• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Probleme mit SPF, DKIM und DMARC hinter Relay (Rechenzentrum)

J

joerg

Active member
Registriert
14 Februar 2024
Beiträge
36
Reaktionspunkte
3
Hallo zusammen,


wir setzen NoSpamProxy (Version [bitte ggf. ergänzen]) gemeinsam mit Exchange hinter einem zentralen Rechenzentrum ein, das als E-Mail-Relay fungiert.

Sobald ich im Reputationsfilter die Prüfungen für SPF, DKIM oder DMARC aktiviere, erhalten wir bei eingehenden E-Mails regelmäßig Fehlermeldungen und die Zustellung wird abgelehnt. Die Prüfungen schlagen meist fehl, da die übermittelnde IP-Adresse die des Relays ist und nicht mehr zur absendenden Domain passt.


Beispielhafte Fehlermeldungen:

Meine Vermutung ist, dass durch das Relay des Rechenzentrums die Authentifizierungsmechanismen nicht mehr korrekt greifen, insbesondere die SPF-Prüfung.
1.jpg


2.jpg

3.jpg


LG
Jörg
 
Zuletzt bearbeitet:
Hallo Jörg,

DKIM sollte theoretisch weiterhin validierbar bleiben, das müsste man im Detail betrachten warum da kein Signaturschlüssel gefunden wird, könnte auch am DNS liegen oder am Absender.

SPF bricht wie von dir vermutet durch das Relay, das kann nur gelöst werden in dem:
  • keine SPF Prüfung gemacht wird
  • das Relay ein ARC Siegel aufbringt und ihr dem vertraut
  • das Relay sendet die original IP mittels "XCLIENT extension" mit an den NoSpamProxy

p.s.: Reputationsprüfung sowie teile der standard Mechanismen können ohne die original IP nicht sauber funktionieren, daher ist unsere Empfehlung im Protektion Bereich immer der MXer zu sein. Also falls die chance besteht am Rechenzentrum vorbei zu empfangen, wäre dsa die sauberste Lösung.

LG
Jan
 
Ne da haben wir leider keine Chance...
 
Ist es möglich eine Ausnahme beim Greylisting hinzuzufügen? Greylisting greift auch immer beim Rechenzentrum...
 
joerg schrieb:
Ist es möglich eine Ausnahme beim Greylisting hinzuzufügen? Greylisting greift auch immer beim Rechenzentrum...
Zum Vergrößern anklicken....
Na wenn ihr die Mails nicht direkt aus dem Internet auf dem NSP empfangt und die Mails immer vom Relay erst kommen, kannst und solltest du die Greylisting Aktion direkt aus den Aktionen der Regeln entfernen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

A
Gelöst DMARC Prüfung schlägt fehl bei Mails die per SMTP Auth über NSP Cloud an EXO gehen.
Antworten
6
Aufrufe
1K
JanJäschke
JanJäschke
Zurück
Oben