SRS (Sender Rewriting Scheme) (überarbeitet 28.08.24) gmail.com accepted/deferred bei E-Mail-Weiterleitungen

T

TRK68

New Member
Jul 10, 2024
6
0
1
Liebe Community, ich bitte um Hilfe im Sinne der Schwarmintelligenz.

Ich nutze Proxmox Mail Gateway 8.x mit korrekt eingerichtetem Mail-Server (Synology Mailserver 2.0) auf fixer IP, DKIM, SPF, DMARC; alles funktioniert bestens mit einer Ausnahme:

Ich kann Mails an/von gmail.com direkt versenden und empfangen, auch über einen Mailverteiler (eine Alias-LIste im Synology-Mailserver). Sobald ich aber eine eingehende Mail über den gleichen Mailverteiler automatisch weiterleiten lasse, werden diese von gmail "accepted/deferred" und nie an die Empfänger zugestellt. Das ist ärgerlich, weil ich eine Mailinglist für einen kleinen Verein führe. Bei allen anderen Mailprovidern (t-online.de, yahoo.com, web.de) usw. gibt es keine Probleme.
Leite ich hingegen die eingegangene Mail in meinem lokalen Mailprogramm manuell an die gleiche Mailingliste weiter, funktioniert es wieder.

Ich denke, es hat mit SPF/DKIM zu tun und liegt daran, dass die ursprüngliche Absenderadresse (xxx@aol.com) der automatisch weitergeleiteten E-Mail nicht mit der Domain meines Mailservers übereinstimmt, obwohl die weitergeleitete Mail mit DKIM von meinem Server "beglaubigt" ist.
Im Mali-Proxy vom Proxmox ist unter DKIM/Settings "Envelope" eingestellt.

Meine Kenntnisstand (ich betreibe das nur als Hobby) erlaubt mir leider nicht zu erkennen, wie man das lösen kann (Stichworte Sender Rewriting Scheme, Envelope). Gmail hatte ich schonmal angeschrieben - keinerlei Reaktion.

Würde mir hier jemand auf die Sprünge helfen können?

TRK68
 
Last edited:
Bitte mal die logs von so einer Mail z.B. aus dem Tracking Center teilen, daran lässt sich normalerweise gut ablesen was das Problem ist.
 
2024-08-07T13:27:35.163204+02:00 mail postfix/smtpd[133948]: connect from unknown[192.168.168.100]

2024-08-07T13:27:35.181619+02:00 mail postfix/smtpd[133948]: Anonymous TLS connection established from unknown[192.168.168.100]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256

2024-08-07T13:27:35.182906+02:00 mail postfix/smtpd[133948]: NOQUEUE: client=unknown[192.168.168.100]

2024-08-07T13:27:35.264695+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: new mail message-id=<003BDE21-6E17-46B1-8B93-8490C4DCE633@t-online.de>#012

2024-08-07T13:27:49.904771+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: SA score=1/5 time=14.562 bayes=undefined autolearn=no autolearn_force=no hits=DMARC_MISSING(0.1),FREEMAIL_FROM(0.001),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_INFOUSMEBIZ(0.75),MIME_HTML_ONLY(0.1),MIME_QP_LONG_LINE(0.001),MPART_ALT_DIFF(0.724),RCVD_IN_DNSWL_NONE(-0.0001),RCVD_IN_MSPIKE_H3(0.001),RCVD_IN_MSPIKE_WL(0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001)

2024-08-07T13:27:49.917535+02:00 mail postfix/smtpd[133945]: connect from localhost.localdomain[127.0.0.1]

2024-08-07T13:27:49.918597+02:00 mail postfix/smtpd[133945]: E038E417EE: client=localhost.localdomain[127.0.0.1], orig_client=unknown[192.168.168.100]

2024-08-07T13:27:49.922340+02:00 mail postfix/cleanup[133946]: E038E417EE: message-id=<003BDE21-6E17-46B1-8B93-8490C4DCE633@t-online.de>

2024-08-07T13:27:49.974547+02:00 mail postfix/qmgr[684]: E038E417EE: from=<absender.der.weitergeleitetenmail@t-online.de>, size=55960, nrcpt=7 (queue active)

2024-08-07T13:27:49.974690+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.ohne.problem.1@aol.com> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.974774+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.ohne.problem.2@domain.de> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.974830+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.ohne.problem.3@freenet.de> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.974889+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.mit.problem.1@gmail.com> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.974976+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.mit.problem.2@gmail.com> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.975053+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <empfänger.ohne.problem.4@gmx.de> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.975122+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: accept mail to <absender.der.weitergeleitetenmail@t-online.de> (E038E417EE) (rule: Super-White - Out)

2024-08-07T13:27:49.976634+02:00 mail postfix/smtpd[133945]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=7 data=1 commands=11

2024-08-07T13:27:49.985602+02:00 mail pmg-smtp-filter[130076]: 4165E66B35A2737F39: processing time: 14.744 seconds (14.562, 0.071, 0)

2024-08-07T13:27:49.986415+02:00 mail postfix/smtpd[133948]: proxy-accept: END-OF-MESSAGE: 250 2.5.0 OK (4165E66B35A2737F39); from=<absender.der.weitergeleitetenmail@t-online.de> to=<empfänger.ohne.problem.1@aol.com> proto=ESMTP helo=<mailplus.meine-maildomain.de>

2024-08-07T13:27:49.986815+02:00 mail postfix/smtpd[133948]: disconnect from unknown[192.168.168.100] ehlo=2 starttls=1 mail=1 rcpt=7 data=1 quit=1 commands=13

2024-08-07T13:27:50.167975+02:00 mail postfix/smtp[133955]: Trusted TLS connection established to emig.freenet.de[195.4.92.218]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256

2024-08-07T13:27:50.490136+02:00 mail postfix/smtp[133955]: E038E417EE: to=<empfänger.ohne.problem.3@freenet.de>, relay=emig.freenet.de[195.4.92.218]:25, delay=0.57, delays=0.06/0/0.27/0.24, dsn=2.0.0, status=sent (250 OK id=1sbepa-00FAxJ-A6)

2024-08-07T13:27:50.828184+02:00 mail postfix/smtp[133957]: Trusted TLS connection established to mx-aol.mail.gm0.yahoodns.net[67.195.204.80]:25: TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256

2024-08-07T13:27:51.965412+02:00 mail postfix/smtp[133957]: E038E417EE: to=<empfänger.ohne.problem.1@aol.com>, relay=mx-aol.mail.gm0.yahoodns.net[67.195.204.80]:25, delay=2, delays=0.06/0/1.1/0.88, dsn=2.0.0, status=sent (250 ok dirdel)

2024-08-07T13:27:55.125238+02:00 mail postfix/smtp[133947]: Trusted TLS connection established to gmail-smtp-in.l.google.com[66.102.1.27]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature ECDSA (prime256v1)

2024-08-07T13:27:55.137319+02:00 mail postfix/smtp[133954]: Trusted TLS connection established to mx01.emig.gmx.net[212.227.17.5]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature RSA-PSS (2048 bits) server-digest SHA256

2024-08-07T13:27:55.160623+02:00 mail postfix/smtp[133953]: Trusted TLS connection established to mx03.t-online.de[194.25.134.73]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (secp384r1) server-signature RSA-PSS (4096 bits) server-digest SHA256

2024-08-07T13:27:55.199613+02:00 mail postfix/smtp[133956]: Trusted TLS connection established to smx00.udag.de[62.146.106.50]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (secp384r1) server-signature RSA-PSS (4096 bits) server-digest SHA256

2024-08-07T13:27:55.394275+02:00 mail postfix/smtp[133954]: E038E417EE: to=<empfänger.ohne.problem.4@gmx.de>, relay=mx01.emig.gmx.net[212.227.17.5]:25, delay=5.5, delays=0.06/0/5.2/0.18, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=1N4Osg-1sBunt0x42-014u5d)

2024-08-07T13:27:55.592300+02:00 mail postfix/smtp[133953]: E038E417EE: to=<absender.der.weitergeleitetenmail@t-online.de>, relay=mx03.t-online.de[194.25.134.73]:25, delay=5.7, delays=0.06/0/5.3/0.32, dsn=2.0.0, status=sent (250 2.0.0 Message accepted.)

2024-08-07T13:27:55.751253+02:00 mail postfix/smtp[133947]: E038E417EE: to=<empfänger.mit.problem.1@gmail.com>, relay=gmail-smtp-in.l.google.com[66.102.1.27]:25, delay=5.8, delays=0.06/0/5.2/0.56, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[66.102.1.27] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 SPF [t-online.de] with ip: [185.105.xxx.xxx] = did not pass 550-5.7.26 550-5.7.26 For instructions on setting up authentication, go to 550 5.7.26 https://support.google.com/mail/answer/81126#authentication ffacd0b85a97d-36bbd27006dsi6535766f8f.717 - gsmtp (in reply to end of DATA command))

2024-08-07T13:27:55.757572+02:00 mail postfix/smtp[133947]: E038E417EE: to=<empfänger.mit.problem.2@gmail.com>, relay=gmail-smtp-in.l.google.com[66.102.1.27]:25, delay=5.8, delays=0.06/0/5.2/0.56, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[66.102.1.27] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 SPF [t-online.de] with ip: [185.105.xxx.xxx] = did not pass 550-5.7.26 550-5.7.26 For instructions on setting up authentication, go to 550 5.7.26 https://support.google.com/mail/answer/81126#authentication ffacd0b85a97d-36bbd27006dsi6535766f8f.717 - gsmtp (in reply to end of DATA command))

2024-08-07T13:27:55.870850+02:00 mail postfix/smtp[133956]: E038E417EE: to=<empfänger.ohne.problem.2@domain.de>, relay=smx00.udag.de[62.146.106.50]:25, delay=6, delays=0.06/0/5.3/0.59, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 5BE19140021)

2024-08-07T13:27:55.879917+02:00 mail postfix/qmgr[684]: E038E417EE: removed

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ich authentifiziere meinen ausgehenden Mailversand mit SPF und DKIM für "meine.maildomain.de", das passt soweit alles in z.B. mxtoolbox.
Die von mir mit Synology Mail-Server 2.0 automatisch an meine Verteilerliste weitergeleitete Versenderadresse "absender.der.weitergeleitetenmail@t-online.de" passt jedoch nicht zu SPF/DKIM meiner Domain, was Gmail zum Blockieren der weitergeleiteten Mail veranlasst - nicht aber die anderen Mailprovider. Ich suche also nach einer Lösung, um die t-online-Absenderadresse (oder die einer anderen Versenderdomain) an gmail zuzustellen. Ich muss dazu irgendwie SRS (Sender Rewriting Scheme) zum Laufen bekommen, wobei mein Synology Mail-Server 2.0 das zumindest über die GUI offensichtlich nicht kann.
 
Last edited:
Ich antworte mir mal selbst, um meinen gefundenen Workaround zur Installation von SRS (Sender Rewriting Scheme) zu präsentieren:

1. Zugriff auf das Proxmox-Mail-Gateway als root mit SSH:
ssh root@xxx.xxx.xxx.xx

2. Paketquellen aktualisieren:
apt-get update

3. Das Paket „postsrsd“ installieren
apt-get install postsrsd

4. Parameter für srsd bearbeiten:
nano /etc/default/postsrsd

Hier findet sich:
SRS_DOMAIN: meine-erste-domain.de

Die Domain eintragen, welche für umgeschriebene Absenderadressen verwendet wird (war bei mir zur Installation schon korrekt vorausgefüllt)

Weiterhin suchen:
SRS_EXLUDE_DOMAINS:meine.zweite.domain.de,meinde.dritte.domain.de

Hier die Domains eintragen, für welche SRS NICHT angewendet werden soll (wenn man denn mehrere Domains benutzt).

5. Nun muss Postfix noch SRS verwenden. Dazu müssen in die main.cf von Postfix Einträge hinein, welche aber beim Reboot überschrieben werden. Deswegen wird die Vorlage für diese main.cf bearbeitet:
nano /var/lib/pmg/templates/main.cf.in

Folgenden Inhalt ganz am Schluss einfügen:
sender_canonical_maps = tcp:127.0.0.1:10001
sender_canonical_classes = envelope_sender
recipient_canonical_maps = tcp:127.0.0.1:10002
recipient_canonical_classes = envelope_recipient

6. Neustart
systemctl restart postsrsd
systemctl restart postfix

oder einfach sudo reboot

Wartung:

Bei Updates vom Postfix müssen sehr wahrscheinlich die Änderungen an /var/lib/pmg/templates/main.cf.in
nach Punkt 5 neu eingetragen werden

Deinstallation:

Alle Veränderungen oben rückgängig machen

Frage an die Administratoren im Forum: Im Betrieb bei mir läuft das stabil und ohne Auffälligkeiten.
Sind Probleme zu erwarten? Könnte man diesen Workflow in einem künftigen Update des PMG über die GUI realisierbar machen?

Enjoy! TRK68

Nachtrag 28.08.2024: Heute ist doch ein kleiner Fehler aufgetreten, bei mehreren Domains wird SRS für alle Domains angewendet, obwohl nach den Parametern eine ausgeschlossen worden ist. Ich forsche noch daran ...
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back