ralpht
Goto Top

Frage zu einem SPF-Eintrag

Moin,

ich habe da gerade ein Problem mit einem SPF-Eintrag.

Folgende Situation:

Ich bin Kunde bei IONOS und es wurde bislang ein Exchange mit POP-Abholer benutzt. Weiterhin wurden die Mails vom Exchange über Smarthost von IONOS versendet.
Jetzt wollte ich, da ich eine feste IP-Adresse habe, die Mails nicht mehr über den Smarthost versenden, sondern direkt in das Internet. Der POP-Abholer soll auch weg, aber jetzt noch nicht.
Bedeutet, dass IONOS noch die Mails empfangen soll.

Jetzt habe ich einen Reverse DNS-Eintrag wie folgt eingetragen:

11.12.13.14 auf mail.firma.de

Allerdings habe ich hier einen Nutzer, der muss weiterhin ein Postfach von IONOS nutzen. Der derzeitige SPF-Eintrag bei IONOS sah bisher so aus:

v=spf1 include:_spf-eu.ionos.com ~all

Diesen Eintrag habe ich jetzt wie folgt geändert:

v=spf1 include:mail.firma.de include:_spf-eu.ionos.com ~all

Ich möchte einfach nur, dass die Mailserver von IONOS und der Exchange als vertrauenswürdig gelten.
Syntaktisch ist dieser Eintrag richtig. Allerdings bekomme ich bei der externen Prüfung folgenden Teilfehler:


SPF-Check nicht bestanden
Es konnte kein SPF-Record für die Domain "mail.firma.de" ermittelt werden.


Augenscheinlich fehlt da wohl was. Kann mir da mal jemand Hilfe zu geben?

Content-Key: 13816304185

Url: https://administrator.de/contentid/13816304185

Printed on: February 29, 2024 at 21:02 o'clock

Member: RoadRage3
Solution RoadRage3 Dec 05, 2023 at 15:43:27 (UTC)
Goto Top
Hallo Ralph,

mach aus deinem include:FQDN ein "ip4:11.12.13.14". Das Include wird aufgelöst,, es wird eine DNS Abfrage "nslookup mail.firma.de" gemacht und dann alle SPF Einträge dieser Domain als Vertrauenswürdig eingestuft.
Soweit ich es verstehe soll alles bei dir gleich bleiben, nur die Art des Mail Versands vom Exchange weg verändert sich. Am einfachsten daher die fest IP des Servers eintragen wie oben angegeben.

Du kannst auch SPF Generatoren verwenden. Die lesen die aktuell vorhanden SPF EInträge aus, du gibts einfach was was hinzugefügt werden soll und das Programm gibt dir n fertigen EIntrag zurück.

Ben
Member: RalphT
RalphT Dec 05, 2023 updated at 16:04:32 (UTC)
Goto Top
Hallo Ben,

mach aus deinem include:FQDN ein "ip4:11.12.13.14"

also dann so:

v=spf1 ip4:11.12.13.14 include:_spf-eu.ionos.com ~all

Ja, das hatte ich tatsächlich in Erwägung gezogen, aber ich war mir recht unsicher.

Soweit ich es verstehe soll alles bei dir gleich bleiben, nur die Art des Mail Versands vom Exchange weg verändert sich.

Ja, korrekt.
Member: mbehrens
Solution mbehrens Dec 05, 2023 at 16:14:05 (UTC)
Goto Top
Zitat von @RalphT:

v=spf1 include:mail.firma.de include:_spf-eu.ionos.com ~all

Ich möchte einfach nur, dass die Mailserver von IONOS und der Exchange als vertrauenswürdig gelten.
Syntaktisch ist dieser Eintrag richtig. Allerdings bekomme ich bei der externen Prüfung folgenden Teilfehler:


SPF-Check nicht bestanden
Es konnte kein SPF-Record für die Domain "mail.firma.de" ermittelt werden.

Es wird bestimmt kein SPF Eintrag unter mail.firma.de hinterlegt sein. Ich würde stattdessen diesen include Einttrag durch ein a:mail.firma.de ersetzen.
Ob ein ~all sinnvoll ist, würde ich auch mal in Frage stellen.
Member: DerNixWusste
DerNixWusste Dec 06, 2023 at 07:23:10 (UTC)
Goto Top
Ob ein ~all sinnvoll ist, würde ich auch mal in Frage stellen.

Doch ist es - zumindestens bei IONOS. Ich hatte den Eintrag ~all nicht gesetzt, und damit waren die zusätzlichen, neuen Mailserver aus dem niederländischen Rechenzentrum leider außen vor.
Member: Dani
Dani Dec 06, 2023 at 08:24:05 (UTC)
Goto Top
Moin,
Doch ist es - zumindestens bei IONOS. Ich hatte den Eintrag ~all nicht gesetzt, und damit waren die zusätzlichen, neuen Mailserver aus dem niederländischen Rechenzentrum leider außen vor.
naja, drum ergänzt man den SPF Record auch um die weiteren Server. Im Besten Fall gibt es einen bestehenden SPF Eintrag, welchen du in deinen Eintrag aufnehmen kannst.

Was bringt dir und der Rest der Welt ein SPF Eintrag welcher mit ~ endet?


Gruß,
Dani
Member: RalphT
RalphT Dec 06, 2023 at 16:09:54 (UTC)
Goto Top
Vielen Dank für eure Ratschläge. Den ersten Vorschlag habe ich heute mal umgesetzt. Die Prüfung ergab keinen Fehler.
Später werde ich dann das "~a" gegen ein "-a" tauschen.
Member: Dani
Dani Dec 06, 2023 updated at 16:17:35 (UTC)
Goto Top
Moin,
Später werde ich dann das "~a" gegen ein "-a" tauschen.
äh, wenn du wirklich als Parameter "~a" verwendet hast, ist der Eintrag jetzt schon ungültig. Die Syntax muss passen. Wenn du das nicht an Hand des RFC (Link) hinbekommst, nutze bitte entsprechende Generatoren.


Gruß,
Dani
Member: RalphT
RalphT Dec 06, 2023 at 16:50:22 (UTC)
Goto Top
Oh, habe ich gar nicht gesehen. Ich hatte mich nur hier im Forum vertippt. Im SPF steht "~all".
Member: Dani
Dani Dec 06, 2023 at 17:04:09 (UTC)
Goto Top
Moin,
Später werde ich dann das "~a" gegen ein "-a" tauschen.
ich erinnere daran....


Gruß,
Dani
Member: 0J4N90
0J4N90 Jan 03, 2024 at 09:04:20 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Später werde ich dann das "~a" gegen ein "-a" tauschen.
Wenn du das nicht an Hand des RFC (Link) hinbekommst, nutze bitte entsprechende Generatoren.

Also der Generator ist ja ganz nett, aber Sicheren SPF-Record vom Experten erstellen lassen ab 749€, echt jetzt? Also ich mach das für 739€! ;)

Aber nun mal Spaß beiseite, entweder einschlägige How2s oder RFC lesen, so ein SPF-Record ist ja für die meisten 0815-Installationen nun wahrlich kein Hexerwerk!
Member: Dani
Dani Jan 03, 2024 at 10:15:09 (UTC)
Goto Top
Moin,
Also der Generator ist ja ganz nett, aber Sicheren SPF-Record vom Experten erstellen lassen ab 749€, echt jetzt? Also ich mach das für 739€! ;)
der Generator ist nach wie vor kostenlos. Wie immer geht es bei dem Preis um Consulting. Der Generator soll dafür dienen, damit der Wert korrekt aufgebaut ist (siehe -a bzw. ~a.). Der Generator soll natürlich nicht das Grundverständnis ersetzen. Das setze ich als E-Mail-Server Admin als Basic voraus.


Gruß,
Dani
Member: 0J4N90
0J4N90 Jan 03, 2024 at 11:16:50 (UTC)
Goto Top
O.K. ich muss das nächste mal 'n <sarcasm>-TAG benutzen, ich sehe es schon. Ich würde ferner mal behaupten, dass ich schon weiß was die Präfixe +, -, ~ oder beim Sender Policy Framework bedeuten und was passiert wenn der SPF-Record eben nicht in 155 Zeichen passt. ;)

Und sollte ich es mal gerade nicht auf der Zunge haben, suche ich einfach nach "spam_10" im WWW... ;)