13
Jetzt auch ein SPF Eintrag für den SMTP Proxy selber?
Hallo,
die Themen SPF, DKIM, DMARC und Co beschäftigen mich seit Herbst deutlich mehr als früher.
Neu war z.B. das Ablehnen von Mail wenn auf der Webserver der Domäne und/oder des SMTP-Proxys kein Impressum war durch T-Online.
T-Online verweigert Mailannahme mit 554 - none bad reputation
Nun schaue ich gerade DMARC berichte und finde dies.
serverab1.domain1.de ist ein Smarthost/SMTP Proxy der die Mails mit DKIM versieht und rausschickt.
Absender/From ist user@domain2.com
Envelope ist user@domain2.com
Neu ist für mich, dass der Smarthost jetzt auch einen SPF-Eintrag benötigt. Er ist ja nicht namentlich als Absender oder Versender benannt.
Es könnte natürlich ein Unzustellbarkeitsbericht sein. Aber diese Meldung kommt viel zu häufig vor.
Ich werde das nun noch einrichten. Aber Strange finde ich das schon.
Besonders da der SPF Eintrag ja sich selbst verweist. Klingt nach einer Endlos-Rekursion...
Stefan
die Themen SPF, DKIM, DMARC und Co beschäftigen mich seit Herbst deutlich mehr als früher.
Neu war z.B. das Ablehnen von Mail wenn auf der Webserver der Domäne und/oder des SMTP-Proxys kein Impressum war durch T-Online.
T-Online verweigert Mailannahme mit 554 - none bad reputation
Nun schaue ich gerade DMARC berichte und finde dies.
Google reported 'none' for the SPF authentication result of serverab1.domain1.de. This may indicate the domain did not have an SPF DNS record published. serverab1.domain1.de ist ein Smarthost/SMTP Proxy der die Mails mit DKIM versieht und rausschickt.
Absender/From ist user@domain2.com
Envelope ist user@domain2.com
Neu ist für mich, dass der Smarthost jetzt auch einen SPF-Eintrag benötigt. Er ist ja nicht namentlich als Absender oder Versender benannt.
Es könnte natürlich ein Unzustellbarkeitsbericht sein. Aber diese Meldung kommt viel zu häufig vor.
Ich werde das nun noch einrichten. Aber Strange finde ich das schon.
Besonders da der SPF Eintrag ja sich selbst verweist. Klingt nach einer Endlos-Rekursion...
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672205
Url: https://administrator.de/forum/jetzt-auch-ein-spf-eintrag-fuer-den-smtp-proxy-selber-672205.html
Ausgedruckt am: 31.03.2025 um 00:03 Uhr
13 Kommentare
Neuester Kommentar
Moin @StefanKittel,
das war schon immer so, dass auch die Smarthosts, respektive, deren Externe IP's/FQDN's, bei dem SPF-Eintrag mitberücksichtigt werden müssen, da die Mails ja schlussendlich über diese Smarthosts an die entsprechenden Empfänger-SMTP-Server zugestellt werden.
Gruss Alex
Neu ist für mich, dass der Smarthost jetzt auch einen SPF-Eintrag benötigt. Er ist ja nicht namentlich als Absender oder Versender benannt.
das war schon immer so, dass auch die Smarthosts, respektive, deren Externe IP's/FQDN's, bei dem SPF-Eintrag mitberücksichtigt werden müssen, da die Mails ja schlussendlich über diese Smarthosts an die entsprechenden Empfänger-SMTP-Server zugestellt werden.
Gruss Alex
2
Moin Alex,
das wäre mir neu.
Nur damit wir uns nicht mißverstehen.
Es geht um einen Smarthost der eine Domäne verwendet mit der nicht gesendet wird.
domain2.com (Wird zum senden verwendet)
v=spf1 a:serverab1.domain1.de ~all
domain1.de (Ist nur für den Smarthost da. Damit werden keine Mails verschickt. Es ist eine rein technische Domäne)
Kein SPF
Dies kann "v=spf1 a:serverab1.domain1.de ~all" oder "v=spf1 -all" sein.
Das 1. wäre nur für NDRs relevant da mit der Domäne nicht gesendet wird.
serverab1.domain1.de (Ist nur ein Hostname)
Kein SPF
Dies kann "v=spf1 a:serverab1.domain1.de ~all" oder "v=spf1 -all" sein.
Das 1. wäre nur für NDRs relevant da mit der Domäne nicht gesendet wird.
Stefan
das wäre mir neu.
Nur damit wir uns nicht mißverstehen.
Es geht um einen Smarthost der eine Domäne verwendet mit der nicht gesendet wird.
domain2.com (Wird zum senden verwendet)
v=spf1 a:serverab1.domain1.de ~all
domain1.de (Ist nur für den Smarthost da. Damit werden keine Mails verschickt. Es ist eine rein technische Domäne)
Kein SPF
Dies kann "v=spf1 a:serverab1.domain1.de ~all" oder "v=spf1 -all" sein.
Das 1. wäre nur für NDRs relevant da mit der Domäne nicht gesendet wird.
serverab1.domain1.de (Ist nur ein Hostname)
Kein SPF
Dies kann "v=spf1 a:serverab1.domain1.de ~all" oder "v=spf1 -all" sein.
Das 1. wäre nur für NDRs relevant da mit der Domäne nicht gesendet wird.
Stefan
Moin,
Um es richtig zu verstehen:
*. Die Mails gehen alsmit absender@maildomain.tld raus und für maildomain.tld sind DMARC und SPF konfiguriert.
lks
Um es richtig zu verstehen:
*. Die Mails gehen alsmit absender@maildomain.tld raus und für maildomain.tld sind DMARC und SPF konfiguriert.
- Die Mails werden über host.relaydomain.tld verschickt, der im SPF von Maildomain tld korrekt konfiguriert ist, aber für relaydomain.tld ist kein SPF aktiv?
- Relaydomain.tld taucht in keinerlei Mails als Sender, sondern nur als Hostname Des relays auf?
- ndn's die das Relay verschickt werden mit anderer Absenderdomain versendet als relaydomain.tld?
lks
1Zitat von @Lochkartenstanzer:
Um es richtig zu verstehen:
*. Die Mails gehen alsmit absender@maildomain.tld raus und für maildomain.tld sind DMARC und SPF konfiguriert.
JaUm es richtig zu verstehen:
*. Die Mails gehen alsmit absender@maildomain.tld raus und für maildomain.tld sind DMARC und SPF konfiguriert.
* Die Mails werden über host.relaydomain.tld verschickt, der im SPF von Maildomain tld korrekt konfiguriert ist, aber für relaydomain.tld ist kein SPF aktiv?
Ja* Relaydomain.tld taucht in keinerlei Mails als Sender, sondern nur als Hostname Des relays auf?
Ja* ndn's die das Relay verschickt werden mit anderer Absenderdomain versendet als relaydomain.tld?
Von diesem Server werden gar keine NDRs verschickt. Er ist rein für ausgehende Mail von mehrern Webservern zuständig.Stefan
Der Hostname, den dein Server im "EHLO" an den anderen Server sendet, sollte seit einiger Zeit einen SPF-Record haben.
Da reicht ein einfacher "a:fqdn.des.serveers" aus.
Der Record muss auch nicht weiter mit der eigentlichen Absender-Domain der Mails verknüpft sein.
Da reicht ein einfacher "a:fqdn.des.serveers" aus.
Der Record muss auch nicht weiter mit der eigentlichen Absender-Domain der Mails verknüpft sein.
1Zitat von @LordGurke:
Der Hostname, den dein Server im "EHLO" an den anderen Server sendet, sollte seit einiger Zeit einen SPF-Record haben.
Da reicht ein einfacher "a:fqdn.des.serveers" aus.
Der Record muss auch nicht weiter mit der eigentlichen Absender-Domain der Mails verknüpft sein.
Der Hostname, den dein Server im "EHLO" an den anderen Server sendet, sollte seit einiger Zeit einen SPF-Record haben.
Da reicht ein einfacher "a:fqdn.des.serveers" aus.
Der Record muss auch nicht weiter mit der eigentlichen Absender-Domain der Mails verknüpft sein.
So lese ich die Meldung von Google auch.
Außer NDRs fällt mir dazu aber kein Grund ein.
Es gibt bereits
- SPF für die Senderdomäne welche dem Senderservert erlaubt Mails zu senden
- DKIM auf dem Senderserver
- DNSSEC
Ich werde das nun implementieren. Aber sinnvoll erscheint es mir nicht.
Stefan
Update: SPF für den Smarthost selber
v=spf1 a -all
Einer SPF Prüfung ist der Domainname des Smarthosts egal. Wenn von dem Smarthost Server eine Emaill zu einem fremden Server geschickt wird, braucht es einen SPF Eintrag. Dabei kann die Email Adresse @aaa.bb und der Smarthost ccc.dd heissen, das ist egal. Es reicht aber auch nur die IP Nummer des Smarthosts im SFP einzutragen.
Damit hättest du das Thema mit dem abweichenden Hostnamen auf jeden Fall gegessen.
v=spf1 ip4:123.123.123.123 -allDamit hättest du das Thema mit dem abweichenden Hostnamen auf jeden Fall gegessen.
2Zitat von @NordicMike:
Einer SPF Prüfung ist der Domainname des Smarthosts egal. Wenn von dem Smarthost Server eine Emaill zu einem fremden Server geschickt wird, braucht es einen SPF Eintrag. Dabei kann die Email Adresse @aaa.bb und der Smarthost ccc.dd heissen, das ist egal. Es reicht aber auch nur die IP Nummer des Smarthosts im SFP einzutragen.
Damit hättest du das Thema mit dem abweichenden Hostnamen auf jeden Fall gegessen.
Einer SPF Prüfung ist der Domainname des Smarthosts egal. Wenn von dem Smarthost Server eine Emaill zu einem fremden Server geschickt wird, braucht es einen SPF Eintrag. Dabei kann die Email Adresse @aaa.bb und der Smarthost ccc.dd heissen, das ist egal. Es reicht aber auch nur die IP Nummer des Smarthosts im SFP einzutragen.
v=spf1 ip4:123.123.123.123 -allDie DMARC-Meldung von Google ist aber explizit, dass ccc.dd keinen SPF-Eintrag hat.
Der SMTP ist aus dem Internet auch nicht erreichbar.
Nur von intern.
Es kann also z.B. kein NDR geben.
Stefan
Moin @StefanKittel,
genau deshalb, muss im SPF Eintrag auch der äusserste ausgehende SMTP Server deiner Mailinfrastruktur gelistet sein
und das ist in dem Fall der Smarthost.
Ausser, der entsprechende Smarthost verwendet ebenfalls weiteren Smarthost um die Mails zuzustellen, dann muss natürlich dieser hinterlegt werden.
Weitere Infos:
https://www.spf-record.de/faq/haeufige-fehler-beim-erstellen-eines-spf-d ...
Gruss Alex
Der SMTP ist aus dem Internet auch nicht erreichbar.
Nur von intern.
Nur von intern.
genau deshalb, muss im SPF Eintrag auch der äusserste ausgehende SMTP Server deiner Mailinfrastruktur gelistet sein
und das ist in dem Fall der Smarthost.
Ausser, der entsprechende Smarthost verwendet ebenfalls weiteren Smarthost um die Mails zuzustellen, dann muss natürlich dieser hinterlegt werden.
Weitere Infos:
https://www.spf-record.de/faq/haeufige-fehler-beim-erstellen-eines-spf-d ...
Gruss Alex
1
Oder anders gesagt: Nur der letzte Host, der den fremden Mailserver kontaktiert, benötigt einen Eintrag im SPF. Der fremde Mailserver schaut nach ob die IP des Kontaktierenden Hosts in der SPF Liste der Domain steht und erlaubt es dann oder wimmelt ihn ab: Ich kenn Dich nicht, der SPF Eintrag vom Domainbesitzer kennt dich auch nicht, ich mag dich nicht, weg damit 
1
Hallo Leute,
bitte den Text lesen.
Der Hostname des letzten Servers der die Mail wirklich zum Empfänger schickt lautet z.B. relay01.firma.io
Dieser ist im SPF des Absenders Musterfrau@firma.de enthalten.
Alles gut und alles korrekt.
Google meckert nun an, dass
oder/und
keinen SPF zurückliefert.
Es wurden und werden keine Mails mit firma.io als Absender verschickt.
Auch verschickt das System keine NDR da es keine Mails aus dem Internet annimmt. Es ist rein zum versenden.
Stefan
bitte den Text lesen.
Der Hostname des letzten Servers der die Mail wirklich zum Empfänger schickt lautet z.B. relay01.firma.io
Dieser ist im SPF des Absenders Musterfrau@firma.de enthalten.
nslookup -type=txt firma.dev=spf1 a:relay01.firma.io ~allGoogle meckert nun an, dass
nslookup -type=txt relay01.firma.ionslookup -type=txt firma.ioEs wurden und werden keine Mails mit firma.io als Absender verschickt.
Auch verschickt das System keine NDR da es keine Mails aus dem Internet annimmt. Es ist rein zum versenden.
Stefan
Moin @StefanKittel,
habe ich gelesen und im Grunde sind wir ja nicht wirklich weit auseinander, denn ...
... dieser SPF sieht eigentlich so aus wie er sollte.
Ich würde den SPF jedoch mal testweise so abändern, wie @NordicMike es bereits vorgeschlagen hat, sprich ...
... nur mit der Sender-IP des entsprechenden Smarthosts und einem "hard fail".
Das ist eigentlich die einfachste und auch sicherste Methode, weil dadurch der Lookup des FQDN's entfällt und ein "hard fail" SPF Record mögen die Grossen (Google & Co) auch schon eher akzeptieren, wie einen mit einem "soft fail".
Diese Fehlermeldungen sind leider nicht immer wirklich eindeutig. 😔
Ausserdem baut Google sehr oft auch selbst Murks. 🙃
Gruss Alex
bitte den Text lesen.
habe ich gelesen und im Grunde sind wir ja nicht wirklich weit auseinander, denn ...
nslookup -type=txt firma.dev=spf1 a:relay01.firma.io ~all... dieser SPF sieht eigentlich so aus wie er sollte.
Ich würde den SPF jedoch mal testweise so abändern, wie @NordicMike es bereits vorgeschlagen hat, sprich ...
v=spf1 ip4:123.123.123.123 -all... nur mit der Sender-IP des entsprechenden Smarthosts und einem "hard fail".
Das ist eigentlich die einfachste und auch sicherste Methode, weil dadurch der Lookup des FQDN's entfällt und ein "hard fail" SPF Record mögen die Grossen (Google & Co) auch schon eher akzeptieren, wie einen mit einem "soft fail".
Google meckert nun an, dass
oder/und
keinen SPF zurückliefert.
nslookup -type=txt relay01.firma.ionslookup -type=txt firma.ioDiese Fehlermeldungen sind leider nicht immer wirklich eindeutig. 😔
Ausserdem baut Google sehr oft auch selbst Murks. 🙃
Gruss Alex
1MysticFoxDE 29.03.2025 aktualisiert um 08:19:47 Uhr
Ich würde den SPF jedoch mal testweise so abändern, wie @NordicMike es bereits vorgeschlagen hat, sprich ...
v=spf1 ip4:123.123.123.123 -all
... nur mit der Sender-IP des entsprechenden Smarthosts und einem "hard fail".
Das ist eigentlich die einfachste und auch sicherste Methode, weil dadurch der Lookup des FQDN's entfällt und ein "hard fail" SPF Record mögen die Grossen (Google & Co) auch schon eher akzeptieren, wie einen mit einem "soft fail".
Mein DMARC Toolvergibt nur für ~all die volle Punktzahl. Bei -all gibt es Abzug.Ich würde den SPF jedoch mal testweise so abändern, wie @NordicMike es bereits vorgeschlagen hat, sprich ...
v=spf1 ip4:123.123.123.123 -all
... nur mit der Sender-IP des entsprechenden Smarthosts und einem "hard fail".
Das ist eigentlich die einfachste und auch sicherste Methode, weil dadurch der Lookup des FQDN's entfällt und ein "hard fail" SPF Record mögen die Grossen (Google & Co) auch schon eher akzeptieren, wie einen mit einem "soft fail".
Diese Fehlermeldungen sind leider nicht immer wirklich eindeutig. 😔
Google reported 'none' for the SPF authentication result of serverab1.domain1.de. This may indicate the domain did not have an SPF DNS record published. Ausserdem baut Google sehr oft auch selbst Murks. 🙃
Nein! Oh!Ich hatte nun einen SPF zum Relay hinzufügt und keine Meldungen von Google erhalten...
Fummel hier und da...
