SPF record bei Versand via securesmtp
2 years ago
Hallo,
ich betreibe meinen eigenen SMTP der Mails via securesmtp Relay ausliefert. Seit kurzem werden diese aber von Gmail abgewiesen:
host gmail-smtp-in.l.google.com[74.125.133.27] said:
550-5.7.26 This message does not pass authentication checks (SPF and DKIM
both 550-5.7.26 do not pass). SPF check for [MEINE_DOMAIN.no-ip.com] does not
pass with 550-5.7.26 ip: [194.25.134.20].
obwohl ich einen SPF Record erstellt habe:
SPF record for MEINE_DOMAIN.no-ip.com
An authoritative DNS server (ns3.no-ip.com.) responded with these DNS records when we queried it for the domain monheim.no-ip.com.
This record is valid for 5m.
- a
- Or else, pass if the email sender's IP is in the MX records of MEINE_DOMAIN.no-ip.com.mx
- Or else, pass if a reverse lookup of the email sender's IP resolves to MEINE_DOMAIN.no-ip.com.ptr
- Or else, pass if the email sender's IP is between 192.168.100.0 and 192.168.100.255.ip4:192.168.100.0/24
- Or else, include the SPF record at t-online.de and pass if it matches the sender's IP.include:t-online.de
- Or else, mark the email as fail.-all
Die Header im Ausgang:Received:from fwd79.dcpf.telekom.de (fwd79.aul.t-online.de [10.223.144.105]) by mailout08.t-online.de (Postfix) with SMTP id F2E252951 for <EMPFÄNGER@gmail.com>; Fri, 9 Dec 2022 11:35:20 +0100 (CET)Received:from HOST_PRIVATE.DOMAIN.LOCAL ([217.233.50.84]) by fwd79.t-online.de with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted) esmtp id 1p3aiu-3fjnIP0; Fri, 9 Dec 2022 11:35:20 +0100Received:from [127.0.0.1] (CLIENT_PRIVATE.DOMAIN.LOCAL [192.168.100.100]) by HOST_PRIVATE.DOMAIN.LOCAL (8.14.7/8.14.4) with ESMTP id 2B9AZJQP020520 for <EMPFÄNGER@gmail.com>; Fri, 9 Dec 2022 11:35:19 +0100
Wie muss ein korrekter SPF aussehen damit dieses Setup funktioniert?
1783
8
This could help you too
4 months ago
in
184
0
4
2 years ago
616
0
2
2 years ago
Was ist nun deine Domain?
monheim.no-ip.com?
Mal abgesehen davon, dass du keinen MX Record hast.
Mit den Settings kann es halt nicht klappen:
v=spf1 a mx ptr ip4:192.168.100.0/24 include:t-online.de -all
t-online.de versendet keine Mails...
https://www.spf-record.de/spf-lookup/monheim.no-ip.com?opt_out=on
0
2 years ago
einen SPF Record erstell
monheim.no-ip.com Lookup - SPF-Record
Viele Grüße
Thomas
0
2 years ago
Hallo,
des Rätsels Lösung ist ein SPF-Record im Format:
v=spf1 a a:HOST.MEINE.DOMAIN ip4:194.25.134.20/24 -all
Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.
Ich frage mich allerdings ob dies wirklich im Sinne des Erfinders ist ...
mx.google.com; spf=pass (google.com: domain of SENDER_EMAIL designates 194.25.134.17 as permitted sender) smtp.mailfrom=SENDER_EMAIL; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=no-ip.com
@Telekom: Kann dies bitte noch vom Mailing-Team geprüft werden?
Received from mailout02.t-online.de (mailout02.t-online.de. [194.25.134.17]) by mx.google.com with ESMTPS id e3-20020adff343000000b002420fad8603si820049wrp.729.2022.12.09.04.22.55 for <EMPFÄNGER_EMAIL> (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Fri, 09 Dec 2022 04:22:56 -0800 (PST)
from fwd79.dcpf.telekom.de (fwd79.aul.t-online.de [10.223.144.105]) by mailout02.t-online.de (Postfix) with SMTP id 9A4FB14A6C for <EMPFÄNGER_EMAIL>; Fri, 9 Dec 2022 13:22:55 +0100 (CET)
3
Answer
from
2 years ago
Damit werden die Telekom mailout Server berechtigt meine Mails zuzustellen.
Nicht ganz, du berechtigst den Telekom Server, deine Absenderdomain nutzen zu dürfen, und genau das prüft Google, ob der Telekom Server Mails mit deiner Domain zustellen bzw. versenden darf.
Answer
from
2 years ago
Was soll da das Mailing-Team prüfen?
Jetzt sind deine Anpassungen schonmal besser.
Was dir weiterhin auf die Füße fällt, dass du keinen MX Record hast.
Klar kannst du mit *.monheim.no-ip.com einfach alles auf deine Telekom IP weiterleiten - aber das ist halt dennoch kein ordentlicher MX. Bei meinem Spamfilter bekommst dafür alleine ordentliche Punktabzüge.
Answer
from
2 years ago
Hallo,
na ja, Abzüge gibt's ja schon wg. der dynamischen IP, deshalb ja auch das Konstrukt mit dem relay=securesmtprelay.t-online.de
Aber gut, um des Friedens Willen gibt es jetzt auch einen dedizierten MX, der allerdings auch nur vom Catch-All von no-ip aufgefangen wird.
Zu prüfen wäre aus meiner Sicht ob es nicht etwas zu weitreichend ist das ganze Klasse C Netz freizugeben. Was mir auch nicht wirklich gefällt ist die Tatsache, dass letztendlich andere Telekom-Kunden die den selben Zugang securesmtprelay nutzen unter meiner Domain Mails versenden könnten.
Unlogged in user
Answer
from
10 months ago
Sauberer könnte statt expliziter ip4:-Adressen ein
sein.
1
Answer
from
10 months ago
Inzwischen kommt von dort nämlich
zurück.
Unlogged in user
Answer
from
Unlogged in user
Ask
from