henere
Goto Top

Probleme mit SPF unter Postfix

Hallo zusammen,

meine Mailconfig sieht so aus:

MX10 root server im Internet (Postfix)
MX20 Dnydns (Postfix)

Mail kommt auf MX10 an, Spanfilter und Whitelistcheck, SPF.... dann Relay an MX20, dieser überprüft wiederrum Spam, whitelist und SPF und gibt die Mail dann an Exchange weiter. Das Konstrukt ist so gewählt, damit im Ausfall von MX10 die Mails trotzdem empfangen werden können.

Outbound Mail Exchange => MX10 => Internet

Auf beiden Postfix ist SPF konfiguriert. Der MX10 spielt eigentlich nur Mail-Relay und leitet alle Mails an den DYNDNS-Host weiter.

Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.

Welche Infos braucht ihr, um mir helfen zu können ?

Grüße, Henere

Content-Key: 303489

Url: https://administrator.de/contentid/303489

Printed on: July 22, 2024 at 23:07 o'clock

Mitglied: 114757
Solution 114757 May 02, 2016 at 18:32:32 (UTC)
Goto Top
Moin,
lege eine Whitelist auf deinem MX20 an die den MX10 vom SPF-Check ausnimmt:
https://www.webstershome.co.uk/2014/04/07/postfix-whitelisting-spf-filte ...

Gruß jodel32
Member: Henere
Henere May 02, 2016 at 18:47:49 (UTC)
Goto Top
Danke, nun bekomme ich wieder Mails.

Grüße, Henere
Member: Lochkartenstanzer
Lochkartenstanzer May 02, 2016 at 18:49:51 (UTC)
Goto Top
Zitat von @Henere:

Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.

Ist ja auch genau Sinn und Zweck von SPF, daß nciht jeder behaupten kann, daß er derjenige ist, der mails für eine bestimtme Domain rausschicken darf. face-smile

Abhilfe schafft, wie jodel schon sagte, einfach für den MX10 eine Ausnahme zu machen, indem iman ihn in die whitelist einträgt.

lks
Member: Henere
Henere May 02, 2016 updated at 18:58:39 (UTC)
Goto Top
Hallo Lochkartenstanzer,

Ist ja schon in die WL eingetragen.

Das verstehe ich schon. Aber er ist ja nicht der generierende Mailer, sondern nur ein MX-Backup, also er leitet ja nur weiter.
In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.

Oder denke ich da zu krumm ?

Grüße, Henere
Member: Lochkartenstanzer
Lochkartenstanzer May 02, 2016 at 19:04:39 (UTC)
Goto Top
Zitat von @Henere:

In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.

Und in die Mailheader darf jeder das reinschreiben, wozu er gerade Lust hat. Die sind ja nicht kryptographisch gesichert.

Das ist genauso, wie wenn Du beim Postident dem Schalterbdeinstetetn hoch und heilig versprichst, daß der Zettel wirklich von dem Papa unterschrieben wurde, der überprüft werden soll. face-smile

Oder denke ich da zu krumm ?

Ja.

lks
Member: LordGurke
LordGurke May 02, 2016 at 20:05:35 (UTC)
Goto Top
Und genau solche Stunts sind auch der Grund, warum ich sofort #aufschreie, sobald ich das Wort "SPF" höre face-wink
In exakt dieses Problem würdest du auch rennen, wenn dir jemand eine E-Mail von z.B. @gmail.com schickt und du diese an extern weiterleiten möchtest. Dann klingelt dein Server an und behauptet, er hätte eine E-Mail von @gmail.com, was er aber laut SPF nicht haben dürfte.

Der bessere und schönere Weg ist daher DKIM, weil du da eine kryptographische Signatur über verschiedene Mailheader (z.B. From, Date, Message-ID) legst, welche auch bei einer Weiterleitung unverändert bleiben. Diese kryptographische Signatur kann von jedem Server per DNS geprüft werden - und außer dir kann sie auch niemand generieren. Das tolle ist, dass dabei völlig egal ist, welcher Server an welchen anderen Server die Mail nun zustellt, solange die DKIM-Signatur intakt bleibt resp. die Mailheader nicht verändert werden.
Member: AndiEoh
AndiEoh May 03, 2016 at 06:32:28 (UTC)
Goto Top
Und die eigentliche Lösung heißt S/MIME, dann weiß ich nicht nur von welchem Server die Mail kommt was meist eh nicht interessant ist sondern auch ob der Inhalt von demjenigen stammt der als Absender im Header steht und ich kann bei Bedarf verschlüsselt antworten.
Member: Henere
Henere May 03, 2016 at 12:50:37 (UTC)
Goto Top
Also werden wieder 3 Suppen gleichzeitig gekocht und der eine Admin mag Suppe A lieber, der andere B ... und es kommt wieder zu keinem gemeinsamen Konsens. face-sad
Member: Lochkartenstanzer
Lochkartenstanzer May 03, 2016 at 12:52:48 (UTC)
Goto Top
Zitat von @Henere:

Also werden wieder 3 Suppen gleichzeitig gekocht und der eine Admin mag Suppe A lieber, der andere B ... und es kommt wieder zu keinem gemeinsamen Konsens. face-sad

Sei froh, daß Du die Auswahl hast. Stell Dir vor, Du hättest nur die Auswahl Hühnerbrühe oder keine Hühnerbrühe. face-smile

lks
Member: Henere
Henere May 03, 2016 at 13:22:04 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Sei froh, daß Du die Auswahl hast. Stell Dir vor, Du hättest nur die Auswahl Hühnerbrühe oder keine Hühnerbrühe. face-smile

lks

Ich mag lieber Spam & Eggs face-wink
Member: LordGurke
LordGurke May 03, 2016 at 13:45:06 (UTC)
Goto Top
Irgendwer hat damals - weil es akut gebraucht wurde - SPF entwickelt und verbreitet. Das hat allerdings halt oben gezeigte Schwächen, deswegen ist mit DKIM ein grundlegend anderes System entwickelt worden um die Authentizität des Absender-Servers zu bestimmen.
SPF ist sozusagen deprecated, DKIM ist das was man momentan bevorzugt nutzen sollte.
Member: Lochkartenstanzer
Lochkartenstanzer May 03, 2016 updated at 14:21:22 (UTC)
Goto Top
Zitat von @Henere:


Ich mag lieber Spam & Eggs face-wink

Spam, Egg, Bacon, Chease, Spam, Spam, Egg and Bacon.

lks