11
DMARC-Pass nicht erfolgreich, SPF fehlgeschlagen
Hallo,
ich nutze Google Mail um über meine Domain E-Mails zu versenden, was auch einwandfrei klappt.
Die Domain ist bei Cloudflare, dort hatte ich zuerst Weiterleitungsemails eingerichtet.
Nun habe ich im Cloudflare Dashboard "DMARC-Management" aktiviert und folgende Einträge gesetzt:
"v=spf1 include:_spf.google.com include:_spf.mx.cloudflare.net ~all"
"v=DMARC1; p=none; rua=mailto:abcdefg@dmarc-reports.cloudflare.net; aspf=r"
Danach habe ich zwei E-Mails gesendet, die beide angekommen sind, am nächsten Tag sagt der DMARC Report:
Unten finden Sie die 10 wichtigsten Quellen, die E-Mails in Ihrem Namen senden. Eine Quelle muss entweder mit SPF oder DKIM kompatibel sein, um einen DMARC-Pass zu erhalten:
DKIM ist klar dass das fehlschlägt, da nicht vorhanden.
Aber warum spf fehlschlägt verstehe ich noch nicht so ganz.
Die beiden IP Adressen vom Google SMTP sind unter "_spf.google.com" zu finden.
Wenn ich von "~all" auf "-all" stelle oder "p=reject" kommt nichts mehr an, bei "p=quarantine" landet meine E-Mail im Spam.
Im Header der von mir gesendeten E-Mail ist meine Googlemail Adresse zu sehen / enthalten.
Muss ich den spf Eintrag mit einem "redirect" versehen damit die Prüfung erfolgreich abschließt oder geht das generell nicht mit meiner kostenlosen Googlemail Variante ?
MfG
ich nutze Google Mail um über meine Domain E-Mails zu versenden, was auch einwandfrei klappt.
Die Domain ist bei Cloudflare, dort hatte ich zuerst Weiterleitungsemails eingerichtet.
Nun habe ich im Cloudflare Dashboard "DMARC-Management" aktiviert und folgende Einträge gesetzt:
"v=spf1 include:_spf.google.com include:_spf.mx.cloudflare.net ~all"
"v=DMARC1; p=none; rua=mailto:abcdefg@dmarc-reports.cloudflare.net; aspf=r"
Danach habe ich zwei E-Mails gesendet, die beide angekommen sind, am nächsten Tag sagt der DMARC Report:
Unten finden Sie die 10 wichtigsten Quellen, die E-Mails in Ihrem Namen senden. Eine Quelle muss entweder mit SPF oder DKIM kompatibel sein, um einen DMARC-Pass zu erhalten:
Aber warum spf fehlschlägt verstehe ich noch nicht so ganz.
Die beiden IP Adressen vom Google SMTP sind unter "_spf.google.com" zu finden.
Wenn ich von "~all" auf "-all" stelle oder "p=reject" kommt nichts mehr an, bei "p=quarantine" landet meine E-Mail im Spam.
Im Header der von mir gesendeten E-Mail ist meine Googlemail Adresse zu sehen / enthalten.
Muss ich den spf Eintrag mit einem "redirect" versehen damit die Prüfung erfolgreich abschließt oder geht das generell nicht mit meiner kostenlosen Googlemail Variante ?
MfG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670411
Url: https://administrator.de/forum/dmarc-pass-nicht-erfolgreich-spf-fehlgeschlagen-670411.html
Ausgedruckt am: 01.01.2025 um 14:01 Uhr
11 Kommentare
Neuester Kommentar
Moin,
füge beim SPF mal noch die Einträge a und mx hinzu:
https://knowledge.maxcluster.de/information-maxcluster-empfehlungen-fuer ...
Und zusätzlich auch mal die den SPF-Eintrag im allgemeinen checken (lassen):
https://mxtoolbox.com/spf.aspx
füge beim SPF mal noch die Einträge a und mx hinzu:
https://knowledge.maxcluster.de/information-maxcluster-empfehlungen-fuer ...
Und zusätzlich auch mal die den SPF-Eintrag im allgemeinen checken (lassen):
https://mxtoolbox.com/spf.aspx
Moin, warum sollte a und my im den Fall helfen ? Das fügt ja nur alle a und Mx records als weitere mögliche Absender hinzu. Sollte eigentlich nicht erforderlich sein
Das Problem dürfte sein dass, so verstehe ich es, eine GMail-Adresse (endend auf "gmail.com") im Envelope-Sender steht (wird beim Empfänger als Return-Path:-Header angegeben) und im MIME-From deine eigene Domain steht.
Ebenfalls dürfte die DKIM-Signatur von Google auch nur auf die GMail-Adresse lauten, nicht auf deine eigene Domain (erkennbar am "d:"-Tag in der Signatur).
SPF sollte dann zwar in der Theorie auf den Envelope-Sender positiv testen, aber wenn parallel eine DKIM-Signatur existiert, die für eine Domain gilt, die nicht im MIME-From auftaucht, kann das solche Nebeneffekte haben – dann wird nämlich eine fehlerhafte/gefälschte DKIM-Signatur angenommen, was schwerer wiegt.
Ebenfalls dürfte die DKIM-Signatur von Google auch nur auf die GMail-Adresse lauten, nicht auf deine eigene Domain (erkennbar am "d:"-Tag in der Signatur).
SPF sollte dann zwar in der Theorie auf den Envelope-Sender positiv testen, aber wenn parallel eine DKIM-Signatur existiert, die für eine Domain gilt, die nicht im MIME-From auftaucht, kann das solche Nebeneffekte haben – dann wird nämlich eine fehlerhafte/gefälschte DKIM-Signatur angenommen, was schwerer wiegt.
1
In den Kopfzeilen steht sowas:
Komischerweise klappt es jetzt doch mit:
also - und nicht ~
Hatte vorhin "include:_spf.google.com" durch ip4:.... ersetzt, also das IPv4 Netz, von welchem meine E-Mails über Google gesendet werden mit -all, das klappte dann. TTL extra auf 60 gesetzt. Muss man nicht verstehen.
Mal schauen was der Bericht (morgen) sagt, ob dann SPF-ausgerichtet nicht mehr fehlgeschlagen ist.
Kann ich den DKIM Publickey von Google herausfinden und bei mir einsetzen oder ist das unmöglich ?
Return-Path: <meine@googlemail.com>
Authentication-Results: web.de; dkim=none
Received: from mail-wm1-f52.google.com ([209.85.128.52]) by mx-ha.web.de
(mxweb004 [212.227.15.17]) with ESMTPS (Nemesis) id ...
for <ich@web.de>; Sun, 29 Dec 2024 21:50:34 +0100
Received: by mail-wm1-f52.google.com with SMTP id ...
for <ich@web.de>; Sun, 29 Dec 2024 12:50:34 -0800 (PST)
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20230601; t=1735505433; x=1736110233;Komischerweise klappt es jetzt doch mit:
"v=spf1 include:_spf.google.com include:_spf.mx.cloudflare.net -all" Hatte vorhin "include:_spf.google.com" durch ip4:.... ersetzt, also das IPv4 Netz, von welchem meine E-Mails über Google gesendet werden mit -all, das klappte dann. TTL extra auf 60 gesetzt. Muss man nicht verstehen.
Mal schauen was der Bericht (morgen) sagt, ob dann SPF-ausgerichtet nicht mehr fehlgeschlagen ist.
Kann ich den DKIM Publickey von Google herausfinden und bei mir einsetzen oder ist das unmöglich ?
Hallo,
probiere mal dies zum testen von Mails.
https://www.appmaildev.com/de/spf
Achte auf das Stichwort ausgerichtet.
Es kann sein, dass Mails SPF-Konform aber nicht ausgerichtet sind.
Das hängt jeweils vom Anbieter ab was das bedeutet.
Stefan
probiere mal dies zum testen von Mails.
https://www.appmaildev.com/de/spf
Achte auf das Stichwort ausgerichtet.
Es kann sein, dass Mails SPF-Konform aber nicht ausgerichtet sind.
Das hängt jeweils vom Anbieter ab was das bedeutet.
Stefan
1
Danke.
SPF: pass
Laut Cloudflare alle fehlgeschlagen.
Da steht als Erklärung bei:
Vermutlich wegen Domain <-> Google.
Seit heute bin ich bei dnsbl.dronebl.org:LISTED - http://www.dronebl.org
gestern noch nicht.
Zu viele Test Emails gesendet vermutlich.
Kriege ich mich da wieder raus?
_dmarc.***.de: v=DMARC1; p=none; rua=mailto:***@dmarc-reports.cloudflare.net; aspf=r
Received-SPF: pass (appmaildev.com: domain of googlemail.com designates 209.85.128.50 as permitted sender) client-ip=209.85.128.50
Authentication-Results: appmaildev.com;
dkim=none (no signature);
spf=pass (appmaildev.com: domain of googlemail.com designates 209.85.128.50 as permitted sender) client-ip=209.85.128.50;
dmarc=fail (adkim=r aspf=r p=none) header.from=***.de;Laut Cloudflare alle fehlgeschlagen.
Da steht als Erklärung bei:
Seit heute bin ich bei dnsbl.dronebl.org:LISTED - http://www.dronebl.org
gestern noch nicht.
Zu viele Test Emails gesendet vermutlich.
Kriege ich mich da wieder raus?
Moin,
Gruß,
Dani
Seit heute bin ich bei dnsbl.dronebl.org:LISTED - http://www.dronebl.org
wenn du (und so habe ich dich auch verstanden) keinen eigenen E-Mail-Server betreibst, ist das der Job von Google und nicht on dir.Da steht als Erklärung bei:
Stelle bitte Cloudflare auf englisch und poste die Fehlermeldung nochmals. Mit Deutsch wirst du und wir nicht glücklich...Kann ich den DKIM Publickey von Google herausfinden und bei mir einsetzen oder ist das unmöglich ?
DKIM vs DMARC sind zwei unterschiedliche Baustellen. Wie hast du denn DMARC eingerichtet, nach dieser Anleitung https://support.google.com/a/answer/2466580?hl=de?Gruß,
Dani
Wie hast du denn DMARC eingerichtet, nach dieser Anleitung
Wenn Sie Google Workspace verwenden, können Sie mit der Google Admin Toolbox prüfen, ob DMARC eingerichtet ist. Andernfalls folgen Sie der Anleitung Ihres Domainanbieters.
Da ich kein Workspace verwende, habe ich es bei Cloudflare eingerichtet, 2 Klicks.
"v=DMARC1; p=none; rua=mailto:xy@dmarc-reports.cloudflare.net; aspf=r" "v=spf1 include:_spf.google.com include:_spf.mx.cloudflare.net -all" Englisch:
Moin,
Gruß,
Dani
Da ich kein Workspace verwende, habe ich es bei Cloudflare eingerichtet, 2 Klicks.
Was kommt nun bei https://www.appmaildev.com/de/spf raus?Die Domain ist bei Cloudflare, dort hatte ich zuerst Weiterleitungsemails eingerichtet.
Diese Weiterleitungs Konfiguration gibt es nicht mehr? Der MX Record für deine Mail Domain zeigt direkt auf die Server von Google, korrekt?Gruß,
Dani
@Dani Das hatte ich doch oben geschrieben / bebildert: DMARC-Pass nicht erfolgreich, SPF fehlgeschlagen
Die Weiterleitung gibt es natürlich noch, der MX zeigt nach wie vor auf Cloudflare!
Von Cloudflare wird es zu googlemail weitergeleitet.
Die Weiterleitung gibt es natürlich noch, der MX zeigt nach wie vor auf Cloudflare!
Von Cloudflare wird es zu googlemail weitergeleitet.
Update, habe mich bei SMTP2GO angemeldet, das ging problemlos. (mailersend.com hat mich nach 2h wieder rausgeschmissen, hatte bei company: "nocompany" eingetragen)
Ich musste 3x CNAME hinzufügen:
und kann nun über deren SMTP senden und das beste ist:
alles i.O.
kein spf Eintrag notwendig, das läuft über einen der CNAME Einträge.
Hoffe SMTP2Go schmeißt mich nicht auch wieder raus.
Ich musste 3x CNAME hinzufügen:
kein spf Eintrag notwendig, das läuft über einen der CNAME Einträge.
Hoffe SMTP2Go schmeißt mich nicht auch wieder raus.
