Frage zu SPF und Sender ID
Wir kämpfen seit geraumer Zeit mit erhöhten Spamaufkommen, dabei habe ich jetzt mal eine herausgepflügt und mir den Header angesehen.
Unser Setup sieht folgendermaßen aus:
Unser DNS / MX Eintrag "firma.com" zeigt nicht auf unseren Exchange Server, sondern auf einen "Postfix Relayserver" im Internet. Unten {ip.of.relay.server} genannt.
Dieser leitet die E-Mails dann auf unseren Exchange Server in der Firma weiter (exchange.domain.local).
Der Header einer Spammail auf dem Exchange:
Nun bin ich etwas über den folgenden Tag überrascht:
Sollte hier nicht die ursprüngliche IP des Absenders stehen um somit die Sender Id zu überprüfen? Laut dem E-Mail Header ist der Absender-Server unser eigener Relayserver, obwohl "Received: from [79.106.2.147]"?
Wenn ich die Meldung richtig interpretiere sucht der Exchange im SPF Eintrag von ivinsink.com ob unser Relayserver dort hinterlegt ist? Aber richtig wäre doch die Überprüfung ob 79.106.2.147 bei ivinsink hinterlegt ist.
Ich würde mich freuen wenn mich jemand über dieses Verhalten aufklären kann.
Vielen Dank an die Community
Unser Setup sieht folgendermaßen aus:
Unser DNS / MX Eintrag "firma.com" zeigt nicht auf unseren Exchange Server, sondern auf einen "Postfix Relayserver" im Internet. Unten {ip.of.relay.server} genannt.
Dieser leitet die E-Mails dann auf unseren Exchange Server in der Firma weiter (exchange.domain.local).
Der Header einer Spammail auf dem Exchange:
Received: from [79.106.2.147] (unknown [79.106.2.147]) by
{ip.of.relay.server} (Postfix) with ESMTP id CEE75605B7 for
<user@firma.com>; Tue, 31 May 2016 12:06:37 +0200 (CEST)
...
...
...
X-MS-Exchange-Organization-AuthSource: exchange.domain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: ivinsink.com
X-MS-Exchange-Organization-SenderIdResult: Neutral
Received-SPF: Neutral (exchange.domain.local: {ip.of.relay.server} is neither
permitted nor denied by domain of WhitingJulieta09344@ivinsink.com)
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.5705.600;SID:SenderIDStatus Neutral;OrigIP:{ip.of.relay.server}
X-SPAM-TAG:
Nun bin ich etwas über den folgenden Tag überrascht:
OrigIP:{ip.of.relay.server}
Sollte hier nicht die ursprüngliche IP des Absenders stehen um somit die Sender Id zu überprüfen? Laut dem E-Mail Header ist der Absender-Server unser eigener Relayserver, obwohl "Received: from [79.106.2.147]"?
Wenn ich die Meldung richtig interpretiere sucht der Exchange im SPF Eintrag von ivinsink.com ob unser Relayserver dort hinterlegt ist? Aber richtig wäre doch die Überprüfung ob 79.106.2.147 bei ivinsink hinterlegt ist.
Ich würde mich freuen wenn mich jemand über dieses Verhalten aufklären kann.
Vielen Dank an die Community
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305918
Url: https://administrator.de/forum/frage-zu-spf-und-sender-id-305918.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
1 Kommentar
Moin,
mEn macht der Exchange alles richtig. Der muss sich beim SPF ja auf belegbare Fakten stützen, und das ist nunmal die IP der Gegenstelle mit der er direkt kommuniziert. (also dein Relay Server). Was in den "Received" Headern drin steht darf ihn nicht interessieren, da kann ja schliesslich jeder eintragen was er lustig ist.
Fazit: SPF müsste durch deine Postfix-Box gecheckt werden.
lg,
Slaite
mEn macht der Exchange alles richtig. Der muss sich beim SPF ja auf belegbare Fakten stützen, und das ist nunmal die IP der Gegenstelle mit der er direkt kommuniziert. (also dein Relay Server). Was in den "Received" Headern drin steht darf ihn nicht interessieren, da kann ja schliesslich jeder eintragen was er lustig ist.
Fazit: SPF müsste durch deine Postfix-Box gecheckt werden.
lg,
Slaite