winlicli
Goto Top

SPF und Spamfilter-Dienstleister

Hallo zusammen,

wie funktioniert es, wenn ich zb ein spamdienstleister habe der auch im DNS mein MX ist und nun möchte mir jemand mit der domäne abc.de eine mail senden.
dieser jemand hat nun ein spf wo drin steht, dass nur seine mx senden dürfen, der rest steht auf -all.

wenn er mir nun eine mail sendet, dann kriegt die ja erstmal mein spamdienstleister der mir diese dann übergeben möchte.
nun möchte ja mein MTA checken, ob der MTA vom dienstleister im SPF von der domäne abc.de drin ist und stellt fest, nein das ist er nicht und blockt die nun per default mit
dem smtp-fehlercode 550.

wer müsste hier was umstellen, damit ich mails empfangen kann von domäne abc.de?
das einzige was mir einfällt ist, dass der postmaster von der domäne den spf auf ~all stellen müsste, aber dass kann es ja auch nicht sein.

was wäre die lösung?

danke und lg

Content-Key: 436043

Url: https://administrator.de/contentid/436043

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: LordGurke
Lösung LordGurke 03.04.2019 aktualisiert um 21:44:16 Uhr
Goto Top
Anpassen musst du face-wink
Du musst die Mailserver deines Spamdienstleisters auf deinen Systemen whitelisten und möglichst alle Prüfungen auf deiner Seite ausschalten, die gegen die IP-Adresse des einliefernden Servers prüfen.

Ab dem Moment, wo dein Spamdienstleister alle Mails annimmt, musst du einfach darauf vertrauen, dass er seinen Job macht und Dinge wie SPF bereits geprüft sind, sobald die Mails bei dir ankommen.

Alles, was Remote-IP-Fokussiert arbeitet, wie SPF und DNSBLs sind Dinge, die nur der Front-MTA prüfen kann - und das bist du ja in dem Moment nicht mehr.
Mitglied: WinLiCLI
WinLiCLI 03.04.2019 um 21:53:48 Uhr
Goto Top
du meinst, dass wenn ich aus welchen gründen auch immer nochmal den spf checken möchte, eine ausnahme im spf-deamon einrichten muss, sodass dem davorliegenden MTA vom dienstleister immer vertraut wird?

aber ja, du hast da recht, wenn dann müsste es mein dienstleister machen und ich müsste ihm da vertrauen (nachdem ich das getestet habe)

lg
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.04.2019 aktualisiert um 07:45:30 Uhr
Goto Top
Zitat von @WinLiCLI:.

was wäre die lösung?


Daß Du Deinen Mailserver ordentlich konfugurierst, damit er die Mails von Deinem Dienstleister auch annimmt.

lks
Mitglied: WinLiCLI
WinLiCLI 04.04.2019 um 10:18:44 Uhr
Goto Top
mööp falsch.

in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.

lg
Mitglied: LordGurke
LordGurke 04.04.2019 um 13:01:35 Uhr
Goto Top
Du kannst es aber nicht ordentlich testen, weil du die IP-Adresse des einliefernden Servers nicht hast.

Du könntest basierend auf Received-Headern prüfen — aber da du nicht weißt, wie viele Hops die Mail im internen Netz des Dienstleisters zurückgelegt hat, kannst du auch nicht sicher den Header bestimmen, dem du vertraust.

Es bleibt dabei: Dein Dienstleister muss alle IP-Basierten Prüfungen machen und du darfst es nicht tun.
Mitglied: WinLiCLI
WinLiCLI 04.04.2019 um 15:13:59 Uhr
Goto Top
Ich kann ja von einem externen MTA testen. Das ist kein Problem.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.04.2019 um 15:22:31 Uhr
Goto Top
Zitat von @WinLiCLI:

mööp falsch.

in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.

Nein, Du mußt Deinen MTA konfigurieren, daß er Mails von Deinem SPAM-Dienstleister annimmt, die von einem anderen Absender kommen.

Natürlich könntest Du natürlich in deinem MTA noch einen Filter installieren, der aufgrund der Received-Header prüft, ob der SPF vom ursprünglichen Absender stimmt.

lks
Mitglied: WinLiCLI
WinLiCLI 04.04.2019 um 18:25:06 Uhr
Goto Top
Ich muss auf meinem MTA nichts konfigurieren, da er per default schon alles annimmt. Den müsste ich dann erst konfigurieren, wenn ich spf checks selbst machen möchte, was aber meiner Meinung nach mittlerweile totaler Unfug ist, da durch den MX (normalerweise) immer die Mail über meinen spamdienstleister kommen müsste.
Mitglied: LordGurke
LordGurke 04.04.2019 um 20:28:10 Uhr
Goto Top
Dann ist doch alles gut face-wink
Bleibe bei dieser Konfiguration und konfiguriere nötigenfalls Firewall-Regeln, welche nur die IP-Netze deines Dienstleisters durchlassen - damit nicht irgendwelche Bots direkt an deine IP irgendwas zuzustellen versuchen.
Aber selbst das ist optional.