Mail-Ablehnung durch SPF bei Weiterleitungen
Probleme bei E-Mail-Weiterleitungen an E-Mail-Adressen mit externer Domain
Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails an eine externe E-Mail-Adresse weitergeleitet werden (z.B. an ein E-Mail-Konto bei Google oder Yahoo).
Manche E-Mails erhalten Sie über diese Weiterleitung und manche E-Mail gehen verloren, bzw. der jeweilige Absender erhält in regelmäßigen Abständen E-Mails mit einer der Betreffzeile
Warning: message …xyz… delayed X hours
In anderen Fällen können die E-Mails gar nicht zugestellt werden und der Absender erhält die E-Mail als unzustellbar zurück. Im Betreff steht dann z.B,
Mail delivery failed: returning message to sender
oder im Text steht die Fehlermeldung:
mx.mail-connect.net [80.254.138.xxx] #SMTP; 550 Unable to relay
Anmerkung: Alle Warn- oder Fehlermeldungen haben in der Praxis oft nur einen ähnlichen Wortlaut.
Ursache
Der Spam-Filter des empfangenden Mailservers für Ihr Weiterleitungsziel lehnt die weitergeleitete (temporär) E-Mail ab. Der Grund liegt an der SPF-Einstellung im DNS des Absenders bzw. der Absender-Adresse (s. https://de.wikipedia.org/wiki/Sender_Policy_Framework).
Dabei passiert folgendes:
- Firma A schickt an Kunden B.
- Kunde B nutzt ein mail-connect Postfach und leitet ankommende Mails an Yahoo weiter.
- Firma A hat einen strikten SPF-Record, der den Versand von E-Mails mit Absender von mail@firma-a.de nur für die eigenen Mailserver der Firma A erlaubt.
- Wenn jetzt Firma A eine Mail an den Kunden B schickt, leiten die Mailserver von mail-connect.net diese E-Mail an Yahoo weiter.
- Der Spam-Filter von Yahoo stellt fest, dass mail-connect.net nicht für Firma A versenden darf und lehnt die Mail ab.
- Firma A oder Kunde B beschweren sich, dass E-Mails abgelehnt werden. O-Ton: "Alle anderen Mails kommen an!".
Hintergrund
Die Funktion zur E-Mail-Weiterleitung ist so implementiert ist, dass die Absenderadresse bei der Weiterleitung nicht geändert wird. Nach der Weiterleitung lautet der Absender so, wie im Original. Dieses Forwarding ist für SPF nicht vorgesehen. Der selbe Effekt tritt ähnlich auf Mailinglisten auf. Unter Mailserver-Experten ist die Technik „Sender Policy Framework“ (SPF) aus diesem Grund seit Jahren umstritten.
Das Problem entsteht durch das Zusammenspiel von drei Effekten:
- Strikte (teilweise überzogene) SPF Einstellungen beim Absender .
- Benutzer, die doppelten E-Mail-Verkehr generieren, indem sie Mails (inkl. Spam) automatisch noch einmal versenden (= weiterleiten). Benutzer werden so selbst zu Spammern.
- Anti-Spam-Filter die beim Ziel-Postfach teilweise mit übertriebenen Einstellungen "bessere Spam-Erkennungsraten" versprechen.
Alles zusammen ist schon kein schöner Zug, weil technisch dynamische Systeme in gerade zu verschwendederischer Art an einander vorbei eingesetzt werden. Die Folge sind Fehler, die durch den unüberlegten Einsatz bestimmter Einstellungen zu unerwarteten Nebeneffekten führen.
Technisch korrekt muss man festhalten: Die mail-connect Server erkennen derartige "Konstellationen" und beenden die Weiterleitung absolut folgerichtig mit der Fehlermeldung "unable to relay" (diese Fehlermeldung muss an dieser Stelle wörtlich gebnau so verstanden werden).
Abhilfe
Die ungewünschten Seiteneffekte entstehen in allen drei Bereichen der Mail-Einstellungen. Zur grundsätzlichen Lösung von E-Mail-Fehlern und verbesserter Spam-Erkennung ist daher in allen Bereichen eine korrekte Einstellung vozunehmen, sowie auf den sinnvollen Einsatz der jeweiligen Technologie zu achten
SPF-Settings
Wir empfehlen, keine strikten SPF-Records, die festlegen, dass Mails gelöscht werden sollen, wenn sie von anderen Mailservern als die im SPF-Record aufgelisteten stammen. Insbesondere von diesen Einstellungen raten wir ab:
-all ~all
Eine bessere Technik als Alternative zu SPF ist „Domain Keys Identified Mail“ (DKIM). Diese Lösung schränkt den Missbrauch von Absendern wirkungsvoll ein (und stellt nebenbei auch die Unverfälschtheit des Mail-Headers sicher).
E-Mail Weiterleitungen nur temporär
Spam-Filter
IT Service durch all-connect
Gerne helfen wir Ihnen beim Setup Ihres Mailservers weiter und bieten Ihnen dazu unsere Unterstützung von der Planung bis zum operativen Betrieb.
Als Systemhaus bieten wir Ihnen individuelle IT-Dienstleistungen: Rufen Sie uns an und fragen Sie uns: Unser Service Team erreichen Sie unter unserer kostenlosen Hotline!