• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Unable to relay - Webserver

B

BWC-DE

Member
Registriert
30 Oktober 2025
Beiträge
5
Reaktionspunkte
1
Hi,

das Szenario gibt es ja leider sehr oft, ein Webserver (Shared Hosting bei Mittwald) generiert eine Mail mit der eigenen Domain als Absender und Empfänger und nutzt den mailout Dienst von Mittwald. Die Systeme von Mittwald (agenturserver.de) stehen im SPF und die Mails schlagen am NSP auf und werden mit "unable to relay" abgelehnt. Die Mails die von Mittwald zusätzlich an externe Adressen direkt verschickt werden, werden auch zugestellt.

Muss ich zwingend die diversen IP Adressen von Mittwald bei "E-Mail-Server des Unternehmens" eintragen oder kann ich das anderweitig steuern? Prüft Mittwald überhaupt ob ein Hosting-Kunde berechtigt ist mit der entsprechenden Domain zu versenden oder könnte sich hier jeder daran versuchen? Eigentlich muss nur eine spezifische Absender- und Empfänger-Adresse von Mittwald erlaubt werden. Ich hatte gehoft das sich das durch eine Regel konfigurieren läßt, aber das klappt irgendwie nicht.

Lt. Troubleshooting log für mailvalidation wird auch meine Regel angesprochen, aber es bleibt beim Urteil der Ablehnung. "The sender sends from an external address but uses a local domain. Rejecting the attempt."

Hat jemand Tips wie ich das lösen könnte?

--Michael
 
Hallo Michael,

du hast zwei Möglichkeiten (mit den Infos die du geteilt hast):
1. Im NSP als E-Mail Server des Unternehmens einen SPF Server hinzufügen. Damit dürfen alle SPF eingetrgenen Systeme im Namen der gewünschten eigenen Domänen über den NSP relayen
2. Im NSP als E-Mail Server des Unternehmens eine E-Mail Adresse hinzufügen und in den Regeln das dann so strikt wie möglich behandeln.

Der zweite Fall ist ziemlich "unsicher" und ist eher für tests oder so gedacht, SPF wäre der empfohlene Weg =)

LG
Jan
 
Hallo Michael,
BWC-DE schrieb:
das Szenario gibt es ja leider sehr oft, ein Webserver (Shared Hosting bei Mittwald) generiert eine Mail mit der eigenen Domain als Absender und Empfänger und nutzt den mailout Dienst von Mittwald.
Zum Vergrößern anklicken....
Leider ist das oft genau das Problem: Es werden sich nur zwei Minuten Zeit genommen und dann wird direkt mit der erstbesten Idee losgelegt.

Gerade bei Themen wie E-Mail, DNS und Hosting kann so ein Schnellschuss aber schnell nach hinten losgehen. Mit Auswirkungen auf Zustellbarkeit, Reputation und im Zweifel sogar auf das gesamte Unternehmen.

BWC-DE schrieb:
Hat jemand Tips wie ich das lösen könnte?
Zum Vergrößern anklicken....
Stell dir folgendes Szenario vor: Auf dem Webserver von Mittwald kommt es zu einer fehlerhaften Konfiguration. Im schlimmsten Fall führt das dazu, dass ein fremder Kunde plötzlich in deinem Namen E-Mails nicht nur an euch, sondern an beliebige Empfänger weltweit versendet.

Wenn es richtig ungünstig läuft, landet eure Domain dadurch schneller auf einer oder mehreren DNS-Blacklists, als man reagieren kann. Das Problem betrifft dann nicht nur Mittwald selbst, sondern unmittelbar auch euer eigenes E-Mail-System und eure Reputation.

Wenn dir Themen wie Sicherheit und Zustellbarkeit wichtig sind, würde ich daher ernsthaft in Betracht ziehen, solche Systeme über eine dedizierte Domain abzubilden. Gerade bei Shared Services wie Webhosting oder Mailing-Anbietern, bei denen du dir die Infrastruktur mit vielen anderen Kunden teilst, ist das Risiko aus meiner Sicht nicht zu unterschätzen – insbesondere im Verhältnis zum vergleichsweise geringen Aufwand für eine saubere Trennung.

Ein konkretes Beispiel zur Umsetzung wäre folgendes:
Du registrierst eine separate Domain wie firma-extern.de und legst darunter z. B. die Subdomain web.firma-extern.de für alle Webhosting-Themen an – unabhängig davon, bei welchem Anbieter diese laufen. Dadurch entkoppelst du diese Dienste vollständig von deiner eigentlichen Unternehmensdomain und vermeidest direkte Abhängigkeiten.

Wenn du das Ganze noch weiter absichern möchtest, kannst du zusätzlich einen dedizierten SMTP-Server einsetzen. So stellst du sicher, dass E-Mails ausschließlich nach erfolgreicher Authentifizierung versendet werden können. Ergänzend dazu richtest du DKIM ein und signierst die Mails sauber über die entsprechende Subdomain.

Im nächsten Schritt kannst du dann z. B. ein Postfach wie kundenportal@web.firma-extern.de beim jeweiligen Hosting-Anbieter (z. B. Mittwald) anlegen, das ausschließlich für diesen Einsatzzweck genutzt wird.

Mit diesem Setup erreichst du eine klare Trennung der Systeme, reduzierst Risiken durch Shared-Hosting-Umgebungen und behältst gleichzeitig maximale Kontrolle sowie Transparenz über deine Mail-Reputation und den Versand.


Gruß,
Daniel
 
Servus Jan,

JanJäschke schrieb:
1. Im NSP als E-Mail Server des Unternehmens einen SPF Server hinzufügen. Damit dürfen alle SPF eingetrgenen Systeme im Namen der gewünschten eigenen Domänen über den NSP relayen
2. Im NSP als E-Mail Server des Unternehmens eine E-Mail Adresse hinzufügen und in den Regeln das dann so strikt wie möglich behandeln.

Der zweite Fall ist ziemlich "unsicher" und ist eher für tests oder so gedacht, SPF wäre der empfohlene Weg =)
Zum Vergrößern anklicken....
Vielen Dank für die Hinweise, als NSP Neuling bin ich stumpf davon ausgegangen das ich nur IP-Adressen als E-Mail-Server des Unternehmens eintragen kann und habe das gar nicht hinterfragt. Aber da da gibt es ja noch viel mehr Typen. SPF wäre ein Weg oder SMTP Auth erscheint mir auch eine Option, dann direkt aus dem CMS.

Option 1. mit einer ggf. angepassten Regel erscheint mir ein gangbarer Weg.

--Michael
 
Servus Daniel,

869288141 schrieb:
Leider ist das oft genau das Problem: Es werden sich nur zwei Minuten Zeit genommen und dann wird direkt mit der erstbesten Idee losgelegt.

Gerade bei Themen wie E-Mail, DNS und Hosting kann so ein Schnellschuss aber schnell nach hinten losgehen. Mit Auswirkungen auf Zustellbarkeit, Reputation und im Zweifel sogar auf das gesamte Unternehmen.
Zum Vergrößern anklicken....
Das kann ich so zu 100% unterschreiben, bin seit nunmehr 30 Jahren im Thema aber manchmal trifft man auf Umgebungen die halt so sind wie sie sind. Shared Hosting ist nicht das Gelbe vom Ei, aber hier wohl erstmal gesetzt. Leider besteht keine Möglichkeit auf dem Webhost einen dedizierten postfix zu aktivieren, sonst wäre das Thema durch.

Aber durch den Hinweis von Jan komme ich wohl erstmal weiter. Mit dem Wissen das E-Mail-Server des Unternehmens nicht nur auf IPs beschränkt sind, läßt sich einiges umsetzen.

Vielen Dank auch Dir.

--Michael
 
BWC-DE schrieb:
Servus Jan,


Vielen Dank für die Hinweise, als NSP Neuling bin ich stumpf davon ausgegangen das ich nur IP-Adressen als E-Mail-Server des Unternehmens eintragen kann und habe das gar nicht hinterfragt. Aber da da gibt es ja noch viel mehr Typen. SPF wäre ein Weg oder SMTP Auth erscheint mir auch eine Option, dann direkt aus dem CMS.

Option 1. mit einer ggf. angepassten Regel erscheint mir ein gangbarer Weg.

--Michael
Zum Vergrößern anklicken....
Wenn SMTP Auth geht würde ich immer das präferieren weil es das Thema am besten einengt 🤗
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

J
Gelöst Weiterleitung an extern - Unable to relay
Antworten
7
Aufrufe
314
JeWe
J
J
Probleme mit SPF, DKIM und DMARC hinter Relay (Rechenzentrum)
Antworten
5
Aufrufe
401
Sören
Sören
A
Gelöst Mailrouting mit Exchange Hybridstellung migrierte User an nicht migrierte User unable to relay
Antworten
7
Aufrufe
335
JanJäschke
JanJäschke
E
Gelöst Unable to relay bei einem SMTP-Alias
Antworten
0
Aufrufe
272
Ex4Seven
E
D
Gelöst Externe Exchange Online Postfächer zu internem Exchange Verteiler bekommt Remote server returned '550 5.4.4 Unable to relay'
Antworten
4
Aufrufe
1K
Sören
Sören
Zurück
Oben