Denkfehler bei SPF

meisterkeks · Post by **meisterkeks** » Thu 12. Dec 2024, 22:50

Hallo zusammen,

ich bin mir recht sicher, dass ich einen Denkfehler habe und hoffe jemand kann mir kurz die richtige Richtung weisen.

System ist ein aktuelles Ubuntu, Keyhelp, KVM.

Ein Absender (...@will-hahnenstein.de) versucht mir eine Mail zu senden. Diese wird abgewiesen mit einem Hinweis auf einen SPF-Fehler.
Im Log finde ich dazu folgenden Eintrag:

Dec 11 13:26:09 kameha policyd-spf[1692758]: 550 5.7.23 Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=helo;id=vr ... a07:6fc0:0: 3::252;r=<UNKNOWN>

Dec 11 13:26:09 kameha postfix/smtpd[1692332]: NOQUEUE: reject: RCPT from vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252]: 550 5.7.23 <...@empfaenger.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=helo;id=vr ... r=<UNKNOWN>; from=<...@will-hahnenstein.de> to=<...@empfaenger.de> proto=ESMTP helo=<vrp9e.out.mail.creoline.com>

Dec 11 13:26:09 kameha postfix/smtpd[1692332]: using backwards-compatible default setting smtpd_relay_before_recipient_restrictions=no to reject recipient "...@empfaenger.de" from client "vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252]"

Dec 11 13:26:09 kameha postfix/smtpd[1692332]: disconnect from vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8

Ich prüfe also die DNS-Einträge des Absender-Servers auf meinem Server und finde Folgendes:

Code: Select all

dig TXT will-hahnenstein.de
...
;; ANSWER SECTION:
absender.de.	3600	IN	TXT	"creoline-domain-verification=eed32c43ea130e43fe56d9e6426ccdb1c27ce825"
absender.de.	3600	IN	TXT	"v=spf1 a mx include:_spf.creoline.de -all"

dig TXT _spf.creoline.de
...
;; ANSWER SECTION:
_spf.creoline.de.	3600	IN	TXT	"v=spf1 ip4:5.1.77.5 ip4:5.1.78.5 ip4:5.1.78.10 ip4:5.1.77.49 ip4:5.1.78.4 ip4:5.1.77.50 ip4:5.1.77.51 ip4:5.1.77.52 ip4:49.12.130.5 ip4:165.232.45.126 ip6:2a07:6fc0:0:2::49 ip6:2a07:6fc0:0:2::4 ip6:2a07:6fc0:1:0:77::49 ip6:2a07:6fc0:1:0:78::4 ip6:2a07:6fc" "0:1:0:77::50 ip6:2a07:6fc0:1:0:77::51 ip6:2a07:6fc0:1:0:77::52 ip4:5.1.73.224/27 ip6:2a07:6fc0:1::73/64  ip6:2a07:6fc0:0:2::/64 ip6:2a07:6fc0:0:3::/64 ~all"

Das sieht für mich erstmal korrekt aus. Was übersehe ich?

Post by **Jolinar** » Fri 13. Dec 2024, 00:32

meisterkeks wrote: ↑Thu 12. Dec 2024, 22:50 Das sieht für mich erstmal korrekt aus. Was übersehe ich?

Die eingehende E-Mail wurde aufgrund eines SPF-Fehlers zurückgewiesen. Der Absenderserver vrp9e.out.mail.creoline.com ist nicht berechtigt, E-Mails im Namen der Absenderdomain will-hahnenstein.de zu senden.
Die IPv6 Adresse von vrp9e.out.mail.creoline.com [2a07:6fc0:0:3::252] sehe ich jetzt nicht im Include des SPF RR.

otto58 · Post by **otto58** » Fri 13. Dec 2024, 07:47

Zusatzhinweis:
Die Abweisung wegen des fehlerhaften SPF erfolgt nur deshalb, weil der Absender ...@will-hahnenstein.de dies explizit in seinem _dmarc Record fordert - durch den Parameter: p=reject
Mit p=none oder auch p=quarantine würde die Email zu Dir durchkommen.

https://dnschecker.org/#TXT/_dmarc.will-hahnenstein.de

ShortSnow · Post by **ShortSnow** » Fri 13. Dec 2024, 08:57

Moin,

vieleicht vertu ich mich jetzt, aber der SPF von

Code: Select all

will-hahnenstein.de

ist:

Code: Select all

v=spf1 a mx include:_spf.creoline.de -all

und erlaubt als IP's damit zusätzlich zu a und mx noch:

Code: Select all

_spf.creoline.de.	3600	IN	TXT	"v=spf1 ip4:5.1.77.5 ip4:5.1.78.5 ip4:5.1.78.10 ip4:5.1.77.49 ip4:5.1.78.4 ip4:5.1.77.50 ip4:5.1.77.51 ip4:5.1.77.52 ip4:49.12.130.5 ip4:165.232.45.126 ip6:2a07:6fc0:0:2::49 ip6:2a07:6fc0:0:2::4 ip6:2a07:6fc0:1:0:77::49 ip6:2a07:6fc0:1:0:78::4 ip6:2a07:6fc" "0:1:0:77::50 ip6:2a07:6fc0:1:0:77::51 ip6:2a07:6fc0:1:0:77::52 ip4:5.1.73.224/27 ip6:2a07:6fc0:1::73/64  ip6:2a07:6fc0:0:2::/64 ip6:2a07:6fc0:0:3::/64 ~all"

Im letzten Segment von _spf.creoline.de. steht:

Code: Select all

ip6:2a07:6fc0:0:3::/64

das sollte doch die IP von der hier gesendet wird erlauben:

Code: Select all

2a07:6fc0:0:3::252

Also sollte der SPF doch passen, oder nicht?

Post by **Jolinar** » Fri 13. Dec 2024, 09:08

ShortSnow wrote: ↑Fri 13. Dec 2024, 08:57 vieleicht vertu ich mich jetzt

Nein, du hast natürlich Recht...Das hatte ich tatsächlich übersehen, daß das Subnetz mit aufgelistet ist...Sorry

Blackmoon · Post by **Blackmoon** » Fri 13. Dec 2024, 09:25

Moin,
in dem Eintrag "_spf.creoline.de" ist ein Logikfehler. Und zwar bei "ip6:2a07:6fc0:1::73/64": Da fehlt eine Digit, wenn es ein /64 sein soll, oder?

Grüße

Post by **Florian** » Fri 13. Dec 2024, 10:06

Hallo,

die Mail hätte angenommen werdne müssen. Kann man z.B hier prüfen: https://www.spf-record.de/spf-lookup

Ich habe immer das Gefühl das policyd-spf Probleme mit solchen includes hat. Nicht umsonst wird das zukünftig von rspamd mit erledigt

Post by **Tobi** » Fri 13. Dec 2024, 10:25

Der SPF Record ist völlig O.K.

Siehe:
https://www.spf-record.de/spf-lookup/wi ... opt_out=on
https://mxtoolbox.com/SuperTool.aspx?ac ... tworktools

Nachtrag:
ich hab telefoniert...

Ralph · Post by **Ralph** » Fri 13. Dec 2024, 10:48

Ja der SPF passt ... allerdings frage ich mich gerade ob die Prüfungen (lookups) nur auf den TXT record beschränkt sind oder ob nach einem passenden MX dazu gesucht wird, der in diesem Fall nicht vorhanden ist für vrp9e.out.mail.creoline.com

Post by **Tobi** » Fri 13. Dec 2024, 13:20

Ein SPF Record autorisiert lediglich IPs.
Ob die IP oder der jeweilige Host existieren wird nicht geprüft.

Blackmoon · Post by **Blackmoon** » Fri 13. Dec 2024, 14:04

Tobi wrote: ↑Fri 13. Dec 2024, 10:25 Der SPF Record ist völlig O.K.

Siehe:
https://www.spf-record.de/spf-lookup/wi ... opt_out=on
https://mxtoolbox.com/SuperTool.aspx?ac ... tworktools

Nachtrag:
ich hab telefoniert...

Beide Tools prüfen den Eintrag _spf.creoline.de bzw. dessen Inhalt nicht. Daher ist der SPF Eintrag jeweils OK.
Der Fehler ist aber in dem Eintrag bei dem genannten IPv6 Subnetz.

Post by **Florian** » Fri 13. Dec 2024, 14:24

Hallo,

die Mail kam aber von

Code: Select all

2a07:6fc0:0:3::252

Der Eintrag für das Netz ist OK

Blackmoon · Post by **Blackmoon** » Fri 13. Dec 2024, 14:42

Florian wrote: ↑Fri 13. Dec 2024, 14:24 die Mail kam aber von
Code: Select all
2a07:6fc0:0:3::252
Der Eintrag für das Netz ist OK

Der Eintrag "6:2a07:6fc0:1::73/64" ist aber nicht korrekt. Was im DNS Eintrag vor dem von dir genannten Eintrag steht. Ich hänge aktuell bei RFC 7208, Kapitel 5.2.5. Sprich es wird ein Fehler zurückgegeben und damit wird doch die Prüfung des Eintrags "_spf.creoline.de" abgebrochen, oder?

meisterkeks · Post by **meisterkeks** » Fri 13. Dec 2024, 14:43

Vielen lieben Dank für eure Zeit und Hilfestellung!

Schade, dass wir keine konkrete Ursache gefunden haben und die Mail "eigentlich" durchgehen müsste. Ich habe mittlerweile 2 weitere fehlgeschlagene Zustell-Versuche gefunden:

Code: Select all

postfix/smtpd[1630603]: NOQUEUE: reject: RCPT from e24gv.out.mail.creoline.com[2a07:6fc0:0:3::248]: 550 5.7.23 <mail@pwa-armaturen.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.       openspf.net/Why?s=helo;id=e24gv.out.mail.creoline.com;ip=2a07:6fc0:0:3::248;r=<UNKNOWN>; from=<ramb@will-hahnenstein.de> to=<...@empfaenger.de> proto=ESMTP helo=<e24gv.out.mail.creoline.com> 
postfix/smtpd[1647071]: NOQUEUE: reject: RCPT from x4g4x.out.mail.creoline.com[2a07:6fc0:0:3::247]: 550 5.7.23 <mail@pwa-armaturen.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.       openspf.net/Why?s=helo;id=x4g4x.out.mail.creoline.com;ip=2a07:6fc0:0:3::247;r=<UNKNOWN>; from=<ramb@will-hahnenstein.de> to=<mail@pwa-armaturen.de> proto=ESMTP helo=<x4g4x.out.mail.creoline.com>

Blackmoon wrote: ↑Fri 13. Dec 2024, 09:25 in dem Eintrag "_spf.creoline.de" ist ein Logikfehler. Und zwar bei "ip6:2a07:6fc0:1::73/64": Da fehlt eine Digit, wenn es ein /64 sein soll, oder?

Gutes gesehen Blackmoon. Leider kommen auch die anderen Zustellversuche von einem "eigentlich" korrekt aufgeführten Netz.

Ich versuche mir jetzt erstmal mit dem folgenden Eintrag unter /etc/postfix-policyd-spf-python zu behelfen:

Code: Select all

Domain_Whitelist = will-hahnenstein.de

Edit (zu spät gesehen):

Blackmoon wrote: ↑Fri 13. Dec 2024, 14:42 Der Eintrag "6:2a07:6fc0:1::73/64" ist aber nicht korrekt. Was im DNS Eintrag vor dem von dir genannten Eintrag steht. Ich hänge aktuell bei RFC 7208, Kapitel 5.2.5. Sprich es wird ein Fehler zurückgegeben und damit wird doch die Prüfung des Eintrags "_spf.creoline.de" abgebrochen, oder?

Das wäre ja super. Damit hätten wir einen Schuldigen :-)
Ich gebe das mal an den Hoster weiter und melde mich nochmal hier sobald ich eine Rückmeldung habe.

Post by **Jolinar** » Fri 13. Dec 2024, 14:50

@All:

Wenn ihr IPv6 Adressen in euren Posts schreibt, dann schaltet bitte die Smileys aus, da die Forensoftware sonst versucht, Zeichenfolgen, die mit ":" beginnen, als Smileys darzustellen:

: Screenshot_96.png (18.1 KiB) Viewed 5121 times

Ich hab mal die betroffenen Posts entsprechend korrigiert.

Denkfehler bei SPF

Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF

Re: Denkfehler bei SPF