PTR record setup / Emails bouncen

  • Hallo Netcup Community,


    ich hatte gedacht, dass mein letzter Foren-Eintrag, dank eurer Hilfe, das Problem gelöst hätte.

    Leider bouncen wieder einige E-Mails und ich meine, dass die Server PTR records diesmal stimmen.


    Kleine Anmerkung noch: Der PTR für core10.deb-host.de kann problemlos gefunden werden.

    Jedoch nicht für die Domain über die der E-Mail Verkehr in dem Fall läuft.


    Gelesen habe ich bereits diese Threads:

    #1 https://forum.netcup.de/admini…C3%BCr-mehrere-hostnames/


    Habt ihr noch Ideen was ich prüfen könnte?

    Oder soll ich einfach mehr IP Adressen anlegen und die eindeutig den Domains zuordnen?

    pasted-from-clipboard.png

  • Nicht ganz. Dein eigener blog ist zwar nett zu lesen, aber lass uns mal auf Primärquellen konzentrieren: https://blog.google/products/g…tication-spam-protection/

    So wie ich das verstehe, gilt das nur für Massensender und es wird auch SPF oder DKIM gefodert...

    Aber egal, hier ist das sowieso nicht das Problem. Aus deinem Logauszug MarcoL geht hervor:

    Dein Server heißt core10.deb-host.de und du sendest über 45.132.244.21 sowie 2a03:4000:48:29b:e86a:4dff:fe60:ac2f. Beide Adressen müssen vorwärts und rückwärts auflösen. In dem Log sieht man, dass du per IPv6 gesendet hast. Du müsstest also folgende Einträge haben:

    2a03:4000:48:29b:e86a:4dff:fe60:ac2f PTR core10.deb-host.de

    core10.deb-host.de AAAA 2a03:4000:48:29b:e86a:4dff:fe60:ac2f

    PTR hast du, AAAA Record fehlt. Bitte gern geschehen :P

  • Tja den "Alles anzeigen" Button habe ich wohl übersehen :) da steht ja dann auch drin das der PTR Record fehlt.
    Nix für ungut ich würde trotzdem gleich mal den SPF und DKIM Eintrag checken. Schaden kann's nicht!

  • Ja das sehe ich genau so, DKIM ist auf jeden Fall sinnvoll. Es würde mich sehr interessieren, ob Google die neuen Richtlinien jetzt nur für Massensender vorgibt oder für alle. Und es würde mich interessieren, ob sie DKIM und SPF voraussetzen oder ob eine der beiden Techniken reicht. Aber ich habe das Gefühl, wenn man 3 Quellen liest bekommt man dazu 4 Meinungen :/;)

    Edited once, last by marpri: typo "DKIM ich" zu "DKIM ist" geändert ().

  • Ja das sehe ich genau so, DKIM ich auf jeden Fall sinnvoll. Es würde mich sehr interessieren, ob Google die neuen Richtlinien jetzt nur für Massensender vorgibt oder für alle. Und es würde mich interessieren, ob sie DKIM und SPF voraussetzen oder ob eine der beiden Techniken reicht. Aber ich habe das Gefühl, wenn man 3 Quellen liest bekommt man dazu 4 Meinungen :/;)

    https://support.google.com/a/answer/81126?hl=de#zippy=%2Canforderungen-an-alle-absender


    Also, als "normaler" Absender (weniger als 5.000 Mails pro Tag an gmail Adressen) zumindest SPF oder DKIM (natürlich gern auch beides)

    Als Massenversender (5000 Mails und mehr pro Tag an gmail Adressen) SPF und DKIM

  • Ja das sehe ich genau so, DKIM ist auf jeden Fall sinnvoll. Es würde mich sehr interessieren, ob Google die neuen Richtlinien jetzt nur für Massensender vorgibt oder für alle. Und es würde mich interessieren, ob sie DKIM und SPF voraussetzen oder ob eine der beiden Techniken reicht. Aber ich habe das Gefühl, wenn man 3 Quellen liest bekommt man dazu 4 Meinungen :/;)

    Das kannst Du ganz einfach selbst testen, brauchst nur von einem Mail-Account der weder DKIM oder SPF eingerichtet hat ein Mail an eine gmail Adresse schicken. Ziemlich sicher wird sie von Google geblockt, auch Mails die nicht von Massenversendern kommen.

  • Das kannst Du ganz einfach selbst testen, brauchst nur von einem Mail-Account der weder DKIM oder SPF eingerichtet hat ein Mail an eine gmail Adresse schicken. Ziemlich sicher wird sie von Google geblockt, auch Mails die nicht von Massenversendern kommen.

    Damit beweist er dann nur, dass es ohne SPF oder DKIM nicht mehr funktioniert. Wenn das nach der Änderung bei Google noch funktionieren würde, dann wäre jeder Buchstabe zu dem Thema Ressourcenverschwendung. Das hieße ja dann: Schick deine Mails wie immer du willst, wir lassen alles durch. Eine Ankündigung, wie sie seitens Google gemacht wurde, würde es dafür wohl nicht brauchen.


    Die Frage war aber, ob es beides braucht oder ob eins davon reicht. Also müsste man hier testen mit einem Account mit nur SPF und einem Account mit nur DKIM. Oder um alles zu verifizieren am besten mit allen Kombinationen, also keins von beiden, SPF, DKIM, SPF+DKIM.

  • Über IPv6 ist es, für den Mailaustausch mit Google gehosteten Domains, schon lange Pflicht SPF und DKIM zu unterstützten. Nut bei Legacy-IPv4 wurde das noch eine zeitlang gedulded. Jetzt isses auch bei Legacy-IPv4 Pflicht. Das ist auch nicht nur bei Google so, sondern generell bei sehr vielen Mailservern. Das ist also weder neu, noch kommt es überraschend, sondern gehört zum Betrieb eines modernen Mailsystems schlicht und ergreifend dazu. Grundsätzlich gehören eine vollständige DMARC Policy sowie geroutete RFC2142 Adressen ebenso zu den Minimalanforderungen.


    An sich sollten, meiner Ansicht nach, Domains die kein sinnvolles* SPF setzen und DKIM unterstützen, generell einen Null MX Record setzen und keine Emails mehr senden.


    ---


    *) Ein sinnvoller SPF Record muß -all enthalten.

    †) A "Null MX" No Service Resource Record for Domains That Accept No Mail

    - MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS

  • Der Standardvorschlag von netcup bei einer Externen Domain für den SPF ist [tt]~all{tt] also SoftFail, was ja heißt, lehne die E-Mail nicht ab, aber markiere sie. Ich wäre da vermutlich auch härter, habe es aber noch nicht ausprobiert, ob das der Kunde selber entscheiden darf.

    Wenn ich den Beitragsfaden noch ein bisschen stören dürfte ... welche der common services, roles und functions würde man dann einem netcup Webhosting Kunden empfehlen? (oder soll ich dafür einen extra Beitrag irgendwo hinpacken?)

    Ich erstelle meistens nur webmaster und postmaster ...


    Code
    POSTMASTER     SMTP  --> relevant, weil ja auch die Absicherung der SMTP Konten im Kundeninteresse ist
    HOSTMASTER     DNS   --> ist das relevant, wenn ein Webhosting Kunde nichts zum netcup Standard anpasst?
    USENET         NNTP  --> nicht relevant
    NEWS           NNTP  --> nicht relevant, da Dienst nicht angeboten
    WEBMASTER      HTTP  --> relevant, weil ja vermutlich die Webseite zu 100 % im Kunden
    FTP            FTP   --> nicht relevant


    Weil ich den Beitragsfaden nicht weiter stören möchte, ergänze ich den Schmu hier noch:
    Zur Sicherheit vor der gender police werde ich in Zukunft also auch webmistress und postmistress anlegen, um zumindest die erste Welle des Shitstorms mit etwas warmen Schmunzeln über mich hereinbrechen zu sehen. Dem Meister master möchte ich das nicht antun ...

    Der Kunde ist Herr über den DNS bei einem externen Anbieter und netcup prüft aber bestimmte Werte vor der Aufschaltung der Externen Domain. (Kann aber sein, dass hier nicht auf dem Detail-Level geprüft wird und nur die wichtigsten A und MS Pointer.)

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Edited once, last by Copro: Schmu ergänzt, weil die Woche eh fast schon rum ist ... ().

  • Ich muss grad arg lachen – die letzte Mail an einen Postmaster habe ich im letzten Jahrhundert verschickt und auch damals schon keine Antwort bekommen. ;(


    Übrigens kann das sehr gefährlich werden, wenn euch die Genderisten erwischen, wie ihr hier an irgendwelche Master Mails verschicken wollt.

    So schnell könnt ihr gar nicht auf woke-nonbinäre Code of Conducks schwören…


    ob das der Kunde selber entscheiden darf.

    Der Kunde, sofern in Gewalt über DNS, darf natürlich selbst entscheiden, ob ~all oder -all.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    Edited 2 times, last by Olivetti ().

    Like 1