KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

https://community.keyhelp.de/viewtopic.php?t=9431

Page 1 of 1

SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 13:24
by bwestpha
Hallo,

erst einmal: vielen Dank für das tolle System und das ihr das so zur Verfügung stellt. das ist nicht selbstverständlich und ich
bin sehr dankbar darüber :)

Ich habe eines meiner Systeme auf Keyhelp umgezogen, und seit dem geht für eine Domain der Email-Empfang nur noch eingeschränkt.

Erstmal zur Fehlermeldung:

Code: Select all

This is the mail system at host blablabla.kasserver.com
"I'm sorry to have to inform you that ,....."


The Mail system

<info@MEINEDOMAIN.de> (expanded from 
<team@externalDomain.de>): host 
mail@MEINEDOMAIN.de[123.456.789.012] said 550 5.7.23 
<info@MEINEDOMAIN.de>: Recipient address rejected: 
Message rejected due to: SPF fail - not authorized. Please see 
http://www.openspf.net/Why?s=mfrom;id=my_sender_mail@gmx.de;ip=85.13.xxx.xxx;r=
<UNKNOWN> 
(in reply to RCPT TO command)

Mails direkt an info@MEINEDOMAIN.de gehen korrekt durch, nur durch die Umleitung funktioniert es nicht.
Habe ich etwas nicht konfiguriert am SPF / DKIM Framework und meinen NS Einträgen, oder ist etwas auf dem blablabla.kasserver.com (welcher zur der 85er IP Adresse auflöst) nicht korrekt eingestellt?

Was mache ich falsch, oder was macht der Admin von 85.13.xxx.xxx falsch? o.O
Egal wie die Antwort ausfällt, gibt es eine Möglichkeit den Fehler auf meiner Seite trotzdem zu vermeiden? (für mich ist der Empfang der Mails irgendwie doch recht wichtig dann :D )


LG und vielen dank im Voraus

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 13:56
by ShortSnow
Hi,

SPF und Weiterleitungen... Ein Thema für Stunden :lol:

Ich versuchs mal:

Wenn ein Absender mit GMX Mailsadresse an eine Weiterleitung sendet, dann prüft der Eingangsmailserver den SPF der GMX Mailadresse. Der SPF von GMX ist leider so eingestellt, das der Eingansmailserver die Mail ablehnen soll, da die Mail für den Eingansmailserver ja vom Weiterleitungsserver kommt.

Der Weiterleitungsserver müsste SRS einsetzten um das zu umgehen. Allerdings zerstört das wieder ein Stück den Gedanken hinter SPF...

Hier ist das weitaus besser erklärt:

https://www.heinlein-support.de/blog/ne ... durch-spf/

Gruß Arne

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 14:19
by bwestpha
Vielen Dank für den link und die Informationen,


Mhhh okay, das klingt interessant und irgendwie auch mächtig verwirrend / kaputt.
GMX ist halt das eine, es scheint aber nicht nur die zu betreffen (Web.de und private Anbieter / Agenturen ) haben das anscheinend ähnlich konfiguriert.

Fakt ist, ich hatte vorher das Postfach auch in Betrieb und vorher ging es tatsächlich. Ich habe von gmx und anderen Domains problemlos Mails empfangen können.

Erst seit der Neuinstallation werden diese von GMX o.A rejected.


Was kann ich machen :D ? (

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 14:48
by ShortSnow
Leitest Du denn intern um oder nach extern?

Intern wäre es ja Dein Mailserver der -All abweist. Das könntest Du umstellen... :roll:

Gruß Arne

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 18:37
by bwestpha
Also ich schicke von

Code: Select all

----------         -------------                            -----------------------
| GMX    | ------> | EXTERN    |    --------------------->  | meinedomain.de      | 
----------         -------------                            -----------------------
                     (blablabla.kasserver.de)             
                     (85.13.xxx.xxx)

SPF policy von GMX ist anscheinend relativ strikt. Verstanden.
SPF policy von EXTERN ist nicht vorhanden. Also leer.
SPF policy von meinedeomain.de ist inzwischen auf "v=spf1 a mx ?all" (sicher noch nicht global, aber ich habe es mal abgeändert - just in case)


Wie ist denn der Ablauf,

GMX verschickt an EXTERN, EXTERN leitet weiter zu meiendomain.de . Mein dovecot checkt nun GMX SPF ob EXTERN für GMX versenden darf und merkt: Nein. Dann kommt der Abbruch. Richtig?

Warum ist die Fehlermeldung dann:
"This is the mailsystem from blablabla.kasserver.com" ...?


Oder schaut EXTERN auf die meinedomain.de DNS Einträge, sieht da ist ein SPF '-' gesetzt, also darf ich die nicht weiterleiten an meinedomain.de ?


So ganz steig ich noch nicht durch wo genau der Fehler liegt. Denn irgendwie muss es ja an der Konfiguration meines mailservers / meines DNS liegen warum es ggf. geht , oder eben nicht.

Danke schon mal vielmals!

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Mon 4. May 2020, 19:31
by ShortSnow
Hi,

richtig. Der Kasserver stellt fest, das Dein Mailserver die Mail nicht möchte und gibt die Meldung raus.

Also, wenn Du Debian hast (Ubuntu, könnte genauso sein), dann schau mal nach der Datei:

/etc/postfix-policyd-spf-python/policyd-spf.conf

Code: Select all

HELO_reject False

Mail_From_reject False
Wenn beide auf True stehen, nimmt dein Mailserver die Mails (völlig zurecht :lol: ) nicht an. Auf False ändern und

Code: Select all

/etc/init.d/postfix restart

Gruß Arne

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Tue 5. May 2020, 10:18
by Martin
Hallo,

das würde SPF allerdings gänzlich außer Kraft setzen.

Sinnvoller wäre es hier meines Erachtens den fraglichen externen Server, welcher die Weiterleitung durchführt auf die Whitelist zu setzen:

/etc/postfix-policyd-spf-python/policyd-spf.conf

Code: Select all

Whitelist = 85.13.xxx.xxx/32
Alternativ GMX.de von der SPF Prüfung ausnehmen:

Code: Select all

Domain_Whitelist = gmx.de

Re: SPF lehnt weitergeleitete Mails ab (mehrere Weiterleitungen)

Posted: Tue 5. May 2020, 14:45
by ShortSnow
Hi,
Martin wrote: Tue 5. May 2020, 10:18 das würde SPF allerdings gänzlich außer Kraft setzen
Naja ja nicht gänzlich. Nur Absenderadressen, deren Betreiber auf -All gesetzt haben kommen dann zusätzlich durch, Softfail usw. gingen vorab auch schon.

Aber der Header in den Mails bleibt ja. Da kann man immer noch auf "Fail" Filtern (Postfachregel) und Spamassin sollte auch für Fail extra Punkte vergeben.

Code: Select all

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=xxx.213.191.201; helo=smtp201.sendfour.de; envelope-from=bounce+caavdglqqaaahmoaabu44aaaaaaaaa7g4h7hsq@pfm-bounce.eu; receiver=<UNKNOWN>

X-Spam-Status: Yes, score=5.486 tagged_above=-9999 required=5
	tests=[BAYES_00=-1.9, DATE_IN_PAST_06_12=1.543, DKIM_SIGNED=0.1,
	DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
	HEADER_FROM_DIFFERENT_DOMAINS=0.25, HTML_MESSAGE=0.001,
	MIME_HTML_ONLY=0.1, PYZOR_CHECK=1.392, SPF_HELO_NONE=0.001,
	SPF_PASS=-0.001, URIBL_BLACK=1.7, URIBL_DBL_SPAM=2.5]
	autolearn=no autolearn_force=no
Das Beispiel ist übrigens eine Spam Mail, wo SPF auch "pass" ist. Leider sind die meisten so und mit SPF erreicht man wenig, außer, das man sich mit GMX und Web.de quält...

Allerdings wollen GMX und web.de auch die Mails am liebsten direkt und keine Weiterleitungen :D
ShortSnow wrote: Mon 4. May 2020, 13:56 SPF und Weiterleitungen... Ein Thema für Stunden
Gruß Arne
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited