Mailversand vom Dienstleister mit unserer Domain
Moin zusammen,
mein erster Beitrag, also steinigt mich bitte nicht.
Folgender Fall.
Ein Dienstleister möchte in unserem Namen Mails versenden können, kann dies aber nicht auf deren normalen Vorgangsweg. Wir haben div. Kommunikationskanäle mit 2FA abgesichert. Normalerweise haben sie immer Zugangsdaten von anderen Firmen erhalten, dies können/wollen wir aber nicht abbilden.
Es sollen jede glich nur Mails vom Dienstleister aus gesendet werden. Die Antwortmails darauf sollen bei uns im Postfach aufschlagen. Im Prinzip ist es wie ein Newsletter-Anbieter zu sehen.
Ich habe hierzu in der DNS-Zone, der betroffenen Domain, den von der Firma erzeugten DKIM-Key hinterlegt und den SPF-Record angepasst.
Jedoch kann der Dienstleister keine Mails hiermit versenden.
Aus meiner Sicht müsste die Firma noch unsere Domain in deren Relay hinterlegen, oder irre ich mich?
Habt ihr einen Ratschlag für mich oder ggf. eine Alternativlösung?
Vielen Dank bereits.
Gruß
mein erster Beitrag, also steinigt mich bitte nicht.
Folgender Fall.
Ein Dienstleister möchte in unserem Namen Mails versenden können, kann dies aber nicht auf deren normalen Vorgangsweg. Wir haben div. Kommunikationskanäle mit 2FA abgesichert. Normalerweise haben sie immer Zugangsdaten von anderen Firmen erhalten, dies können/wollen wir aber nicht abbilden.
Es sollen jede glich nur Mails vom Dienstleister aus gesendet werden. Die Antwortmails darauf sollen bei uns im Postfach aufschlagen. Im Prinzip ist es wie ein Newsletter-Anbieter zu sehen.
Ich habe hierzu in der DNS-Zone, der betroffenen Domain, den von der Firma erzeugten DKIM-Key hinterlegt und den SPF-Record angepasst.
Jedoch kann der Dienstleister keine Mails hiermit versenden.
Aus meiner Sicht müsste die Firma noch unsere Domain in deren Relay hinterlegen, oder irre ich mich?
Habt ihr einen Ratschlag für mich oder ggf. eine Alternativlösung?
Vielen Dank bereits.
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4643465419
Url: https://administrator.de/forum/mailversand-vom-dienstleister-mit-unserer-domain-4643465419.html
Ausgedruckt am: 09.06.2025 um 17:06 Uhr
15 Kommentare
Neuester Kommentar
Moin,
von Interesse wäre, was genau
Mit DKIM und SPF hast du, vorausgesetzt alles ist korrekt konfiguriert, schon mal alles richtig gemacht.
lg,
Slainte
von Interesse wäre, was genau
Jedoch kann der Dienstleister keine Mails hiermit versenden.
bedeutet.Mit DKIM und SPF hast du, vorausgesetzt alles ist korrekt konfiguriert, schon mal alles richtig gemacht.
lg,
Slainte
Jedoch kann der Dienstleister keine Mails hiermit versenden.
Was heißt kann nicht versenden?
Senden können muss er auf jeden Fall. Ist ja schließlich sein Mailserver über den die eMails raus gehen. Nur werden die eMails ggf. beim Empfänger nicht akzeptiert bzw abgelehnt. Und wenn dem so ist hilft ein Blick in die Logs schon mal weiter.
Manuel
Dienstleister sendet aus deren Programm eine generierte Mail.
Ich habe nun auch noch eine zusätzliche Info.
Wir haben eine Testmail an meine private Mailadresse gesendet, diese kam ohne Probleme an.
Dann haben wir eine Mail an meine Firmenadresse gesendet, hier sehe ich einen eingegangenen NDR.
Jedoch nicht die originale Mail, welche zumindest hätte geblockt sein müssen.
Im NDR steht:
nxxxxxx.xxxxxx@xxxxxx.de
host mx1.xxxxxx.de [xx.xxx.xxx.xx]
SMTP error from remote mail server after RCPT TO:<nxxxxxx.xxxxxx@xxxxxx.de>:
550 5.4.4 Unable to relay
Der Host-MX ist unser MX.
Firewallseitig ist die IP-Adresse auch auf keiner blacklist.
Nun bin ich extrem verwirrt.
Ich habe nun auch noch eine zusätzliche Info.
Wir haben eine Testmail an meine private Mailadresse gesendet, diese kam ohne Probleme an.
Dann haben wir eine Mail an meine Firmenadresse gesendet, hier sehe ich einen eingegangenen NDR.
Jedoch nicht die originale Mail, welche zumindest hätte geblockt sein müssen.
Im NDR steht:
nxxxxxx.xxxxxx@xxxxxx.de
host mx1.xxxxxx.de [xx.xxx.xxx.xx]
SMTP error from remote mail server after RCPT TO:<nxxxxxx.xxxxxx@xxxxxx.de>:
550 5.4.4 Unable to relay
Der Host-MX ist unser MX.
Firewallseitig ist die IP-Adresse auch auf keiner blacklist.
Nun bin ich extrem verwirrt.
Zitat von @ne0.exe:
Ein Dienstleister möchte in unserem Namen Mails versenden können, kann dies aber nicht auf deren normalen Vorgangsweg.
Welche wären das?Ein Dienstleister möchte in unserem Namen Mails versenden können, kann dies aber nicht auf deren normalen Vorgangsweg.
Inhouse Exchange im Einsatz?
Wir haben div. Kommunikationskanäle mit 2FA abgesichert.
Welche div. sind es denn und warum könnt/wollt ihr euren Dienstleister dort abbilden?Normalerweise haben sie immer Zugangsdaten von anderen Firmen erhalten, dies können/wollen wir aber nicht abbilden.
VPN ist nicht möglich?Kein Vertrauen zu euren Dienstleister?
Es sollen jede glich nur Mails vom Dienstleister aus gesendet werden. Die Antwortmails darauf sollen bei uns im Postfach aufschlagen. Im Prinzip ist es wie ein Newsletter-Anbieter zu sehen.
Exchange Konto, VPN Zugang erstellen (nur für Mails), ferdisch. Und ihr könnt alles sehen was er verschickt und Empfängt...Gruß,
Peter
Hallo,
https://www.nospamproxy.de/de/knowledge-base/was-bedeutet-unable-to-rela ...;
https://social.technet.microsoft.com/Forums/de-DE/6ae66a75-9a19-45e6-933 ...
https://www.frankysweb.de/community/exchange2019/zweite-domain-unable-to ...
Gruß,
Peter
https://www.nospamproxy.de/de/knowledge-base/was-bedeutet-unable-to-rela ...;
https://social.technet.microsoft.com/Forums/de-DE/6ae66a75-9a19-45e6-933 ...
https://www.frankysweb.de/community/exchange2019/zweite-domain-unable-to ...
Nun bin ich extrem verwirrt.
Das ist immer so wenn ein nicht-fachmann etwas versucht was er aber nicht beherscht oder versteht Gruß,
Peter
Moin,
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Im NDR steht:
nxxxxxx.xxxxxx@xxxxxx.de
host mx1.xxxxxx.de [xx.xxx.xxx.xx]
SMTP error from remote mail server after RCPT TO:<nxxxxxx.xxxxxx@xxxxxx.de>:
550 5.4.4 Unable to relayZuerst mal zum Verständnis:
Der MX (?) oder das Tool (?) des Dienstleisters will die Mails bei eurem MX einkippen, damit der die Mails dann endgültig an externe Adressen verschickt?
Und der Dienstleister kommt natürlich von extern.
Irgendwie muss der Dienstleister sich ja bei eurem Mailserver authentifizieren. Und dieser Benutzer muss Berechtigung haben den Server als Relay zu nutzen. Hat der User diese Berechtigung nicht gibt es ein unable to relay. Ein open relay wäre ganz blöd.
Außerdem gibt es am Exchange (ist es einer?) auch noch die Sendeconnectoren über die festgelegt wird von wo überhaupt eingeliefert werden darf. Gibt es keinen Connector der das Abkippen zulässt wird es auch nichts.
Manuel
Zitat von @em-pie:
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Dafür hat man ja SPF und DKIM erfunden, was ja laut TO auch korrekt hinterlegt ist.
Ich könnte mir aber vorstellen dass, nachdem der Versand an externe Maildienste funktioniert, vielleicht schlicht der Mailserver des TO von extern einfach grundsätzlich keine Mails mit der eigenen Domain als Absender nimmt, unabhängig davon ob sie mit DKIM authentifiziert werden können oder nicht.
Moin,
Vertrauen muß i.d.R. erst verdient werden. Trotzdem will man icht jeden die Schlüssel für den Keuschheitsgürtel der Firma anvertrauen.
lks
PS: @to
Ich würde den Diensleister Euren Server als smarthost nutzen lassen und das nur mit Zugangsdaten für die abgesprochenen Mailadressen.
@Lochkartenstanzer @Pjordorf
Normalerweise haben wir die Möglichkeit auch Dienstleistern einen Zugang mit 2FA/VPN/etc. einzurichten, in diesem Fall soll es aber nicht gemacht werden und zu dem werden die Daten in einem Programm eingetragen, indem dann unser Auth-Code nicht hinterlegen werden könnte. Es ist diesmal eine Ausnahme.
Stimme dir hier voll und ganz zu. Jedoch kommt dir ursprüngliche Mail bei uns gar nicht an.
Da würde ich dann eigentlich wieder zurück auf @em-pie, bezüglich des PTRs.
Zwei Beispiele hierzu, wir haben auch andere Dienstleister/Systeme die in unserem Namen versenden können. Hier ist auch nur ein DKIM + SPF gesetzt. Alles weitere ist auf deren Seite vorgenommen.
Außerdem senden wir auch im Namen von anderen Firmen. Hier ist auch der DKIM+SPF bei der jeweiligen Domain gesetzt und wir haben die entsprechenden Domains bei uns im Mailgateway als non-accepted Domain hinterlegt, damit diese auch vom Gateway akzeptiert werden. Ist jetzt einfach beschrieben, hier gibt es eine Ausgangsregel für, etc.
Also korrigiert mich, falls ich nun falsch liege, aber der PTR muss doch seitens Dienstleister gesetzt sein, oder?
Normalerweise haben wir die Möglichkeit auch Dienstleistern einen Zugang mit 2FA/VPN/etc. einzurichten, in diesem Fall soll es aber nicht gemacht werden und zu dem werden die Daten in einem Programm eingetragen, indem dann unser Auth-Code nicht hinterlegen werden könnte. Es ist diesmal eine Ausnahme.
Zitat von @Pjordorf:
Das ist immer so wenn ein nicht-fachmann etwas versucht was er aber nicht beherscht oder versteht
Für toxische Antworten hätte ich auch meine Ex-Freundin fragen können. :DDas ist immer so wenn ein nicht-fachmann etwas versucht was er aber nicht beherscht oder versteht
Zitat von @LordGurke:
Dafür hat man ja SPF und DKIM erfunden, was ja laut TO auch korrekt hinterlegt ist.
Ich könnte mir aber vorstellen dass, nachdem der Versand an externe Maildienste funktioniert, vielleicht schlicht der Mailserver des TO von extern einfach grundsätzlich keine Mails mit der eigenen Domain als Absender nimmt, unabhängig davon ob sie mit DKIM authentifiziert werden können oder nicht.
Zitat von @em-pie:
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Ich lehne mich mal aus dem Fenster:
Die PTR-Prüfung schlägt fehl.
Mail1.yourcompany.de löst nach 11.22.33.44 auf -> eure feste IPv4
Jetzt geht die Mail aber via 22.33.44.55 raus, also über euren DL. Und die IP löst nach mx.Dienstleister.org auf
Schon bleibt das an vielen Systemen hängen…
Dafür hat man ja SPF und DKIM erfunden, was ja laut TO auch korrekt hinterlegt ist.
Ich könnte mir aber vorstellen dass, nachdem der Versand an externe Maildienste funktioniert, vielleicht schlicht der Mailserver des TO von extern einfach grundsätzlich keine Mails mit der eigenen Domain als Absender nimmt, unabhängig davon ob sie mit DKIM authentifiziert werden können oder nicht.
Stimme dir hier voll und ganz zu. Jedoch kommt dir ursprüngliche Mail bei uns gar nicht an.
Da würde ich dann eigentlich wieder zurück auf @em-pie, bezüglich des PTRs.
Zwei Beispiele hierzu, wir haben auch andere Dienstleister/Systeme die in unserem Namen versenden können. Hier ist auch nur ein DKIM + SPF gesetzt. Alles weitere ist auf deren Seite vorgenommen.
Außerdem senden wir auch im Namen von anderen Firmen. Hier ist auch der DKIM+SPF bei der jeweiligen Domain gesetzt und wir haben die entsprechenden Domains bei uns im Mailgateway als non-accepted Domain hinterlegt, damit diese auch vom Gateway akzeptiert werden. Ist jetzt einfach beschrieben, hier gibt es eine Ausgangsregel für, etc.
Also korrigiert mich, falls ich nun falsch liege, aber der PTR muss doch seitens Dienstleister gesetzt sein, oder?
Wir haben eine Testmail an meine private Mailadresse gesendet, diese kam ohne Probleme an.
Das ist ja schon mal gut.Dann haben wir eine Mail an meine Firmenadresse gesendet, hier sehe ich einen eingegangenen NDR.
Verstehe ich das richtig:- Der DL sendet eine Mail mit Absender xxx@firma.de and yyy@firma.de
- Die Mail geht von deren Mail Server an euren MX und irgendwas lehnt die mit 550 ab
Dann hat alles funktioniert wie es soll.
Dein System hällt die Mail für gespooft.Schau doch mal in das Log des Hosts der bei euch die Mails annimmt. Dort stehen sicher nähere Infos zu dem "warum".
Hallo,
Schickt er die Nachricht an Adressen, die euer MX betreut oder an externe Adressen wie GMX & Co.?
Und - was sagt der Admin des Dienstleisters bzw. was steht in dessen Pflichtenheft? Letztendlich muss er ja genau artikulieren, was er für den Versand benötigt.
Gruß,
Jörg
Schickt er die Nachricht an Adressen, die euer MX betreut oder an externe Adressen wie GMX & Co.?
Und - was sagt der Admin des Dienstleisters bzw. was steht in dessen Pflichtenheft? Letztendlich muss er ja genau artikulieren, was er für den Versand benötigt.
Gruß,
Jörg
Scheinbar lag es an unserem Eingangsgateway.
Ich verstehe bloß noch nicht, warum es genau in diesem Fall aufgetreten ist und sonst ohne Probleme funktioniert hat.
Über die erweiterten Einstellungen konnte ich den Wert "Ungültige Absender und Empfänger nachverfolgen" setzen und die Original Mail sehen, mit den entsprechenden Fehlermeldungen. Anschließend kann man auch korrekte Eingangsregeln hierfür konfigurieren.
Trotzdem vielen Dank an alle!
Ich verstehe bloß noch nicht, warum es genau in diesem Fall aufgetreten ist und sonst ohne Probleme funktioniert hat.
Über die erweiterten Einstellungen konnte ich den Wert "Ungültige Absender und Empfänger nachverfolgen" setzen und die Original Mail sehen, mit den entsprechenden Fehlermeldungen. Anschließend kann man auch korrekte Eingangsregeln hierfür konfigurieren.
Trotzdem vielen Dank an alle!
Moin,
Gruß,
Dani
Über die erweiterten Einstellungen konnte ich den Wert "Ungültige Absender und Empfänger nachverfolgen" setzen
Klingt nach NoSpamProxy?! Anschließend kann man auch korrekte Eingangsregeln hierfür konfigurieren.
Perfekt. Achte aber darauf, dass es kein Einfallstor für Spam Verschleuderer wird. Sprich kein White-Listing von E-Mail-Adressen o.ä. sondern am Besten auf IP-Adressen fixieren.Gruß,
Dani
Tatsächlich!
Perfekt. Achte aber darauf, dass es kein Einfallstor für Spam Verschleuderer wird. Sprich kein White-Listing von E->Mail-Adressen o.ä. sondern am Besten auf IP-Adressen fixieren.
Nein, nein. Da wird echt nach Minimalprinzip gearbeitet.
Vorsicht ist ja bekanntlich besser als Nachsicht.
