PMG emails > accepted/delivered > tauchen nicht in der Mailbox auf

C

cpulove

Member
Jul 12, 2024
68
4
8
Hallo in die Runde! Neuer Tag, neues Problem, bzw. Frage... :)

Ich habe einige Mails, die auf meinem PMG als accepted/delivered (grün) angezeigt werden, jedoch nicht in der Mailbox beim Kunden auftauchen, auch nicht in einem Spamordner, usw. Im Mailprogramm sind keine Regeln, etc. aktiv, die eine Eingansmail löschen oder verschieben würden.

Jemand eine Idee warum das passiert und wo ich da ansetzen könnte, damit ich nachvollziehen kann, woran der Fehler liegt?

Hier ein Beispiel aus dem Tracking Center (anonymisiert):

Code: 
2025-01-28T09:25:59.966902+01:00 pmg postfix/smtpd[1957]: connect from cdxmailout11.xyznet.com[193.27.49.224]
2025-01-28T09:25:59.999643+01:00 pmg postfix/smtpd[1957]: Anonymous TLS connection established from cdxmailout11.xyznet.com[193.27.49.224]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits)
2025-01-28T09:26:00.058471+01:00 pmg postfix/smtpd[1957]: 0E415661C1: client=cdxmailout11.xyznet.com[193.27.49.224]
2025-01-28T09:26:00.067104+01:00 pmg postfix/cleanup[1883]: 0E415661C1: message-id=<3944d5467f3b5bc9ae37353fd3469437@xyznet.de>
2025-01-28T09:26:00.105327+01:00 pmg postfix/qmgr[728]: 0E415661C1: from=<name.mail@xyznet.de>, size=191474, nrcpt=1 (queue active)
2025-01-28T09:26:00.105380+01:00 pmg postfix/smtpd[1957]: disconnect from cdxmailout11.xyznet.com[193.27.49.224] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2025-01-28T09:26:00.152118+01:00 pmg pmg-smtp-filter[2107]: 661C36798949823E3F: new mail message-id=<3944d5467f3b5bc9ae37353fd3469437@xyznet.de>#012
2025-01-28T09:26:00.504631+01:00 pmg pmg-smtp-filter[2107]: 661C36798949823E3F: SA score=0/5 time=0.253 bayes=undefined autolearn=disabled hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),RCVD_IN_DNSWL_MED(-2.3),RCVD_IN_MSPIKE_H5(0.001),RCVD_IN_MSPIKE_WL(0.001),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01)
2025-01-28T09:26:00.506736+01:00 pmg postfix/smtpd[1889]: connect from localhost.localdomain[127.0.0.1]
2025-01-28T09:26:00.507135+01:00 pmg postfix/smtpd[1889]: 7BCB9661C5: client=localhost.localdomain[127.0.0.1], orig_client=cdxmailout11.xyznet.com[193.27.49.224]
2025-01-28T09:26:00.507687+01:00 pmg postfix/cleanup[1883]: 7BCB9661C5: message-id=<3944d5467f3b5bc9ae37353fd3469437@xyznet.de>
2025-01-28T09:26:00.567134+01:00 pmg postfix/qmgr[728]: 7BCB9661C5: from=<name.mail@xyznet.de>, size=192456, nrcpt=1 (queue active)
2025-01-28T09:26:00.567248+01:00 pmg postfix/smtpd[1889]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
2025-01-28T09:26:00.567332+01:00 pmg pmg-smtp-filter[2107]: 661C36798949823E3F: accept mail to <info@xyz.de> (7BCB9661C5) (rule: default-accept)
2025-01-28T09:26:00.572760+01:00 pmg postfix/smtp[2067]: Trusted TLS connection established to XXX.XXX.XXX.20[XXX.XXX.XXX.20]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits)
2025-01-28T09:26:00.574845+01:00 pmg pmg-smtp-filter[2107]: 661C36798949823E3F: processing time: 0.419 seconds (0.253, 0.096, 0)
2025-01-28T09:26:00.575022+01:00 pmg postfix/lmtp[2059]: 0E415661C1: to=<info@xyz.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.52, delays=0.05/0/0.04/0.43, dsn=2.5.0, status=sent (250 2.5.0 OK (661C36798949823E3F))
2025-01-28T09:26:00.575145+01:00 pmg postfix/qmgr[728]: 0E415661C1: removed
2025-01-28T09:26:00.646249+01:00 pmg postfix/smtp[2067]: 7BCB9661C5: to=<info@xyz.de>, relay=XXX.XXX.XXX.20[XXX.XXX.XXX.20]:25, delay=0.14, delays=0.06/0/0.05/0.03, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9645760C11EF)
2025-01-28T09:26:00.646449+01:00 pmg postfix/qmgr[728]: 7BCB9661C5: removed

Noch als Hinweis: Zum Mailabruf auf Empfängerseite wird Thunderbird benutzt.
 
Last edited:
Hi, erstmal Danke für die Antwort.

Ich nutze Plesk mit Postfix und Dovecot.

Ich habe bislang festgestellt, dass eine Mail (über PMG empfangen) beispielsweise mit Bildanhang (5 MB) im Spam landet.
Eine Mail (über PMG empfangen) beispielsweise mit Bildanhang (128 kb) landet auch im Spam.
Ist kein Bild angehängt landet die Mail im Posteingang.

Nehme ich die Domain aus dem Proxmox Mail Gateway raus und gehe mit den Mails direkt über Plesk, dann landen alle Mails im Posteingang, wie es eigentlich sein sollte. Daher schließe ich Plesk als Ursache erstmal aus.

PMG habe ich wie folgt konfiguriert:

Code: 
search domain: pmgdomain.xyz
DNS1: 127.0.0.1

MX record für Domain: pmg.pmgdomain.xyz (also quais der Proxmox Mail Gateway)

Code: 
Relay Domains: kundendomain.de
Transports: kundendomain.de > IP vom Plesk Server > Port 25 > SMTP > MX = No

External SMTP Port: 25
Internal SMTP Port: 26

Bildschirmfoto 2025-01-29 um 11.23.23.png
Bildschirmfoto 2025-01-29 um 11.23.17.png

Bildschirmfoto 2025-01-29 um 11.23.11.png
Bildschirmfoto 2025-01-29 um 11.23.03.png
 
Kurz zum Verständnis:

was du oben beschreibt mit "landet im Spam", bedeutet, dass die Mails in einem Spam Ordner auf dem Plesk Server landen oder in der Quarantäne vom PMG?

Hat der PMG die Mail als Spam deklariert oder der Plesk Server?

1738147255653.png

Sendest du auch vom Plesk über den PMG? Dann solltest du hier das "Disable MX Lookup (SMTP)" auf "No" stellen.
 
Ich sende Mails über PMG (als Relay) an die Plesk Mailbox und sie landet im Mailprogramm nach Abruf dann im Order Spam. Keine Quarantäne vom PMG.

Was ich absolut nicht nachvollziehen kann: Eine identische Mail von einer anderen gmail Adresse mit identischem Anhang landet nicht im Spam der Plesk Mailbox.

Der PMG bewertet diese Mails mit Score 0, also deklariert scheinbar auch nicht als Spam. Dennoch landet die eine auf dem Plesk Server im Spam Ordner und die andere nicht. Bin tatsächlich ratlos.

Zum MX Lookup: Ja, ich sende von Plesk über den PMG. Werde Disable MX lookup (SMTP) werde ich auf No stellen. Wobei bisher die Mails soweit alle sauber versendet werden.

Noch als zusätzlicher Hinweis: Ich habe die Sender auch auf Whitelist gesetzt. Ebenso zum testen deren Domain und IP, brachte aber keine Veränderung.
 
Last edited:
OK, bedeutet für mich, dass der Plesk die Dinger als Spam deklariert. Du suchst also an falscher Stelle. Den Whitelist Eintrag im PMG kannst du also raus nehmen, würde ich auch machen.

Ich habe ein ähnliches Konstrukt am Laufen, wobei einer meiner Kunden einen Plesk Server bei IONOS hat und mein PMG davor geschaltet ist.

Guck mal bitte, ob du im Plesk unter Tools & Einstellungen > Mailserver-Einstellungen > Whitelist die IP Adresse deines PMG eingetragen hast. Falls nicht, machen mit /32.

Damit schaltest du die Prüfung innerhalb von Plesk, kommend von deinem PMG, ab. Das würde ich auch empfehlen damit du auch Filterregeln etc. nicht doppelt pflegen muss.

Das die Mails trotz abgestelltem MX Lookup ankommen wundert mich etwas, denn eigentlich sagt das aus, dass PMG nicht nach dem MX Eintrag gucken soll sondern stupide an die Root Domain sendet. Das würde eigentlich nur gehen, wenn die Root-Domain Mails annimmt oder du einen Smarthost nutzt.
 
Die IP des PMG war im Plesk in den Maileinstellungen nicht auf Whitelist. Ich hab die IP aber jetzt mal hinzugefügt und nochmals Test-Mails versendet.
Sie landen leider wieder im Spam. Immer noch ratlos.
Anbei mal meine Plesk Mailserver Einstellungen. Smarthost im Plesk ist nicht aktiviert.

Bildschirmfoto 2025-01-29 um 12.43.23.png


Bildschirmfoto 2025-01-29 um 12.46.18.png
 
Ich denke ich bin dem Fehler jetzt auf der Spur!

https://webmasters.stackexchange.co...nd-dkim-but-fail-dmarc-when-received-by-gmail

Im Plesk Mail Log bekomme ich diverse DMARC Fehler angezeigt

Code: 
EC39560C2C6B: DMARC: smtpdomain=googlemail.com maildomain=googlemail.com mailfrom=mailnameXYZ@googlemail.com stamp=1738142655 ip=XXX.XXX.XXX.30 adkim=relaxed aspf=relaxed p=QUARANTINE sp=QUARANTINE pct=100 align_dkim=fail align_spf=fail spfres=softfail dkimres=fail dmarccheck=DMARC_POLICY_QUARANTINE dmarcstatus=DEFER

Code: 
BA19C60C1725: DMARC: smtpdomain=googlemail.com maildomain=googlemail.com mailfrom=mailnameXYZ@googlemail.com stamp=1738155483 ip=134.255.244.30 adkim=relaxed aspf=relaxed p=QUARANTINE sp=QUARANTINE pct=100 align_dkim=fail align_spf=fail spfres=softfail dkimres=fail dmarccheck=DMARC_POLICY_QUARANTINE dmarcstatus=DEFER

Die DMARC Einträge auf der Domain lauten wie folgt:

v=DMARC1; p=quarantine; adkim=s; aspf=s

Eventuell sollte ich die quarantine rausnehmen oder nicht auf "streng" stellen?

Ich bekomme generell auf dem Plesk Server auch nen DKIM Fehler bei googlemail oder gmail:


Code: 
2025-01-29 10:51:03   err dk_check [3622088] 85C9A60C12BC: DKIM verification (d=googlemail.com, 2048-bit key) failed: signature verification failed
 
Last edited:
Hunduster said:
Hast du DMARK, DKIM und SPF alles hinterlegt auf dem PMG. Deaktiviere die Einstellungen mal alle unter Plesk. Habe ich auch so. Wenn dein Plesk nur vom PMG Mails entgegen nimmt, brauchst du die Funktionen alle an der Stelle nicht.
Click to expand...

Ja im PMG sind die Sachen eingetragen.

Leider habe ich auch einige Kunden auf dem Server, die den Proxmox Mail Gateway nicht nutzen und direkt über Plesk senden und empfangen.
Daher kann ich das global nicht deaktivieren.
 
Last edited:
cpulove said:
Die DMARC Einträge auf der Domain lauten wie folgt:

v=DMARC1; p=quarantine; adkim=s; aspf=s
Click to expand...

Hier sprechen wir nun aber von deiner betroffenen Domain, nicht von Google, richtig?

Ich bin hier sogar noch strikter und habe p=reject. Die Frage ist hier, ob bei dir alles richtig implementiert ist. Hast du den DKIM Schlüssel einmal überprüft ob du ggf. einen Tippfehler im DNS hast?

Mit den Google Servern oder anderen externen Diensten wie M365, Newsletter-Anbietern etc. ist die betroffene Domain aber nicht verknüpft?

Ich würde zum Testen einmal die Funktionen im Plesk deaktivieren, eine Test-Mail senden und prüfen, ob wir an der richtigen Stelle suchen. Die Einstellung bei Plesk bezüglich SPF bringt aktuell ohnehin keinen Mehrwert, da sie nur protokolliert aber keine Konsequenzen zieht.
 
  • Like
Reactions: cpulove
Hab grad nochmal kontrolliert.

Ich habe den DKIM von Plesk zwar hinterlegt, jedoch war das Signing 2x auf No. Sollte ich dann wohl aktivieren?

Ich hab als DKIM im PMG im Vergelich zu Plesk:

Wie trage ich das con der Syntax korrekt ein? Kann ich das 1:1 aus Plesk kopieren und im PMG einkopieren?



Bildschirmfoto 2025-01-29 um 15.00.59.png

So schaut mein EXT Record momentan im PMG aus. Also stimmt nicht mit Plesk überein.

Bildschirmfoto 2025-01-29 um 14.57.11.png
 
Hunduster said:
Hier sprechen wir nun aber von deiner betroffenen Domain, nicht von Google, richtig?

Ich bin hier sogar noch strikter und habe p=reject. Die Frage ist hier, ob bei dir alles richtig implementiert ist. Hast du den DKIM Schlüssel einmal überprüft ob du ggf. einen Tippfehler im DNS hast?

Mit den Google Servern oder anderen externen Diensten wie M365, Newsletter-Anbietern etc. ist die betroffene Domain aber nicht verknüpft?

Ich würde zum Testen einmal die Funktionen im Plesk deaktivieren, eine Test-Mail senden und prüfen, ob wir an der richtigen Stelle suchen. Die Einstellung bei Plesk bezüglich SPF bringt aktuell ohnehin keinen Mehrwert, da sie nur protokolliert aber keine Konsequenzen zieht.
Click to expand...

Ja, das sind die DNS Einträge für die entsprechend abrufende Domain.

Das hilft mir alles sehr und ich glaube das wird auch das ganze Problem sein. Der DKIM Schlüssel passt wahrscheinlich nicht und dürft zudem auf dem PMG garnicht aktiv sein.

Wenn Du mir jetzt noch kurz erkären würdest, wie ich das "DNS TXT Record" Feld in Proxmox richtig bestücke, dann komme ich vermutlich nen großen Schritt weiter!

In Plesk hab ich soweit erstmal alles was den Eingang von Mails betrifft deaktiviert. Sollte ich auch für ausgehende deaktivieren?

Bildschirmfoto 2025-01-29 um 15.11.18.png
 
Du musst sicherstellen, dass beide denselben privaten DKIM-Schlüssel nutzen. Ich würde der Einfachhalthalber den aus Plesk nutzen. Den Public Teil veröffentlichst du im DNS. Den Private Teil packst du in PMG unter /etc/pmg/dkim/*selectorname*.private

Achte dabei darauf, dass auch überall der selbe selector gewählt ist.

Prüfen kannst du das Ganze dann z.B. hier: https://mxtoolbox.com/dkim.aspx

cpulove said:
In Plesk hab ich soweit erstmal alles was den Eingang von Mails betrifft deaktiviert. Sollte ich auch für ausgehende deaktivieren?
Click to expand...
Zweischneidiges Schwer. Mit der Einstellung im Screenshot erlaubst du ja erst einmal das DKIM Signaturen angewandt werden dürfen, nicht das sie es auch werden. Wenn möglich würde ich für die Domain, die hier das Problem hat, alles ein- und ausgehende Deaktivieren und nur den PMG als MTA mit seinen Sicherheitsfunktionen nutzen. Alles andere ist Doppelgemoppelt und birgt nur Probleme.
 
Danke, die Domainkeys /etc/domainkeys/<deine-domain>/default kenn ich, unter den anderen Pfaden find ich aber leider nichts unter Plesk.

/var/lib/psa/dkim/&lt;deine-domain&gt;/default.private
/etc/opendkim/keys/&lt;deine-domain&gt;/default.private

Im PMG hab ich hingeben den privat key.
Oder versteh ich da was falsch?
 
Ich stehe ein wenig auf dem Schlauch wegen den ganzen Keys.

In den DNS Einstellungen war bislang der Wert eingetagen, den mir PLesk für die Domain vorgegben hatte (Klick auf Konfiguration des externen DNS).

Unter Plesk kann ich diesen DKIM für die Domain, die auch dem PMG den Domainnamen gibt, deaktivieren (Einfach Haken rausnehmen):

Bildschirmfoto 2025-01-29 um 16.46.00.png

Aber wie mache ich dann weiter?

In PMG sieht der default. komisch aus und hat eine Leerzeile.

Was genau übernehme ich da als TXT DNS Eintrag? Schaut für mich nicht korrekt aus...

Bildschirmfoto 2025-01-29 um 16.51.05.png

Ich bin jetzt erstmal raus aus dem Office und setze mich morgen früh nochmal dran. Werd aber weiterlesen, wenn Du hier noch Input bringst!
Nochmals vielen Dank für Deine Zeit!
 
Last edited:
You must log in or register to reply here.
Top Bottom