Fragen zu SPF

[unins002]

Hallo,

wir haben gerade Probleme mit der Zustellung von Mails die über eine Mailingliste von einem anderen Institut geschickt werden. Und zwar landen die bei uns in der Quarantäne und werden dann nach x Tagen automatisch gelöscht.

Wenn ich die Logs richtig interpretiere, liegt das daran, dass SPF anschlägt. Weil wohl der Envelope nicht geändert wird, da steht dann sowas wie:
sender domain: unsere Domain
env-from: unsere Domain

Die Mail kommt aber ned von unserem Server weshalb SPF anschlägt, oder liege ich hier falsch? Sie wird zwar von einem unserer Mitarbeiter geschrieben, die Mailingliste selbst wird aber nicht von uns gehostet.


LG

 

[kamanu]

Das kann dann gut sein. Im SPF-Eintrag sind normalerweise eben die Server definiert, die senden dürfen. Ein externer Anbieter der Mails in eurem Namen verschickt muss da dann natürlich auch rein. Sonst passiert genau das, was du jetzt hast.

 

[DaBo87]

Genau so einen Fall hatten wir bei uns auch schon einmal. Ich arbeite in der IT für einen Krankenhausverbund und wir haben massive Probleme, externe Mails sauber zu empfangen, weil bei sehr vielen Absendern die SPF Einträge einfach unsauber sind.

Und an den Fall eines Laborverbandes, der aus unterschiedlichen Laboren (mit unterschiedlichen Maildomains) bestand, wo aber auch dauernd via Mailingliste gearbeitet wurde, kann ich mich noch gut erinnern. Letzten Endes haben wir dann eine Whitelist dafür eingerichtet, obwohl das eigentlich für niemanden sonst gemacht wird^^

 

[unins002]

Vielen Dank euch.

 

[Rickmer]

Letzten Endes haben wir dann eine Whitelist dafür eingerichtet, obwohl das eigentlich für niemanden sonst gemacht wird^^

Das wird wohl die einfachste Lösung sein - Whitelist für SPF skip für den einen Absender, der betroffen ist.

 

[unins002]

@Rickmer
Muss ich schauen ob die Sysadmins damit einverstanden sind, das sind nämlich mehrere Mailinglisten die davon betroffen sind.
Eine davon wurde schon umkonfiguriert so dass der Envelope umgeschrieben wird, aber irgendwie sind die zu blöd dafür das auch bei den anderen Mailinglisten zu machen und wollen unsere Logfiles bla bla.

 

[kamanu]

Wäre es nicht sinniger, wenn ihr eben jene Mailserver die die Mailinglisten versenden in EUREN SPF-Record mit aufnehmt? Wenn der Absender xyz@eure-domain.de ist, wäre das meiner Meinung nach der richtige Weg. Weil den SPF-Record einfach zu umgehen für @eure-domain.de würde das Prinzip ein wenig ad absurdum führen und eure eigenen Sicherheitsmaßnahmen untergraben.
Wenn ich aber jetzt irgendwas bezüglich welche Domain wohin sendet falsch verstanden habe, kannst du das getrost ignorieren

 

[unins002]

@kamanu
Ich denke nicht, damit würden wir ja anderen Servern, die gar nicht von uns sind, die Berechtigung geben, im Namen unserer Domäne zu versenden.

 

[xexex]

Ich denke nicht, damit würden wir ja anderen Servern, die gar nicht von uns sind, die Berechtigung geben, im Namen unserer Domäne zu versenden.

Genau so funktioniert SPF nun mal. Alle Server die im Namen eurer Domain Mails versenden gehören in SPF rein, deshalb sind dort auch mehrere Einträge erlaubt.

Wenn ich das aber richtig verstehe, kann das Problem auch woanders liegen. Ihr bekommt Mails die als Absender und Empfänger Adressen aus eurer Domäne haben? Da dürften einige Spamfilter sofort zuschlagen, ganz unabhängig davon was im SPF steht.

 

[unins002]

@xexex
Ja schon klar, aber der Fehler oder das Problem liegt hier nicht bei uns.
Unsere Domain hat da im Envelope nichts zu suchen, die haben die Mailingliste falsch konfiguriert.

 

[Drewkev]

Ein externer Anbieter der Mails in eurem Namen verschickt muss da dann natürlich auch rein.

Ich denke, genau das sollte eben nicht so sein.

 

[xexex]

Ich denke, genau das sollte eben nicht so sein.

Doch! Genauso muss es bei einem Mailinglisten Anbieter sein, sonst landen dessen Mails bei den Kunden im Spam

Als Beispiel muss dann SPF so konfiguriert werden.

v=spf1 include:spf.example.com include:spf.crsend.com ~all

https://www.cleverreach.com/de-de/newsletter-tool/newsletter-versenden/spf-test/

Newsletter sind sowieso schon problematisch. Wenn man den Anbieter nicht mit in den SPF Eintrag hinzufügt, braucht man gar nicht erst probieren welche zu verschicken.

 

[kamanu]

@Drewkev naja wenn es eben legitime Mails sind, dann soll der da schon rein.
Aber wenn ich @unins002 da jetzt richtig verstehe, dann soll eben NICHT deren Domain drauf stehen, dann ist es nicht relevant.

 

[unins002]

Doch! Genauso muss es bei einem Mailinglisten Anbieter sein, sonst landen dessen Mails bei den Kunden im Spam

Nein. Unsere Domain hat da nichts zu suchen.

Ihr bekommt Mails die als Absender und Empfänger Adressen aus eurer Domäne haben? Da dürften einige Spamfilter sofort zuschlagen, ganz unabhängig davon was im SPF steht.

Also. Einer unserer Mitarbeiter schickt eine Mail an eine Mailingliste die nicht von uns gehostet wird.
Der Server, auf dem diese Mailingliste liegt, lässt unsere Domain im Envelope drinnen statt diese mit seiner eigenen Domain zu ersetzen, wie es normalerweise sein sollte.
Da dieser Server aber nicht dazu berechtigt ist, eine Mail im Namen unserer Domain zu versenden, schlägt (unser) SPF an.

Könnte (zusätzlich) auch Spam sein, ich meine mich zu erinnern dass in den betroffenen Mails kein DKIM dabei war.

Aber wenn ich @unins002 da jetzt richtig verstehe, dann soll eben NICHT deren Domain drauf stehen, dann ist es nicht relevant.

So ist es.

 

[Drewkev]

Doch! Genauso muss es bei einem Mailinglisten Anbieter sein, sonst landen dessen Mails bei den Kunden im Spam

Ähm?

Eine davon wurde schon umkonfiguriert so dass der Envelope umgeschrieben wird, aber irgendwie sind die zu blöd dafür das auch bei den anderen Mailinglisten zu machen und wollen unsere Logfiles bla bla.

Würde irgendwie wenig Sinn machen wenn die jetzt den anderen Server in SPF eintragen, obwohl die sonst mit dem Server überhaupt nichts zu tun haben.

Edit:
Ich denke hier fehlt SRS

 

[xexex]

Nein. Unsere Domain hat da nichts zu suchen.

Nochmal! Es ist EUER SPF Eintrag. Man trägt im SPF Eintrag nicht die Domains ein, sondern die entsprechenden Mailserver, die das Recht haben sollen in deren Namen Mails zu verschicken.

Der Server, auf dem diese Mailingliste liegt, lässt unsere Domain im Envelope drinnen statt diese mit seiner eigenen Domain zu ersetzen, wie es normalerweise sein sollte.

Dann habe ich dich in der Tat falsch verstanden. Für mich trotzdem seltsam, dass ihr eure Mailinglisten dann mit einer fremden Adresse verschicken wollt.

Wenn ich eine Mailingliste von einer Adresse wie "newsletter@mailrobot.com" kriegen würde, würde die bei mir direkt im Spam landen und das wird auch ähnlich zumindest bei allen aussehen die Whitelisten pflegen.

 

[unins002]

Für mich trotzdem seltsam, dass ihr eure Mailinglisten dann mit einer fremden Adresse verschicken wollt.

Das ist nicht unsere Mailingliste, das ist es ja.

Die wird von jemand anderen gehostet und diese Mailingliste lässt die Domäne des ursprünglichen Absenders drin.

 

[Bob.Dig]

Dreht sich im Kreis. 😵‍💫
Aber es wurde wohl alles gesagt, nur noch nicht von jedem. 😉

 

[unins002]

@Bob.Dig
Kannst du auch was sinnvolles dazu beitragen?

 

[Bob.Dig]

Kannst du auch was sinnvolles dazu beitragen?

Nein, denn Du kennst ja längst den Grund, warum das ganze Probleme macht, schon seit dem Startpost.