versehen!

[OlliTheDarkness]

not pass and SPF check for [t-online.de] did not
550-5.7.26 pass with ip: [193.32.222.160].

Kann es sein das du nen Relay nach draussen nutzt ?

Weil die Meldung sagt ja schon alles und ich glaub nicht das du die Telekom (t-online.de) bist .

Oder Manipuliert deine Forensoftware den Mailheader aka Mailabsender @t-online.de.

Fakt is jedenfalls: t-online.de und 193.32.222.160, dass passt nicht so.

[Tobi]

Setze einen passenden SPF Record und gut ist.

[tab-kh]

Wird denn das DNS deiner Absenderdomain überhaupt von deinem Server verwaltet? Die eingetragenen Nameserver lassen sich jedenfalls schon mal nicht auflösen. Nur weil du das im DNS-Editor auf deinem Server einträgst, ist dein Server noch lange nicht der Nameserver der entsprechenden Domain.

[RR_Tappi]

Ob ein Relay vorhanden ist, kann ich jetzt so nicht bestätigen.

Es gab bisher damit noch nie Probleme und noch nie wurden wir mit t-online in Verbindung gebracht.

Einfach gesagt, einen passenden SPF setzen. Wie muss der aussehen? Was muss drin stehen?
Das ist alles Neuland für mich, um so etwas musste ich mich noch nie kümmern, daher weiß ich leider nicht was da genau rein muss.

Wo kann ich das einsehen, ob die Absenderdomain vom Server verwaltet wird?

Danke schon mal

PS: Wenn ich mit Thunderbird e-Mails versende, werden diese ohne Probleme auch zugestellt. Auch von einer der Domains, welche auf dem Server sind

Nochmal Edit: Bzgl. dem Namenserver habe ich wohl den Fehler gefunden?

[OlliTheDarkness]

Würde schonmal beim Hostname und rDNS anfangen ...

atom-149.premium-rootserver.net

Grundsätzlich hilft dir bei Mailproblemen https://mxtoolbox.com/ massiv weiter.

[tab-kh]

was sagt denn z.B.

Code: Select all

dig @1.1.1.1 deinedomain.tld NS

Wird da der im Screenshot eingetragene Nameserver angezeigt?
Schwer vorstellbar, die eingetragenen Nameserver sind ja nicht mal selbst auflösbar über das DNS.

Code: Select all

root@mail:~# dig @1.1.1.1 ns.atom-149.premium-rootserver.net

; <<>> DiG 9.16.42-Debian <<>> @1.1.1.1 ns.atom-149.premium-rootserver.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 64106
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;ns.atom-149.premium-rootserver.net. IN A

;; AUTHORITY SECTION:
premium-rootserver.net. 86400   IN      SOA     ns3.ip-projects.de. info.ip-projects.de. 2023091200 43200 7200 1209600 86400

;; Query time: 19 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Sat Sep 23 16:09:08 CEST 2023
;; MSG SIZE  rcvd: 122

status: NXDOMAIN heisst, dass der Name nicht aufgelöst werden kann.

[Tobi]

https://www.spf-record.de

Ausfüllen, kopieren, glücklich sein.

[RR_Tappi]

Danke, bei der Prüfung kam schon mal das raus:

SPF-Record gefunden
Syntaxprüfung: 0 Fehler
E-Mail-Spoofingschutz: Gut

Und beim Generieren zeigt er mir haargenau das an, was bereits vorhanden ist

[Jolinar]

Wird denn das DNS deiner Absenderdomain überhaupt von deinem Server verwaltet?

Wenn man dem DNS glauben darf, dann wird die Domain über die Nameserver von IP-Projects verwaltet.

@TE:
Dir ist aber schon klar, daß du im DNS-Zone-Editor des Panels soviel reinschreiben kannst, wie du willst...Solange dein DNS Server nicht für die Domain zuständig ist, haben deine Einträge dort (siehe deine Screenshots) null Auswirkung.

[RR_Tappi]

Die Einträge waren ja schon alle vorhanden.

Habe DNS-Zone-Editor angeklickt und dann die Domain welche betroffen ist, dort auf den Kugelschreiber geklickt und den Haken entfernt bei:
DNS für diese Zone deaktivieren

Und dann standen alle diese Einträge bereits drin.

Und laut der Seite hier https://mxtoolbox.com ist wie ich gesehen habe, abgesehen von diesem DKIM alles i.O.

[Jolinar]

Die Einträge waren ja schon alle vorhanden.

Habe DNS-Zone-Editor angeklickt und dann die Domain welche betroffen ist, dort auf den Kugelschreiber geklickt und den Haken entfernt bei:
DNS für diese Zone deaktivieren

Und dann standen alle diese Einträge bereits drin.

Das ist eben genau für den Fall, daß dein DNS Server auf deiner Maschine für die Domain zuständig ist.
Du mußt dich also entscheiden, ob du deine DNS RR auf deinem Server oder bei IP-Projects verwalten willst. Beides zusammen geht nicht, es kann nur einen autoritativen NS Server geben.

[OlliTheDarkness]

...
es kann nur einen autoritativen NS Server geben.

Und möge die Macht mit dir sein !

[RR_Tappi]

Die Einträge waren ja schon alle vorhanden.

Habe DNS-Zone-Editor angeklickt und dann die Domain welche betroffen ist, dort auf den Kugelschreiber geklickt und den Haken entfernt bei:
DNS für diese Zone deaktivieren

Und dann standen alle diese Einträge bereits drin.

Das ist eben genau für den Fall, daß dein DNS Server auf deiner Maschine für die Domain zuständig ist.
Du mußt dich also entscheiden, ob du deine DNS RR auf deinem Server oder bei IP-Projects verwalten willst. Beides zusammen geht nicht, es kann nur einen autoritativen NS Server geben.

Achso, dann habe ich es verstanden.

[RR_Tappi]

Habe es jetzt auf meine Domain angepasst, SPF wurde mir ja auf der einen Seite angezeigt und das steht 1 zu 1 genau so auch schon drin.

Aber es funktioniert trotzdem nicht, e-Mails an Google kommen immer noch zurück

host gmail-smtp-in.l.google.com[108.177.126.27] said:
550-5.7.26 This mail is unauthenticated, which poses a security risk to the
550-5.7.26 sender and Gmail users, and has been blocked. The sender must
550-5.7.26 authenticate with at least one of SPF or DKIM. For this message,
550-5.7.26 DKIM checks did not pass and SPF check for [t-online.de] did not
550-5.7.26 pass with ip: [193.32.222.160]. The sender should visit
550-5.7.26 https://support.google.com/mail/answer/ ... entication for
550 5.7.26 instructions on setting up authentication.
s18-20020a170906c31200b00991f4e7f49asi6182736ejz.215 - gsmtp (in reply to
end of DATA command)