Quantcast

SRS nur für bestimmte Mails? Oder andere Lösung?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

SRS nur für bestimmte Mails? Oder andere Lösung?

Martin Sebald
Guten Morgen,

habe ein Problem mit einem User. Dieser beklagt sich, dass seit einigen Tagen
Mails von web.de und GMX nicht mehr an seinen externen Exchange Provider
(United Hoster) weitergeleitet werden. Folgende Information erhält der
Absender (also der web.de bzw GMX User) per Mail:

<[hidden email]> (expanded from <[hidden email]>): host
mx1.hostedcloud.me[185.160.1.4] said: 550 88.99.90.187 is not allowed to
send mail from gmx.de. Please see
http://www.openspf.net/Why?scope=mfrom;identity=gmxuser@...;ip=88.99.90.187
(in reply to end of DATA command)

Soweit, so gut. Das Thema ist ja nicht ganz neu, kann man ja an einigen
Stellen im Netz nachlesen. Seltsamerweise beklagt sich nur ein User über den
Umstand - dabei habe ich einige, die zu United Hoster auf Hosted Exchange
Mailboxen weiterleiten. Das finde ich doch seltsam. Gut, eventuell haben sich
die anderen schlich noch nicht beschwert oder erhalten üblicherweise keine
Mails von web.de und GMX.

Nun aber meine konkrete Frage, denn dazu habe ich trotz einiger Recherche
nicht wirklich befriedigendes gefunden:

Wie damit umgehen? Meine Idee war nach anfänglicher Recherche, mittels SRS
(Sender Rewriting Scheme) Mails zu bearbeiten, die von Absendern kommen, wo
der SPF Recors der Domain "scharf" geschaltet ist und die bei mir auf einen
externen Empfänger (eventuell auch erst nach einigen internen Forwards)
weitergeleitet werden. Irgendwie konnte ich dazu nichts finden und alle Mails
mit SRS zu bearbeiten, das will ich nicht.

Eine andere Möglichkeit für das konkrete o.g. Problem wäre, dass man die Mails
ein einer Mailbox belässt und zyklisch abholt. Aber k.A., ob United Hoster das
unterstützt. Des Weiteren hat dies ja auch Nachteile. Mails kommen nicht
sofort an und das grundsätzliche Problem der Weiterleitungen bei scharfem SPF
Eintrag existiert ja weiterhin.

Grundsätzlich will ich vorausschicken, dass ich zwar selbst für einige eigene
Domains SPF aktiviert habe (allerdings Softfail), aber naja, dennoch nicht
allzu viel davon halte. Bzw ich gehe dann ganz konform mit der Meinung von
Peer in seinem bekannten Beitrag:
https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/

Mir geht es hier halt darum, eine befriedigende Lösung zu erhalten, im
konkreten Fall für den besagten Benutzer, aber auch allgemein, eventuell sind
ja auch andere betroffen bis hin zu mir selbst. ;-) Also denke ich können wir
die Grunsatzdiskussion zumindest ein Stück weit zurückstellen.

Danke und viele Grüße,
Martin

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: SRS nur für bestimmte Mails? Oder andere Lösung?

Martin Sebald
Hallo Uwe,

>> <[hidden email]> (expanded from <[hidden email]>): host
>> mx1.hostedcloud.me[185.160.1.4] said: 550 88.99.90.187 is not allowed to
>> send mail from gmx.de. Please see
>> http://www.openspf.net/Why?scope=mfrom;identity=gmxuser@...;ip
>> =88.99.90.187
>> (in reply to end of DATA command)
> Das hört sich eher an als ob ein Fremder Host über GMX mit GMX Adresse ohne Anmeldung versucht zu relayen
> (no go, meine Domain dann melde dich an weil du EINER MEINER USER bist  oder sende nicht unter meiner Flagge)
> Oder aber es ist Weiterleitung zur Weiterleitung, da die Mailadresse
maskiert sind ist das recht schwer den ECHTEN Weg nachzuvollziehen.
> Wer da über wen mit welcher Adresse versucht an wen zuzustellen und wer die
Fehlermeldung auf welchem Weg wirft.

Nein nein, das passt so schon so wie beschrieben. Habe dann ja selbst auch
getestet.

In o.g. Beispiel ist das so (die echten User habe ich natürlich maskiert):
Absender ist [hidden email] (ein echtes GMX Konto, mit dem der Test dann lief)
und der Empfänger ist [hidden email] (ein Forward Alias auf meinem
Mailserver), das Ziel des Forwards ist dann die Exchange Mailbox bei United
Hoster namens [hidden email] - und von Mailserver von United Hoster
kam dann die Fehlermeldung an den GMX User zurück.

Soweit ist das ja auch alles nachvollziehbar für mich. Mit Ausnahme des
Zeitpunkts des Feedbacks (konnte keine Hinweise finden, dass GMX/web.de vor
einigen Tagen ihre SPF Einstellungen entsprechend umgestellt hat - das sollte
im Gegensatz dazu wieder seit einiger Zeit so eingestellt sein, sodass das
Problem seit vielen Monaten existiert) und, dass sich nur einer meiner User
beschwert hat, die nach United Hoster weiterleiten.

> Und eine Hetzner Ip wird nie in der Lage sein eine Mail OHNE Anmeldung über GMX oder an GMX vorbei an einen anderen zu senden (der SPF prüft)
> Das wäre dann Absenderfälschung (tut fast jeder Spamer so) und da wirkt SPF in dem Fall  

Nein, das wird nicht gehen. Soweit ja auch nachvollziehbar durch mich.

Die Frage ist, wie ich das Problem vom Tisch bekomme. Bei GMX/web.de werde ich
die SPF Einträge nicht ändern können, egal auf welchem Wege. Dass United
Hoster die SPF Checks bei ihnen selbst raus nimmt ist ebenso unwahrscheinlich.

Daher meine Nachfrage nach SRS, aber nur eine Behandlung von Mails, die
bestimmten Kriterien entsprechen. Also eben Absender von einer Domain, die
"harte" SPF Einstellungen hat. Empfänger leitet (direkt oder indirekt) auf
eine externe Adresse um. Dann wäre das finde ich halbwegs sauber. Die meisten
Mails unangetastet und die, die ansonsten nicht ankommen, werden eben verbogen.

Und da habe ich eben keine Lösung gefunden, die mir das so machen würde bzw
die ich so einstellen kann.

Viele Grüße,
Martin
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: SRS nur für bestimmte Mails? Oder andere Lösung?

Uwe Drießen

> Von: Martin Sebald [mailto:[hidden email]]
> In o.g. Beispiel ist das so (die echten User habe ich natürlich maskiert):
> Absender ist [hidden email] (ein echtes GMX Konto, mit dem der Test
> dann lief)
> und der Empfänger ist [hidden email] (ein Forward Alias auf meinem
> Mailserver), das Ziel des Forwards ist dann die Exchange Mailbox bei United
> Hoster namens [hidden email] - und von Mailserver von United
> Hoster
> kam dann die Fehlermeldung an den GMX User zurück.

Dann VON GMX an den endgültigen Empfänger ohne den Umweg über dich
Umleitung von - zu - an ohne address rewriting immer problematisch (soweit ich das verstanden habe)

Wenn der Kunde unbedingt so eine Exchange Serverumgebung benötigt dann muss er VON überall seine Adressen vom Originalen Empfangsserver OHNE Umwege zum endgültigen Empfangsserver, diesem Hoster schaufeln  
Da dieser der letzte in Nahrungskette ist kann er nur annehmen oder an den Versender in session zurückweisen.
Damit nicht jeder mit gefälschter Absenderadresse durchkommt prüft er halt ob der Versenderserver für die Domain zuständig ist (würde ich genauso machen)
Auch du kannst weitergeleitet Mails nur annehmen oder an den Versender zurückweisen(UBE UCE)  ob der dann einen latebounce verschickt oder wie der die Mail an den Mann bringt ist sein Problem.

Ein gutes System der Mailvernichtung bzw. der toten Briefkästen.
Ich bin kein Freund dieser Weiterleitunggeschichten.
 
 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: SRS nur für bestimmte Mails? Oder andere Lösung?

Robert Schetterer-2
Am 23.03.2017 um 20:16 schrieb Uwe Drießen:
> Ich bin kein Freund dieser Weiterleitunggeschichten

ACK klassischer forward ist eigentlich tot
schoen waere zb mit sieve die orig Mail als Attachment weiterleiten
aber selbst das wuerde nicht alle Probleme richten, denn es besteht
immer die Gefahr Viren oder Spam weiterzuleiten das wird dann dem
Weiterleitenden angerechnet kann also grob ins Auge gehen

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Loading...