Page 1 of 2
Denkfehler bei SPF
Posted: Thu 12. Dec 2024, 22:50
by meisterkeks
Hallo zusammen,
ich bin mir recht sicher, dass ich einen Denkfehler habe und hoffe jemand kann mir kurz die richtige Richtung weisen.
System ist ein aktuelles Ubuntu, Keyhelp, KVM.
Ein Absender (...@will-hahnenstein.de) versucht mir eine Mail zu senden. Diese wird abgewiesen mit einem Hinweis auf einen SPF-Fehler.
Im Log finde ich dazu folgenden Eintrag:
Dec 11 13:26:09 kameha policyd-spf[1692758]: 550 5.7.23 Message rejected due to: SPF fail - not authorized. Please see
http://www.openspf.net/Why?s=helo;id=vr ... a07:6fc0:0: 3::252;r=<UNKNOWN>
Dec 11 13:26:09 kameha postfix/smtpd[1692332]: NOQUEUE: reject: RCPT from vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252]: 550 5.7.23 <...@empfaenger.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see
http://www.openspf.net/Why?s=helo;id=vr ... r=<UNKNOWN>; from=<...@will-hahnenstein.de> to=<...@empfaenger.de> proto=ESMTP helo=<vrp9e.out.mail.creoline.com>
Dec 11 13:26:09 kameha postfix/smtpd[1692332]: using backwards-compatible default setting smtpd_relay_before_recipient_restrictions=no to reject recipient "...@empfaenger.de" from client "vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252]"
Dec 11 13:26:09 kameha postfix/smtpd[1692332]: disconnect from vrp9e.out.mail.creoline.com[2a07:6fc0:0:3::252] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8
Ich prüfe also die DNS-Einträge des Absender-Servers auf meinem Server und finde Folgendes:
Code: Select all
dig TXT will-hahnenstein.de
...
;; ANSWER SECTION:
absender.de. 3600 IN TXT "creoline-domain-verification=eed32c43ea130e43fe56d9e6426ccdb1c27ce825"
absender.de. 3600 IN TXT "v=spf1 a mx include:_spf.creoline.de -all"
dig TXT _spf.creoline.de
...
;; ANSWER SECTION:
_spf.creoline.de. 3600 IN TXT "v=spf1 ip4:5.1.77.5 ip4:5.1.78.5 ip4:5.1.78.10 ip4:5.1.77.49 ip4:5.1.78.4 ip4:5.1.77.50 ip4:5.1.77.51 ip4:5.1.77.52 ip4:49.12.130.5 ip4:165.232.45.126 ip6:2a07:6fc0:0:2::49 ip6:2a07:6fc0:0:2::4 ip6:2a07:6fc0:1:0:77::49 ip6:2a07:6fc0:1:0:78::4 ip6:2a07:6fc" "0:1:0:77::50 ip6:2a07:6fc0:1:0:77::51 ip6:2a07:6fc0:1:0:77::52 ip4:5.1.73.224/27 ip6:2a07:6fc0:1::73/64 ip6:2a07:6fc0:0:2::/64 ip6:2a07:6fc0:0:3::/64 ~all"
Das sieht für mich erstmal korrekt aus. Was übersehe ich?
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 00:32
by Jolinar
meisterkeks wrote: ↑Thu 12. Dec 2024, 22:50
Das sieht für mich erstmal korrekt aus. Was übersehe ich?
Die eingehende E-Mail wurde aufgrund eines SPF-Fehlers zurückgewiesen. Der Absenderserver vrp9e.out.mail.creoline.com ist nicht berechtigt, E-Mails im Namen der Absenderdomain will-hahnenstein.de zu senden.
Die IPv6 Adresse von vrp9e.out.mail.creoline.com [2a07:6fc0:0:3::252] sehe ich jetzt nicht im Include des SPF RR.
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 07:47
by otto58
Zusatzhinweis:
Die Abweisung wegen des fehlerhaften SPF erfolgt nur deshalb, weil der Absender ...@will-hahnenstein.de dies explizit in seinem _dmarc Record fordert - durch den Parameter: p=reject
Mit p=none oder auch p=quarantine würde die Email zu Dir durchkommen.
https://dnschecker.org/#TXT/_dmarc.will-hahnenstein.de
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 08:57
by ShortSnow
Moin,
vieleicht vertu ich mich jetzt, aber der SPF von
ist:
Code: Select all
v=spf1 a mx include:_spf.creoline.de -all
und erlaubt als IP's damit zusätzlich zu a und mx noch:
Code: Select all
_spf.creoline.de. 3600 IN TXT "v=spf1 ip4:5.1.77.5 ip4:5.1.78.5 ip4:5.1.78.10 ip4:5.1.77.49 ip4:5.1.78.4 ip4:5.1.77.50 ip4:5.1.77.51 ip4:5.1.77.52 ip4:49.12.130.5 ip4:165.232.45.126 ip6:2a07:6fc0:0:2::49 ip6:2a07:6fc0:0:2::4 ip6:2a07:6fc0:1:0:77::49 ip6:2a07:6fc0:1:0:78::4 ip6:2a07:6fc" "0:1:0:77::50 ip6:2a07:6fc0:1:0:77::51 ip6:2a07:6fc0:1:0:77::52 ip4:5.1.73.224/27 ip6:2a07:6fc0:1::73/64 ip6:2a07:6fc0:0:2::/64 ip6:2a07:6fc0:0:3::/64 ~all"
Im letzten Segment von _spf.creoline.de. steht:
das sollte doch die IP von der hier gesendet wird erlauben:
Also sollte der SPF doch passen, oder nicht?
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 09:08
by Jolinar
ShortSnow wrote: ↑Fri 13. Dec 2024, 08:57
vieleicht vertu ich mich jetzt
Nein, du hast natürlich Recht...Das hatte ich tatsächlich übersehen, daß das Subnetz mit aufgelistet ist...Sorry
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 09:25
by Blackmoon
Moin,
in dem Eintrag "_spf.creoline.de" ist ein Logikfehler. Und zwar bei "ip6:2a07:6fc0:1::73/64": Da fehlt eine Digit, wenn es ein /64 sein soll, oder?
Grüße
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 10:06
by Florian
Hallo,
die Mail hätte angenommen werdne müssen. Kann man z.B hier prüfen:
https://www.spf-record.de/spf-lookup
Ich habe immer das Gefühl das policyd-spf Probleme mit solchen includes hat. Nicht umsonst wird das zukünftig von rspamd mit erledigt
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 10:25
by Tobi
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 10:48
by Ralph
Ja der SPF passt ... allerdings frage ich mich gerade ob die Prüfungen (lookups) nur auf den TXT record beschränkt sind oder ob nach einem passenden MX dazu gesucht wird, der in diesem Fall nicht vorhanden ist für vrp9e.out.mail.creoline.com
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 13:20
by Tobi
Ein SPF Record autorisiert lediglich IPs.
Ob die IP oder der jeweilige Host existieren wird nicht geprüft.
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 14:04
by Blackmoon
Beide Tools prüfen den Eintrag _spf.creoline.de bzw. dessen Inhalt nicht. Daher ist der SPF Eintrag jeweils OK.
Der Fehler ist aber in dem Eintrag bei dem genannten IPv6 Subnetz.
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 14:24
by Florian
Hallo,
die Mail kam aber von
Der Eintrag für das Netz ist OK
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 14:42
by Blackmoon
Florian wrote: ↑Fri 13. Dec 2024, 14:24
die Mail kam aber von
Der Eintrag für das Netz ist OK
Der Eintrag "6:2a07:6fc0:1::73/64" ist aber nicht korrekt. Was im DNS Eintrag vor dem von dir genannten Eintrag steht. Ich hänge aktuell bei RFC 7208,
Kapitel 5.2.5. Sprich es wird ein Fehler zurückgegeben und damit wird doch die Prüfung des Eintrags "_spf.creoline.de" abgebrochen, oder?
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 14:43
by meisterkeks
Vielen lieben Dank für eure Zeit und Hilfestellung!
Schade, dass wir keine konkrete Ursache gefunden haben und die Mail "eigentlich" durchgehen müsste. Ich habe mittlerweile 2 weitere fehlgeschlagene Zustell-Versuche gefunden:
Code: Select all
postfix/smtpd[1630603]: NOQUEUE: reject: RCPT from e24gv.out.mail.creoline.com[2a07:6fc0:0:3::248]: 550 5.7.23 <mail@pwa-armaturen.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www. openspf.net/Why?s=helo;id=e24gv.out.mail.creoline.com;ip=2a07:6fc0:0:3::248;r=<UNKNOWN>; from=<ramb@will-hahnenstein.de> to=<...@empfaenger.de> proto=ESMTP helo=<e24gv.out.mail.creoline.com>
postfix/smtpd[1647071]: NOQUEUE: reject: RCPT from x4g4x.out.mail.creoline.com[2a07:6fc0:0:3::247]: 550 5.7.23 <mail@pwa-armaturen.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www. openspf.net/Why?s=helo;id=x4g4x.out.mail.creoline.com;ip=2a07:6fc0:0:3::247;r=<UNKNOWN>; from=<ramb@will-hahnenstein.de> to=<mail@pwa-armaturen.de> proto=ESMTP helo=<x4g4x.out.mail.creoline.com>
Blackmoon wrote: ↑Fri 13. Dec 2024, 09:25
in dem Eintrag "_spf.creoline.de" ist ein Logikfehler. Und zwar bei "ip6:2a07:6fc0:1::73/64": Da fehlt eine Digit, wenn es ein /64 sein soll, oder?
Gutes gesehen Blackmoon. Leider kommen auch die anderen Zustellversuche von einem "eigentlich" korrekt aufgeführten Netz.
Ich versuche mir jetzt erstmal mit dem folgenden Eintrag unter
/etc/postfix-policyd-spf-python zu behelfen:
Code: Select all
Domain_Whitelist = will-hahnenstein.de
Edit (zu spät gesehen):
Blackmoon wrote: ↑Fri 13. Dec 2024, 14:42
Der Eintrag "6:2a07:6fc0:1::73/64" ist aber nicht korrekt. Was im DNS Eintrag vor dem von dir genannten Eintrag steht. Ich hänge aktuell bei RFC 7208,
Kapitel 5.2.5. Sprich es wird ein Fehler zurückgegeben und damit wird doch die Prüfung des Eintrags "_spf.creoline.de" abgebrochen, oder?
Das wäre ja super. Damit hätten wir einen Schuldigen :-)
Ich gebe das mal an den Hoster weiter und melde mich nochmal hier sobald ich eine Rückmeldung habe.
Re: Denkfehler bei SPF
Posted: Fri 13. Dec 2024, 14:50
by Jolinar
@All:
Wenn ihr IPv6 Adressen in euren Posts schreibt, dann schaltet bitte die Smileys aus, da die Forensoftware sonst versucht, Zeichenfolgen, die mit ":" beginnen, als Smileys darzustellen:
- Screenshot_96.png (18.1 KiB) Viewed 5123 times
Ich hab mal die betroffenen Posts entsprechend korrigiert.