12
Probleme mit SPF unter Postfix
Hallo zusammen,
meine Mailconfig sieht so aus:
MX10 root server im Internet (Postfix)
MX20 Dnydns (Postfix)
Mail kommt auf MX10 an, Spanfilter und Whitelistcheck, SPF.... dann Relay an MX20, dieser überprüft wiederrum Spam, whitelist und SPF und gibt die Mail dann an Exchange weiter. Das Konstrukt ist so gewählt, damit im Ausfall von MX10 die Mails trotzdem empfangen werden können.
Outbound Mail Exchange => MX10 => Internet
Auf beiden Postfix ist SPF konfiguriert. Der MX10 spielt eigentlich nur Mail-Relay und leitet alle Mails an den DYNDNS-Host weiter.
Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.
Welche Infos braucht ihr, um mir helfen zu können ?
Grüße, Henere
meine Mailconfig sieht so aus:
MX10 root server im Internet (Postfix)
MX20 Dnydns (Postfix)
Mail kommt auf MX10 an, Spanfilter und Whitelistcheck, SPF.... dann Relay an MX20, dieser überprüft wiederrum Spam, whitelist und SPF und gibt die Mail dann an Exchange weiter. Das Konstrukt ist so gewählt, damit im Ausfall von MX10 die Mails trotzdem empfangen werden können.
Outbound Mail Exchange => MX10 => Internet
Auf beiden Postfix ist SPF konfiguriert. Der MX10 spielt eigentlich nur Mail-Relay und leitet alle Mails an den DYNDNS-Host weiter.
Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.
Welche Infos braucht ihr, um mir helfen zu können ?
Grüße, Henere
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303489
Url: https://administrator.de/contentid/303489
Printed on: April 16, 2024 at 21:04 o'clock
12 Comments
Latest comment
Moin,
lege eine Whitelist auf deinem MX20 an die den MX10 vom SPF-Check ausnimmt:
https://www.webstershome.co.uk/2014/04/07/postfix-whitelisting-spf-filte ...
Gruß jodel32
lege eine Whitelist auf deinem MX20 an die den MX10 vom SPF-Check ausnimmt:
https://www.webstershome.co.uk/2014/04/07/postfix-whitelisting-spf-filte ...
Gruß jodel32
Danke, nun bekomme ich wieder Mails.
Grüße, Henere
Grüße, Henere
Zitat von @Henere:
Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.
Doch jetzt habe ich ein Problem.
Alle Mails die von extern kommen, werden auf MX20 wegen Verstoß gegen die SPF rejected. Mein 2ter Postfix sieht wohl meinen ersten als absendenden Mailserver und verweigert dementsprechend die Annahme.
Ist ja auch genau Sinn und Zweck von SPF, daß nciht jeder behaupten kann, daß er derjenige ist, der mails für eine bestimtme Domain rausschicken darf.
Abhilfe schafft, wie jodel schon sagte, einfach für den MX10 eine Ausnahme zu machen, indem iman ihn in die whitelist einträgt.
lks
Hallo Lochkartenstanzer,
Ist ja schon in die WL eingetragen.
Das verstehe ich schon. Aber er ist ja nicht der generierende Mailer, sondern nur ein MX-Backup, also er leitet ja nur weiter.
In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.
Oder denke ich da zu krumm ?
Grüße, Henere
Ist ja schon in die WL eingetragen.
Das verstehe ich schon. Aber er ist ja nicht der generierende Mailer, sondern nur ein MX-Backup, also er leitet ja nur weiter.
In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.
Oder denke ich da zu krumm ?
Grüße, Henere
Zitat von @Henere:
In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.
In den Mailheadern steht doch der generierende Server drin, und auch von wem die Mail ursprünglich gesendet wurde.
Und in die Mailheader darf jeder das reinschreiben, wozu er gerade Lust hat. Die sind ja nicht kryptographisch gesichert.
Das ist genauso, wie wenn Du beim Postident dem Schalterbdeinstetetn hoch und heilig versprichst, daß der Zettel wirklich von dem Papa unterschrieben wurde, der überprüft werden soll.
Oder denke ich da zu krumm ?
Ja.
lks
Und genau solche Stunts sind auch der Grund, warum ich sofort #aufschreie, sobald ich das Wort "SPF" höre 
In exakt dieses Problem würdest du auch rennen, wenn dir jemand eine E-Mail von z.B. @gmail.com schickt und du diese an extern weiterleiten möchtest. Dann klingelt dein Server an und behauptet, er hätte eine E-Mail von @gmail.com, was er aber laut SPF nicht haben dürfte.
Der bessere und schönere Weg ist daher DKIM, weil du da eine kryptographische Signatur über verschiedene Mailheader (z.B. From, Date, Message-ID) legst, welche auch bei einer Weiterleitung unverändert bleiben. Diese kryptographische Signatur kann von jedem Server per DNS geprüft werden - und außer dir kann sie auch niemand generieren. Das tolle ist, dass dabei völlig egal ist, welcher Server an welchen anderen Server die Mail nun zustellt, solange die DKIM-Signatur intakt bleibt resp. die Mailheader nicht verändert werden.
In exakt dieses Problem würdest du auch rennen, wenn dir jemand eine E-Mail von z.B. @gmail.com schickt und du diese an extern weiterleiten möchtest. Dann klingelt dein Server an und behauptet, er hätte eine E-Mail von @gmail.com, was er aber laut SPF nicht haben dürfte.
Der bessere und schönere Weg ist daher DKIM, weil du da eine kryptographische Signatur über verschiedene Mailheader (z.B. From, Date, Message-ID) legst, welche auch bei einer Weiterleitung unverändert bleiben. Diese kryptographische Signatur kann von jedem Server per DNS geprüft werden - und außer dir kann sie auch niemand generieren. Das tolle ist, dass dabei völlig egal ist, welcher Server an welchen anderen Server die Mail nun zustellt, solange die DKIM-Signatur intakt bleibt resp. die Mailheader nicht verändert werden.
Und die eigentliche Lösung heißt S/MIME, dann weiß ich nicht nur von welchem Server die Mail kommt was meist eh nicht interessant ist sondern auch ob der Inhalt von demjenigen stammt der als Absender im Header steht und ich kann bei Bedarf verschlüsselt antworten.
Also werden wieder 3 Suppen gleichzeitig gekocht und der eine Admin mag Suppe A lieber, der andere B ... und es kommt wieder zu keinem gemeinsamen Konsens. 
Zitat von @Henere:
Also werden wieder 3 Suppen gleichzeitig gekocht und der eine Admin mag Suppe A lieber, der andere B ... und es kommt wieder zu keinem gemeinsamen Konsens.
Also werden wieder 3 Suppen gleichzeitig gekocht und der eine Admin mag Suppe A lieber, der andere B ... und es kommt wieder zu keinem gemeinsamen Konsens.
Sei froh, daß Du die Auswahl hast. Stell Dir vor, Du hättest nur die Auswahl Hühnerbrühe oder keine Hühnerbrühe.
lks
Zitat von @Lochkartenstanzer:
Sei froh, daß Du die Auswahl hast. Stell Dir vor, Du hättest nur die Auswahl Hühnerbrühe oder keine Hühnerbrühe.
lks
Sei froh, daß Du die Auswahl hast. Stell Dir vor, Du hättest nur die Auswahl Hühnerbrühe oder keine Hühnerbrühe.
lks
Ich mag lieber Spam & Eggs
Irgendwer hat damals - weil es akut gebraucht wurde - SPF entwickelt und verbreitet. Das hat allerdings halt oben gezeigte Schwächen, deswegen ist mit DKIM ein grundlegend anderes System entwickelt worden um die Authentizität des Absender-Servers zu bestimmen.
SPF ist sozusagen deprecated, DKIM ist das was man momentan bevorzugt nutzen sollte.
SPF ist sozusagen deprecated, DKIM ist das was man momentan bevorzugt nutzen sollte.
