hantrio
Nov 03, 2022, updated at 07:11:50 (UTC)
view1947
view6
0
Goto Top

Frage zu SPF records bei Mail-Weiterleitungen

GermansolvedQuestionE-MailDNS
Moin,

ich hab gerade einen kleinen Knoten im Gehirn, was SPF records angeht ;) vielleicht kann mir wer einen Schubs geben.

Und zwar, folgende Situation:

Absender A schickt eine Mail zu Empfänger B.
B hat eine Weiterleitung eingerichtet zu Empfänger C.

Absender A ist "irgend jemand".
Empfänger-Postfach B liegt bei uns, die Weiterleitung funktioniert (rein technisch gesehen).
Empfänger C ist extern (hat nichts mit uns zu tun).

Das Problem:
Empfänger C meldet: "Mail abgelehnt, SPF record nicht korrekt".
-> Der Fehler schlägt bei uns auf, also wenn unsere Mailserver versuchen, die Mail an C weiterzuleiten.

Ich habe daraufhin den SPF record von Domain B angepasst, so dass er zu unserer Sende-IP passt - trotzdem mault C immer noch rum, gleiche Fehlermeldung.
(Anm.: Die Änderung ist 24h+ her, sodass ich davon ausgehe, dass der record sich mittlerweile entspr. verbreitet hat.)

Meine Frage:
Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?

Oder anders formuliert:
Welche Sende-Adresse wird bei Verwendung einer Weiterleitung vom letztendlichen Empfänger "wahrgenommen", die wirklich ursprüngliche, oder die, über die weitergeleitet wird?


Rein logisch betrachtet: Es ist ja anscheinend der SPF record von A, dem ursprünglichen Absender, der hier geprüft wird (?)
Denn C sieht als Sende-IP die von B (unsere IP), als Absender-Adresse jedoch A (?) Dann wäre klar, dass die nicht zusammenpassen.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 4491869802

Url: https://administrator.de/contentid/4491869802

Printed on: April 18, 2024 at 10:04 o'clock

6 Comments
Latest comment
Goto Top
Member: StefanKittel
StefanKittel Nov 03, 2022 at 08:21:53 (UTC)
Goto Top
Zitat von @HanTrio:
Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?
Das hängt von Eurem Mail-Server ab welchen Absender er verwendet.
Es klingt so als ob er A verwendet und dann passt der SPF natürlich nicht.
Er sollte B verwenden und die Mail weiterleiten und nicht umleiten.

Das ist ein leidiges Problem was immer mal wieder auftaucht.

Hiermit kann man einfach SPF in der Praxis testen.
https://www.appmaildev.com/de/spf

Stefan
Member: LordGurke
Solution LordGurke Nov 03, 2022 at 08:31:51 (UTC)
Goto Top
Du schreibst jetzt nicht, welche Mailserver-Software von euch verwendet wird, daher kann man nicht festmachen, wie dieser sich standardmäßig verhält.

Grundsätzlich: SPF prüft nur den Envelope-Sender. Wenn der weiterhin A ist, wird das dann fehlschlagen.
Um das zu vermeiden muss der Envelope-Sender auf B umgeschrieben werden (das hängt stark von der verwendeten Software bei B ab) oder es muss SRS mit einer Domain des Mailservers genutzt werden.

Wenn man den Envelope-Sender umschreibt könnte es in seltenen Fällen zu Problemen mit DKIM und Strict Alignment kommen (was selten verwendet wird). Dabei darf dann der Envelope-Sender nicht vom angezeigten MIME-Sender abweichen, was aber durch die Weiterleitung passieren würde.
Um das zu erschlagen braucht man dann ARC — aber das erwähne ich nur der Vollständigkeit halber, damit hat man so gut wie nie zu tun.
Member: HanTrio
HanTrio Nov 03, 2022 at 09:46:10 (UTC)
Goto Top
Es wird ein postfix bei uns verwendet.

Hab grad akut nochmal genauer geschaut, Logfiles geben u.a. dies her:

Nov  2 12:06:55 postfix/smtp[1836326]: F1EB060318: to=<c>, orig_to=<B>, relay=192.168.20.221[192.168.20.221]:25, delay=0.15, delays=0.02/0.01/0.08/0.04, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 187C04C2AE)
Nov  2 12:06:55 postfix/qmgr[919]: 187C04C2AE: from=<A>, size=111604, nrcpt=1 (queue active)
Nov  2 12:06:56 postfix/smtp[6298]: 187C04C2AE: to=<c>, relay=smtp-in.C[$IP]:25, delay=1.3, delays=0.04/0/0.24/1.1, dsn=5.1.0, status=bounced (host smtp-in.C[$IP] said: 501 5.1.0 qBaBombhfgxhs Emetteur invalide. Invalid Sender. SPF check failed. OFR004_399 [399] (in reply to MAIL FROM command))

Hmm ok, wenn ich Zeile 2 richtig lese, dann findet hier wohl keine Umschreibung des envelope statt, ergo:
C sieht "A" als Absender -> SPF passt nicht.

Dann bis hierher schonmal vielen Dank für die Hinweise, ich forsche weiter face-smile
Member: StefanKittel
StefanKittel Nov 03, 2022 at 10:37:52 (UTC)
Goto Top
Hallo,

einigen Antispam-Systemen reicht es wenn man den Envelope umschreibt.
Einige prüfen auch das From-Held im Header...

Stefan
Member: HanTrio
HanTrio Nov 05, 2022 at 07:54:32 (UTC)
Goto Top
Ich werde mich dann mal intensiv mit Postfix SRS beschäftigen ;)

Für Interessierte:
https://www.postfix.org/ADDRESS_REWRITING_README.html
https://github.com/roehling/postsrsd

Danke nochmal face-smile
Member: LordGurke
LordGurke Nov 05, 2022 at 12:40:13 (UTC)
Goto Top
SRS ist leider erst auf den zweiten Blick etwas ruppig in der Handhabung (wenn man nämlich nicht will, dass alle Sender sondern nur die der weitergeleiteten Mails umgeschrieben werden).
Falls du Dovecot einsetzt, könntest du die Weiterleitung statt intern in Postfix mit einer Sieve-Regel realisieren.
Dann schreibt Dovecot automatisch den Sender um, so dass es aussieht, als sei die Mail vom weiterleitenden Mailkonto ausgegangen.
GermansolvedQuestionE-MailDNS
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment