[SOLVED] SPF Failed E-Mail mit 500 ablehnen - DKIM / DMARC

R

redjohn

Renowned Member
Apr 22, 2016
132
4
83
27
Hallo zusammen,

besteht die Möglichkeit E-Mails abzulehnen wenn der SPF verletzt wird. Bspw. wenn die Domain einen Hardfail eingetragen hat? Ich würde gerne E-Mails nur bei einem hardfail nicht bei einem softfail ablehnen. Habe ich im Standard eine Möglichkeit dazu?

Die gleiche Frage auch auf DKIM bezogen wie verhält sich Proxmox Mailgateway hier?

Kann das Gateway ebenfalls mit DMARC umgehen?

Vielen Dank!
 
Bei SPF bietet sich die 'use SPF' Option in GUI->Configuration->Mail Proxy->Options an - die sollte bei einem hardfail ablehnen...

bei DKIM und DMARC kann mit den SpamAssassin regeln gearbeitet werden - jene die bei ungueltigen Signaturen anspringen einfach mit einem hohen Custom Score ausstatten und eine dementsprechende Regel im Regelsystem machen, die mails mit einem hohen Wert blockt.

Allerdings gebe ich zu bedenken, dass Ablehnen rein auf DKIM/DMARC/SPF failure in den allermeisten Fällen zu vielen false positives führen wird.
 
OliverB said:
leider ist dem nicht der Fall die E-Mail wird zugestellt obwohl ein Hardfail vorliegt, hier auch am E-Mail Header zu erkennen und unten im mail.log. Die Domain / IP habe ich aus Datenschutzgründen entfernt. Die Test Domain welche ich nutze, hat aber definitiv einen korrekten SPF Hardfail konfiguriert:-(.
Click to expand...
a) die logs sind etwas gar wenig - da sollten noch einige zeilen von pmgpolicy, smtpd,... dastehen
b) ist use SPF überhaupt aufgedreht?
c) der SPF-check im mailproxy wird nur auf dem externen Port gemacht - sprich sicherstellen, dass die mail auch dort reinkommt

OliverB said:
Die neuste Version von Proxmox Mailgateway ist installiert, bei SPF Checks wird zwar der fail erkannt wie im Log auch im Header nur nicht abgelehnt. Warum?
Click to expand...
Siehe Oben - der hard-reject erfolgt im mailproxy (genauergesagt im pmgpolicy service - das hat wenig mit spamassassin und den hits zu tun - und wenn auf grund von spamassassin hits sachen abgeleht werden sollen, dann wie oben beschrieben custom scores setzen und eine passende regel erstellen)

Ich hoffe das hilft!
 
Ohne die IP und Domain zu kennen ist das nicht wirklich zu beantworten - aber ein paar Ideen:
* Gibt es Modifikationen an der postfix config auf dem system (main.cf/master.cf)
* Auf jeden fall vom PMG aus die DNS Abfragen mal manuell durchfuehren und sicherstellen, dass die IP tatsaechlich nicht vom SPF record erfasst wird, und dass die Antwort wie erwartet ein '-all' hinten stehen hat.
* Ist die IP/sonst etwas zu dieser Mail vielleicht auf der Mailproxy Whitelist eingetragen? (GUI->Configuration->Mail Proxy->Whitelist)
* Schauen, was pmgpolicy sonst so ins log schreibt.

Ich hoffe das hilft!
 
OliverB said:
eitere Sonderkonfigurationen sind nicht getroffen worden. Was könnte hier den SPF beinflussen?
Click to expand...
wenn smtpd_recipient_restrictions aus dem ursprungstemplate komplett ersetzt wird ... fliegen auch die checks raus, die bei einem PMG erwartet werden (u.a. der check zum pmgpolicy service, der greylisting und eben den SPF check macht ...)
 
Stoiko Ivanov said:
wenn smtpd_recipient_restrictions aus dem ursprungstemplate komplett ersetzt wird ... fliegen auch die checks raus, die bei einem PMG erwartet werden (u.a. der check zum pmgpolicy service, der greylisting und eben den SPF check macht ...)
Click to expand...
Ah okay das nutzen der templates ersetzt die komplette Standard Config. Wie kann ich die Config denn "nur erweitern" damit die Standards erhalten bleiben?
 
Stoiko Ivanov said:
Die Templates werden zur Postfix config gerendert:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_template_engine

Wie die postfix config erweitert werden kann hängt davon ab, was erweitert werden soll - und die Dokumentation dafür ist die postfix Dokumentation - z.B. https://www.postfix.org/SMTPD_ACCESS_README.html
https://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions
Click to expand...
Okay verstehe, ich müsste ja diese Zeile eigentlich nur einfügen.
Plus die eigentlichen smtpd_recipient_restrictions stehen die in der main.cf der default config stehen richtig? Weil so würde der komplette part smtpd_recipient_restrictions nur diesen einen check oben ausführen. Korrekt?
 
Last edited:
ja - am besten einfach ausprobieren
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back