Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comm.software.mailserver > #6968 > unrolled thread

SPF/DKIM bei leerem Envelope-Sender

Started byHeiko Schlichting <heiko@cis.fu-berlin.de>
First post2024-02-07 17:57 +0000
Last post2024-02-14 13:23 +0000
Articles 10 — 6 participants

Back to article view | Back to de.comm.software.mailserver


Contents

  SPF/DKIM bei leerem Envelope-Sender Heiko Schlichting <heiko@cis.fu-berlin.de> - 2024-02-07 17:57 +0000
    Re: SPF/DKIM bei leerem Envelope-Sender Markus Schaaf <mschaaf@elaboris.de> - 2024-02-07 19:30 +0100
      Re: SPF/DKIM bei leerem Envelope-Sender Heiko Schlichting <heiko@cis.fu-berlin.de> - 2024-02-08 14:23 +0000
        Re: SPF/DKIM bei leerem Envelope-Sender Marco Moock <mm+solani@dorfdsl.de> - 2024-02-08 16:58 +0100
          Re: SPF/DKIM bei leerem Envelope-Sender Heiko Schlichting <heiko@cis.fu-berlin.de> - 2024-02-09 11:14 +0000
          Re: SPF/DKIM bei leerem Envelope-Sender Sven Hartge <sh-242@svenhartge.de> - 2024-02-12 11:02 +0100
    Re: SPF/DKIM bei leerem Envelope-Sender Marco Moock <mm+solani@dorfdsl.de> - 2024-02-07 20:25 +0100
    Re: SPF/DKIM bei leerem Envelope-Sender Arno Welzel <usenet@arnowelzel.de> - 2024-02-14 13:10 +0100
      Re: SPF/DKIM bei leerem Envelope-Sender Marco Moock <mm+usenet@dorfdsl.de> - 2024-02-14 13:25 +0100
      Re: SPF/DKIM bei leerem Envelope-Sender Heiko Schlichting <heiko@cis.fu-berlin.de> - 2024-02-14 13:23 +0000

#6968 — SPF/DKIM bei leerem Envelope-Sender

FromHeiko Schlichting <heiko@cis.fu-berlin.de>
Date2024-02-07 17:57 +0000
SubjectSPF/DKIM bei leerem Envelope-Sender
Message-ID<l2hukjFbgfmU1@mid.uni-berlin.de>
Hallo,

seit ein paar Tagen erzwingt Google, dass die Nachrichten mit SPF oder DKIM
überprüft werden können und lehnt andere Mails ab. Das war seit längerem
angekündigt und hatte ich auch erwartet.

Nicht erwartet hatte ich, dass täglich einige Hundert E-Mails von uns durch
Google abgelehnt werden. Es handelt sich dabei um Autoreplies
(Out-of-Office/Vacation-Meldungen), die mit leerem Envelope-Sender erzeugt
werden.

Die Ablehnung von Google an eine gmail.com-Adresse lautet:

550-5.7.26 This mail has been blocked because the sender is unauthenticated.
550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM.
550-5.7.26
550-5.7.26  Authentication results:
550-5.7.26  DKIM = did not pass
550-5.7.26  SPF [] with ip: [130.133.4.78] = did not pass
550-5.7.26
550-5.7.26  For instructions on setting up authentication, go to
550 5.7.26  https://support.google.com/mail/answer/81126#authentication [...]

Offenbar schreibt Google die Domain, die geprüft wird, in die eckigen
Klammern hinter "SPF" und listet auch unsere IP-Adresse, die dort erwartet
wird. In der obenstehenden Fehlermeldung gibt es aber keine Domain, denn
der Envelope-Sender ist <> und daher nichts in den eckigen Klammern. Weder
SPF noch DKIM, die beide auf dem Envelope-Sender arbeiten, können da
erfolgreich sein.

Exim hat in der Dokumentation:

    27. THE AUTOREPLY TRANSPORT
    [...]
    To reduce the possibility of message cascades, messages created by the
    autoreply transport always have empty envelope sender addresses, like
    bounce messages.

Es wäre also gar nicht so einfach, an der Stelle etwas anderes als einen
leeren Envelope-Sender zu verwenden.

Was habe ich übersehen? Wir macht ihr das?

Heiko

[toc] | [next] | [standalone]


#6969

FromMarkus Schaaf <mschaaf@elaboris.de>
Date2024-02-07 19:30 +0100
Message-ID<uq0i8l$1hhd6$1@dont-email.me>
In reply to#6968
Am 07.02.24 um 18:57 schrieb Heiko Schlichting:

> Was habe ich übersehen? Wir macht ihr das?

Hat der HELO-Name des ausgehenden Servers einen SPF-Eintrag?

[toc] | [prev] | [next] | [standalone]


#6971

FromHeiko Schlichting <heiko@cis.fu-berlin.de>
Date2024-02-08 14:23 +0000
Message-ID<l2k6emFnhcrU1@mid.uni-berlin.de>
In reply to#6969
Markus Schaaf <mschaaf@elaboris.de> wrote:
> Am 07.02.24 um 18:57 schrieb Heiko Schlichting:
>
>> Was habe ich übersehen? Wir macht ihr das?
>
> Hat der HELO-Name des ausgehenden Servers einen SPF-Eintrag?

Der Hostname? Nein. Die Domain des Hostnamens schon.

In diesem Fall ist das der Server mit der IP 130.133.4.78 und dem Hostname
outpost3.zedat.fu-berlin.de, der auch beim EHLO verwendet wird. Für
zedat.fu-berlin.de gibt es einen SPF-Eintrag, weil es dort auch anmailbare
Adressen gibt. Für outpost3.zedat.fu-berlin.de gibt es bislang keinen
SPF-Eintrag.

Heiko

[toc] | [prev] | [next] | [standalone]


#6972

FromMarco Moock <mm+solani@dorfdsl.de>
Date2024-02-08 16:58 +0100
Message-ID<uq2tni$1gkpb$1@solani.org>
In reply to#6971
Am 08.02.2024 14:23 Uhr schrieb Heiko Schlichting:

> Markus Schaaf <mschaaf@elaboris.de> wrote:
> > Am 07.02.24 um 18:57 schrieb Heiko Schlichting:
> >  
> >> Was habe ich übersehen? Wir macht ihr das?  
> >
> > Hat der HELO-Name des ausgehenden Servers einen SPF-Eintrag?  
> 
> Der Hostname? Nein. Die Domain des Hostnamens schon.
> 
> In diesem Fall ist das der Server mit der IP 130.133.4.78 und dem
> Hostname outpost3.zedat.fu-berlin.de, der auch beim EHLO verwendet
> wird. Für zedat.fu-berlin.de gibt es einen SPF-Eintrag, weil es dort
> auch anmailbare Adressen gibt. Für outpost3.zedat.fu-berlin.de gibt
> es bislang keinen SPF-Eintrag.

Dann musst du einen anlegen, wenn du willst, dass SPF hier funktioniert.

-- 
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

[toc] | [prev] | [next] | [standalone]


#6973

FromHeiko Schlichting <heiko@cis.fu-berlin.de>
Date2024-02-09 11:14 +0000
Message-ID<l2mfonF54idU1@mid.uni-berlin.de>
In reply to#6972
Marco Moock <mm+solani@dorfdsl.de> wrote:
>
> Dann musst du einen anlegen, wenn du willst, dass SPF hier funktioniert.

Ja, sieht besser aus und Google nimmt entsprechende Mails jetzt offenbar
an. Dir und Markus Schaaf vielen Dank.

Heiko

[toc] | [prev] | [next] | [standalone]


#6974

FromSven Hartge <sh-242@svenhartge.de>
Date2024-02-12 11:02 +0100
Message-ID<0jrfeto39n4gv8@mids.svenhartge.de>
In reply to#6972
Marco Moock <mm+solani@dorfdsl.de> wrote:
> Am 08.02.2024 14:23 Uhr schrieb Heiko Schlichting:
>> Markus Schaaf <mschaaf@elaboris.de> wrote:
> > Am 07.02.24 um 18:57 schrieb Heiko Schlichting:

>>>> Was habe ich übersehen? Wir macht ihr das?  

>>> Hat der HELO-Name des ausgehenden Servers einen SPF-Eintrag?  

>> Der Hostname? Nein. Die Domain des Hostnamens schon.

>> In diesem Fall ist das der Server mit der IP 130.133.4.78 und dem
>> Hostname outpost3.zedat.fu-berlin.de, der auch beim EHLO verwendet
>> wird. Für zedat.fu-berlin.de gibt es einen SPF-Eintrag, weil es dort
>> auch anmailbare Adressen gibt. Für outpost3.zedat.fu-berlin.de gibt
>> es bislang keinen SPF-Eintrag.

> Dann musst du einen anlegen, wenn du willst, dass SPF hier
> funktioniert.

Danke auch von mir, das war *exakt* die gleiche Frage (und aus dem
gleichen Grund im gleichen Umfeld), die sich mir auch stellte.

S°

-- 
Sigmentation fault. Core dumped.

[toc] | [prev] | [next] | [standalone]


#6970

FromMarco Moock <mm+solani@dorfdsl.de>
Date2024-02-07 20:25 +0100
Message-ID<uq0lg0$1gg21$2@solani.org>
In reply to#6968
Am 07.02.2024 17:57 Uhr schrieb Heiko Schlichting:

> Offenbar schreibt Google die Domain, die geprüft wird, in die eckigen
> Klammern hinter "SPF" und listet auch unsere IP-Adresse, die dort
> erwartet wird. In der obenstehenden Fehlermeldung gibt es aber keine
> Domain, denn der Envelope-Sender ist <> und daher nichts in den
> eckigen Klammern. Weder SPF noch DKIM, die beide auf dem
> Envelope-Sender arbeiten, können da erfolgreich sein.

Wenn MAIL FROM leer ist (<>), wird die Domain im EHLO/HELO für SPF
genutzt.

DKIM ist davon unabhängig. Das wird auf From: angewendet.
Das ist beim Bounce dann i.d.R. sowas wie
MAILER-DAEMON@server.example.org.

Da muss dann auch DKIM eingerichtet werden oder man signiert halt mit
der Parent-Domain.

-- 
Gruß
Marco

Spam und Werbung bitte an ichschickereklame@cartoonies.org

[toc] | [prev] | [next] | [standalone]


#6975

FromArno Welzel <usenet@arnowelzel.de>
Date2024-02-14 13:10 +0100
Message-ID<l33ou4Fii5vU11@mid.individual.net>
In reply to#6968
Heiko Schlichting, 2024-02-07 18:57:

> Hallo,
> 
> seit ein paar Tagen erzwingt Google, dass die Nachrichten mit SPF oder DKIM
> überprüft werden können und lehnt andere Mails ab. Das war seit längerem
> angekündigt und hatte ich auch erwartet.
> 
> Nicht erwartet hatte ich, dass täglich einige Hundert E-Mails von uns durch
> Google abgelehnt werden. Es handelt sich dabei um Autoreplies
> (Out-of-Office/Vacation-Meldungen), die mit leerem Envelope-Sender erzeugt
> werden.
> 
> Die Ablehnung von Google an eine gmail.com-Adresse lautet:
> 
> 550-5.7.26 This mail has been blocked because the sender is unauthenticated.
> 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM.
> 550-5.7.26
> 550-5.7.26  Authentication results:
> 550-5.7.26  DKIM = did not pass
> 550-5.7.26  SPF [] with ip: [130.133.4.78] = did not pass

Übersetzt:

1. DKIM-Signatur ist nicht vorhanden oder fehlerhaft.

2. Die Mail wurde von 130.133.4.78 aus gesendet, aber es gibt keinen
passenden TXT-Record mit SPF-Eintrag in der Absenderdomain, der
130.133.4.78 als zulässigen Mailserver dafür authorisiert.

> 550-5.7.26
> 550-5.7.26  For instructions on setting up authentication, go to
> 550 5.7.26  https://support.google.com/mail/answer/81126#authentication [...]
> 
> Offenbar schreibt Google die Domain, die geprüft wird, in die eckigen
> Klammern hinter "SPF" und listet auch unsere IP-Adresse, die dort erwartet
> wird. In der obenstehenden Fehlermeldung gibt es aber keine Domain, denn

Nein, die IP-Adresse wurde benutzt! Und Google erwartet, dass für diese
Adresse bei der Absenderdomain ein SPF-Eintrag vorhanden ist.

> der Envelope-Sender ist <> und daher nichts in den eckigen Klammern. Weder
> SPF noch DKIM, die beide auf dem Envelope-Sender arbeiten, können da
> erfolgreich sein.
> 
> Exim hat in der Dokumentation:
> 
>     27. THE AUTOREPLY TRANSPORT
>     [...]
>     To reduce the possibility of message cascades, messages created by the
>     autoreply transport always have empty envelope sender addresses, like
>     bounce messages.
> 
> Es wäre also gar nicht so einfach, an der Stelle etwas anderes als einen
> leeren Envelope-Sender zu verwenden.
> 
> Was habe ich übersehen? Wir macht ihr das?

Keinen Auto-Reply an E-Mail-Adresse außerhalb eurer Domain nutzen.
Ernsthaft. Sowas erzeugt nur Backscatter.

-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]


#6976

FromMarco Moock <mm+usenet@dorfdsl.de>
Date2024-02-14 13:25 +0100
Message-ID<uqibfr$2ks75$1@dont-email.me>
In reply to#6975
Am 14.02.2024 schrieb Arno Welzel <usenet@arnowelzel.de>:

> Keinen Auto-Reply an E-Mail-Adresse außerhalb eurer Domain nutzen.
> Ernsthaft. Sowas erzeugt nur Backscatter.

Das ist leider je nach Umgebung nicht wirklich möglich. Speziell dann
nicht, wenn wer mit Entscheidungsgewalt es so will und als Steigerung
noch Backscatter nicht versteht.

[toc] | [prev] | [next] | [standalone]


#6977

FromHeiko Schlichting <heiko@cis.fu-berlin.de>
Date2024-02-14 13:23 +0000
Message-ID<l33t6vFjj32U1@mid.uni-berlin.de>
In reply to#6975
Arno Welzel <usenet@arnowelzel.de> wrote:
> Keinen Auto-Reply an E-Mail-Adresse außerhalb eurer Domain nutzen.

Das ist keine Option. Dafür gibt es an einer großen Universität viel zu
viel Kommunikation mit anderen wissenschaftlichen Einrichtungen auf der
ganzen Welt. Kommunikation mit anderen ist ein wesentlicher Bestandteil im
Bereich Forschung.

> Sowas erzeugt nur Backscatter.

Bei erkanntem Spam (und das funktioniert mit unserem dreistufigen Verfahren
ziemlich gut) gibt es kein Auto-Reply. Natürlich auch nicht, wenn Mails
entsprechend RFC 3834 gekennzeichnet sind oder wenn an anderen Merkmalen
(Mailinglisten, no-reply-artiger Absender, Precedence o.ä.) ein Autoreply
unangebracht erscheint. Bei uns gibt es daher nicht nennenswert
Backscatter durch Autoreplies.

Aber grundsätzlich hast Du natürlich vollkommen recht und bei vielen
anderen Einrichtungen ist das leider ein Thema.

Heiko

[toc] | [prev] | [standalone]


Back to top | Article view | de.comm.software.mailserver


csiph-web