SPF Check Failed - %40 as @ Sign in Email Address

[shaps]

Hallo zusammen,

ich habe derzeit ein Problem mit einer SPF Prüfung von einer Domain.

Vorweg, die Einstellungen der Absenderdomain für SPF ist richtig, dort ist die IP des Server richtig eingetragen.

Problem:
Die Emails des Absenders werden aufgrund von SPF geblockt, da die IP des Absenders angeblich nicht in der Domain freigegeben ist, aber diese ist dort eingetragen und freigegeben.

Ich habe nun in den Logs gesehen, dass wenn eine SPF Prüfung fehlgeschlagen ist, in der Email Adresse anstatt "@domain" dort ein "%40domain" steht und dieses dann auch richtig nicht per SPF geprüft werden kann.

Kann mir jemand sagen, woher dieses %40 anstatt des @ Zeichens in Zeile 2 herkommt?

Auszug aus dem Log mit anonymisierten Daten:

Mar 30 10:33:49 mail postfix/smtpd[255004]: connect from smtpserver.tld[15.124.64.98]
Mar 30 10:34:34 mail postfix/smtpd[255004]: NOQUEUE: reject: RCPT from smtpserver.tld[15.124.64.98]: 554 5.7.1 <info@meinserver.de>: Recipient address rejected: Rejected by SPF: 15.124.64.98 is not a designated mailserver for absender%40domain.tld (context mfrom, on smtp.meinserver.tld); from=<absender@domain.tld> to=<info@meinserver.tld> proto=SMTP helo=<smtpserver.tld>
Mar 30 10:39:34 mail postfix/smtpd[255004]: timeout after RCPT from smtpserver.tld[15.124.64.98]
Mar 30 10:39:34 mail postfix/smtpd[255004]: disconnect from smtpserver.tld[15.124.64.98] helo=1 mail=1 rcpt=0/1 commands=2/3

Übergangslösung damit die Emails dennoch zugestellt werden können, ich habe in der Whitelist unter Mail-Proxy einen Eintrag für die Domain hinterlegt.
Die Emails werden nun wieder zugestellt, da die SPF Prüfung übergangen wird.
Dennoch würde ich gerne wissen, warum die SPF Prüfung nicht funktioniert, denn die SPF-Records des Absenders ist korrekt in der Domain hinterlegt.

Gruß Sebastian

 

[dcsapak]

%40 ist die percent-encodete variante von '@' (https://en.wikipedia.org/wiki/Percent-encoding)

so wie ich das log interpretiere ist der 'smtpserver.tld[15.124.64.98]' der die antwort schickt der downstream mail server ?

 

[shaps]

Hallo Dominik,

danke für die Antwort.

Das ist der absendende Server des Absenders.

smtpserver.tld - Absender
smtp.meinserver.tld - mein Server der die Email empfängt.

Gruß Sebastian

 

[dcsapak]

ah ok, ich hatte die logzeilen misinterpretiert...

so wie es aussieht macht der sendende server hier wohl was falsch? wir ändern nichts an der mail (schon gar nicht percent-encoding)...
passiert das bei allen eingehenden mails, oder nur bei dem einen absender?

 

[shaps]

das müsste ich mal genauer beobachten, bisher ist dieser Absender der einzige der per SPF geblockt wurde.
Dank der Regel in der Mail-Proxy Whitelist werden die Emails ja jetzt zugestellt, dort ist aber im LOG nichts von %40 zu sehen, dort werden die Adressen alle mit einem @ gelistet.

Ich gehe mal auf die Suche in den Logs ob ich da was finden kann.

Gruß Sebastian

 

[shaps]

Guten Morgen,
bisher ist das Problem nicht erneut aufgetreten, seid dem die Regel in der Mail-Proxy Whitelist eingetragen wurde.
Einen anderen Absender mit selben Problem konnte ich auch noch nicht in den Logs finden.

Gruß Sebastian

 

[shaps]

Hallo zusammen,

hier ein kleines Update:

Ich habe es weiter beobachten können, es werden alle SPF Fails mit einem % anstatt @ dargestellt im Log.
Es waren in den letzten Fällen alles unterschiedliche Mail Server.

Habt Ihr evtl. noch eine Idee woran es liegen könnte?

Gruß Sebastian

 

[Stoiko Ivanov]

Ich habe es weiter beobachten können, es werden alle SPF Fails mit einem % anstatt @ dargestellt im Log.

ja - das ist korrekt (und wird nur im log so dargestellt) und liegt an dem Mail::SPF modul, dass von pmg verwendet wird
https://git.proxmox.com/?p=pmg-api....c0b352d4b189fa5a4ee4eb9340849383;hb=HEAD#l385

Die Emails des Absenders werden aufgrund von SPF geblockt, da die IP des Absenders angeblich nicht in der Domain freigegeben ist, aber diese ist dort eingetragen und freigegeben.

hat das PMG die gleiche sicht auf das DNS, wie der ort wo das getestet wurde?

Ich nehme an, dass es eher an einem falschen spf eintrag liegt

 

[shaps]

hat das PMG die gleiche sicht auf das DNS, wie der ort wo das getestet wurde?

Ich nehme an, dass es eher an einem falschen spf eintrag liegt

Hallo, ja ist der gleiche DNS Server hinterlegt.

Die SPF Einträge sind bei einigen Absender schon geprüft worden und sind korrekt hinterlegt (hier habe ich nun Whitelist Einträge erstellt um das vorerst zu umgehen).
Dennoch wird vom PMG gesagt das SPF nicht passt und daher wird die Email abgelehnt.

Gruß Sebastian

 

[Stoiko Ivanov]

Dennoch wird vom PMG gesagt das SPF nicht passt und daher wird die Email abgelehnt.

dann bitte mal die logs von der mail (unanonymisiert, was die domains angeht) posten, damit wir das analysieren können...

 

[shaps]

dann bitte mal die logs von der mail (unanonymisiert, was die domains angeht) posten, damit wir das analysieren können...

Ok, werde ich sobald der nächste Fall auftritt machen.

Gruß Sebastian

 

[shaps]

Guten Morgen zusammen,

gestern war wieder ein Fall mit dem Problem vorhanden, dieses mal wurde der Server von Wayfair geblockt aufgrund von SPF.
Wobei man sagen muss, der SPF Eintrag bei Wayfair sieht schon sehr chaotisch aus

Hier mal der Auszug aus dem Tracker:

May 30 21:04:22 mail postfix/smtpd[76258]: connect from transmta21-fra1.wayfair.com[34.89.161.239]
May 30 21:04:22 mail postfix/smtpd[76258]: Anonymous TLS connection established from transmta21-fra1.wayfair.com[34.89.161.239]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May 30 21:04:22 mail postfix/smtpd[76258]: NOQUEUE: reject: RCPT from transmta21-fra1.wayfair.com[34.89.161.239]: 554 5.7.1 <test@example.de>: Recipient address rejected: Rejected by SPF: 34.89.161.239 is not a designated mailserver for bounces%40service.wayfair.de (context mfrom, on mail.example.de); from=<bounces@service.wayfair.de> to=<test@example.de> proto=ESMTP helo=<transmta21-fra1.wayfair.com>
May 30 21:04:22 mail postfix/smtpd[76258]: disconnect from transmta21-fra1.wayfair.com[34.89.161.239] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6

Hier mal der Auszug aus dem Syslog:

May 30 21:02:21 mail postfix/postscreen[74895]: CONNECT from [34.89.233.114]:38215 to [192.168.133.10]:26
May 30 21:02:21 mail postfix/postscreen[74895]: PASS OLD [34.89.233.114]:38215
May 30 21:02:22 mail postfix/smtpd[76242]: connect from transmta11-fra1.wayfair.com[34.89.233.114]
May 30 21:02:22 mail postfix/smtpd[76242]: Anonymous TLS connection established from transmta11-fra1.wayfair.com[34.89.233.114]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May 30 21:02:22 mail pmgpolicy[76224]: reloading configuration Proxmox_ruledb
May 30 21:02:22 mail pmgpolicy[76224]: SPF says fail
May 30 21:02:22 mail postfix/smtpd[76242]: NOQUEUE: reject: RCPT from transmta11-fra1.wayfair.com[34.89.233.114]: 554 5.7.1 <test@example.de>: Recipient address rejected: Rejected by SPF: 34.89.233.114 is not a designated mailserver for bounces%40service.wayfair.de (context mfrom, on mail.example.de); from=<bounces@service.wayfair.de> to=<test@example.de> proto=ESMTP helo=<transmta11-fra1.wayfair.com>
May 30 21:02:22 mail postfix/smtpd[76242]: disconnect from transmta11-fra1.wayfair.com[34.89.233.114] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6

 

[dcsapak]

also beim manuellen durchschauen der spf entries find ich die ip auch nicht, also scheint es richtig zu sein?

 

[shaps]

Moin Dominik,
danke für die Rückmeldung.

Laut diesem Test https://www.spf-record.de/spf-lookup/wayfair.com?ip=34.89.233.114 ist die IP freigegeben zum versenden (siehe Screenshot).

 

[Stoiko Ivanov]

Laut diesem Test https://www.spf-record.de/spf-lookup/wayfair.com?ip=34.89.233.114 ist die IP freigegeben zum versenden (siehe Screenshot).

Die Fehler drunter könnten dennoch darauf hinweisen, dass etwas nicht ganz in Ordnung ist ....

Außerdem kommt die mail nicht von wayfair.com sondern von service.wayfair.com - und dort ist es nicht aufgelistet.

Ich hoffe das hilft!

 

[dcsapak]

Laut diesem Test https://www.spf-record.de/spf-lookup/wayfair.com?ip=34.89.233.114 ist die IP freigegeben zum versenden (siehe Screenshot).

aber die mail ist von service.wayfair.de nicht wayfair.com
da ist es nicht vorhanden:
https://www.spf-record.de/spf-lookup/service.wayfair.de?ip=34.89.233.114

 

[shaps]

Moin Stoiko, moin Dominik,

danke für den Hinweis, den habe ich übersehen.
Klar, dann wäre das soweit alles korrekt das die Email abgelehnt wurde.

Dann warte ich mal auf den nächsten Eintrag der auffällig wird.

Weiter muss ich mal einen Lob an Euch da lassen, ich bin sehr zufrieden mit dem Produkt und dem Support, weiter so!!!

Gruß Sebastian