[lug-ld] SPF & Co

Peter Craciun peter at fam-craciun.de
Mo Okt 31 18:10:41 CET 2011 

Hallo Jochen,

das Problem tritt auf, wenn für die versendende Domain ein SPF-Record
existiert und die Mail über ein Relay lief, dessen IP nicht im
SPF-Record dieser Domain eingetragen wurde und auf einem Mail-Server auf
dem Weg (Relay oder Ziel) SPF geprüft wird.

Web.de hat (momentan) kein SPF implementiert, GMX hat SPF im Einsatz.
siehe:
$ dig +short web.de txt
"google-site-verification=No4jlUg2OIV7IsI2UF0v792Q8HgI9Brnp7qary1nMAQ"

$ dig +short gmx.de txt
"google-site-verification=8jV5RCya962H1ur14xR3xWCFUBsExt_YibC3HkuJ9X8"
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25
ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 -all"

Jedoch scheinen sich die GMX-Konten unterschiedlich zu verhalten. Es
gibt Konten bei denen es ankommt aber im SPAM-Ordner landet und es gibt
Konten denen die Mail erst gar nicht zugestellt wird. Dann erhält der
Absender eine Fehlermeldung die wie folgt aussieht (so wurde ich auf den
Fehler durch einen Absender aufmerksam gemacht):
The mail system

<empfaenger at gmx.net>  (expanded from<weiterleitung at eigenedomain.de>): host
     mx0.gmx.net[213.165.64.100] said: 550-5.7.1 {mx024} The recipient does
not
     accept mails from 'gmx.de' over foreign mailservers 550 5.7.1 (
     http://portal.gmx.net/serverrules ) (in reply to RCPT TO command)

Der Weg der Mail ist hier schematisch aufgezeigt:
Absender: absender at gmx.de (von GMX-Server) -->
	Relay: weiterleitung at eigenedomain.de (mein Server) -->
		Empfänger: empfaenger at gmx.net (an GMX-Server) -->
			Mail wird mit Fehlermeldung wie oben abgewiesen

Wie gesagt es gibt auch GMX-User die bei dieser Konfiguration die Mail
erhalten, jedoch wird diese dann als SPAM-Mail klassifiziert.

Das Verhalten sollte identisch sein, wenn der Absender bei einem anderen
Anbieter ist, der auch SPF für seine Domain verwendet.


Grüße

Peter Craciun

Am 31.10.2011 08:59, schrieb Jochen Wambsganß:
> Hallo Peter,
> 
> ich muss jetzt doch noch mal fragen. Ich hab ja auch viele Kunden, die
> nur eine Umleitung Ihrer Domainadresse auf eine GMX oder web.de Adresse
> haben. Bei mir sind bisher keine Probleme aufgetreten. Kannst du das
> Setup nochmal genau beschreiben?
> 
> 
> Viele Grüße
> Jochen
> 
> schrieb Peter Craciun, Am 30.10.2011 23:15:
>> Hallo Christian,
>>
>> danke fürs raussuchen. Nur leider hilft es mir doch nichts, wenn ich
>> selbst DKIM implementiere und andere SPF. Mein Problem ist ja, dass mein
>> Mailserver für manche Adressen lediglich als Relay fungiert, dies aber
>> nicht mehr funktioniert sobald der Mail-Server-Provider des Absenders
>> und der Ziel-Mailadresse SPF verwenden.
>>
>> Ich will primär, dass die Weiterleitungen funktionieren, im nächsten
>> Schritt kann man dann überlegen wie man sich davor schützt, dass andere
>> im eigenen Namen (Envelope Sender fälschen) Mails verschicken.
>>
>> Hat jmd. einen Tipp zu SRS mit Postfix oder einer Alternative?
>>
>>
>> Grüße
>>
>> Peter Craciun
>>
>> Am 30.10.2011 22:57, schrieb Christian Boltz:
>>> Hallo Peter, hallo zusammen,
>>>
>>> zum Thema SPF/SRS hatte ich ja gestern Abend noch das passende Zitat 
>>> rausgesucht:
>>>
>>>     Du hast jetzt relativ kompliziert die völlig korrekte Aussage:
>>>     "SPF ist krank, funktioniert nicht und vom Ansatz her bereits defekt."
>>>     formuliert. [Peer Heinlein in postfixbuch-users]
>>>
>>>     (Quelle: http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-October/051554.html)
>>>
>>> Stattdessen will man DKIM - das erfüllt den gleichen Zweck ohne 
>>> Nebenwirkungen beim Weiterleiten von Mails.
>>>
>>> Die ausführliche Fassung dieser Aussage gibt es hier:
>>> http://www.heinlein-support.de/vortrag/spf-dkim-greylisting-der-neue-spamschutz
>>> (enthält Links zum PDF und Video des Vortrags, das Video ist wie immer 
>>> besser als nur die Folien)
>>>
>>>
>>> Gruß
>>>
>>> Christian Boltz
>> _______________________________________________
>> lug-ld mailing list
>> lug-ld at lists.lug-ld.de
>> http://lists.lug-ld.de/mailman/listinfo/lug-ld
> 
> _______________________________________________
> lug-ld mailing list
> lug-ld at lists.lug-ld.de
> http://lists.lug-ld.de/mailman/listinfo/lug-ld

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5211 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : http://lists.lug-ld.de/mailman/private/lug-ld/attachments/20111031/14f2597a/attachment.bin