6
Frage zu SPF records bei Mail-Weiterleitungen
Moin,
ich hab gerade einen kleinen Knoten im Gehirn, was SPF records angeht ;) vielleicht kann mir wer einen Schubs geben.
Und zwar, folgende Situation:
Absender A schickt eine Mail zu Empfänger B.
B hat eine Weiterleitung eingerichtet zu Empfänger C.
Absender A ist "irgend jemand".
Empfänger-Postfach B liegt bei uns, die Weiterleitung funktioniert (rein technisch gesehen).
Empfänger C ist extern (hat nichts mit uns zu tun).
Das Problem:
Empfänger C meldet: "Mail abgelehnt, SPF record nicht korrekt".
-> Der Fehler schlägt bei uns auf, also wenn unsere Mailserver versuchen, die Mail an C weiterzuleiten.
Ich habe daraufhin den SPF record von Domain B angepasst, so dass er zu unserer Sende-IP passt - trotzdem mault C immer noch rum, gleiche Fehlermeldung.
(Anm.: Die Änderung ist 24h+ her, sodass ich davon ausgehe, dass der record sich mittlerweile entspr. verbreitet hat.)
Meine Frage:
Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?
Oder anders formuliert:
Welche Sende-Adresse wird bei Verwendung einer Weiterleitung vom letztendlichen Empfänger "wahrgenommen", die wirklich ursprüngliche, oder die, über die weitergeleitet wird?
Rein logisch betrachtet: Es ist ja anscheinend der SPF record von A, dem ursprünglichen Absender, der hier geprüft wird (?)
Denn C sieht als Sende-IP die von B (unsere IP), als Absender-Adresse jedoch A (?) Dann wäre klar, dass die nicht zusammenpassen.
ich hab gerade einen kleinen Knoten im Gehirn, was SPF records angeht ;) vielleicht kann mir wer einen Schubs geben.
Und zwar, folgende Situation:
Absender A schickt eine Mail zu Empfänger B.
B hat eine Weiterleitung eingerichtet zu Empfänger C.
Absender A ist "irgend jemand".
Empfänger-Postfach B liegt bei uns, die Weiterleitung funktioniert (rein technisch gesehen).
Empfänger C ist extern (hat nichts mit uns zu tun).
Das Problem:
Empfänger C meldet: "Mail abgelehnt, SPF record nicht korrekt".
-> Der Fehler schlägt bei uns auf, also wenn unsere Mailserver versuchen, die Mail an C weiterzuleiten.
Ich habe daraufhin den SPF record von Domain B angepasst, so dass er zu unserer Sende-IP passt - trotzdem mault C immer noch rum, gleiche Fehlermeldung.
(Anm.: Die Änderung ist 24h+ her, sodass ich davon ausgehe, dass der record sich mittlerweile entspr. verbreitet hat.)
Meine Frage:
Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?
Oder anders formuliert:
Welche Sende-Adresse wird bei Verwendung einer Weiterleitung vom letztendlichen Empfänger "wahrgenommen", die wirklich ursprüngliche, oder die, über die weitergeleitet wird?
Rein logisch betrachtet: Es ist ja anscheinend der SPF record von A, dem ursprünglichen Absender, der hier geprüft wird (?)
Denn C sieht als Sende-IP die von B (unsere IP), als Absender-Adresse jedoch A (?) Dann wäre klar, dass die nicht zusammenpassen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4491869802
Url: https://administrator.de/contentid/4491869802
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @HanTrio:
Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?
Das hängt von Eurem Mail-Server ab welchen Absender er verwendet.Mir ist tatsächlich nicht ganz klar, welcher SPF record hier von Empfänger C geprüft wird: Der vom ursprünglichen Absender A, oder der vom Postfach B?
Es klingt so als ob er A verwendet und dann passt der SPF natürlich nicht.
Er sollte B verwenden und die Mail weiterleiten und nicht umleiten.
Das ist ein leidiges Problem was immer mal wieder auftaucht.
Hiermit kann man einfach SPF in der Praxis testen.
https://www.appmaildev.com/de/spf
Stefan
Du schreibst jetzt nicht, welche Mailserver-Software von euch verwendet wird, daher kann man nicht festmachen, wie dieser sich standardmäßig verhält.
Grundsätzlich: SPF prüft nur den Envelope-Sender. Wenn der weiterhin A ist, wird das dann fehlschlagen.
Um das zu vermeiden muss der Envelope-Sender auf B umgeschrieben werden (das hängt stark von der verwendeten Software bei B ab) oder es muss SRS mit einer Domain des Mailservers genutzt werden.
Wenn man den Envelope-Sender umschreibt könnte es in seltenen Fällen zu Problemen mit DKIM und Strict Alignment kommen (was selten verwendet wird). Dabei darf dann der Envelope-Sender nicht vom angezeigten MIME-Sender abweichen, was aber durch die Weiterleitung passieren würde.
Um das zu erschlagen braucht man dann ARC — aber das erwähne ich nur der Vollständigkeit halber, damit hat man so gut wie nie zu tun.
Grundsätzlich: SPF prüft nur den Envelope-Sender. Wenn der weiterhin A ist, wird das dann fehlschlagen.
Um das zu vermeiden muss der Envelope-Sender auf B umgeschrieben werden (das hängt stark von der verwendeten Software bei B ab) oder es muss SRS mit einer Domain des Mailservers genutzt werden.
Wenn man den Envelope-Sender umschreibt könnte es in seltenen Fällen zu Problemen mit DKIM und Strict Alignment kommen (was selten verwendet wird). Dabei darf dann der Envelope-Sender nicht vom angezeigten MIME-Sender abweichen, was aber durch die Weiterleitung passieren würde.
Um das zu erschlagen braucht man dann ARC — aber das erwähne ich nur der Vollständigkeit halber, damit hat man so gut wie nie zu tun.
Es wird ein postfix bei uns verwendet.
Hab grad akut nochmal genauer geschaut, Logfiles geben u.a. dies her:
Hmm ok, wenn ich Zeile 2 richtig lese, dann findet hier wohl keine Umschreibung des envelope statt, ergo:
C sieht "A" als Absender -> SPF passt nicht.
Dann bis hierher schonmal vielen Dank für die Hinweise, ich forsche weiter
Hab grad akut nochmal genauer geschaut, Logfiles geben u.a. dies her:
Nov 2 12:06:55 postfix/smtp[1836326]: F1EB060318: to=<c>, orig_to=<B>, relay=192.168.20.221[192.168.20.221]:25, delay=0.15, delays=0.02/0.01/0.08/0.04, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 187C04C2AE)
Nov 2 12:06:55 postfix/qmgr[919]: 187C04C2AE: from=<A>, size=111604, nrcpt=1 (queue active)
Nov 2 12:06:56 postfix/smtp[6298]: 187C04C2AE: to=<c>, relay=smtp-in.C[$IP]:25, delay=1.3, delays=0.04/0/0.24/1.1, dsn=5.1.0, status=bounced (host smtp-in.C[$IP] said: 501 5.1.0 qBaBombhfgxhs Emetteur invalide. Invalid Sender. SPF check failed. OFR004_399 [399] (in reply to MAIL FROM command))Hmm ok, wenn ich Zeile 2 richtig lese, dann findet hier wohl keine Umschreibung des envelope statt, ergo:
C sieht "A" als Absender -> SPF passt nicht.
Dann bis hierher schonmal vielen Dank für die Hinweise, ich forsche weiter
Hallo,
einigen Antispam-Systemen reicht es wenn man den Envelope umschreibt.
Einige prüfen auch das From-Held im Header...
Stefan
einigen Antispam-Systemen reicht es wenn man den Envelope umschreibt.
Einige prüfen auch das From-Held im Header...
Stefan
Ich werde mich dann mal intensiv mit Postfix SRS beschäftigen ;)
Für Interessierte:
https://www.postfix.org/ADDRESS_REWRITING_README.html
https://github.com/roehling/postsrsd
Danke nochmal
Für Interessierte:
https://www.postfix.org/ADDRESS_REWRITING_README.html
https://github.com/roehling/postsrsd
Danke nochmal
SRS ist leider erst auf den zweiten Blick etwas ruppig in der Handhabung (wenn man nämlich nicht will, dass alle Sender sondern nur die der weitergeleiteten Mails umgeschrieben werden).
Falls du Dovecot einsetzt, könntest du die Weiterleitung statt intern in Postfix mit einer Sieve-Regel realisieren.
Dann schreibt Dovecot automatisch den Sender um, so dass es aussieht, als sei die Mail vom weiterleitenden Mailkonto ausgegangen.
Falls du Dovecot einsetzt, könntest du die Weiterleitung statt intern in Postfix mit einer Sieve-Regel realisieren.
Dann schreibt Dovecot automatisch den Sender um, so dass es aussieht, als sei die Mail vom weiterleitenden Mailkonto ausgegangen.
