Mail-Ablehnung durch SPF bei Weiterleitungen

Aus all-connect Hilfe-Center
Version vom 25. Mai 2019, 00:47 Uhr von Mhe (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „__NOTOC__ ==Probleme bei E-Mail-Weiterleitungen an E-Mail-Adressen mit externer Domain== Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails a…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Probleme bei E-Mail-Weiterleitungen an E-Mail-Adressen mit externer Domain

Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails an eine externe E-Mail-Adresse weitergeleitet werden (z.B. an ein E-Mail-Konto bei Google oder Yahoo).

Manche E-Mails erhalten Sie über diese Weiterleitung und manche E-Mail gehen verloren, bzw. der jeweilige Absender erhält in regelmäßigen Abständen E-Mails mit einer der Betreffzeile 

Warning: message …xyz… delayed 6 hours

oder 

Warning: message …xyz… delayed 24 hours

In anderen Fällen können die E-Mails gar nicht zugestellt werden und der Absender erhält die E-Mail als unzustellbar zurück. Im Betreff steht dann z.B, 

Mail delivery failed: returning message to sender

oder im Text steht die Fehlermeldung: 

mx.mail-connect.net [80.254.138.xxx] #SMTP; 550 Unable to relay

Anmerkung: Alle Warn- oder Fehlermeldungen haben in der Praxis oft nur einen ähnlichen Wortlaut.


Ursache

Bei der blockierten E-Mail handelt es sich um eine automatisch generierte E-Mail von einem E-Mail-Server, welche an fremde, externe Internet-Teilnehmer adressiert ist. Typischerweise werden solche automatisch generierten Nachrichten wegen der Unzustellbarkeit einer E-Mail versendet.

Beispiel
  • Die Postfächer der Domain @BeispielDomain.eu werden von Ihrem eigenen Server (z.B. Exchange) bereitgestellt und Sie empfangen Mails über Ihren eigenen MX-Record direkt oder lassen sich eingehende Mails über mail-connect per SMTP an Ihren eigenen Server senden (Funktion "An Ihren eigenen SMTP-Server weiterleiten").
  • Die Absenderin Erika.Mustermann@Internet-User.de sendet an Hans@BeispielDomain.eu, jedoch gibt es diese Adresse auf Ihrem Server nicht. *Entsprechend generiert Ihr E-Mail-Server eine Bounce-Nachricht (auch DSN - Delivery Status Notification genannt) und sendet diesen Status-Report an Erika.Mustermann@Internet-User.de zurück.

Missbrauch

Im o.g. Beispiel ist eine eigentlich sinnvolle Funktion beschrieben, die jedoch wie folgt missbraucht werden kann:

  • Ein Spammer oder (DoS-)Angreifer fälscht E-Mails und trägt die Absenderin Erika.Mustermann@Internet-User.de vorsätzlich falsch ein.
  • Ihr Mailserver sendet nun eine neue Nachricht (oft sogar mit der originalen Nachricht im Anhang) an Erika.Mustermann@Internet-User.de zurück.
  • Auf diese Weise empfängt die unbeteiligte, dritte Person, nämlich Erika.Mustermann@Internet-User.de E-Mail-Spam von Ihrem Server, ohne dass sich Erika.Mustermann@Internet-User.de dagegen wehren könnte.
  • Weil Ihr Mailserver über uns als Postausgang versendet, wird diese Spam-Mail in Folge auch über unsere Server versendet, was unseren mail-connect Dienst erheblich schadet. Für Außenstehende z.B. Google-Mail sähe es so aus, als würden wir Spam versenden.

Diesen Missbrauch nennt man "Backscatter": http://de.wikipedia.org/wiki/Backscatter_(E-Mail)

Aus diesem Grund erlauben unsere Postausgangsmailserver (manchmal auch in Ihrem Mailserver als Smarthost bezeichnet) keine Bounce-Nachrichten (also keine DSNs) an externe/fremde E-Mail-Adressen. Ihre E-Mails werden blockiert.

Abhilfe

Sie müssen die DSN- bzw. Bounce-Nachrichten-Funktion richtig konfigurieren.

Mails an nicht existierende Adressen im SMTP-Protokoll mit 550-Fehler ablehnen

Richten Sie Ihren Mailserver so ein, dass E-Mails an nicht existierende Adressen (im o.g. Beispiel also an Hans@BeispielDomain.eu) nicht angenommen werden. Das SMTP-Protokoll sieht hierfür den SMTP-Status-Code 550 (SMTP Fehler, z.B. "User unknown") vor.

Diesen Status-Code wertet unser mail-connect Server ebenfalls (in Echtzeit!) aus und blockiert dann mit dem selben Status eingehende Mails an nicht existierende Adressen. So wird verhindert, dass später Bounce-Mails (DSNs) generiert werden.

Typischerweise kann diese "Annahme-Sperre" mit der richtigen Einstellung eines Anti-Spam-Filters konfiguriert werden.

DSN Nachrichten nur an interne Benutzer

Richten Sie Ihren Mailserver so ein, dass DSN bzw. Bounce-Nachrichten wie im o.g. Beispiel nur an Ihre eigenen, authentifizierten Benutzer gesendet werden (= an E-Mail-Adressen aus Ihrer eigenen Domain).

An fremde Benutzer ist dann kein Status-Report mehr erforderlich.

Catchall Funktion deaktivieren

Häufig werden E-Mails in sogenannte Sammelpostfächer (Catchall Funktion) empfangen und dann später weiterverarbeitet und durch interne Mail-Dienste verteilt.

Deaktivieren Sie diese Sammel-Funktion und richten Sie stattdessen jede genutzte E-Mail Adresse individuell und explizit ein. Dies verhindert, dass Sie Spam an falsche Adressen empfangen und es macht den E-Mail-Missbrauch des Backscatting unter Ihrer Domain unmöglich.


Backscatter Problem auch umgekehrt

Im obigen Abschnitt wurde das Problem in der Konstellation eingehender Mails an Ihren Mailserver behandelt, bei denen in der Folge ein bei Ihnen automatisch generierter Bounce/DSN ausgehend versendet wird.

Das Problem gibt es aber natürlich auch umgekehrt: Ihre E-Mail-Adresse könnte Ziel eines Backscatter-Missbrauchs sein, wie er nach o.g. Muster auf einem fremden Mailserver stattfindet.

Wie oben schon im Nebensatz angedeutet, können Sie in diesen Fall kaum abwehren. Schließlich besitzt die generierte Bounce-E-Mail ein technisch vollständig gültiges Format und der Absenderserver könnte ein großer Firmen-Mailserver sein über den ansonsten auch viele gültige und gewollte Mails versendet werden. Diesen zu sperren "schießt über das Ziel hinaus".

Aus diesem Grund bietet unser Spam-Filter in der STR-Funktion eine Mustererkennung von Bounce- und DSN-Mails an. Werden solche Bounces erkannt, blockiert die STR-Funktion die betreffende E-Mail. Als Filterkriterium gilt dabei, dass ein Bounce an ein mail-connect Konto gerichtet ist, dieser aber nicht von mail-connect generiert wurde. Dies funktioniert unter der Annahme, dass Sie Ihre Mails über mail-connect versenden: Wenn also eine Mail tatsächlich unzustellbar ist, erhalten Sie "echte" Bounce-/DSN-Mails nur von uns und von sonst niemanden.

IT Service durch all-connect

Gerne helfen wir Ihnen beim Setup Ihres Mailservers weiter und bieten Ihnen dazu unsere Unterstützung von der Planung bis zum operativen Betrieb.

Als Systemhaus bieten wir Ihnen individuelle IT-Dienstleistungen: Rufen Sie uns an und fragen Sie uns: Unser Service Team erreichen Sie unter unserer kostenlosen Hotline!

Abgerufen von „https://hilfe.all-connect.net/index.php?title=Mail-Ablehnung_durch_SPF_bei_Weiterleitungen&oldid=3058