Page 1 of 1
Whitelist für SPF greift nicht?
Posted: Tue 8. Apr 2025, 17:11
by meisterkeks
Hallo zusammen,
ich arbeite mit Keyhelp 25 auf Ubuntu 22.
Ein Lieferant von mir hat einen falschen SPF-Eintrag und Mails von ihm an mich werden von Keyhelp korrekt abgewiesen. Irgendwann erreiche ich bei meinem Lieferanten vielleicht den richtigen Ansprechpartner um das zu korrigieren, aber bis dahin würde ich mir gerne behelfen.
Ich spiele also gerade mit Whitelist-Einträgen in
/etc/postfix-policyd-spf-python/policyd-spf.conf rum und mache irgendwas dabei falsch. Die Datei habe ich wie folgt geändert:
Code: Select all
debugLevel = 1
TestOnly = 1
HELO_reject = Fail
Mail_From_reject = Fail
PermError_reject = False
TempError_Defer = False
skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1
Whitelist: 12.345.67.89/31
Anschließend habe ich Postfix (und Amavis und Spamassassin) neugestartet.
Um meine Änderungen zu testen, sende ich jetzt eine Mail mit absichtlich falschem Absender. SPF-Eintrag etc. passen natürlich nicht, aber das sollte Keyhelp ja jetzt ignorieren.
Trotzdem wird die folgende Mail nicht durchgelassen:
Code: Select all
Apr 8 16:39:21 kameha postfix/smtpd[1729360]: connect from test.absenderserver.de[12.345.67.89]
Apr 8 16:39:23 kameha policyd-spf[1730258]: 550 5.7.23 Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=weihnachtsmann@nordpol.de;ip=12.345.67.89;r=<UNKNOWN>
Apr 8 16:39:23 kameha postfix/smtpd[1729360]: NOQUEUE: reject: RCPT from test.absenderserver.de[12.345.67.89]: 550 5.7.23 <test@empfangerserver.de>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=weihnachtsmann@nordpol.de;ip=12.345.67.89;r=<UNKNOWN>; from=<weihnachtsmann@nordpol.de> to=<test@empfaengerserver.de> proto=ESMTP helo=<test.absenderserver.de>
Apr 8 16:39:23 kameha postfix/smtpd[1729360]: using backwards-compatible default setting smtpd_relay_before_recipient_restrictions=no to reject recipient "test@empfaengerserver.de" from client "test.absenderserver.de[12.345.67.89]"
Apr 8 16:39:23 kameha postfix/smtpd[1729360]: disconnect from test.absenderserver.de[12.345.67.89] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8
Ich übersehe bestimmt etwas total Triviales. Hat jemand eine Idee für mich?
Re: Whitelist für SPF greift nicht?
Posted: Tue 8. Apr 2025, 17:31
by Florian
Nach Whitelist darf kein Doppelpunkt sein sondern ein "ist gleich" =
siehe
https://manpages.debian.org/testing/pos ... .5.en.html
Re: Whitelist für SPF greift nicht?
Posted: Tue 8. Apr 2025, 17:46
by meisterkeks
Danke!
Leider scheint noch mehr nicht zu stimmen und meine Testmail wird weiterhin abgewiesen.
Re: Whitelist für SPF greift nicht?
Posted: Tue 8. Apr 2025, 18:15
by Tobi
Auch wenn ich nix davon halte, würde ich das hier ausprobieren.
Code: Select all
Domain Specific Receiver Policy
Using this option, a list of domains can be defined for special processing when messages do not Pass SPF. This can be useful for commonly spoofed domains that are not yet publishing SPF records with -all. Specifically, if mail from a domain in this list has a Neutral/Softfail result, it will be rejected (as if it had a Fail result). If needed, it is better to do it on a per-domain basis rather than globally.
Example:
Reject_Not_Pass_Domains = aol.com,hotmail.com
Default:
None
Re: Whitelist für SPF greift nicht?
Posted: Wed 9. Apr 2025, 11:44
by tab-kh
Na, da hat der Lieferant aber großes Glück, dass alle seine Kunden sich den Mailserver verrenken um seine Mails zu bekommen. Da frage ich mich schon was der beruflich macht. Ein Lieferant, dessen Mails sehr wahrscheinlich bei einer großen Anzahl Kunden nicht ankommen werden. Und falls doch, wohl bestenfalls vielleicht noch als Spam. Eigentlich sollte er ein großes Interesse daran haben, das Problem vorgestern zu beheben.
Re: Whitelist für SPF greift nicht?
Posted: Wed 9. Apr 2025, 12:32
by Ralph
tab-kh wrote: ↑Wed 9. Apr 2025, 11:44
Na, da hat der Lieferant aber großes Glück, dass alle seine Kunden sich den Mailserver verrenken um seine Mails zu bekommen. Da frage ich mich schon was der beruflich macht. Ein Lieferant, dessen Mails sehr wahrscheinlich bei einer großen Anzahl Kunden nicht ankommen werden. Und falls doch, wohl bestenfalls vielleicht noch als Spam. Eigentlich sollte er ein großes Interesse daran haben, das Problem vorgestern zu beheben.
Genau so isses!
Allerdings mußte ich schon mal meinen Getränke Lieferanten SPF whitelisten (kritische Infrastruktur)
Code: Select all
# als IP
Whitelist = xxx.xxx.xx.x
# oder als Domain
Domain_Whitelist = biertempel.com
Re: Whitelist für SPF greift nicht?
Posted: Wed 9. Apr 2025, 13:28
by meisterkeks
Die Einstellung
Reject_Not_Pass_Domains erscheint mir für meinen Fall nicht sinnvoll:
This can be useful for commonly spoofed domains that are not yet publishing SPF records with -all. Specifically, if mail from a domain in this list has a Neutral/Softfail result, it will be rejected (as if it had a Fail result)
Wenn ich das richtig verstehe, werden also Domains mit eingestelltem Softfail so behandelt als hätten wäre ein Hardfail eingestellt. Das wäre ja sozusagen das Gegenteil von dem was ich möchte.
Na, da hat der Lieferant aber großes Glück, dass alle seine Kunden sich den Mailserver verrenken um seine Mails zu bekommen. Da frage ich mich schon was der beruflich macht.
Ersatzteile für Industriearmaturen
Ein Lieferant, dessen Mails sehr wahrscheinlich bei einer großen Anzahl Kunden nicht ankommen werden. Und falls doch, wohl bestenfalls vielleicht noch als Spam. Eigentlich sollte er ein großes Interesse daran haben, das Problem vorgestern zu beheben.
Sollte man meinen...
Ich habe mittlerweile, testweise die Datei erweitert:
Code: Select all
Domain_Whitelist = nordpol.de
Domain_Whitelist_PTR = nordpol.de
Whitelist = 12.345.67.89/31
Wahlweise hatte ich auch:
Ich glaube mittlerweile mein Problem liegt woanders, keine Einstellung scheint zu greifen.
Re: Whitelist für SPF greift nicht?
Posted: Wed 9. Apr 2025, 13:52
by Ralph
meisterkeks wrote: ↑Wed 9. Apr 2025, 13:28
Ich glaube mittlerweile mein Problem liegt woanders, keine Einstellung scheint zu greifen.
Code: Select all
# als IP Adresse
Whitelist = xxx.xxx.xx.x
# oder als Absender Domain
Domain_Whitelist = nordpol.de
Wenn es nur ein SPF reject ist, sollte ein SPF whitelisting greifen ... kann aber auch noch weitere zusätzliche Ursachen haben RDNS fehlerhaft oder ein Blacklisting des Mailservers. Mehr dazu lässt sich im mail.log finden.
Re: Whitelist für SPF greift nicht?
Posted: Wed 9. Apr 2025, 14:31
by meisterkeks
Wenn es nur ein SPF reject ist, sollte ein SPF whitelisting greifen ... kann aber auch noch weitere zusätzliche Ursachen haben RDNS fehlerhaft oder ein Blacklisting des Mailservers. Mehr dazu lässt sich im mail.log finden.
Laut mail.log ist SPF Schuld:
Code: Select all
Message rejected due to: SPF fail - not authorized.
Die Fehlermeldung aus meinem ersten Post, hat sich leider nicht geändert.
Da ich aber gerade keine weitere Idee habe und mir sowieso noch der Wechsel zu Rspamd bevorsteht, ziehe ich das Update eventuell früher durch und schaue mir die SPF-Einstellungen in Rspamd an.