Postix Log: was hat es mit SPF auf sich?
Hallo Leute, ich brauche eine Hilfestellung bei der Auswertung eine Postfix-Logeintrags: Eine Mail, die über unseren Mailserver versandt werden sollte, wurde gebounced. Vor ein paar Stunden noch konnte an dieselbe Adresse aber zugestellt werden. An unserer Postfix-Config wurde seitdem nichts geändert. Hier der Log-Eintrag (Namen und IP anonymisiert): to=<Vorname.Name@example.com>, relay=notes1a.example.com[xxx.xxx.xxx.182], delay=3, status=bounced (host notes1a.example.com[xxx.xxx.xxx.182] said: 554 5.7.1 failed SPF [1a]: (in reply to end of DATA command)) Meine Frage: Was steckt hinter der "SPF [1a]" Meldung? (über SPF weiss ich nur das, was ich im Wikipedia-Artikel gelesen habe ...) Ist das ein Problem auf Seiten des empfangenden Mailservers oder kann das auch mit unserem ausliefernden Server zu tun haben? Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx wrote:
Hallo Leute,
ich brauche eine Hilfestellung bei der Auswertung eine Postfix-Logeintrags:
Eine Mail, die über unseren Mailserver versandt werden sollte, wurde gebounced. Vor ein paar Stunden noch konnte an dieselbe Adresse aber zugestellt werden. An unserer Postfix-Config wurde seitdem nichts geändert.
Hier der Log-Eintrag (Namen und IP anonymisiert):
to=<Vorname.Name@example.com>, relay=notes1a.example.com[xxx.xxx.xxx.182], delay=3, status=bounced (host notes1a.example.com[xxx.xxx.xxx.182] said: 554 5.7.1 failed SPF [1a]: (in reply to end of DATA command))
Meine Frage: Was steckt hinter der "SPF [1a]" Meldung? (über SPF weiss ich nur das, was ich im Wikipedia-Artikel gelesen habe ...) Ist das ein Problem auf Seiten des empfangenden Mailservers oder kann das auch mit unserem ausliefernden Server zu tun haben?
Für die Domain example.com gibt es einen SPF-Eintrag. Dieser legt fest, von welchen IP-Adressen mit dieser Domain als Absender gesendet werden darf. Interessant wäre also die Absenderadresse und die Clientadresse des liefernden Servers. Mehr als merkwürdig ist jedoch, warum die Ablehnung erst am Ende von DATA erfolgt. Dies müsste eigentlich direkt im SMTP-Dialog nach MAIL FROM geschehen, oder bei Postfix mit smtpd_delay_reject=yes (default) nach dem ersten RCPT TO. Den SPF-Eintrag einer Domain kannst du mit dig abfragen: dig -t txt hotmail.com ; <<>> DiG 9.4.2-P1 <<>> -t txt hotmail.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28052 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 5 ;; QUESTION SECTION: ;hotmail.com. IN TXT ;; ANSWER SECTION: hotmail.com. 3470 IN TXT "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all" Was der SPF-Eintrag dann bedeutet, kannst du wieder bei Wikipedia nachlesen. (^-^) SPF macht einiges kaputt. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 14. Oktober 2008 schrieb Sandy Drobic:
(...). SPF macht einiges kaputt.
Das ist auch Sinn der Sache! :) Gruß Jan -- An experiment may be considered successful if no more than half the data must be discarded to agree with the theory. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Für die Domain example.com gibt es einen SPF-Eintrag. Dieser legt fest, von welchen IP-Adressen mit dieser Domain als Absender gesendet werden darf.
Interessant wäre also die Absenderadresse und die Clientadresse des liefernden Servers. Mehr als merkwürdig ist jedoch, warum die Ablehnung erst am Ende von DATA erfolgt. Dies müsste eigentlich direkt im SMTP-Dialog nach MAIL FROM geschehen, oder bei Postfix mit smtpd_delay_reject=yes (default) nach dem ersten RCPT TO.
Den SPF-Eintrag einer Domain kannst du mit dig abfragen:
OK, wieder was gelernt. Mit dig -t txt example.com erfahre ich nun folgendes: "v=spf1 ip4:n.n.n.128/26 mx ptr -all" Die gebouncte Mail hatte aber als Absenderadresse user@example.net und wurde über den Mailserver mail.example.net ausgeliefert, der auch im MX-Eintrag für example.net steht. Bei SPF geht es doch nur darum, dass der Absender, der behauptet, aus der Domain example.com zu stammen, tatsächlich den im SPF-Eintrag formulierten Bedingungen entspricht. In unserem Fall behauptet dies der Absender der Mail aber gar nicht. Warum greift hier SPF? Falsche Konfiguration? Oder verstehe ich noch was nicht? Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx wrote:
Mit dig -t txt example.com erfahre ich nun folgendes: "v=spf1 ip4:n.n.n.128/26 mx ptr -all"
Die gebouncte Mail hatte aber als Absenderadresse user@example.net und wurde über den Mailserver mail.example.net ausgeliefert, der auch im MX-Eintrag für example.net steht.
Bei SPF geht es doch nur darum, dass der Absender, der behauptet, aus der Domain example.com zu stammen, tatsächlich den im SPF-Eintrag formulierten Bedingungen entspricht.
Der Server, der die Mail versucht hat, an das Relay zu schicken, hat dieser eine IP, die in dem Eintrag enthalten ist? -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Joachim Marx wrote:
Mit dig -t txt example.com erfahre ich nun folgendes: "v=spf1 ip4:n.n.n.128/26 mx ptr -all"
Die gebouncte Mail hatte aber als Absenderadresse user@example.net und wurde über den Mailserver mail.example.net ausgeliefert, der auch im MX-Eintrag für example.net steht.
Bei SPF geht es doch nur darum, dass der Absender, der behauptet, aus der Domain example.com zu stammen, tatsächlich den im SPF-Eintrag formulierten Bedingungen entspricht.
Der Server, der die Mail versucht hat, an das Relay zu schicken, hat dieser eine IP, die in dem Eintrag enthalten ist?
Du meinst, ob der ausliefernde Server in dem IP-Bereich des SPF-Eintrags enthalten ist? Nein. Aber die Mail, die an "abc@example.com" gesandt wird, kommt doch von "xyz@example.net" - da sollte doch der SPF-Eintrag überhaupt keine Rolle spielen. Oder verstehe ich da was falsch? Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx wrote:
Sandy Drobic wrote:
Joachim Marx wrote:
Mit dig -t txt example.com erfahre ich nun folgendes: "v=spf1 ip4:n.n.n.128/26 mx ptr -all"
Die gebouncte Mail hatte aber als Absenderadresse user@example.net und wurde über den Mailserver mail.example.net ausgeliefert, der auch im MX-Eintrag für example.net steht.
Bei SPF geht es doch nur darum, dass der Absender, der behauptet, aus der Domain example.com zu stammen, tatsächlich den im SPF-Eintrag formulierten Bedingungen entspricht.
Der Server, der die Mail versucht hat, an das Relay zu schicken, hat dieser eine IP, die in dem Eintrag enthalten ist?
Du meinst, ob der ausliefernde Server in dem IP-Bereich des SPF-Eintrags enthalten ist? Nein.
Aber die Mail, die an "abc@example.com" gesandt wird, kommt doch von "xyz@example.net" - da sollte doch der SPF-Eintrag überhaupt keine Rolle spielen. Oder verstehe ich da was falsch?
Ja, da hast du etwas falsch verstanden. SPF verhindert genau, dass ein nicht berechtigter Server die Absenderadresse einer Domain verwenden darf. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Joachim Marx wrote:
Aber die Mail, die an "abc@example.com" gesandt wird, kommt doch von "xyz@example.net" - da sollte doch der SPF-Eintrag überhaupt keine Rolle spielen. Oder verstehe ich da was falsch?
Ja, da hast du etwas falsch verstanden. SPF verhindert genau, dass ein nicht berechtigter Server die Absenderadresse einer Domain verwenden darf.
So hatte ich das auch verstanden. Irgendwie reden wir da gerade aneinander vorbei. Nochmal, das Szenario ist so: User xyz sendet mit Absender xyz@example.NET über seinen Mailserver mail.example.NET eine Mail an abc@example.COM (User xyz verwendet also NICHT die Domain example.COM als Absender, sondern seine eigene Domain example.NET, mit der auch versenden DARF.) Vom Mailserver example.COM wird die Mail abgelehnt (wg. SPF mismatch). Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx wrote:
Sandy Drobic wrote:
Joachim Marx wrote:
Aber die Mail, die an "abc@example.com" gesandt wird, kommt doch von "xyz@example.net" - da sollte doch der SPF-Eintrag überhaupt keine Rolle spielen. Oder verstehe ich da was falsch?
Ja, da hast du etwas falsch verstanden. SPF verhindert genau, dass ein nicht berechtigter Server die Absenderadresse einer Domain verwenden darf.
So hatte ich das auch verstanden. Irgendwie reden wir da gerade aneinander vorbei. Nochmal, das Szenario ist so:
User xyz sendet mit Absender xyz@example.NET über seinen Mailserver mail.example.NET eine Mail an abc@example.COM (User xyz verwendet also NICHT die Domain example.COM als Absender, sondern seine eigene Domain example.NET, mit der auch versenden DARF.)
Leider sagt der SPF-Eintrag aus, dass der Server, über den der User die Mail schickt, eben NICHT berechtigt ist, die Absenderadresse zu verwenden. Dies hat überhaupt nichts mit dem User zu tun, sondern nur mit dem Server. Deine Situation ist folgende: user --auth--> server1 ---> server2 Server1 nimmt die Mail an, weil der User sich korrekt authentifiziert hat. Server2 weist die Mail jedoch ab, weil laut SPF Server1 nicht berechtigt ist, mit der Absenderadresse zu senden. Entweder der SPF-Eintrag ist falsch, oder Server1 muss die Absenderadresse umschreiben oder Server2 hat zu tief ins Elektronenglas geschaut, als er den Absender auswertete. Ich neige etwas zu letzterem Punkt, denn die Absenderadresse hätte er auch direkt nach dem MAIL FROM auswerten können, nicht erst nach dem END_OF_DATA. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Jan Ritzerfeld -
Joachim Marx -
Sandy Drobic