PMG emails > accepted/delivered > tauchen nicht in der Mailbox auf

So kurzes, ein neuer Tag und kurzes Update.
Ich habe auf Plesk jetzt die serverweiten E-Mail-Einstellungen jetzt wie folgt konfiguriert.

Bildschirmfoto 2025-01-30 um 10.09.07.png

Das Problem, dass eine Mail von googlemail.com mit Anhang (JPG) dann im Spam landet verschwindet dadurch reproduzierbar, d.h. die Mails landen jetzt direkt im Posteingang.

Allerdings möchte ich ja auf den DMARC Schutz nicht verzichten.

Hier mal das Log aus Plesk, wie eine Mail von googlemail.com mit JPG im Anhang weggefiltert wird, wenn DMARC aktiv ist:

Code: 
2025-01-30 09:39:48   warning  dmarc [3858401] B978B60C0296: DMARC: smtpdomain=googlemail.com maildomain=googlemail.com mailfrom=ANONYM@googlemail.com stamp=1738226388 ip=ANO.NNN.YYY.M adkim=relaxed aspf=relaxed p=QUARANTINE sp=QUARANTINE pct=100 align_dkim=fail align_spf=fail spfres=softfail dkimres=fail dmarccheck=DMARC_POLICY_QUARANTINE dmarcstatus=DEFER

Bildschirmfoto 2025-01-30 um 10.38.14.png

Sende ich eine Mail über gmail.com (auch das gleiche Bild im Anhang) dann kommt die Mail in den Posteingang:

Bildschirmfoto 2025-01-30 um 10.40.13.png

Was ich auch nicht verstehe. Ich habe die die googlemail.com Adresse sowohl im PMG, als auch im Plesk auf Whitelist gesetzt.
In Plesk ist zudem überhaupt kein zusätzlicher Spamfilter wie Spamassasin aktiv.

Müsste das setzen auf Whitelist nicht zumindest die DMARC Filterung obsolet machen?

Die DKIM Signierung für ausgehende Mails auf dem PMG habe ich nach wie vor nicht aktiv, da ich nicht weiß, wie ich das genau konfigurieren muss.
Wie im vorherigen Post beschrieben weiß ich nicht wo ich welche Keys nutzen und wie eintragen soll.

Die Anleitung zum Proxmox Mail Gateway hilft mir hier leider auch nicht weiter.
 
cpulove said:
In PMG sieht der default. komisch aus und hat eine Leerzeile.

Was genau übernehme ich da als TXT DNS Eintrag? Schaut für mich nicht korrekt aus...

View attachment 81610
Click to expand...
Ok, wenn wir nun DKIM auf Plesk abgeschaltet haben und alles über PMG laufen lassen wollen, dann müssen wir auch die DKIM Werte von PMG nutzen und veröffentlichen.

Den Eintrag den du bei PMG siehst ist der Public Key. Die Leerzeile kannst du an der Stelle ignorieren, das ist ein Zeilenumbruch nach 255 Zeichen.
Füge die zwei Zeilen einfach zusammen und entferne die Anführungszeichen: ... /SkEf93EkZ ....
Das ist nun dein Public Key, der im öffentlichen DNS nebst Selector veröffentlicht werden muss. Der Selector ist frei wählbar. Damit gibst du lediglich an, welcher Key im DNS genutzt werden soll.

Der dazugehörige Private Key liegt unter: /etc/pmg/dkim/yourselector.private den bitte NICHT veröffentlichen!

Am Ende sollte das Ganze so aussehen:
Code: 
v=default;k=rsa;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvS35PaKrEa4zKoL4bWVUJpciewx1532+NzU4mFQzaDkRofFeFQTbI933WFwpuaeDLeGCsQe2Gsrt59GWsa8MX8bivlZvTW13Tz/dJ5I6a0lKNsq8yd9XiKr9hMskTGUAAENXDE7pXTq2aXjAH9FWCVhE7MD9//lzve9YA+0xoDEl0jqJHlLRa6y1aEX5PAGKRYtYnApegajxTzQv1rztzKmh2gYtkCrA1df6ArzGK0XD5KewD80E/pLvKjz2N2MuXW3Cz0koIeVCLF4jfyJTifkhVpPWZMlSLtEc7KnBvwwrmcQwe4wI4qRttz+whbYpm++Ost9xKXWFqe3nN+ZbUQIDAQAB




cpulove said:
Hier mal das Log aus Plesk, wie eine Mail von googlemail.com mit JPG im Anhang weggefiltert wird, wenn DMARC aktiv ist:

Code: 
2025-01-30 09:39:48   warning  dmarc [3858401] B978B60C0296: DMARC: smtpdomain=googlemail.com maildomain=googlemail.com mailfrom=ANONYM@googlemail.com stamp=1738226388 ip=ANO.NNN.YYY.M adkim=relaxed aspf=relaxed p=QUARANTINE sp=QUARANTINE pct=100 align_dkim=fail align_spf=fail spfres=softfail dkimres=fail dmarccheck=DMARC_POLICY_QUARANTINE dmarcstatus=DEFER

View attachment 81636

Sende ich eine Mail über gmail.com (auch das gleiche Bild im Anhang) dann kommt die Mail in den Posteingang:

View attachment 81637
Click to expand...

Ok, nehmen wir das Log mal auseinander:

ParameterBedeutung
smtpdomain=googlemail.comDer absendende Mailserver gehört zu googlemail.com.
maildomain=googlemail.comDie Domain des Absenders (Envelope-From) ist ebenfalls googlemail.com.
mailfrom=ANONYM@googlemail.comDie tatsächliche E-Mail-Adresse des Absenders (versteckt für Anonymität).
stamp=1738226388Zeitstempel der Verarbeitung.
ip=ANO.NNN.YYY.MDie IP des absendenden Mailservers (anonymisiert).
adkim=relaxedDKIM-Alignment ist auf "relaxed" eingestellt (d. h. Subdomains sind erlaubt).
aspf=relaxedSPF-Alignment ist ebenfalls "relaxed".
p=QUARANTINEDie DMARC-Policy für googlemail.com ist auf QUARANTINE gesetzt.
sp=QUARANTINEAuch für Subdomains gilt die Quarantäne-Regel.
pct=100Die DMARC-Policy wird auf alle eingehenden Mails angewendet (100%).
align_dkim=failDKIM-Alignment schlägt fehl – die Signatur stimmt nicht mit googlemail.com überein.
align_spf=failSPF-Alignment schlägt ebenfalls fehl.
spfres=softfailSPF-Prüfung schlägt mit einem Softfail (~all) fehl.
dkimres=failDKIM-Signaturprüfung schlägt komplett fehl.
dmarccheck=DMARC_POLICY_QUARANTINEDie Mail wird aufgrund der DMARC-Policy in Quarantäne verschoben.
dmarcstatus=DEFERDMARC-Entscheidung wurde vertagt (kann von weiteren Faktoren beeinflusst werden).

Da ich nun einmal pauschal davon ausgehe, dass Google seine DNS-Einträge im Griff hat, spricht das für mich eher dafür, dass die eingehende Mail über einen anderen, nicht Google-Hop, bei dir eingegangen ist, weswegen die Prüfungen fehlschlagen. Hier wäre die IP-Adresse interessant, die du anonymisiert hast.

Du kannst auch einfach überprüfen, ob die IP-Adresse - von der die Mails eingehen - im SPF-Record von Google enthalten ist.

cpulove said:
Was ich auch nicht verstehe. Ich habe die die googlemail.com Adresse sowohl im PMG, als auch im Plesk auf Whitelist gesetzt.
In Plesk ist zudem überhaupt kein zusätzlicher Spamfilter wie Spamassasin aktiv.

Müsste das setzen auf Whitelist nicht zumindest die DMARC Filterung obsolet machen?
Click to expand...
Das hängt vom jeweiligen Whitelist-Verhalten von Plesk und PMG ab. PMG würde die DMARC Anforderungen von Google in dem Fall ignorieren und die Mail nicht flaggen. Wie Plesk hier arbeitet, kann ich dir leider nicht sagen.
 
Hunduster said:
Ok, nehmen wir das Log mal auseinander:

ParameterBedeutung
ip=ANO.NNN.YYY.MDie IP des absendenden Mailservers (anonymisiert).
p=QUARANTINEDie DMARC-Policy für googlemail.com ist auf QUARANTINE gesetzt.
align_dkim=failDKIM-Alignment schlägt fehl – die Signatur stimmt nicht mit googlemail.com überein.
align_spf=failSPF-Alignment schlägt ebenfalls fehl.
spfres=softfailSPF-Prüfung schlägt mit einem Softfail (~all) fehl.
dkimres=failDKIM-Signaturprüfung schlägt komplett fehl.
dmarccheck=DMARC_POLICY_QUARANTINEDie Mail wird aufgrund der DMARC-Policy in Quarantäne verschoben.

Da ich nun einmal pauschal davon ausgehe, dass Google seine DNS-Einträge im Griff hat, spricht das für mich eher dafür, dass die eingehende Mail über einen anderen, nicht Google-Hop, bei dir eingegangen ist, weswegen die Prüfungen fehlschlagen. Hier wäre die IP-Adresse interessant, die du anonymisiert hast.

Du kannst auch einfach überprüfen, ob die IP-Adresse - von der die Mails eingehen - im SPF-Record von Google enthalten ist.
Click to expand...

Im SPF Record ist die oben anonymisierte IP des absendenden Mailservers hinterlegt, eingetragen.

Was mich wirklich fuchsig macht, ich verstehe absolut nicht, warum eine googlemail der selben Adresse ohne Anhang nicht im Spam landet, eine mit angehängtem Bild aber schon. Beides bei aktiviertem DMARC in Plesk und auch wenn in den DNS Einträgen DMARC auf v=DMARC1; p=none; steht.

Bildschirmfoto 2025-01-30 um 13.05.25.png

Schalte ich DMARC hier aus, dann landet auch die Mail mit Anhang nicht im Spam.
 
So, bin nen Schritt weiter.

TXT SPF Eintrag mit include:_spf.google.com behebt das Problem mal und ich kann DMARC aktiviert lassen und Mails mit Anhang von googlemail.com landen auch nicht mehr im Spam.

Ich schau mir das jetzt mal ne Zeit an und melde mich wieder....
 
cpulove said:
So, bin nen Schritt weiter.

TXT SPF Eintrag mit include:_spf.google.com behebt das Problem mal und ich kann DMARC aktiviert lassen und Mails mit Anhang von googlemail.com landen auch nicht mehr im Spam.

Ich schau mir das jetzt mal ne Zeit an und melde mich wieder....
Click to expand...
Das macht Sinn, wenn du in irgendeiner Verbindung zu Google oder deren Servern stehst. Wo ist der Plesk denn gehostet?

Ich bin genau damit mal auf die Schnauze gefallen und hatte heute auch noch daran gedacht:

Wir sind zu 95% on Prem unterwegs uns hatten im SPF Record nur unsere eigenen IP-Adressen drin. Durch MS-Teams haben wir aber gezwungenermaßen einen Tennant bei MS.

Irgendwann kamen unsere Mails bei einem Kunden aufgrund einer fehlgeschlagenen SPF Prüfung nicht an. Der Kunde war in der M365 Welt beheimatet. Das konnten weder wir, die Kunden IT noch MS verstehen.


Nach langem hin und her, mit dem MS Support und nach 3 verschlissenen MS-Technikern kam dann einer bei MS darauf, dass unsere Tennants im selbigen RZ-Standort lagen (Amsterdam).

Unsere Mails kamen also von einem on Prem System in die M365 Welt und wurden von Tennant 1 auf Tennant 2 bei M365 geroutet und dabei neu DKIM signiert. Laut MS wäre dies nicht erfolgt, wären die Tennants an zwei unterschiedlichen RZ-Standorten gewesen. Durch die DKIM Signatur von MS, die in unserem SPF nicht gelistet war, kam es zu der fehlerhaften SPF-Prüfung. Das klingt bei dir hier ziemlich nach dem selben Thema.

Irgendwas oder irgendwer nutzt da also einen Googleservice als Hop. Warum aber nur bei Anhängen, geht mir aktuell auch nicht auf.
 
Ich hole gerne mal aus! :-)

Nach fast 10 Jahren Hosteurope hoste ich jetzt auf einem Server bei IP-Projects, also alles im deutschen IPv4, IPv6-Raum.
Hosteurope hatte mir vergangen Sommer gekündigt, weil die Hardware zu alt und (angeblich) zu stromhungrig gewesen sei. Das Angebot von Hosteurope war allerdings viel zu teuer und zudem war HE auch nicht wirklich flexibel, was die Hardware des Servers betrifft.

Über IP-Projects kann ich bislang nur positives berichten. Alles läuft auf nem AMD Ryzen 7900, 128GB Ram, 2x 3,9TB Nvme und 2x 20TB HDD.
Produktiv läuft der Server jetzt seit Oktober 24 und bis auf so Kleinigkeiten wie eben hier mit dem Mails soweit alles wie gewünscht.

Sowohl mein Plesk, als auch der Proxmox Mailgateway und Proxmos Backup Server laufen auf dem Server virtualisiert als VM unter Proxmox VE 8.3.
Das war mein erster Kontakt damals mit Proxmox. Hatte zuvor im Homelab immer nur Unraid genutzt und dort meine Arbeitsumgebungen virtualisiert.
In PVE hab ich mich aber doch erstaunlich schnell reinfuchsen können und mittlerweile bin ich auch etwas entspannter, da soweit keine großen Probleme auftauchen. Zusätzlich laufen auch noch einige LXCs auf denen Nextcloud Installationen gehostet werden.
Die Backups von Plesk wandern einmal über den PBS von Nvme auf das gemountete HDD Raid, ebenso der PMG und die Clouds. Von da dann wiederum Nachts per Sync vom online Proxmox VE Server mittels lokalem PBS auf ein lokales TrueNAS (was auch unter nem lokalen PVE rennt). Das funktioniert erstaunlich zuverlässig. Vor allem das Deduplicating des PBS möcht ich hier nicht mehr missen.

Auch die Möglichkeit die Nextclouds nur mit IPv6 auf dem Server zu hosten und dann über Cloudflare DNS Proxy dafür ne öffentliche IPv6 und IPv4 zu beziehen ist schon ziemlich klasse! Nutze für die Nextclouds das Turnkey ISO als Basis. Das funktioniert echt prima und hätte ich mir eigentlich nicht besser wünschen können. Hab mir ein Basistemplate erstellt, das ich als PVE Backup einfach einspielen kann. Dann muss ich lediglich die Domain, DNS, Nutzer und Datenbankeinstellungen anpassen und ich hab ne fertig installierte Cloud für nen neuen Kunden.

Dann läuft noch ne Debian VM unter PVE auf der Docker läuft. Dort dann ein Collaboraonline Server, der die Clouds mit Nextcloudoffice versorgt und ein paar kleinere produktive Docker, wie Homepage Dashboard, Nginx, Wireguard, Portainer, PDF Sterling, usw.

.....

Das mit dem SPF beobachte ich jetzt mal ne zeitlang. Ich hab im Mail-Log auch noch Mails anderer Kunden gefunden, deren eingehende Mails von googlemail.com mit Anhang auf Plesk im Spamordner landen. Dort hab ich jetzt auch erstmal die SPF Einträge erweitert.

Solche Dinge die man sich nicht erklären kann (Unterschied in der Zustellung mit und ohne Anhang), die nerven schon gewaltig. Am Ende hätte ich hier schon gerne ne plausible Erklärung.

Ich werde jetzt nochmal testen, ob es eventuell an der Tatsache hängt, dass hier Mails mobil übers Mobilfunknetzwerk rausgehen. Leider kann ich es selbst mangels googlemail.com Adresse auch nicht selbst testen.
Soweit ich das jetzt erfasst hab kann man auch nur noch Mails mit der Endung gmail.com registrieren... Muss also immer den Kunden bitten, eine Test-Mail zu versenden, was das ganze natürlich nochmal umständlicher macht, was Nachforschung betrifft.

Dir jedenfalls auch nochmal ein dickes Dankeschön für den Input!
 
Last edited:
cpulove said:
Ich werde jetzt nochmal testen, ob es eventuell an der Tatsache hängt, dass hier Mails mobil übers Mobilfunknetzwerk rausgehen. Leider kann ich es selbst mangels googlemail.com Adresse auch nicht selbst testen.
Soweit ich das jetzt erfasst hab kann man auch nur noch Mails mit der Endung gmail.com registrieren... Muss also immer den Kunden bitten, eine Test-Mail zu versenden, was das ganze natürlich nochmal umständlicher macht, was Nachforschung betrifft.

Dir jedenfalls auch nochmal ein dickes Dankeschön für den Input!
Click to expand...
Mit dem Mobilfunk macht aber wenig Sinn. Wo der Client ist, ist ja wurscht. Zählen tun nur die Server über die geroutet wird. Und irgendwas auf dem Weg signiert die Dinger mittels DKIM neu.

Kannst ja hier noch einmal posten, wenn du etwas neues herausgefunden hast :)
 
You must log in or register to reply here.
Top Bottom