SPF-Fehlermeldung bei Mailweiteleitung zu web.de und gmx

  • Hallo,


    seit ca. 2 Tagen habe ich folgenden Effekt.


    Von der Mailadresse absender@gmx.de wird eine E-Mail an empfaenger@meine_domain.de versandt.


    empfaenger@meine_domain.de auf dem Liveconfig-Server hat eine Weiterleitung zu empfaenger@gmx.de.


    absender@gmx.de erhält neuerdings folgenden NDR:


    ---
    The mail system


    <empfaenger@gmx.de> (expanded from <empfaenger@meine_domain.de>): host
    mxAA.BBBB.gmx.net[xxx.xxx.xxx.xx1] said: 550-Requested action not taken:
    mailbox unavailable 550-Reject due to SPF policy. 550-The originating IP of
    the message is not permitted by the domain owner. 550 For explanation visit
    http://postmaster.gmx.com/en/e…s?ip=xxx.xxx.xxx.xx2c=spf (in reply
    to MAIL FROM command)
    ---


    Die Ursache ist eigentlich klar. Die IP xxx.xxx.xxx.xx2 gehört natürlich zu meinem Server und nicht zu Absenderdomain gmx.de.


    Wie geht Ihr damit um? SRS (https://de.wikipedia.org/wiki/Sender_Rewriting_Scheme) implementieren? Oder gibt es einfachere Lösungen? Wäre es dann nicht eine Option SRS von LC mit konfigurieren zu lassen?


    Freue mich wie immer auf euer Feedback.

  • habe es unter Debian Jessie so eingerichtet, mal sehen, welche Probleme auftauchen durch SRS...



    Achtung: wenn man es nur so macht, kann es von LiveConfig überschrieben werden in der /etc/postfix/main.cf


    Nachtrag:
    Wäre übrigens sehr toll, wenn das jemand als Debian-Paket verpacken würde, die Version in den offiziellen Debian-Repositories ist nämlich uralt...

  • Achtung: wenn man es nur so macht, kann es von LiveConfig überschrieben werden in der /etc/postfix/main.cf


    Die Einträge
    sender_canonical_maps = tcp:127.0.0.1:10001
    sender_canonical_classes = envelope_sender
    recipient_canonical_maps = tcp:127.0.0.1:10002
    recipient_canonical_classes = envelope_recipient,header_recipient
    kann man ja in der custom.lua ablegen, dann klappts auch mit LC.


    postfix.LOCALCONFIG = {}
    postfix.LOCALCONFIG['sender_canonical_maps'] = tcp:127.0.0.1:10001"
    postfix.LOCALCONFIG['sender_canonical_classes'] = envelope_sender"
    postfix.LOCALCONFIG['recipient_canonical_maps'] = tcp:127.0.0.1:10002"
    postfix.LOCALCONFIG['recipient_canonical_classes'] = envelope_recipient,header_recipient"


    Danach einmal in LC die Postfix-Konfiguration anstupsen und natürlich danach postifx reload.

  • hi!


    @Reiko:


    Da fehlten noch jeweils Anführungszeichen:



    Und vor dem anstupsen der Postfix-Config einmal LC neu starten, sonst werden die Einträge nicht berücksichtigt.


    Ergänzung für Ubuntu: Die systemctl Commands werden nicht benötigt, zum Start einfach "service postsrsd start" eingeben.


    Vg,
    Patrick

  • Die Frage die man sich hier stellen möchte wäre doch ob man wirklich die Emails umschreiben möchte nur weil GMX und Co. (die verständlicherweise möchten, dass man deren Dienste nutzt und sonst kein Geld damit verdient) nun Weiterleitungen blockieren.

  • Und das reicht wirklich aus um das Problem zu umgehen? Oder hat das noch einige Nebenwirkungen beim normalen Mailverkehr?


    mal sehen, ich brauchte einfach eine Lösung für die Kunden, bisher klappt's


    Die Frage die man sich hier stellen möchte wäre doch ob man wirklich die Emails umschreiben möchte nur weil GMX und Co. (die verständlicherweise möchten, dass man deren Dienste nutzt und sonst kein Geld damit verdient) nun Weiterleitungen blockieren.


    naja, ich würde ihnen da nicht die volle Schuld zuschieben, wenn dann den Domainbetreibern, die SPF auf den "-all" Modus setzen. (zu denen web.de/gmx auch gehören, aber das ist ja nicht die aktuelle Änderung)
    Und auch die machen das in der Regel absichtlich, die Absender mit solchen Domains dürfen sich also dort beschweren - aber man weiß ja wie gut es klappt, wenn man als kleiner Provider auf die großen als Verursacher verweist.


    Wenn jemand SPF so einstellt auf seiner Domain, dann WILL er, dass gmx/web.de so handeln wie sie es jetzt tun.

  • Die Frage die man sich hier stellen möchte wäre doch ob man wirklich die Emails umschreiben möchte nur weil GMX und Co. (die verständlicherweise möchten, dass man deren Dienste nutzt und sonst kein Geld damit verdient) nun Weiterleitungen blockieren.


    Ja, diese Frage habe ich mir auch gestellt und wollte SRS zuerst nicht einsetzen. Meine Kunden waren wenig begeistert und haben mich schnell zum Umdenken motiviert. ;)


    Persönlich denke ich ja, das ganze hat schon was von Haustür abschließen und gleichzeitig den Schlüssel unter die Fußmatte legen, wenn Ihr versteht was ich sagen will.


    Mein Erfahrungen: ich bin ja nach http://blog.vom.tc/2013/08/debian-wh...stfix-und-srs/ vorgegangen und bisher läuft es einwandfrei.

  • Nachdem wir unseren anfragenden Kunden die Lage erklärten haben wir den Spieß umgedreht. Wieso also zu GMX und Co. weiterleiten? Die Kunden bezahlen bereits für eine Leistung, nun werden die Mails von GMX und Co. auf die bezahlten von uns gehosteten Adressen weiter geleitet.


    Man muss sich nicht immer den "Großen" beugen...

  • Das ist leider bei uns keine Lösung. viele Kunden "miß"nutzen eine Liveconfig-Mailadresse für eine Weiterleitung an viele Empfänger, also Mailverteiler. Ansonsten bin ich grundsätzlich auch dafür, den "Großen" gern mal eins auszuwischen.

  • Hallo,


    wir haben das selbe Problem mit gmx.de und web.de. Bei uns ist es aber nicht nur die Weiterleitung an diese Adressen, sondern es betrifft auch die Passwort vergessen Funktion von Liveconfig. Die Mails werden mit der selben Fehlermeldung abgewiesen, wie bei den Weiterleitungen.


    Kann man das Problem genauso lösen, wie bei den Weiterleitungen?


    Mit freundlichen Grüße
    Holger Knierim

  • wir haben das selbe Problem mit gmx.de und web.de. Bei uns ist es aber nicht nur die Weiterleitung an diese Adressen, sondern es betrifft auch die Passwort vergessen Funktion von Liveconfig. Die Mails werden mit der selben Fehlermeldung abgewiesen, wie bei den Weiterleitungen.


    Diese Mails werden von der Adresse aus abgesendet, welche im LiveConfig unter "Verwaltung" -> "Einstellungen" -> "Wiederverkäufer" angegeben ist.
    Prüfen Sie bitte, ob für diese Mailadresse (bzw. deren Domain) ein SPF-Eintrag im DNS besteht. Wenn ja, dann müssen Sie diesen so erweitern, dass er Mails auch von allen LiveConfig-Servern (bzw. pauschal aus den eigenen Subnetzen) zulässt.


    Ansonsten schicken Sie bitte ein konkretes Beispiel eines vollständigen Zustellversuchs aus der /var/log/mail.log (von einem LiveConfig-Server, von dem ein Passwort-Reset angefordert wurde) an support@liveconfig.com


    Viele Grüße


    -Klaus Keppler

  • kurzer Hinweis, E-Mails abholen ist immer besser als weiterleiten. Daher wenn $Kunde unbedingt gmx/web.de haben/nutzen will soll er erinfach die E-Mails der anderen Adressen Abholen via pop/imap und gut ist. Weiterer Vorteil hier, der SPAM (der ggf. dabei ist) wird einem nicht "angerechnet" als Versender -> keine internen rbl Einträge mehr zu erwarten.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!