Moin ich bräuchte eure Hilfe, ich habe meine Mails zu Exchange 365 migriert. Ich hab allerdings ein Wordpresssystem, welches Mails verschicken soll. In der Domäne hab ich einen SPF Eintrag gesetzt über ip4:<IPADRESSEzumWordpressSystem> a:hostnamevomserver Reverse DNS Lookup funktioniert. nslookup gibt hostname und ping auf hostname ergibt IP Adresse von oben. Leider lehnt gmx meine Mails ab mit folgender Fehlermeldung: Nemesis ESMTP Service not available 554-No SMTP service 554-Bad DNS PTR resource record Muss ich noch mehr Einträge am DNS vornehmen, damit GMX meine Mails annimmt? Danke und VG, ein verzweifelter webman
Beitrag #6615288 wurde vom Autor gelöscht.
Mal ein Schuss ins blaue... neuermailhampel schrieb: > 554-No SMTP service Läuft auf dem Server von dem du senden willst ein SMTP-Server? > 554-Bad DNS PTR resource record Was gibt dein Server bei helo an? Passt das zum DNS?
Sorry, wichtige Info vergessen.
Es läuft Postfix als MTA ohne Relayhost.
>Was gibt dein Server bei helo an? Passt das zum DNS?
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
myhostname = xxx.de
neuermailhampel schrieb: > Reverse DNS Lookup funktioniert. nslookup gibt hostname und ping auf > hostname ergibt IP Adresse von oben. Wichtig ist, dass auch die umgekehrte Richtung funktioniert. Also 1.2.3.4 -> mail.domain.com (PTR) und mail.domain.com -> 1.2.3.4 (A).
Vergiss meinen Einwand, hast Du ja mit dem Ping indirekt getestet. Vermutlich eim Caching-Problem, also abwarten.
yesitsme schrieb: > Und die IPs von Server werden auf xxx.de aufgelöst? Jop ping und nslookup ergeben das selbe ergebnis
neuermailhampel schrieb: > Jop ping und nslookup ergeben das selbe ergebnis aber du hast nur nslookup/ping <hostname> getestet, nicht die umgekehrte Richtung? Hmmm schrieb: > Wichtig ist, dass auch die umgekehrte Richtung funktioniert. > > Also 1.2.3.4 -> mail.domain.com (PTR) und mail.domain.com -> 1.2.3.4 > (A). z.B.
1 | > getent hosts 193.99.144.80 |
2 | 193.99.144.80 redirector.heise.de |
3 | |
4 | > nslookup 193.99.144.80 |
5 | 80.144.99.193.in-addr.arpa name = redirector.heise.de. |
Wenn das bei dir einen anderen Hostnamen ergibt (z.B. vhost-1234abc.frankfurt12.subdomain.von.massenhoster.de ), dann sollte der Name exakt so in den SPF.
:
Bearbeitet durch User
Εrnst B. schrieb: > dann sollte der Name exakt so in den SPF. Dort würde ich immer IP-Adressen (ip4:*) verwenden. Aber die Ablehnung lag ja ohnehin am Reverse Mapping, da ist bei korrekten RRs eher Caching der Grund - insbesondere wenn schon vor der Änderung getestet wurde.
Εrnst B. schrieb: > neuermailhampel schrieb: >> Jop ping und nslookup ergeben das selbe ergebnis > > aber du hast nur nslookup/ping <hostname> getestet, nicht die umgekehrte > Richtung? > > Hmmm schrieb: >> Wichtig ist, dass auch die umgekehrte Richtung funktioniert. >> >> Also 1.2.3.4 -> mail.domain.com (PTR) und mail.domain.com -> 1.2.3.4 >> (A). > > z.B.> getent hosts 193.99.144.80 > 193.99.144.80 redirector.heise.de >> nslookup 193.99.144.80 > 80.144.99.193.in-addr.arpa name = redirector.heise.de. > > Wenn das bei dir einen anderen Hostnamen ergibt (z.B. > vhost-1234abc.frankfurt12.subdomain.von.massenhoster.de ), dann sollte > der Name exakt so in den SPF. :~# nslookup 81.***.***.*** ***.***.***.**.in-addr.arpa name = xyz.blalbalba.de. Authoritative answers can be found from: :~# getent hosts 81.***.***.*** 81.***.***.*** xyz.blalbalba.de xyz Dürfte also passen
Kompletter SPF Eintrag: v=spf1 ip4:81.***.***.*** a:xyz.blalbalba.de include:spf.protection.outlook.com -all Seht ihr hier einen Fehler?
neuermailhampel schrieb: > Seht ihr hier einen Fehler? der SPF schaut schon richtig aus, aber GMX weist die Mails nicht wegen des SPFs ab (dafür haben die eigene Fehlercodes) und für den PTR record unterscheiden sie noch zwischen "BAD" und "INVALID". https://postmaster.gmx.net/en/error-messages danach: SPF in Ordnung oder noch nicht geprüft, PTR record existiert, aber entspricht nicht den GMX-Anforderungen.
Εrnst B. schrieb: > neuermailhampel schrieb: >> Seht ihr hier einen Fehler? > > der SPF schaut schon richtig aus, aber GMX weist die Mails nicht wegen > des SPFs ab (dafür haben die eigene Fehlercodes) > > und für den PTR record unterscheiden sie noch zwischen "BAD" und > "INVALID". > > https://postmaster.gmx.net/en/error-messages > > danach: > SPF in Ordnung oder noch nicht geprüft, PTR record existiert, aber > entspricht nicht den GMX-Anforderungen. Hm, aber wie kann das sein? Ich habe halt keinen MX Record gesetzt für den Server der nur in dem Namen senden darf, prüft GMX hier evtl. falsch? Mailversand über Exchange 365 funktioniert auch an GMX nur eben nicht über diesen einen Standaloneserver. Wenn ich die Domäne überprüfe auf https://intodns.com/ passiert folgendes: Bei Reverse MX A records (PTR) stehen nur die Outlook365 Adressen drin. Aber das sind ja auch MX Records, also wo jemand anderes die Mails an die Domäne loswerden kann. Oder muss ich hier auch noch Einträge setzen?
neuermailhampel schrieb: > Hm, aber wie kann das sein? Ich habe halt keinen MX Record gesetzt für > den Server der nur in dem Namen senden darf, prüft GMX hier evtl. > falsch? Zum einen hättest Du Google anwerfen und das hier finden können: https://postmaster.gmx.net/de/fehlermeldungen Zum anderen habe ich Dir schon 2x gesagt: Hmmm schrieb: > Vermutlich eim Caching-Problem, also abwarten. Wenn bei denen eine alte Version des PTR- oder A-Records im Cache liegt, dauert es bis zum Ablauf der TTL, bis dahin verwenden sie die RRs im Cache.
Falls jemand auch das Problem Mal haben sollte. Problem wurde gelöst und das Problem war, dass der Reverse DNS nicht den Namen der Domäne hatte. IP und Reverese DNS passten zwar zusammen hatten aber der DNS hieß xxx.irgendeinhoster.de Nach dem ich xxx.irgendeinhoster.de auf xxx.meinedomaine.de umgestellt habe und anschließend den hostname in der main.cf geändert hatte funktionierte es nach ca 1-2h.
s3typ schrieb: > Problem wurde gelöst und das Problem war, dass der Reverse DNS nicht den > Namen der Domäne hatte. Nein, das war NICHT das Problem. Ansonsten bräuchten Mailserver, die Mails für mehr als eine Domain relayen, viele IP-Adressen. s3typ schrieb: > IP und Reverese DNS passten zwar zusammen hatten aber der DNS hieß > xxx.irgendeinhoster.de DAS war das Problem. Wird von GMX auch explizit mit aufgeführt: "Bei dem PTR-RR handelt sich um den generischen Standard-Eintrag Ihres Providers." Wenn Du nicht sinnentstellend den FQDN anonymisiert hättest, wäre das auch aufgefallen. FQDNs wie "xxx-xxx-xxx-xxx.toller-wolkenserver.domain.com" werden hãufig abgelehnt, das sind grösstenteils Spamschleudern und ab und zu ahnungslose Admins.
> FQDNs wie "xxx-xxx-xxx-xxx.toller-wolkenserver.domain.com" werden hãufig > abgelehnt, das sind grösstenteils Spamschleudern und ab und zu > ahnungslose Admins. Danke für den Hinweis. Habe ich so explizit tatsächlich nirgends gelesen. Aber um so schöner, wenn du das noch kurz richtigstellst.
Hmmm schrieb: > FQDNs wie "xxx-xxx-xxx-xxx.toller-wolkenserver.domain.com" werden hãufig > abgelehnt, das sind grösstenteils Spamschleudern und ab und zu > ahnungslose Admins. Oder man hat einen ISP, der einen des nicht ohne massive Mehrkosten / Business Vertrag ändern lässt, obwohl man bereits für die statische IP bezahlt. Ist aber nur bei AOL und GMX ein Problem, Outlook, Hotmail, Gmail, etc. nehmen die Mails trotzdem an. Und wer nutzt schon GMX oder AOL? Meiner Meinung nach sollte man reverse DNS (in-addr.arpa und ip6.arpa) für öffentliche IPs einfach ganz abschaffen. Was kann es denn garantieren, was ein normaler DNS lookup und/oder SPF nicht können? Alles, was der Scheiss bringt, ist eine unnötige Abhängigkeit vom ISP, mit dem die dann noch mehr Geld aus Leuten wie mir Rausquetschen wollen! SPF, DKIM, DMARC, DANE, CAA & LE, etc., mach ich alles, aber für reverse DNS extra Zahlen? Da hört der Spass auf!
Daniel A. schrieb: > Oder man hat einen ISP, der einen des nicht ohne massive Mehrkosten / > Business Vertrag ändern lässt, obwohl man bereits für die statische IP > bezahlt. Kennst Du ein Beispiel dafür? Selbst die sonst eher unflexible Telekom bietet das ohne Mehrkosten an. Daniel A. schrieb: > Ist aber nur bei AOL und GMX ein Problem, Outlook, Hotmail, > Gmail, etc. nehmen die Mails trotzdem an. Und wer nutzt schon GMX oder > AOL? Damit vergisst Du die zahlreichen Mailserver von Unternehmen, die ebenfalls rigoros filtern. Daniel A. schrieb: > Meiner Meinung nach sollte man reverse DNS (in-addr.arpa und ip6.arpa) > für öffentliche IPs einfach ganz abschaffen. Weil Dein Provider zuviel Geld für ein vernünftiges Reverse Mapping will, sollte man es abschaffen? Sollte man auch Sportwagen abschaffen, weil Du sie zu teuer findest? Daniel A. schrieb: > Alles, was der Scheiss bringt, ist eine unnötige Abhängigkeit vom ISP, > mit dem die dann noch mehr Geld aus Leuten wie mir Rausquetschen wollen! Man merkt, dass Du mit der Praxis nicht viel am Hut hast. Ich habe gerade mal Mailserver-Logs analysiert, rund 75-85% der Ablehnungen im SMTP-Handshake wurden durch kaputte oder generische Reverse Mappings verursacht.
Hmmm schrieb: > Daniel A. schrieb: >> Oder man hat einen ISP, der einen des nicht ohne massive Mehrkosten / >> Business Vertrag ändern lässt, obwohl man bereits für die statische IP >> bezahlt. > > Kennst Du ein Beispiel dafür? Selbst die sonst eher unflexible Telekom > bietet das ohne Mehrkosten an. Quickline, Schweiz. Zumindest letztes mal, als ich nachgesehen und nachgefragt habe, aber das ist schon wieder ein Jahr oder so her. Hmmm schrieb: > Daniel A. schrieb: >> Alles, was der Scheiss bringt, ist eine unnötige Abhängigkeit vom ISP, >> mit dem die dann noch mehr Geld aus Leuten wie mir Rausquetschen wollen! > > Man merkt, dass Du mit der Praxis nicht viel am Hut hast. Ich habe > gerade mal Mailserver-Logs analysiert, rund 75-85% der Ablehnungen im > SMTP-Handshake wurden durch kaputte oder generische Reverse Mappings > verursacht. Würde man die gültigen IPs der DNS auflisten, statt die gültigen Domains in der reverse DNS, in wie fern würde das dann nicht den selben Effekt erzielen? Die Grösse beider Sets ist gleich, aber eines davon ist garantiert unter meiner Kontrolle. Oder alternativ, einfach mal +all und ~all in SPF verbieten, und -all am Ende annehmen, und schwups, schon sollte man fast den selben Effekt haben, und niemand müsste gross etwas am DNS ändern! Nur, weil reverse DNS Checks historisch eingesetzt wurden, und bei Mailservern die diese nutzen zuerst kommen, heisst das nicht, dass das der einzige Weg ist, und solche Dinge nicht auch auf anderen Wegen genauso effektiv abgefangen werden können.
Daniel A. schrieb: > Würde man die gültigen IPs der DNS auflisten, statt die gültigen Domains > in der reverse DNS, in wie fern würde das dann nicht den selben Effekt > erzielen? Ich rede nicht von SPF. In der Praxis haben Spammer sehr häufig gar keine, ungültige oder generische Reverse Mappings. Das liegt natürlich teilweise nur an deren Faulheit und könnte behoben werden, sehr oft liegt es aber daran, dass sie Botnets einsetzen. Und auf die Reverse Mappings der Botnet-"Teilnehmer" haben sie nunmal keinen Einfluss - ganz im Gegensatz übrigens zu den SPF-Records ihrer Absender-Domains, die sie passend setzen können, um die missbrauchten Systeme zu zulässigen Absendern zu machen.
Daniel A. schrieb: > Würde man die gültigen IPs der DNS auflisten, statt die gültigen Domains > in der reverse DNS, in wie fern würde das dann nicht den selben Effekt > erzielen? > Die Grösse beider Sets ist gleich, aber eines davon ist garantiert unter > meiner Kontrolle. Eben. Genau das ist der Grund. Man will eben die Ressource prüfen, die originär nicht unter deiner Kontrolle steht, sondern für die der Provider die Kontrolle evtl. an dich delegiert. Genau das erhöht nämlich den Aufwand für Mißbrauch deutlich. Eine Domain holen und behaupten, dass man eine bestimmte IP-Adresse habe, ist leicht. Die Gegenrichtung ist dagegen dem Inhaber des Adressblocks zugeordnet und erlaubt damit die Konsistenzprüfung, ob die IP-Adresse wirklich jener Subdomain zugewiesen wurde.
Nur leider kann ich rein gar nichts ausrichten, wenn der Provider das nicht machen will. Ehrlich gesagt, ist mir ziemlich egal, wie effektiv die Maßnahme ist. Wenn diese die legitime Nutzung durch Privatpersonen verhindert, auch wenn es nicht in allen Fällen ist oder man es mit mehr kossten doch noch könnte, dann ist diese Messnahme schlicht fehlerhaft, und gehört abgeschafft. Sie soll zwar prüfen, welche Domains wirklich zur IP gehören, aber sie prüft effektiv nur, ob man einen gutmütigen ISP hat.
Daniel A. schrieb: > Nur leider kann ich rein gar nichts ausrichten, wenn der Provider das > nicht machen will. Doch, den Provider wechseln. Falls Du keinen findest, der Dir ein Business-Produkt zum Privatkundenpreis anbieten will, wird das wohl seine Gründe haben - z.B. dass die teuren Geschäftskundenprodukte dafür sorgen, dass die Privatkundenprodukte so billig sind. Daniel A. schrieb: > Wenn diese die legitime Nutzung durch Privatpersonen > verhindert Ein Privatkundenzugang ist nicht dafür gedacht, Server aufzusetzen, oft wird das sogar explizit in den AGB untersagt. Für den Mailversand stellt der Provider (oder der Mail-Anbieter) üblicherweise ein Relay bereit.
Ich bin nun mal keine Firma, und Homeserver sind nun wirklich kein neues Konzept. Das Internet war nie so gedacht, das nur Firmen Internetservices betreiben können. Das alle Internetnutzer gleichberechtigt sind, war immer die Idee hinter diesem globalen Netzwerk (auch wenn sich mit der Zeit gewandelt hat, wer alles diese Nutzer sind). Was ich mit dem Internet Anstelle, ist meine Sache, da lasse ich mir von niemandem was vorschreiben. Ausserdem liegt es ja auch in meiner Verantwortung, wenn da was schief läuft, und nicht in der des Providers. Klar, aus rechtlicher Sicht mag das anders funktionieren. Aber wenn man betrachtet, dass überall immer mehr Menschen das Internet als Menschenrecht betrachten, und wie mit IPv6 theoretisch jeder weiterhin öffentliche IPs haben könnte, gebe ich die Hoffnung nicht auf, dass sich die Lage in der Hinsicht irgendwann noch bessert. Hmmm schrieb: > Daniel A. schrieb: >> Nur leider kann ich rein gar nichts ausrichten, wenn der Provider das >> nicht machen will. > > Doch, den Provider wechseln. Das Kabelnetz hier gehört Intergga. Früher sendete die Improware darüber das Signal, ich mochte die sehr. Dann kamen die Quickline läute in die Intergga, der Improware wurde der Saft abgedreht, und es gab nur noch Quickline :(. Glasfaser ist hier noch nicht angekommen, und die Telefonleitung will ich mir wirklich nicht antun. Teurer wäre es auch noch, viel Auswahl gibt es nicht, und verglichen mit z.B. Swisscom scheint Quickline noch das kleinere übel. Immerhin bekomme ich da noch öffentliche, statische IPs, bei anderen wäre ich mir da nicht so sicher. Aber wenn die damit mal Schluss machen, bin ich komplett aufgeschmissen :(
Daniel A. schrieb: > Ich bin nun mal keine Firma, und Homeserver sind nun wirklich kein neues > Konzept. Die Konfiguration von Smarthosts auf diesen Homeservern auch nicht. Daniel A. schrieb: > Das Internet war nie so gedacht, das nur Firmen Internetservices > betreiben können. Stimmt, ursprünglich war es nämlich nur dafür gedacht, dass militärische Einrichtungen (und damit zusammenarbeitende Firmen) es nutzen können. Privatkunden kamen viel später. Daniel A. schrieb: > Was ich mit dem Internet Anstelle, ist meine Sache, da lasse ich mir von > niemandem was vorschreiben. Das musst Du dann aber auch denen zugestehen, die ihre Mailserver so konfigurieren, dass Du nicht direkt von Deinem Privatkundenzugang Mails bei ihnen abliefern kannst. Die nehmen ein paar Kollateralschäden bei der "Ich will aber!"-Fraktion für dramatisch weniger Spam gerne in Kauf. Was willst Du denn mit Deinem Privatkundenzugang noch alles tun können? Ein eigenes AS betreiben und Netze per BGP announcen?
Hmmm schrieb: > Was willst Du denn mit Deinem Privatkundenzugang noch alles tun können? > Ein eigenes AS betreiben und Netze per BGP announcen? Da wäre ich trotzdem auf andere ISPs / AS angewiesen, sogar auf mehrere, und ein eigenes Netz aufzubauen ist auch nicht billig. Wenn es umgekehrt wäre, klar, warum ich nicht? Haben ja andere auch schon gemacht, wenn auch nicht hier. Aber so lohnt sich das momentan nicht. Warum sollen eigentlich immer nur die Firmen den ganzen Spass haben? Es gibt nichts was Privatpersonen selbst nicht auch könnten, wenn sie es den wollten und man sie lässt.
Hmmm schrieb: > Daniel A. schrieb: >> Ich bin nun mal keine Firma, und Homeserver sind nun wirklich kein neues >> Konzept. > > Die Konfiguration von Smarthosts auf diesen Homeservern auch nicht. Ich glaube nicht, das ich da jemanden finde, der all meine aliases auf all meinen domains für mich handeln würde, da hat sich so einiges Angesammelt...
1 | |
2 | $ cat /etc/postfix/virtual | wc -l |
3 | 694 |
Daniel A. schrieb: > Warum sollen eigentlich immer nur die Firmen den ganzen Spass haben? Es > gibt nichts was Privatpersonen selbst nicht auch könnten, wenn sie es > den wollten und man sie lässt. Du kannst durchaus den gleichen Spass haben, aber eben auch zum gleichen Preis. Daniel A. schrieb: > Ich glaube nicht, das ich da jemanden finde, der all meine aliases auf > all meinen domains für mich handeln würde Muss er ja nicht. Eingehend kannst Du weiterhin alles auf Deinem Home-Server landen lassen, nur ausgehend brauchst Du ein Relay. Sofern der Anbieter Dir vertraut, lässt er Dich nach SMTP Authentication mit beliebigen Domains versenden. Plan B wäre eine VM (neudeutsch "Cloud-Server") für ein paar EUR bzw. CHF im Monat, darauf kannst Du das dann einfach selbst machen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.