franc
Goto Top

DNS - SPF-Eintrag

Hallo
ein Kunde hat gelegentlich Probleme mit Mails von seinem Hetzner Managed Server.
Gelegentlich werden die Mails von dort abgelehnt, zB. mit der Meldung:

550 #5.7.1 Your access to this mail system has been rejected due to the sending MTA's poor reputation

Ich habe bei talosintelligence.com (Cisco Login nötig) ein Ticket dazu erstell, aber ich denke es liegt an so Sachen wie SPF, da steht im Zoneneintrag für SPF (kann man bei Hetzner selbst eintragen):

"v=spf1 +a +mx ?all"  

Ruf ich dem Mailserver seine Texteinträge ab:

#host -t TXT dedivirt479.your-server.de
dedivirt479.your-server.de has no TXT record

hat er keinen SPF Eintrag. Sagt mir auch mxtoolbox.com.
Fehlt da evtl. noch ein A Eintrag für den MX?

Danke für Tipps.
franc

Content-Key: 5269392936

Url: https://administrator.de/contentid/5269392936

Printed on: April 18, 2024 at 03:04 o'clock

Member: radiogugu
radiogugu Jan 09, 2023, updated at Jan 11, 2023 at 07:24:12 (UTC)
Goto Top
Nabend.

Der MX und SPF Eintrag müssen ja beim Domain Hoster hinterlegt werden und nicht bei Hetzner.

Dieser MX Eintrag sollte auf einen FQDN einer Subdomain (z.B. mail.deinedomain.de) zeigen. Diese zeigt wiederum mittels eines A Record auf die Öffentliche IP des Hetzner Servers.
Bei Hetzner solltest du dann unbedingt den Reverse DNS auf deine gewählte Subdomain zeigen lassen.

Der gute Dennis hat das in der Videoreihe sehr anschaulich dargelegt:

https://m.youtube.com/watch?v=QiDDczFSeKQ

Der SPF sollte strikter ausgelegt werden.

"v=spf1 ip4:die IP deines Hetzner Servers -all"

Leider sind die Hetzner IPs auch gerne mal auf Blacklists und du kannst die Konfiguration so gut machen, wie du möchtest.

Gruß
Marc
Member: Dani
Dani Jan 09, 2023 at 21:38:29 (UTC)
Goto Top
Moin,
neben SPF würde ich schauen, dass du DKIM geplant und implementiert bekommst. Dann gehst du so zusagen auf Nummer sicher. Wenn beides mittelfristig nichts bringt, wirst du wohl den Hetzner Support einbinden müssen. Ab und hilft auch ein IP-Adressen Wechsel.


Gruß,
Dani
Member: LordGurke
LordGurke Jan 09, 2023 at 22:40:16 (UTC)
Goto Top
Zitat von @franc:
#host -t TXT dedivirt479.your-server.de
dedivirt479.your-server.de has no TXT record

Ist das der Reverse-DNS-Name deiner Mailserver-IP?
Das ist schlecht und muss dringend auf etwas unterhalb deiner Domain geändert werden.
Bitte auch prüfen, ob dein Server eventuell per IPv6 Mails versendet, dann musst du diese Adresse(n) natürlich auch im DNS hinterlegen (sowohl Reverse-DNS, Vorwärtsauflösung, u.s.w.)
Member: franc
franc Jan 09, 2023 at 22:54:35 (UTC)
Goto Top
Mir war auch aufgefallen dass es kein A Eintrag für den MX dedivirt479.your-server.de gibt.
Den braucht man aber doch auch, oder?
Member: RoadRage3
RoadRage3 Jan 10, 2023 at 05:52:52 (UTC)
Goto Top
Generell hast du eine eigene Domain firma.de für die du E-Mail Adresse vorname.nachname@firma.de erstellen möchtest. Die Domain hast du irgendwo gekauft was an sich auch bei Hetzner möglich ist: https://www.hetzner.com/domainregistration

Dort wo du die Domain dir gekauft hast musst du die DNS Einträge (mindestens SPF bestenfalls noch DKIM und DMARC mit dazu) erstellen. Für den Betrieb des Servers sind erstmal zwei wichtig: (Nur Testbetrieb, im Livebetrieb mehr)
- A Record mit Verweis auf deinen Server (z.B. Mail.firma.de)
- MX Record welchen auf den A Record verweist (also auf mail.firma.de)
Damit der Server dann noch tatsächlich genutzt werden kann und nicht überall im Spam Filter landet ist es wichtig SPF einzustellen. Hier sollte mindestens der MX Server als erlaubter Versender angegeben werden sowie die Angabe "-all" damit alle anderen Server die versuchen über deine Domain eine Mail zu verschicken abgewiesen werden. Fertig könnte der Eintrag dann so aussehen: "v=spf1 mx -all"
Member: NordicMike
Solution NordicMike Jan 10, 2023 at 06:34:11 (UTC)
Goto Top
Der A Eintrag ist für den Mailserver überhaupt nicht nötig. Nur für Web Dienste oder andere Dienste bzw damit du auch weisst wie du dich mit ihm verbinden kannst um ihn zu verwalten (VPN, RDP, SSH usw)

Der MX Eintrag ist nur für den Email Empfang nötig, damit andere Mailversender wissen wohin die Email gesendet werden soll, wenn sie zu deiner Email Adresse addressiert ist. Wenn Dein Server auch Emails empfängt, muss im MX Eintrag die IP Nummer deines Servers stehen.

Der SPF Text ist nur für das versenden wichtig, es sagt den Email Empfängern welche Server überhaupt Emails in deinem Namen versenden dürfen. Dein Name ist der Domänenname, der hintere Teil der Email Adresse z.B. dachdeckermueller.de
Wenn eine Email von info@dachdeckermueller.de bei irgendeinem empfangenden Mailserver ankommt, schaut dieser erst einmal nach ob diese IP Adresse (des versendenen Servers) in der Domain dachdeckermueller.de (im SPF Eintrag) überhaupt vorkommt. Wenn nicht, lehnt er diesen Email Empfang ab.

Du kannst im SPF Text auf den A oder MX Server referenzieren, aber nur, wenn der A oder MX Eintrag auch in der DNS Liste existiert. Statt A oder MX kannst du auch deren IP Nummern eintragen.

host -t TXT dedivirt479.your-server.de
Diese Prüfung würde nur aussagen welcher Server eine Email im Namen von z.B. irgendwas@dedivirt479.your-server.de versenden darf.
dedivirt479.your-server.de has no TXT record
Diese Antwort sagt nur aus, dass niemand eine Email im Namen von irgendwas@dedivirt479.your-server.de versenden darf.

Du willst ja von info@dachdeckermueller.de versenden, also muss der SPF Text auch in die Domänenverwaltung von dachdeckermueller.de rein. Die richtige Prüfung wäre dann also:
host -t TXT dachdeckermueller.de

Und als Ergebnis muss die IP Adresse, also die 94.130.227.194 raus kommen. Dann darf dieser Server auch Emails versenden.

Wenn Du (oder Dein Kunde) einen eigenen Mailserver betreibst, wirst du ständig gegen die Fehlermeldungen ankämpfen und dich von willkürlichen und unseriösen Blacklisten entfernen lassen. Besser wäre es die Hetzner Server die Emails versenden zu lassen, Hetzner kümmert sich schon intensiv dass ihre Server nicht geblacklistet sind. Um das zu bewerkstelligen muss dein Server alle ausgehenden Emails zu Hetzner schicken und nicht direkt in die weite Welt (Hetzner Server fungiert als Smarthost). Du brauchst dafür mindestens ein kleines Mail Paket von Hetzner, das wenige Euro im Monat kostet, wenn es nicht schon dabei ist.
Member: franc
franc Jan 10, 2023 at 10:34:29 (UTC)
Goto Top
Also ich kann im Hetzner Verwalungsbackend zwar DNS Einträge selbst setzen, aber die werden in den Maileinstellungen von Hetzner eigentlich automatisch gesetzt, das kann man nämlich auch einfach anklicken, DKIM/SPF/DMARC.
Letztlich ist der Mailserver von Hetzner, fix und fertig, da kann ich ja auch gar nichts zusätzlich einstellen.
Wird wohl so sein, dass man da hoffen muss, dass der Mailserver bloß nicht auf Blacklists kommt.

Ich habe jetzt in diesem talosintelligence durch das Ticket die Reputation jetzt von "poor" auf immerhin "neutral" anheben können, aber noch mal nachgehakt, hätte schon lieber "Good" ;)

Jedenfalls vielen Dank für eure Hilfe, das erhellt mir die Sache schon erheblich face-smile