Seit Anfang letzter Woche beklagen sich viele Kunden von Webhostern, bei denen auch E-Mail-Server gebucht wurden, dass sie keine Nachrichten mehr an GMail-Postfächer senden lassen. Die Nachrichten werden schlicht abgewiesen, weil Google in seiner Policy etwas geändert hat.
Anzeige
Blog-Leser Christian S. hat mich kürzlich per Mail auf das Problem mit den Mailservern von Webhostern hingewiesen, die keine Mails an GMail-Konten versenden können (danke dafür). Christian schrieb:
Hallo Günter,
hier eine Info für Dich, ist vielleicht einen Artikel wert: Seit Montag melden sich Kunden verschiedener Webhoster, allen vorn Hetzner Online, das ihre Mails an GMail-Adressen nicht zugestellt werden.
Christian lieferte auch gleich eine Erklärung für dieses Problem mit und gibt an, Google zur Reduzierung des SPAM-Aufkommens wohl keine Mails an GMail zustellt, wenn sich die Domain des E-Mail Absenders von der Domain des Postausgangsservers unterscheidet. Google hat beispielsweise diesen Support-Beitrag mit Hinweisen, wie man sich vor Spoofing und Phishing schützen und verhindern kann, dass Nachrichten als Spam markiert werden.
Ein Fix ist möglich
Christian schrieb mir, dass eine Anpassung der DNS-Einstellungen beim betreffenden Webhoster, bei dem der E-Mail-Server läuft, erforderlich wird. Hier sein Text:
Hier ist beim Webhoster eine Anpassung der DNS-Einstellungen erforderlich. Beim Webhosting von Hetzner ist in den DNS-Einstellungen der Texteintrag in der Form:
Ziel: "v=spf1 mx a:mail.your-server.de -all"
hinzuzufügen. Somit wird der Hetzner Mailserver mail.your-server.de als Webserver für die eigene Domain ausgewiesen und legitimiert. Ab da läuft's wieder rund.
Bei Hetzner sind die Schritte zum Einrichten eines E-Mail-Kontos in diesem Dokument beschrieben. Keine Ahnung, ob jemand betroffen ist, aber vielleicht hilft die Information Betroffenen ja weiter.
Anzeige
Anzeige
Diese SPF-Records sind auch für andere Maildienste wie GMX oder Web.de nötig.
Hat aber auch bei mir eine Weile gebraucht, bis ich das damals rausgefunden und dann eingestellt habe.
"Somit wird der Hetzner Mailserver mail.your-server.de als Webserver für die eigene Domain ausgewiesen und legitimiert"
Damit können dann aber alle Hetznerkunden meine Mailadresse spoofen und SPF wäre trotzdem gültig…..
Du musst natürlich Deinen Server/IP Range ib den spf Deiner Domain eintragen.
Wenn Du mail.hetzner als smart host nutzen willst dann ist das so wie Du sagst.
Daher DKIM DMARK
Theoretisch ja, aber Spammer werden nicht erst zahlungspflichtige Kunden bei einem Hosting-Provider in Deutschland werden. Dann landet die .de Domain eher auf einem Server im Ausland.
Ebenso gibt es genügend andere Wege: E-Mail Konten kostenloser Anbieter, die dann auch schnell „verbrannt sind" (aber eben auch genau so schnell wieder neu angelegt) , oder auch Wegwerf-Domains auf einem eigenen Server, auf den man nach wenigen Tagen ebenfalls verzichten kann, und/oder man verwendet einen Anonymisierungsdienst in Neuseeland… Kriminelle Energie schafft Wege.
kann sich ja auch einer Hetzer Kunden was einfangen…..
lehnt GMAIL auch ab wenn man bei Hetzner DKIM aktiviert?
https://docs.hetzner.com/de/konsoleh/account-management/email/mailsecurity
ich habe das mal getestet: eine Mail über den 1&1 Kundenserver an meine GMail-Adresse geschickt und sie ist angekommen, ebenso wie eine an meine Outlook.com-Adresse. aber ich denke ich werde trotzdem mal einen SPF-Eintrag anlegen
hast du auch DKIM drin?
mit dem Eintrag klappt es auch und laut Header ist es gültig:
v=spf1 mx a:mout.kundenserver.de include:_spf.kundenserver.de ~all
der include deckt wohl v.a. die Serverbereiche ab, die man dort mieten kann, der mout sollte dafür reichen.
DKIM o.ä. habe ich nicht, wie soll das bei einem Smarthost helfen?
Deine Mail würde bei mir abgewiesen werden, wenn es auch nur den kleinsten Fehler gäbe.
Du hast bei spf Softfail aktiviert (~all), bei mir kommen nur saubere Mails rein (-all).
Bei Hetzner geht das
die mails werden aber eigentlich gar nicht von "mail.your-server.de" sondern von der IP des jeweilgen ServerPools Pools versendet
ergo = IP 123
PTR 123= wwwXZY.your-server.de
von daher sollte der Eintrag "mail.your-server.de" nutzlos sein da andere subdomain UND andere IP
Nunja, die Welt dreht sich nicht nur um 1&1. Das aus den FAQ von Google genannte "mail.your-server.de" ist ein PLATZHALTER.
Da nimmt man natürlich die richtige Domain rein. Und in der Tat kann man auch mehrere IP-Adressen hinter eine Domain legen. Im Zweifel fragt man deren MX-Einträge ab.
Viele Wege führen nach Rom. Man muß halt aufpassen, daß die Abfragen nicht rekursiv werden und zu viele Einträge beinhalten.
Wer Mailserver betreibt sollte jedoch dieses elementare Grundwissen beherrschen. Das gilt auch für Großfirmen, die schon gar keine Übersicht mehr über ihre Infrastruktur haben…
your-server.de ist von Hetzner und nicht von 1&1 und wird SO auch verwendet und ist daher KEIN Platzhalter!
Du hast recht. Aber die sollten wirklich noch mal nachbessern.
Kein DMARC Record/Policy, MX mit sehr kurzer TTL (dediextern.yourserver.de) – immerhin IPv4/IPv6.
Dazu kommt im Beispiel: mx a:mail.your-server.de -all
Blöd nur, wenn mail.your-server.de gar keine MX-Einträge beinhaltet.
Sicher, daß das hier ein professionelles Unternehmen ist?
Hallo Anonymous,
ja Sie haben recht, da ist mir zu später Stunde ein Fehler unterlaufen. Dafür bitte ich die Bolg-Leser um Entschuldigung. Da Sie mir Unprofessionalität vorwerfen: hätten Sie denn eine bessere Lösung vorzuschlaschlagen? Entschuldigen Sie bitte, wenn ich mit einer derartigen Idee vorpresche, aber so hatte die Kommunikation im Internet und den BulletinBoards mal funktioniert: man half sich gegenseitig. Ich freue mich auf Ihren Antwort.
Das Thema hatten wir bei einen Kunden ganz massiv – SPF Eintrag hat dann geholfen – dies war aber schon vor ca. 3 Wochen der Fall.
Auch bei mir kommen die ersten Kunden mit dem Problem auf mich zu. SPF und DKIM Aktivierung schaffte Abhilfe. DMARC dann gleich hinterher.
Spf wurde zu einer Zeit erfunden als Cloud noch kein Thema war.
Es sollte sicherstellen das keine Emails fremder Domains von den falschen Servern versendet wurden.
Der Erfolg war nicht so dolle und eigentlich nur zum scroren verwendet, nicht zum blocken. D
Heute stehen bei manchen spf alle IP Adressen des hosters dran, u. U. Millionen. Das ist natürlich absurd und macht das Verfahren sinnlos ist aber pflegeleicht…
Mit DKiM und DMARC kommt man weiter und sichert auch die Übertragung der Inhalte ab.
Interessant! Bei mir werden seit dieser Woche Mails von der Allianz AG abgewiesen mit dem Fehler "RDNS missing". Dabei nutzt die Allianz wohl eine Dienstleister hostnamexyz.eu.iphmx.com der wohl zu einem CDN gehört (Akamai?).
Da fehlt für den Host wohl auch der Eintrag für die Domain Allianz.de senden zu dürfen?
Muss ich das jetzt verstehen?
"Muss ich das jetzt verstehen?"
Deutschland kann keine IT. Sollte sich allmählich herumgesprochen haben. Consultants können nur Kohle einstreichen und M$-/SAGE-Produkte verticken.
Ich habe eine simple Weiterleitung von Gmx auf gmail.
Da wurde eine email rejected. Das war aber Phishing.
Man muss anscheinend nur groß genug sein, dass einem die Kunden wie Schafe hinterherlaufen…
Wenn wir das hier veranstalten würden (Mail-Block ohne SPF), dann könnten wir die Bude zuschließen… :(
…und die Kunden bleiben gerne bei Gmail, auch wenn sie manche Mails nicht mehr bekommen – gruselig!!
Falsch. Wer gute Mail-Dienstleister nutzt, hat das automatisch seit gefühlten Jahrzehnten. Die Skript-Kiddy-Mailsysteme, die dann auch gerne zum Spammen benutzt werden bzw. das ohne SPF massiv fördern, interessieren – zumindest im Enterprise-Umfeld – nicht. Und einige muss man eben zu ihrem Glück zwingen oder zum ordentlichen Arbeiten. Einen DNS-Eintrag zu setzen, dauert nur wenige Sekunden. Wenn ein Anbieter das nicht kann bzw. nicht will, sollte man den schleunigst in die Tonne hauen. Setzen, sechs.
"Wer gute Mail-Dienstleister nutzt, hat das automatisch seit gefühlten Jahrzehnten."
Genau das. Und nicht anders.
/signed
Mir laufen ständig solche "Anfängerfehler" über den Weg .. einen SPF zu setzen sind 2 Sekunden Deines/Deren Lebens und ist m.E. Basiswissen.
S
"Somit wird der Hetzner Mailserver mail.your-server.de als Webserver für die eigene Domain ausgewiesen und legitimiert."
Das sollte doch eher heißen :
"Somit wird der Hetzner Mailserver mail.your-server.de als Mailserver für die eigene Domain ausgewiesen und legitimiert."
Fix ist gut. Traurig, daß seit Jahren etablierte Standards nicht einmal von großen "Deutschen" IT-Dienstleistern umgesetzt werden.
Das ist das 1×1 im Mailversand, keine Ahnung wo hier das Problem sein soll.
Für wen das hier #Neuland ist ein guter Rat: Raus aus dem Netz und Offline-Betrieb starten. Ist sicherer für alle.
SFP bringt jetzt nicht so viel im Kampf gegen Spam:
https://www.tec-bite.ch/warum-mag-google-meine-mails-nicht/
das mag sein, aber ich will ja sicherstellen, dass meine Mails von der Gegenseite angenommen und an die Empfänger zugestellt wird.
Es sieht so aus, dass 1&1 mit dem kundenserver.de auf einer Whitelist steht und von dort alles angenommen wird bei gmail und Microsoft.
Auch die hatten vor einiger Zeit einen dicken Fauxpas, der ihre Mails blockierte.
Ist ja nicht so, daß Google RECHTZEITIG auf die Änderungen hingewiesen hätte.
1&1 und Konsorten haben es in Sachen spf auch ein klein wenig übertrieben… Microsoft ebenso. Da ist ja fast der halbe IP Adressraum hinterlegt, den das Internet @ IPv4 zu bieten hat. Rekursive Prüfungen sind schon genial. :-/
Das sind dann die sogenannten Web-Host-Experten. Von Blasen und Tuten keine Ahnung, aber man tut so als ob.
Ist bei mir nicht de Fall (Microsoft 365 Enterprise, aber auch Business nicht anders). Leicht überprüfbar mit
nslookup -q=txt [meine Domäne]
Natürlich müssen bei georedundanten Mail-Server-Farmen mehr als nur ein paar IP-Adressen hinterlegt sein. Und genau deswegen steht dort auch im SPF ein DNS-Eintrag und keine IP-Adresse(n). Reicht allemal, damit außer aus dieser Welt keine anderen Server Mails mit meinen Absendern verschicken können bzw. diese gleich bei normalen Anbietern via SPF als Spam kategorisiert würden. Genau dafür ist SPF ja auch gedacht, und funktioniert prächtig.
Herrje, was ein Firlefanz hier. Wer https://de.wikipedia.org/wiki/Sender_Policy_Framework immer noch nicht korrekt konfiguriert und und auch kein RDNS-Eintrag für die absendende IP-Adresse existiert, hat auf professionellen Mail-Domänen nichts zu suchen. Für meine Domäne habe ich schon seit Jahren sogar für sämtliche Fremd-Domänen auch TLS-Verschlüsselung samt bis zu einer Wurzel-Zertifizierungsstelle fehlerfrei überprüfbare Zertifikate als Voraussetzung in Exchange Online konfiguriert, ohne die keine (somit sicher verschlüsselte) Mail-Server-Verbindung überhaupt erst zugelassen wird.
Das ist z. B. für Kunden noch viel mehr Jahre nötig, um z. B. auch mit Anbietern wie der Allianz personenbezogene Daten in (nur scheinbar) normalen E-Mails austauschen zu dürfen. Ansonsten wären verschlüsselte PDFs oder nur Zugang via Web-Portale (nicht erst seit der EU-DSGVO) zulässig. Und das ist auch sehr gut so!
Seitdem erhalten wir nur äußerst selten von irgendwelchen Skript-Kiddy-Mail-Domänen entsprechende Nicht-Zustellbarkeits-Meldungen, die aber präzise die Ursache benennen (z. B. kein oder ungültiges Mail-Server-Zertifikat).
Also, einfach die Hausaufgaben machen, und schon kann z. B. niemand mehr mit eurer Domäne als Absender Spam versenden, zumindest zu professionellen Mail-Systemen, die SPF auswerten. Wie alt ist das nochmal..?.
Übrigens muss der ebenso verpflichtend existierende RDNS-Eintrag natürlich nicht auf die Absender-Domain zeigen. Das wäre bei Shared Hosting und Massen-Mailsystemen auch gar nicht machbar bzw. sogar unnötig gefährlich. Aber es muss mindestens einer existieren. Hier nach einer kurzen Bing-Anfrage Hinweise dazu:
https://www.ionos.de/digitalguide/server/knowhow/reverse-dns/
wird eigentlich @t-online.de von gmail geblockt, denn t-online.de hat noch nie SPF unterstützt.
Quatsch, bezüglich SPF ist gerade die Telekom sehr pingelig. Musste mir schon einige Forenzugänge o.ä. von meiner T-Online-Mailadresse auf gmail umregistrieren, weil ich deren Mails nicht mehr empfangen kann, weil sie die SPFs nicht gebacken bekommen. Jetzt kann ich offensichtlich gmail nicht mehr dafür verwenden.
ich meinte beim mail versenden, nicht der t-online spamfilter
https://www.spf-record.de/spf-lookup/t-online.de
Meine Domänen können auch keine Emails mehr von GMail empfangen.
Zu viel Spam in letzter Zeit, deswegen sind die jetut geblockt.
Tach,
dkim,dmarc und spf sollte heute eigentlich zum guten Ton gehören. Wer erst reagiert wenn Mail-Provider keine Mails mehr annehmen sollte seine Arbeitsweise vielleicht überdenken. Einen Test kann man z.B. hier machen https://mecsa.jrc.ec.europa.eu/de/ Jeder der unter 3,5 Punkten liegt hat noch Hausaufgaben…
nslookup -q=txt t-online.de
zeigt ja interessante Einträge, nur eben kein SPF. Erstaunlich.
Und wer laut https://www.checktls.com (links in der Mitte unter Check How You Get Email (Receiver Test) FREE mal einfach die eigene Domäne eingeben) keine gültige Server-zu-Server-Verschlüsselung hat, kann uns weder E-Mails senden noch von uns empfangen.
Spamempfang kommt bei Exchange Online (Microsoft 365 Business oder Enterprise) dank exzellenter Spam-Filter auch ohne Zusatzsoftware bei uns nahezu und schon ewig nicht vor. Das sieht bei meinen Test-Konten bei gmx und web.de völlig anders aus, und das, obwohl ich diese E-Mail-Adressen kaum nutze.
"… bei Exchange Online (Microsoft 365 Business oder Enterprise) dank exzellenter Spam-Filter…"
*prust*, na der war gut. Rate mal, welche Infrastruktur die unsicherste, angreifbarste und fehlerbehafteste war, bevor Microsoft sein Mail-Gedöns hinter Rechnern versteckt hat (ähnlich CloudFlare)?
Outlook/Hotmail/MSN haben fortwährend erschreckende Ergebnisse auf Test-Seiten hervorgebracht. Die Lösung von Microsoft? Mail-Server hinter anderen Rechnern verstecken, anstatt die ursächlichen Probleme zu beheben.
Hallo zusammen,
zu erst einmal ein großes Danke an Günter für Deinen Blog und wie du diesen mit Leben füllst!
Möchte einmal auf den Eingangs genannten Eintrag für Hetzner, um den SPF Record zu generieren, zurück kommen.
Soll die folgende Zeile –> Ziel: "v=spf1 mx a:mail.your-server.de -all"
per "Manual zone file editig"
eingefügt werden?
Wenn ja einfach am Ende einfügen und speichern?
Oder wenn man über das Record Management geht möchte um dort ein Record vom Type: TXT hinzufügt
Was muss dann wie in die folgenden Felder eingetragen werden?
Name:
Value:
TTL: vorbelegt mit 7200
Danke Gruß MSC
Ohne die Hetzner-Oberfläche kennen (zu wollen):
Name:
Value: v=spf1 mx a:mail.your-server.de -all
Aber Vorsicht, ich würde an Deiner Stelle erst mal mit einem Softfail experimentieren und prüfen, ob die Mails ankommen: ~all statt -all
Dazu auch erst mal die TTL bei 7200 (Sekunden) lassen. Wenn Mails von Dir zugestellt werden können, dann die Value gerne auf -all ändern und die TTL auf 86400 (Sekunden) setzen = 1 Tag (typische Zeitspanne bei Mailservern, Fluktuationen werden nicht gerne gesehen).
Der "Value" verweist durch den Eintrag MX auf den Server dediextern.your-server.de, dessen IPv4/IPv6 eine TTL von gerade mal 7200 Sekunden hat. Eigentlich eine "Bad Practice" im Bereich der Mailserver (dort sind 24h üblich) und ein Garant dafür ein paar Pünktchen bei Anti-Spam-Programmen zu sammeln.
Google zur Reduzierung des SPAM-Aufkommens wohl keine Mails an GMail zustellt, wenn sich die Domain des E-Mail Absenders von der Domain des Postausgangsservers unterscheidet.
das ist bullshit. Das steht da nicht.Das ist technischer Unsinn.
Du sollst gefälligst SPF,DKIM und DNarc machen.
GMX leitet übrigens erkannten Spam über eine separate IP weiter die immer in einer RBL gelisted ist.
So verhindert GMX das sie als Spam scheuder erkannt werden und die echte Mail Server gelistet werden.
Schöne Lösung finde ich.