SPF Prüfung Grundsatzfrage

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
abc
Beiträge: 60
Registriert: 02.08.2015 11:44:01

SPF Prüfung Grundsatzfrage

Beitrag von abc » 24.06.2016 00:07:07

Hallo

Wie wird der SPF-Record geprüft - an der eingelieferten Nachricht? Hier bei spf-record.de bekommt man z.B. die zugelassene IP, aber die steht bei aktzeptierten Mail nirgends im Mail-Header. Abgeschnitten?. Auch die dort genannten Mailserver sind so nicht im Header zu erkennen.


Merci für Antworten!

Gruss

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: SPF Prüfung Grundsatzfrage

Beitrag von Dimejo » 24.06.2016 16:18:31

Der Empfänger sieht im DNS der Absender-Domain nach, ob es einen SPF-Eintrag gibt. Wenn also ich@example.com eine Nachricht an er@example.net sendet, dann macht der Empfänger eine entsprechende Abfrage:

Code: Alles auswählen

user@client:~$ dig example.com TXT +short
"v=spf1 1.2.3.4 -all"
In diesem Fall wäre es also nur dem Server mit der IP 1.2.3.4 erlaubt Nachrichten für die Domain example.com zu versenden.

Im Header der Nachrichten ist dann grundsätzlich nur das Ergebnis dieser Prüfung zu sehen, also z.B. pass oder fail. Das gesamte Ergebnis in den Header zu schreiben ist deshalb nicht empfehlenswert, da ein SPF-Eintrag auch ein include enthalten kann, wodurch die Liste der zulässigen IPs sehr lang werden kann.

Code: Alles auswählen

user@client:~$ dig gmail.com TXT +short
"v=spf1 redirect=_spf.google.com"

user@client:~$ dig _spf.google.com TXT +short
"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

user@client:~$ dig _netblocks.google.com TXT +short
"v=spf1 ip4:64.18.0.0/20 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:207.126.144.0/20 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

abc
Beiträge: 60
Registriert: 02.08.2015 11:44:01

Re: SPF Prüfung Grundsatzfrage

Beitrag von abc » 25.06.2016 20:31:03

Vielen Dank Dimejo!

Aber es muss ja mindestens zur Prüfung noch eine relevante IP im Header stehen. Wird die dann durch die Prüfung gelöscht/ überschrieben?

Mein Provider hat eMail abgelehnt die zumindest von autorisierten Personen verschickt wurden. Über den Header kann ich aber gar nichts nachvollziehen. Auch bei aktzeptierten eMail finde ich weder die eingetragenen Mail-Server noch die eingetragene IP (wie bei SPF-Record dargestellt)!



Die Nachrichten wuden über eine eigene Domain aber leider über den Multi "Datenkrake" gesendet.

Ist es vielleicht bekannt dass Datenkrake manchmal selbst über "falsche" Server versendet?

Wie üblich ist denn das DNS-Cache-Problem? Werden die SPF-Einträge oft geändert oder angepasst?

Merci vielmal!

Gruss

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: SPF Prüfung Grundsatzfrage

Beitrag von hec_tech » 26.06.2016 00:25:59

Bitte aufpassen bei SPF im speziellen bei Forwarding.

https://www.heinlein-support.de/vortrag ... spamschutz

Ich würde von SPF abraten. Bringt leider nichts außer viele Probleme. Leider wollen manche Provider SPF haben um Mails anzunehmen aber dann bitte niemals -all setzen. Am besten ?all

lg
Gregor

abc
Beiträge: 60
Registriert: 02.08.2015 11:44:01

Re: SPF Prüfung Grundsatzfrage

Beitrag von abc » 26.06.2016 06:27:05

Hi


Ich kann nicht SPF an- oder abwählen. Mein Provider hat geprüft was reinkommt und eMail auch schon mal abgelehnt, von Adressen die bisher angenommen wurden. Die kommen vom "Mailspezialisten" der auch Domains betreut, über die dann zum Beispiel eine Firma mit eigenem Namen sendet - in natura läuft alles über diesen "Mailspezialisten".

Gruss

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: SPF Prüfung Grundsatzfrage

Beitrag von Dimejo » 26.06.2016 11:08:23

abc hat geschrieben:Aber es muss ja mindestens zur Prüfung noch eine relevante IP im Header stehen. Wird die dann durch die Prüfung gelöscht/ überschrieben?
Eine SPF-Zeile im Header ist nicht verpflichtend. Es bleibt dem Administrator überlassen, ob und was er dort hinein schreibt.
abc hat geschrieben:Mein Provider hat eMail abgelehnt die zumindest von autorisierten Personen verschickt wurden. Über den Header kann ich aber gar nichts nachvollziehen. Auch bei aktzeptierten eMail finde ich weder die eingetragenen Mail-Server noch die eingetragene IP (wie bei SPF-Record dargestellt)!
Wenn es früher funktioniert hat und jetzt nicht, dann kontaktiere doch Deinen Provider. Oder versuche den Absender dazu zu bewegen seinen SPF-Eintrag zu korrigieren.
abc hat geschrieben:Die Nachrichten wuden über eine eigene Domain aber leider über den Multi "Datenkrake" gesendet.

Ist es vielleicht bekannt dass Datenkrake manchmal selbst über "falsche" Server versendet?
Ich kenne leider niemanden namens "Datenkrake". Meinst Du Google?
abc hat geschrieben:Wie üblich ist denn das DNS-Cache-Problem? Werden die SPF-Einträge oft geändert oder angepasst?
Wie oft ein Problem mit dem Caching auftritt kann ich Dir leider nicht sagen. Der SPF-Eintrag fließt bei uns nur in die Berechnung mit ein. In der Praxis gibt es meistens Probleme mit ungültigen/veralteten Einträgen, wenn der Administrator vergessen hat beim Serverumzug auch den SPF-Eintrag zu ändern.

abc
Beiträge: 60
Registriert: 02.08.2015 11:44:01

Re: SPF Prüfung Grundsatzfrage

Beitrag von abc » 26.06.2016 14:20:41

Hi


Nein, es hat einfach mal zwischendurch nicht funktioniert (Prognose wage ich nicht) Ja, es geht um Google. Die haben dann eine Meldung an den Absender geschickt dass mein Provider die Nachricht nicht haben will.

Es wird dann auf eine Fehlerseite bei openspf verwiesen. Letztlich aber doch auf den Admin der Domain, die ja aber von Google verwaltet wird.

Mein erstes Problem ist dass ich die Nachricht nicht bekomme und sich der Absender auch nicht um Fehlermeldungen kümmert.

Das zweite Problem: Ich kann das alles nicht nachvollziehen (deshalb Grundsatzfrage). Weder die bei spf-record aufgeführten zugelassenen Server, noch die passende IP sind zu finden.

Zum Beispiel:
Da stehen bei spf-record mehrere erlaubte Server der Form: abcde1.googlemail.com

Im Header der erfolgreich zugestellten Mail stehen verschiedene der Form : mail-cd0-e12.google.com

Von der einzigen (!) "zugelassenen" IP findet sich nirgends etwas im Header.

Welche IP nutzt denn mein Provider um DNS zu prüfen? Die muss doch irgendwo im Header stehen. Deshalb die Frage ob die dann überschrieben wird.


Merci!

Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: SPF Prüfung Grundsatzfrage

Beitrag von Dimejo » 27.06.2016 11:11:04

abc hat geschrieben:Mein erstes Problem ist dass ich die Nachricht nicht bekomme und sich der Absender auch nicht um Fehlermeldungen kümmert.
Dann kannst Du nur bei Deinem Provider intervenieren, dass er für Dich diese Prüfung aussetzt. Oder Du wechselst den Provider.
Ich finde es übrigens sehr ungewöhnlich alleine aufgrund eines SPF-Eintrags mit ?all zu blocken. Ist Dein Provider zufällig GMX oder Web.de?
abc hat geschrieben:Welche IP nutzt denn mein Provider um DNS zu prüfen? Die muss doch irgendwo im Header stehen. Deshalb die Frage ob die dann überschrieben wird.
Nochmal: Es gibt keine Regeln für einen Header-Eintrag. Wenn Du Fragen zu Deinem speziellen Header-Eintrag hast, wäre es wohl am besten, wenn Du Dich an Deinen Provider wendest.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: SPF Prüfung Grundsatzfrage

Beitrag von hec_tech » 27.06.2016 12:57:59

Moment mal hast du zufällig eine IPv6 Adresse?

Den Spaß mit Google kenne ich nämlich - bei IPv6 will Google zwingend SPF - bei IPv4 nicht. Die Logik mag verstehen wer will.

lg
Gregor

abc
Beiträge: 60
Registriert: 02.08.2015 11:44:01

Re: SPF Prüfung Grundsatzfrage

Beitrag von abc » 28.06.2016 12:17:50

Hallo

Nochmal zusammengefasst. Mein Provider (kein Freemailer) lehn eMail ab. Der Absender kümmert sich nicht um Fehlermeldungen. Openspf sagt der Domain-Admin des Absenders muss handeln - der ist Google.

Auf Nachfrage: Mein Provider sagt die SPF-Prüfung lässt sich nicht selektiv de-/aktivieren.
Somit kann ich nirgendwo etwas tun.

Merci für Hinweise!

Gruss

Antworten