SPF record bei Versand via securesmtp

2 years ago

Hallo,

ich betreibe meinen eigenen SMTP der Mails via securesmtp Relay ausliefert. Seit kurzem werden diese aber von Gmail abgewiesen:

host gmail-smtp-in.l.google.com[74.125.133.27] said:
    550-5.7.26 This message does not pass authentication checks (SPF and DKIM
    both 550-5.7.26 do not pass). SPF check for [MEINE_DOMAIN.no-ip.com] does not
    pass with 550-5.7.26 ip: [194.25.134.20].

 

obwohl ich einen SPF Record erstellt habe:

SPF record for MEINE_DOMAIN.no-ip.com

An authoritative DNS server (ns3.no-ip.com.) responded with these DNS records when we queried it for the domain monheim.no-ip.com.

This record is valid for 5m.

  1. pass if the email sender's IP is in the A or AAAA records of MEINE_DOMAIN.no-ip.com.
    a
  2. Or else, pass if the email sender's IP is in the MX records of MEINE_DOMAIN.no-ip.com.
    mx
  3. Or else, pass if a reverse lookup of the email sender's IP resolves to MEINE_DOMAIN.no-ip.com.
    ptr
  4. Or else, pass if the email sender's IP is between 192.168.100.0 and 192.168.100.255.
    ip4:192.168.100.0/24
  5. Or else, include the SPF record at t-online.de and pass if it matches the sender's IP.
    include:t-online.de
  6. Or else, mark the email as fail.
    -all

    Die Header im Ausgang:
    Received:
    from fwd79.dcpf.telekom.de (fwd79.aul.t-online.de [10.223.144.105]) by mailout08.t-online.de (Postfix) with SMTP id F2E252951 for <EMPFÄNGER@gmail.com>; Fri, 9 Dec 2022 11:35:20 +0100 (CET)
    Received:
    from HOST_PRIVATE.DOMAIN.LOCAL ([217.233.50.84]) by fwd79.t-online.de with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted) esmtp id 1p3aiu-3fjnIP0; Fri, 9 Dec 2022 11:35:20 +0100
    Received:
    from [127.0.0.1] (CLIENT_PRIVATE.DOMAIN.LOCAL [192.168.100.100]) by HOST_PRIVATE.DOMAIN.LOCAL (8.14.7/8.14.4) with ESMTP id 2B9AZJQP020520 for <EMPFÄNGER@gmail.com>; Fri, 9 Dec 2022 11:35:19 +0100



    Wie muss ein korrekter SPF aussehen damit dieses Setup funktioniert?

1783

8

  • 2 years ago

    Was ist nun deine Domain?

    monheim.no-ip.com? 

     

    Mal abgesehen davon, dass du keinen MX Record hast. 

    Mit den Settings kann es halt nicht klappen:
    v=spf1 a mx ptr ip4:192.168.100.0/24 include:t-online.de -all

     

    t-online.de versendet keine Mails...

    https://www.spf-record.de/spf-lookup/monheim.no-ip.com?opt_out=on

     

     

    0

  • 2 years ago

    Hottar

    einen SPF Record erstell

    einen SPF Record erstell
    Hottar
    einen SPF Record erstell

    monheim.no-ip.com Lookup - SPF-Record

     

    Viele Grüße

    Thomas

    0

  • 2 years ago

    Hallo,
    des Rätsels Lösung ist ein SPF-Record im Format:

    v=spf1 a a:HOST.MEINE.DOMAIN ip4:194.25.134.20/24 -all

    Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.

    Ich frage mich allerdings ob dies wirklich im Sinne des Erfinders ist ...

     

    mx.google.com; spf=pass (google.com: domain of SENDER_EMAIL designates 194.25.134.17 as permitted sender) smtp.mailfrom=SENDER_EMAIL; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=no-ip.com

     

    @Telekom: Kann dies bitte noch vom Mailing-Team geprüft werden?

    Received from mailout02.t-online.de (mailout02.t-online.de. [194.25.134.17]) by mx.google.com with ESMTPS id e3-20020adff343000000b002420fad8603si820049wrp.729.2022.12.09.04.22.55 for <EMPFÄNGER_EMAIL> (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Fri, 09 Dec 2022 04:22:56 -0800 (PST)
    from fwd79.dcpf.telekom.de (fwd79.aul.t-online.de [10.223.144.105]) by mailout02.t-online.de (Postfix) with SMTP id 9A4FB14A6C for <EMPFÄNGER_EMAIL>; Fri, 9 Dec 2022 13:22:55 +0100 (CET)

    3

    Answer

    from

    2 years ago

    Hottar

    Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.

    Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.
    Hottar
    Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.

    Nicht ganz, du berechtigst den Telekom Server, deine Absenderdomain nutzen zu dürfen, und genau das prüft Google, ob der Telekom Server Mails mit deiner Domain zustellen bzw. versenden darf. 

    Answer

    from

    2 years ago

    Was soll da das Mailing-Team prüfen? 

     

    Jetzt sind deine Anpassungen schonmal besser. 

    CyberSW_0-1670590998994.png

     

    Was dir weiterhin auf die Füße fällt, dass du keinen MX Record hast.

    CyberSW_1-1670591078903.png

    Klar kannst du mit *.monheim.no-ip.com einfach alles auf deine Telekom IP weiterleiten - aber das ist halt dennoch kein ordentlicher MX. Bei meinem Spamfilter bekommst dafür alleine ordentliche Punktabzüge. 

     

     

    Answer

    from

    2 years ago

    Hallo,

     

    na ja, Abzüge gibt's ja schon wg. der dynamischen IP, deshalb ja auch das Konstrukt mit dem relay=securesmtprelay.t-online.de Zwinkernd

    Aber gut, um des Friedens Willen gibt es jetzt auch einen dedizierten MX, der allerdings auch nur vom Catch-All von no-ip aufgefangen wird.

     

    Zu prüfen wäre aus meiner Sicht ob es nicht etwas zu weitreichend ist das ganze Klasse C  Netz freizugeben. Was mir auch nicht wirklich gefällt ist die Tatsache, dass letztendlich andere Telekom-Kunden die den selben Zugang securesmtprelay nutzen unter meiner Domain Mails versenden könnten.

    Unlogged in user

    Answer

    from

  • 10 months ago

    Sauberer könnte statt expliziter ip4:-Adressen ein

    include:t-online.de

    sein.

    1

    Answer

    from

    10 months ago

    Inzwischen kommt von dort nämlich

    v=spf1 ip4:194.25.134.16/28 ip4:194.25.134.80/28 ~all

    zurück.

    Unlogged in user

    Answer

    from

Unlogged in user

Ask

from

This could help you too

Solved

in  

655

0

1

in  

184

0

4

Solved

in  

7347

0

4

in  

616

0

2

Solved

in  

1062

0

7