SPF-Fail bei den Status-Mails / Migration in die eue Webhosting-Cloud

  • Hallo zusammen,


    ich habe gestern bei einer von mir betreuten Seite die Migration des Webhostingpakets in die neue Webhosting-Cloud durchgeführt.

    Die Emails von Netcup sind alle in meinem Spamfilter gelandet, weil Netcup scheinbar SPF nicht richtig konfiguriert hat.


    spf=fail (mail.empfaenger.de: domain of mail@netcup.de does not designate 94.16.123.254 as permitted sender) smtp.mailfrom=mail@netcup.de


    Hier sollte Netcup glaub nochmals schauen...

  • Guten Abend,



    es liegt hier kein Fehler mit unserem SPF-Record vor:


    Die Mail wird von dem System smtp.netcup.net versendet. Dieses ist gemäß SPF-Record von netcup.de berechtigt, Mails im Namen von netcup.de zu versenden:

    Code
    1. $ dig netcup.de TXT +short
    2. "v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip6:2a03:4000:0:1::e1aa mx -all"

    (Beachten Sie hier den Eintrag "mx", welcher alle MX-Records der Domain netcup.de berechtigt, darunter auch smtp.netcup.net:)

    Code
    1. $ dig netcup.de MX +short
    2. 10 smtp.netcup.net.
    3. 20 backupmx-fra1.netcup.net.


    Im Verlauf der E-Mail-Zustellung findet eine Weiterleitung statt, dies ist aus dem Header zu erkennen:

    Code
    1. Received: from forward-relay.netcup.net (forward-relay.netcup.net [94.16.123.254])
    2. (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
    3. (No client certificate requested)
    4. by mail.empfaenger.de (Postcow) with ESMTPS id 110C57F1A0
    5. for <mail@empfaenger.de>; Sun, 14 Jul 2019 14:50:31 +0200 (CEST)

    Es ist ein gängiges Problem bei Weiterleitungen, dass die Absenderadresse (hier "@netcup.de") bestehen bleibt, sich dabei aber die IP-Adresse des versendenden E-Mail-Servers ändert. Daraus resultiert, dass der weiterleitende Server nicht vom SPF-Record von netcup.de autorisiert ist. für die Domain Nachrichten zu versenden. Dies ist aber nicht auf einen falschen SPF-Record zurückzuführen, sondern auf die durchgeführte Weiterleitung. Wie erläutert, ist dies ein Problem, dass bei jeglichem Absender und auch Empfänger, vorausgesetzt, dieser führt eine Weiterleitung durch, auftreten kann.


    Da erkennbar ist, dass die Weiterleitung mit unseren Produkten durchgeführt wird, sei darauf hingewiesen, dass wir explizit empfehlen, eine externe E-Mail-Adresse für Ihr Kundenkonto bei uns zu verwenden. Wir versenden via E-Mail auch Benachrichtigungen über Ausfälle. Diese könnten Sie ansonsten im Zweifel nicht empfangen. Auch könnten Sie unter Umständen nur erschwert unseren Support kontaktieren, da dies aus Datenschutzgründen nur von der hinterlegten Kontakt-E-Mail-Adresse geschehen sollte.

  • Lars hat prinzipiell schon recht, aber man könnte solche Probleme bei Weiterleitungen auch etwas entschärfen: https://de.wikipedia.org/wiki/Sender_Rewriting_Scheme


    Ist zwar auch keine perfekte Lösung, aber immer noch besser als völlig ohne SRS weiterzuleiten. Meiner Ansicht nach sind externe Weiterleitungen sowieso Broken by Design und sollten, wenn möglich, immer vermieden werden. Ein automatischer Mailabruf über POP3/IMAP alle paar Minuten funktioniert da wesentlich sorgenfreier, das bieten leider nicht alle Systeme an, je nachdem bei welchem Ziel man die Mails empfangen möchte.


    Julian137 Für Dich ist allerdings dieser Teil von Bedeutung:

    Da erkennbar ist, dass die Weiterleitung mit unseren Produkten durchgeführt wird, sei darauf hingewiesen, dass wir explizit empfehlen, eine externe E-Mail-Adresse für Ihr Kundenkonto bei uns zu verwenden. Wir versenden via E-Mail auch Benachrichtigungen über Ausfälle. Diese könnten Sie ansonsten im Zweifel nicht empfangen. Auch könnten Sie unter Umständen nur erschwert unseren Support kontaktieren, da dies aus Datenschutzgründen nur von der hinterlegten Kontakt-E-Mail-Adresse geschehen sollte.