shardas
Goto Top

Frage zu SPF und Sender ID

Wir kämpfen seit geraumer Zeit mit erhöhten Spamaufkommen, dabei habe ich jetzt mal eine herausgepflügt und mir den Header angesehen.

Unser Setup sieht folgendermaßen aus:
Unser DNS / MX Eintrag "firma.com" zeigt nicht auf unseren Exchange Server, sondern auf einen "Postfix Relayserver" im Internet. Unten {ip.of.relay.server} genannt.
Dieser leitet die E-Mails dann auf unseren Exchange Server in der Firma weiter (exchange.domain.local).

Der Header einer Spammail auf dem Exchange:
Received: from [79.106.2.147] (unknown [79.106.2.147])	by
 {ip.of.relay.server} (Postfix) with ESMTP id CEE75605B7	for
 <user@firma.com>; Tue, 31 May 2016 12:06:37 +0200 (CEST)
...
...
...
X-MS-Exchange-Organization-AuthSource: exchange.domain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: ivinsink.com
X-MS-Exchange-Organization-SenderIdResult: Neutral
Received-SPF: Neutral (exchange.domain.local: {ip.of.relay.server} is neither
 permitted nor denied by domain of WhitingJulieta09344@ivinsink.com)
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.5705.600;SID:SenderIDStatus Neutral;OrigIP:{ip.of.relay.server}
X-SPAM-TAG:

Nun bin ich etwas über den folgenden Tag überrascht:
OrigIP:{ip.of.relay.server} 

Sollte hier nicht die ursprüngliche IP des Absenders stehen um somit die Sender Id zu überprüfen? Laut dem E-Mail Header ist der Absender-Server unser eigener Relayserver, obwohl "Received: from [79.106.2.147]"?
Wenn ich die Meldung richtig interpretiere sucht der Exchange im SPF Eintrag von ivinsink.com ob unser Relayserver dort hinterlegt ist? Aber richtig wäre doch die Überprüfung ob 79.106.2.147 bei ivinsink hinterlegt ist.

Ich würde mich freuen wenn mich jemand über dieses Verhalten aufklären kann.
Vielen Dank an die Community

Content-ID: 305918

Url: https://administrator.de/forum/frage-zu-spf-und-sender-id-305918.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

SlainteMhath
SlainteMhath 01.06.2016 um 16:30:12 Uhr
Goto Top
Moin,

mEn macht der Exchange alles richtig. Der muss sich beim SPF ja auf belegbare Fakten stützen, und das ist nunmal die IP der Gegenstelle mit der er direkt kommuniziert. (also dein Relay Server). Was in den "Received" Headern drin steht darf ihn nicht interessieren, da kann ja schliesslich jeder eintragen was er lustig ist.

Fazit: SPF müsste durch deine Postfix-Box gecheckt werden.

lg,
Slaite