web.de gmx.de scheitern am SPF -> Quarantäne

A

AliceSalomon

New Member
Proxmox Subscriber
Jun 20, 2025
10
0
1
Hallo zusammen,

wir haben PMG neu aufgesetzt. Leider scheitern web.de und gmx.net am SPF-Filter. Ich möchte die Domänen aber ungerne einfach so in die Whitelist schreiben. Hat jemand einen guten Tipp für mich? Besten Dank!
1750419215971.png

1750419252329.png
 
T_SPF_TEMPERROR kann auf eine Problem bei der Konfiguration der DNS-Server hindeuten - also das mal überprüfen...
ansonsten - bitte die logs zu den mails teilen - vl. zeigen die wo das Problem ist.
 
Hi,

vielen Dank für die Hilfe!
Die DNS Einstellungen sind: 1750682194574.png - die sollten doch so passen.

Welches Logfile wäre denn richtig?

Hier ein Beispiel:
2025-06-11T18:00:26.226390+02:00 pmg postfix/smtpd[128756]: connect from mout.web.de[212.227.15.4]
2025-06-11T18:00:26.314458+02:00 pmg postfix/smtpd[128756]: Anonymous TLS connection established from mout.web.de[212.227.15.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature RSA-PSS (4096 bits) server-digest SHA256
2025-06-11T18:00:32.743485+02:00 pmg postfix/smtpd[128756]: B567681CFF: client=mout.web.de[212.227.15.4]
2025-06-11T18:00:32.801446+02:00 pmg postfix/cleanup[128757]: B567681CFF: message-id=<trinity-0f957e40-e5dd-4ea0-a1d9-7c267cc788f1-1749657621540@trinity-msg-rest-webde-webde-live-6b9699d497-w6rrt>
2025-06-11T18:00:32.869540+02:00 pmg postfix/qmgr[751]: B567681CFF: from=<EMAILADRESSE_ENTFERNT@web.de>, size=561239, nrcpt=1 (queue active)
2025-06-11T18:00:32.885639+02:00 pmg postfix/smtpd[128756]: disconnect from mout.web.de[212.227.15.4] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2025-06-11T18:00:32.927485+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: new mail message-id=<trinity-0f957e40-e5dd-4ea0-a1d9-7c267cc788f1-1749657621540@trinity-msg-rest-webde-webde-live-6b9699d497-w6rrt>#012
2025-06-11T18:00:43.757491+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: SA score=4/5 time=10.271 bayes=undefined autolearn=no autolearn_force=no hits=DKIM_INVALID(0.1),DKIM_SIGNED(0.1),DMARC_QUAR(0.1),FREEMAIL_FROM(0.001),HTML_MESSAGE(0.001),KAM_DMARC_QUARANTINE(4),KAM_DMARC_STATUS(0.01),MIME_HTML_ONLY(0.1),RCVD_IN_MSPIKE_H3(0.001),RCVD_IN_MSPIKE_WL(0.001),SPF_HELO_NONE(0.001),SPOOFED_FREEMAIL(0.001),T_FREEMAIL_DOC_PDF(0.01),T_SPF_TEMPERROR(0.01)
2025-06-11T18:00:43.766109+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: moved mail for <EMAILADRESSE_ENTFERNT@alice-salomon-bk.de> to spam quarantine - 81D436849A82BB9666 (rule: Quarantine/Mark Spam (Level 3))
2025-06-11T18:00:43.768230+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: processing time: 10.85 seconds (10.271, 0.551, 0)
2025-06-11T18:00:43.768592+02:00 pmg postfix/lmtp[128758]: B567681CFF: to=<EMAILADRESSE_ENTFERNT@alice-salomon-bk.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=17, delays=6.5/0/0.04/11, dsn=2.5.0, status=sent (250 2.5.0 OK (81D416849A820DE8C6))
2025-06-11T18:00:43.769031+02:00 pmg postfix/qmgr[751]: B567681CFF: removed
 
ist auf 127.0.0.1 (sprich auf dem PMG selbst) auch wirklich ein DNS-Server konfiguriert ?
funktioniert dns-aufloesung (auf der commandline vom pmg einfach mal `ping -c 4 google.com` versuchen und schauen ob es innerhalb von 1 Sekunde antworten gibt)?...
 
Hi, ich habe den 127.0.0.1 mal entfernt - es ändert aber nichts am Ping: Der Name wird aufgelöst, zurück kommt dann aber nichts
1750686086430.png

PS: Gerade bemerkt: icloud.com ist teilweise auch betroffen.
 
Last edited:
AliceSalomon said:
Hi, ich habe den 127.0.0.1 mal entfernt - es ändert aber nichts am Ping: Der Name wird aufgelöst, zurück kommt dann aber nichts
Click to expand...
wenn die Auflösung prinzipiell funktioniert (wonach der screenshot aussieht) dann wird as mit dem timeout bei ping wahrscheinlich an einer firewall liegen, die das verbietet.

Hängt PMG direkt am Internet - oder gibt es noch anderes Equipment/Firewalls/Proxies davor - die vl. auch die mail verändern? (Ansonsten sollte DKIM ja korrekt sein und dadurch DMARC auch kein Problem machen)
 
AliceSalomon said:
Es gibt ja auch gelingende Mailzustellungen - auch bei web.de.
Click to expand...
Wie sehen da die logs aus?

Nur der Vollständigkeit halber: Wenn ein DNS-Resolver auf dem PMG läuft wuerde ich den auch verwenden - Google DNS sind für Mail Verarbeitung nicht gut geeignet (da sie bei den allermeisten DNSBL über sämtlichen Limits sind).
 
2025-06-24T09:13:18.488287+02:00 pmg postfix/smtpd[11828]: connect from mout.web.de[212.227.15.14]
2025-06-24T09:13:18.578091+02:00 pmg postfix/smtpd[11828]: Anonymous TLS connection established from mout.web.de[212.227.15.14]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature RSA-PSS (4096 bits) server-digest SHA256
2025-06-24T09:13:24.735378+02:00 pmg postfix/smtpd[11828]: B36C182B36: client=mout.web.de[212.227.15.14]
2025-06-24T09:13:24.793018+02:00 pmg postfix/cleanup[11833]: B36C182B36: message-id=<trinity-e27f0412-fc2c-44d9-a1fa-79630a193804-1750749198073@trinity-msg-rest-webde-webde-live-6b9699d497-d6hsf>
2025-06-24T09:13:24.807018+02:00 pmg postfix/qmgr[751]: B36C182B36: from=<EMAILADRESSE_ENTFERNT@web.de>, size=5507, nrcpt=1 (queue active)
2025-06-24T09:13:24.842779+02:00 pmg postfix/smtpd[11828]: disconnect from mout.web.de[212.227.15.14] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2025-06-24T09:13:24.887553+02:00 pmg pmg-smtp-filter[11739]: 82C75685A5014D7F6A: new mail message-id=<trinity-e27f0412-fc2c-44d9-a1fa-79630a193804-1750749198073@trinity-msg-rest-webde-webde-live-6b9699d497-d6hsf>#012
2025-06-24T09:13:25.212639+02:00 pmg pmg-smtp-filter[11739]: 82C75685A5014D7F6A: SA score=0/5 time=0.301 bayes=0.00 autolearn=ham autolearn_force=no hits=AWL(2.298),BAYES_00(-1.9),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),FREEMAIL_FROM(0.001),RCVD_IN_DNSWL_BLOCKED(0.001),RCVD_IN_MSPIKE_H5(0.001),RCVD_IN_MSPIKE_WL(0.001),RCVD_IN_VALIDITY_CERTIFIED_BLOCKED(0.001),RCVD_IN_VALIDITY_RPBL_BLOCKED(0.001),RCVD_IN_VALIDITY_SAFE_BLOCKED(0.001),SPF_HELO_NONE(0.001),T_SPF_TEMPERROR(0.01)
2025-06-24T09:13:25.222065+02:00 pmg postfix/smtpd[11839]: connect from localhost.localdomain[127.0.0.1]
2025-06-24T09:13:25.223833+02:00 pmg postfix/smtpd[11839]: 369BF82CCF: client=localhost.localdomain[127.0.0.1], orig_client=mout.web.de[212.227.15.14]
2025-06-24T09:13:25.224606+02:00 pmg postfix/cleanup[11833]: 369BF82CCF: message-id=<trinity-e27f0412-fc2c-44d9-a1fa-79630a193804-1750749198073@trinity-msg-rest-webde-webde-live-6b9699d497-d6hsf>
2025-06-24T09:13:25.267375+02:00 pmg postfix/qmgr[751]: 369BF82CCF: from=<EMAILADRESSE_ENTFERNT@web.de>, size=7445, nrcpt=1 (queue active)
2025-06-24T09:13:25.267549+02:00 pmg postfix/smtpd[11839]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
2025-06-24T09:13:25.267692+02:00 pmg pmg-smtp-filter[11739]: 82C75685A5014D7F6A: accept mail to <dorothee.shakeri@alice-salomon-bk.de> (369BF82CCF) (rule: default-accept)
2025-06-24T09:13:25.269756+02:00 pmg pmg-smtp-filter[11739]: 82C75685A5014D7F6A: processing time: 0.383 seconds (0.301, 0.02, 0)
2025-06-24T09:13:25.270169+02:00 pmg postfix/lmtp[11834]: B36C182B36: to=<EMAILADRESSE_ENTFERNT@alice-salomon-bk.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.6, delays=6.2/0.04/0.04/0.39, dsn=2.5.0, status=sent (250 2.5.0 OK (82C75685A5014D7F6A))
2025-06-24T09:13:25.270285+02:00 pmg postfix/qmgr[751]: B36C182B36: removed
2025-06-24T09:13:25.310914+02:00 pmg postfix/smtp[11840]: Untrusted TLS connection established to 192.168.1.20[192.168.1.20]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2025-06-24T09:13:25.439724+02:00 pmg postfix/smtp[11840]: 369BF82CCF: to=<EMAILADRESSE_ENTFERNT@alice-salomon-bk.de>, relay=192.168.1.20[192.168.1.20]:25, delay=0.22, delays=0.04/0.04/0.02/0.12, dsn=2.6.0, status=sent (250 2.6.0 <trinity-e27f0412-fc2c-44d9-a1fa-79630a193804-1750749198073@trinity-msg-rest-webde-webde-live-6b9699d497-d6hsf> [InternalId=160606007066668, Hostname=EX2019.schule.alice-salomon-bk.de] 8905 bytes in 0.106, 81,789 KB/sec Queued mail for delivery)
2025-06-24T09:13:25.439972+02:00 pmg postfix/qmgr[751]: 369BF82CCF: removed
 
AliceSalomon said:
Wie verwende ich denn den DNS-Resolver auf dem PMG? Welche DNS-Einträge wären denn sinvoll?
Click to expand...
naja - der screenshot weiter oben zeigt, dass `127.0.0.1` als DNS Server eingetragen ist - 127.0.0.1 ist localhost und somit das PMG...
Normalerweise läuft auf dem PMG aber kein DNS-Server außer er wurde vom Admin eingerichtet z.B. dem pmg-wiki folgend:
https://pmg.proxmox.com/wiki/index....edicated_DNS_Resolver_on_Proxmox_Mail_Gateway

auch bei den Logs der mail die durchgegangen ist steht dass es potentiell Probleme mit der DNS-Auflösung gibt - T_SPF_TEMPERROR
 
AliceSalomon said:
Ich habe nun gemäß Anleitung den unbound server installiert. Der DNS Test scheitert allerdings:
Click to expand...
allgemein: bitte text output als text pasten in code-blocks - aus screenshots laesst sich schwer pasten...

ansonsten - sieht das komisch aus - vielleicht eine firewall am pmg-host (iptables, nftables) die connections auf 127.0.0.1 unterbindet?
 
ich würde mich sehr über einen Tipp freuen - die Verwendung von 127.0.0.1 klappt leider immer noch nicht. Es gibt immer einen timeout.
Sollte nicht eine DNS-Abfrage an 127.0.0.1 innerhalb des PMG geschehen? Oder geht die Anfrage nach außen über das PVE und wieder zurück?
 
AliceSalomon said:
ich würde mich sehr über einen Tipp freuen - die Verwendung von 127.0.0.1 klappt leider immer noch nicht.
Click to expand...
ich würde mir die logs gut anschauen - der `ss` screenshot oben sagt, dass unbound auf port 127.0.0.1 53 lauscht
wenn in /etc/resolv.conf 127.0.0.1 steht, sollte er auch gefragt werden - unbound selbst muss dann natürlich die authoritativen DNS server im Internet fragen (sprich muss nach außen auf port 53 fragen dürfen)...
 
You must log in or register to reply here.
Top Bottom