SPF Prüfung Grundsatzfrage
SPF Prüfung Grundsatzfrage
Hallo
Wie wird der SPF-Record geprüft - an der eingelieferten Nachricht? Hier bei spf-record.de bekommt man z.B. die zugelassene IP, aber die steht bei aktzeptierten Mail nirgends im Mail-Header. Abgeschnitten?. Auch die dort genannten Mailserver sind so nicht im Header zu erkennen.
Merci für Antworten!
Gruss
Wie wird der SPF-Record geprüft - an der eingelieferten Nachricht? Hier bei spf-record.de bekommt man z.B. die zugelassene IP, aber die steht bei aktzeptierten Mail nirgends im Mail-Header. Abgeschnitten?. Auch die dort genannten Mailserver sind so nicht im Header zu erkennen.
Merci für Antworten!
Gruss
Re: SPF Prüfung Grundsatzfrage
Der Empfänger sieht im DNS der Absender-Domain nach, ob es einen SPF-Eintrag gibt. Wenn also ich@example.com eine Nachricht an er@example.net sendet, dann macht der Empfänger eine entsprechende Abfrage:
In diesem Fall wäre es also nur dem Server mit der IP 1.2.3.4 erlaubt Nachrichten für die Domain example.com zu versenden.
Im Header der Nachrichten ist dann grundsätzlich nur das Ergebnis dieser Prüfung zu sehen, also z.B. pass oder fail. Das gesamte Ergebnis in den Header zu schreiben ist deshalb nicht empfehlenswert, da ein SPF-Eintrag auch ein include enthalten kann, wodurch die Liste der zulässigen IPs sehr lang werden kann.
Code: Alles auswählen
user@client:~$ dig example.com TXT +short
"v=spf1 1.2.3.4 -all"
Im Header der Nachrichten ist dann grundsätzlich nur das Ergebnis dieser Prüfung zu sehen, also z.B. pass oder fail. Das gesamte Ergebnis in den Header zu schreiben ist deshalb nicht empfehlenswert, da ein SPF-Eintrag auch ein include enthalten kann, wodurch die Liste der zulässigen IPs sehr lang werden kann.
Code: Alles auswählen
user@client:~$ dig gmail.com TXT +short
"v=spf1 redirect=_spf.google.com"
user@client:~$ dig _spf.google.com TXT +short
"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
user@client:~$ dig _netblocks.google.com TXT +short
"v=spf1 ip4:64.18.0.0/20 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:207.126.144.0/20 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
Re: SPF Prüfung Grundsatzfrage
Vielen Dank Dimejo!
Aber es muss ja mindestens zur Prüfung noch eine relevante IP im Header stehen. Wird die dann durch die Prüfung gelöscht/ überschrieben?
Mein Provider hat eMail abgelehnt die zumindest von autorisierten Personen verschickt wurden. Über den Header kann ich aber gar nichts nachvollziehen. Auch bei aktzeptierten eMail finde ich weder die eingetragenen Mail-Server noch die eingetragene IP (wie bei SPF-Record dargestellt)!
Die Nachrichten wuden über eine eigene Domain aber leider über den Multi "Datenkrake" gesendet.
Ist es vielleicht bekannt dass Datenkrake manchmal selbst über "falsche" Server versendet?
Wie üblich ist denn das DNS-Cache-Problem? Werden die SPF-Einträge oft geändert oder angepasst?
Merci vielmal!
Gruss
Aber es muss ja mindestens zur Prüfung noch eine relevante IP im Header stehen. Wird die dann durch die Prüfung gelöscht/ überschrieben?
Mein Provider hat eMail abgelehnt die zumindest von autorisierten Personen verschickt wurden. Über den Header kann ich aber gar nichts nachvollziehen. Auch bei aktzeptierten eMail finde ich weder die eingetragenen Mail-Server noch die eingetragene IP (wie bei SPF-Record dargestellt)!
Die Nachrichten wuden über eine eigene Domain aber leider über den Multi "Datenkrake" gesendet.
Ist es vielleicht bekannt dass Datenkrake manchmal selbst über "falsche" Server versendet?
Wie üblich ist denn das DNS-Cache-Problem? Werden die SPF-Einträge oft geändert oder angepasst?
Merci vielmal!
Gruss
Re: SPF Prüfung Grundsatzfrage
Bitte aufpassen bei SPF im speziellen bei Forwarding.
https://www.heinlein-support.de/vortrag ... spamschutz
Ich würde von SPF abraten. Bringt leider nichts außer viele Probleme. Leider wollen manche Provider SPF haben um Mails anzunehmen aber dann bitte niemals -all setzen. Am besten ?all
lg
Gregor
https://www.heinlein-support.de/vortrag ... spamschutz
Ich würde von SPF abraten. Bringt leider nichts außer viele Probleme. Leider wollen manche Provider SPF haben um Mails anzunehmen aber dann bitte niemals -all setzen. Am besten ?all
lg
Gregor
Re: SPF Prüfung Grundsatzfrage
Hi
Ich kann nicht SPF an- oder abwählen. Mein Provider hat geprüft was reinkommt und eMail auch schon mal abgelehnt, von Adressen die bisher angenommen wurden. Die kommen vom "Mailspezialisten" der auch Domains betreut, über die dann zum Beispiel eine Firma mit eigenem Namen sendet - in natura läuft alles über diesen "Mailspezialisten".
Gruss
Ich kann nicht SPF an- oder abwählen. Mein Provider hat geprüft was reinkommt und eMail auch schon mal abgelehnt, von Adressen die bisher angenommen wurden. Die kommen vom "Mailspezialisten" der auch Domains betreut, über die dann zum Beispiel eine Firma mit eigenem Namen sendet - in natura läuft alles über diesen "Mailspezialisten".
Gruss
Re: SPF Prüfung Grundsatzfrage
Eine SPF-Zeile im Header ist nicht verpflichtend. Es bleibt dem Administrator überlassen, ob und was er dort hinein schreibt.abc hat geschrieben:Aber es muss ja mindestens zur Prüfung noch eine relevante IP im Header stehen. Wird die dann durch die Prüfung gelöscht/ überschrieben?
Wenn es früher funktioniert hat und jetzt nicht, dann kontaktiere doch Deinen Provider. Oder versuche den Absender dazu zu bewegen seinen SPF-Eintrag zu korrigieren.abc hat geschrieben:Mein Provider hat eMail abgelehnt die zumindest von autorisierten Personen verschickt wurden. Über den Header kann ich aber gar nichts nachvollziehen. Auch bei aktzeptierten eMail finde ich weder die eingetragenen Mail-Server noch die eingetragene IP (wie bei SPF-Record dargestellt)!
Ich kenne leider niemanden namens "Datenkrake". Meinst Du Google?abc hat geschrieben:Die Nachrichten wuden über eine eigene Domain aber leider über den Multi "Datenkrake" gesendet.
Ist es vielleicht bekannt dass Datenkrake manchmal selbst über "falsche" Server versendet?
Wie oft ein Problem mit dem Caching auftritt kann ich Dir leider nicht sagen. Der SPF-Eintrag fließt bei uns nur in die Berechnung mit ein. In der Praxis gibt es meistens Probleme mit ungültigen/veralteten Einträgen, wenn der Administrator vergessen hat beim Serverumzug auch den SPF-Eintrag zu ändern.abc hat geschrieben:Wie üblich ist denn das DNS-Cache-Problem? Werden die SPF-Einträge oft geändert oder angepasst?
Re: SPF Prüfung Grundsatzfrage
Hi
Nein, es hat einfach mal zwischendurch nicht funktioniert (Prognose wage ich nicht) Ja, es geht um Google. Die haben dann eine Meldung an den Absender geschickt dass mein Provider die Nachricht nicht haben will.
Es wird dann auf eine Fehlerseite bei openspf verwiesen. Letztlich aber doch auf den Admin der Domain, die ja aber von Google verwaltet wird.
Mein erstes Problem ist dass ich die Nachricht nicht bekomme und sich der Absender auch nicht um Fehlermeldungen kümmert.
Das zweite Problem: Ich kann das alles nicht nachvollziehen (deshalb Grundsatzfrage). Weder die bei spf-record aufgeführten zugelassenen Server, noch die passende IP sind zu finden.
Zum Beispiel:
Da stehen bei spf-record mehrere erlaubte Server der Form: abcde1.googlemail.com
Im Header der erfolgreich zugestellten Mail stehen verschiedene der Form : mail-cd0-e12.google.com
Von der einzigen (!) "zugelassenen" IP findet sich nirgends etwas im Header.
Welche IP nutzt denn mein Provider um DNS zu prüfen? Die muss doch irgendwo im Header stehen. Deshalb die Frage ob die dann überschrieben wird.
Merci!
Nein, es hat einfach mal zwischendurch nicht funktioniert (Prognose wage ich nicht) Ja, es geht um Google. Die haben dann eine Meldung an den Absender geschickt dass mein Provider die Nachricht nicht haben will.
Es wird dann auf eine Fehlerseite bei openspf verwiesen. Letztlich aber doch auf den Admin der Domain, die ja aber von Google verwaltet wird.
Mein erstes Problem ist dass ich die Nachricht nicht bekomme und sich der Absender auch nicht um Fehlermeldungen kümmert.
Das zweite Problem: Ich kann das alles nicht nachvollziehen (deshalb Grundsatzfrage). Weder die bei spf-record aufgeführten zugelassenen Server, noch die passende IP sind zu finden.
Zum Beispiel:
Da stehen bei spf-record mehrere erlaubte Server der Form: abcde1.googlemail.com
Im Header der erfolgreich zugestellten Mail stehen verschiedene der Form : mail-cd0-e12.google.com
Von der einzigen (!) "zugelassenen" IP findet sich nirgends etwas im Header.
Welche IP nutzt denn mein Provider um DNS zu prüfen? Die muss doch irgendwo im Header stehen. Deshalb die Frage ob die dann überschrieben wird.
Merci!
Re: SPF Prüfung Grundsatzfrage
Dann kannst Du nur bei Deinem Provider intervenieren, dass er für Dich diese Prüfung aussetzt. Oder Du wechselst den Provider.abc hat geschrieben:Mein erstes Problem ist dass ich die Nachricht nicht bekomme und sich der Absender auch nicht um Fehlermeldungen kümmert.
Ich finde es übrigens sehr ungewöhnlich alleine aufgrund eines SPF-Eintrags mit ?all zu blocken. Ist Dein Provider zufällig GMX oder Web.de?
Nochmal: Es gibt keine Regeln für einen Header-Eintrag. Wenn Du Fragen zu Deinem speziellen Header-Eintrag hast, wäre es wohl am besten, wenn Du Dich an Deinen Provider wendest.abc hat geschrieben:Welche IP nutzt denn mein Provider um DNS zu prüfen? Die muss doch irgendwo im Header stehen. Deshalb die Frage ob die dann überschrieben wird.
Re: SPF Prüfung Grundsatzfrage
Moment mal hast du zufällig eine IPv6 Adresse?
Den Spaß mit Google kenne ich nämlich - bei IPv6 will Google zwingend SPF - bei IPv4 nicht. Die Logik mag verstehen wer will.
lg
Gregor
Den Spaß mit Google kenne ich nämlich - bei IPv6 will Google zwingend SPF - bei IPv4 nicht. Die Logik mag verstehen wer will.
lg
Gregor
Re: SPF Prüfung Grundsatzfrage
Hallo
Nochmal zusammengefasst. Mein Provider (kein Freemailer) lehn eMail ab. Der Absender kümmert sich nicht um Fehlermeldungen. Openspf sagt der Domain-Admin des Absenders muss handeln - der ist Google.
Auf Nachfrage: Mein Provider sagt die SPF-Prüfung lässt sich nicht selektiv de-/aktivieren.
Somit kann ich nirgendwo etwas tun.
Merci für Hinweise!
Gruss
Nochmal zusammengefasst. Mein Provider (kein Freemailer) lehn eMail ab. Der Absender kümmert sich nicht um Fehlermeldungen. Openspf sagt der Domain-Admin des Absenders muss handeln - der ist Google.
Auf Nachfrage: Mein Provider sagt die SPF-Prüfung lässt sich nicht selektiv de-/aktivieren.
Somit kann ich nirgendwo etwas tun.
Merci für Hinweise!
Gruss