Netcup DNS: SPF Eintrag für Mailversand aus Wordpress Instanz

    Guten Tag zusammen,


    der Support kann mir anscheinend nicht weiterhelfen, weil der nur die Default DNS Einträge versendet und keine spezifische Hilfestellung, deshalb frage ich mal hier nach - vielleicht hat ja einer eine Idee:


    Wir nutzen MS365 Exchange Online für den normalen Mailversand - DKIM, DMARC, SPF funktioniert alles.

    SPF für den Versand aus dem Netcup Mailer (include:_spf.webhosting.systems) ist gesetzt.

    Mails die über unsere Netcup Wordpress-Instanz versendet werden (Newsletter Plugin z.B.), kommen aber von einer IP die NICHT auf die webhosting.systems auflöst - sondern auf yourmailgateway.de

    Füge ich dafür einen include hinzu, kommt dafür nur ein Fehler...


    Hat jemand eine Idee, wie man dafür einen funktionierenden SPF bekommt?

    Vielen Dank vorab!

    Über welches Gateway genau gehen die Mails? Ich habe gerademal nachgeschaut, "_spf.webhosting.systems" enthält z.B.auch die IP von.

    Code
    relay.yourmailgateway.de [185.244.194.184]
    Quote from tab

    Über welches Gateway genau gehen die Mails? Ich habe gerademal nachgeschaut, "_spf.webhosting.systems" enthält z.B.auch die IP von.

    Code
    relay.yourmailgateway.de [185.244.194.184]

    Hei, mir wird die 188.68.63.166 in den Mail-Reports angezeigt.

    Quote from Zierleiste

    Daran dürfte es dann nicht liegen, denn die von Dir genannte IP-Adresse liegt im Bereich ip4:188.68.63.160/28, der in dem von Dir verwendeten SPF-Record enthalten ist.

    Zeige doch mal deinen gesamten TXT-Eintrag für SPF, in deiner Angabe aus #1 vermisse ich den all-Mechanismus (siehe auch http://www.open-spf.org/SPF_Record_Syntax/).

    Das war ja nur die Stelle für Netcup, der gesamte Eintrag ist natürlich länger - sonst würde Exchange Online ja auch fehlschlagen.

    v=spf1 include:spf.protection.outlook.com include:_spf.webhosting.systems -all

    Und aktuell aus Testzwecken noch den "include:_spf.yourmailgateway.de" vor dem -all (den mit und ohne Subdomain etc. schon getestet, in allen Varianten kommt ein "A null DNS lookup was found for include (_spf.yourmailgateway.de)" raus.)

    Die Subdomäne _spf.yourmailgateway.de gibt es doch gar nicht?

    Hier noch eine kurze Analyse, die zeigt, dass die von Dir genannte IP-Adresse 188.68.63.166 im SPF-Record enthalten ist:

    Code
    dig txt _spf.webhosting.systems
_spf.webhosting.systems. 166	IN	TXT	"v=spf1 include:_spf_v4.webhosting.systems include:_spf_v6.webhosting.systems ~all"


dig txt _spf_v4.webhosting.systems
_spf_v4.webhosting.systems. 133	IN	TXT	"v=spf1 ip4:46.38.249.0/25 ip4:188.68.47.0/24 ip4:94.16.123.254 ip4:194.59.204.53 ip4:185.244.192.112 ip4:185.244.192.111 ip4:185.244.194.184 ip4:188.68.63.160/28 ip4:46.38.247.112/28 ip4:188.68.61.96/27 ip4:188.68.63.96/27 ip4:194.59.204.23 ip4:194.59.206" ".189 ip4:194.59.207.99 ip4:185.244.195.67 ip4:94.16.17.240/28 ~all"
    Quote from Zierleiste

    Die Subdomäne _spf.yourmailgateway.de gibt es doch gar nicht?

    Ja, das ist mir auch klar, deshalb kommt ja der NULL Fehler. Damit habe ich ja auch nur jetzt versucht herumzuspielen, wie extra benannt, weil der SPF Check der Mails die über die genannte 188.68.63.166 rausgehen, laut Reports fehlschlägt.
    Siehe z.B.:


    <record>

    <row>
    <source_ip>188.68.63.166</source_ip>
    <count>1</count>
    <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>

    </policy_evaluated>

    </row>

    <identifiers>
    <header_from>dreamed-it.de</header_from>

    </identifiers>

    <auth_results>
    <dkim>
    <domain>dreamed-it.de</domain>
    <result>pass</result>
    <selector>key2</selector>

    </dkim>

    <spf>
    <domain>dreamed-it.de</domain>
    <result>fail</result>

    </spf>

    </auth_results>

    </record>

    Das kann ich Dir jetzt auch nicht sagen, merkwürdig. Versuche doch mal, die IP-Adresse als ip4:188.68.63.166 direkt bei deinem SPF-Record mit aufzunehmen, vielleicht schaut Google nicht tief genug in die SPF-Records rein.

    Quote from Zierleiste

    Das kann ich Dir jetzt auch nicht sagen, merkwürdig. Versuche doch mal, die IP-Adresse als ip4:188.68.63.166 direkt bei deinem SPF-Record mit aufzunehmen, vielleicht schaut Google nicht tief genug in die SPF-Records rein.

    Das versuch ich jetzt mal und lass es damit laufen, danke.

    Quote from Zierleiste

    Das kann ich Dir jetzt auch nicht sagen, merkwürdig. Versuche doch mal, die IP-Adresse als ip4:188.68.63.166 direkt bei deinem SPF-Record mit aufzunehmen, vielleicht schaut Google nicht tief genug in die SPF-Records rein.

    Das scheint mir jedenfalls ein guter Ansatz zur Analyse des Problems zu sein. Die IP - wenn es denn immer die selbe ist - vor die includes setzen und schauen ob sie dann als berechtigt azeptiert wird. Ich bin mir jetzt nicht sicher, welche Einschränkungen SPF im Einzelnen hat. Also wie tief ein auswertendes Programm zwingend zu suchen hat und wieviele DNS-Abfragen zur Auswertung des SPF-Records zwingend zu machen sind.


    Mit MS hatte ich ein Problem damit, dass MS den Timeout für die DNS-Abfragen sehr niedrig setzt. Gleichzeitig wird die Abfrage wohl auch noch aus den USA gemacht, was die Sache nicht gerade beschleunigt. Bei einem hohen Prozentsatz der Mails stand dann im Report auch ein fail drin. Allerdings stand im MS-Report dann unten bei den AUTH_RESULTS nicht ebenso "fail", sondern "temperr". Wie Google das handhabt weiss ich nicht mehr, da kam das auch sehr selten oder gar nicht vor. Eventuell bleiben die dann auch einfach beim "fail".


    Damals (tm) wurde die Mail über die grüne Mailbox aus Berlin verschickt - mit dem entsprechenden include im SPF Text-Record. Das hat dann wohl bei der Abfrage gelegentlich zu lange gedauert. Seit die Mail wieder direkt vom Mailserver des Webhosting-Pakets verschickt wird kommt das nicht mehr vor. Das war nur ein include, du hast zwei.

    Bei mir lehnt Google auch oft Mails von einem Absender ab, weil angeblich die IP6 des Sendeservers nicht im SPF steht.

    Sie steht aber definitiv im Include für diese Domain. Und andere Domains können mit diesem Include auch erfolgreich einliefern...

    Anfangs hab ich noch gesucht. Mittlerweile antworte ich nurnoch mit einem Schulterzuckenden "Google halt"...