spf reject

[q16marvin]

Hi,

ich tappe leider total im Dunkeln und komme nicht weiter.
Die Adresse no-reply@bdo.de versucht mir eine Mail zuzuschicken, wird aber von pmg mit der Meldung:

Recipient address rejected: Rejected by SPF: 23.90.105.144 is not a designated mailserver for no-reply%40bdo.de

abgelehnt.

Nun habe ich selbst ein Test auf https://www.spf-record.de gemacht uns dieser sagt alles supi:




Ich wöllte jetzt ungern bdo.de auf die Whiteliste setzen.
Die IP 23.90.105.144 ist letztlich ein MailServer von bdo.de

dig +short MX bdo.de
10 mx2.hc697-83.eu.iphmx.com.
10 mx1.hc697-83.eu.iphmx.com.

dig +short A mx1.hc697-83.eu.iphmx.com
23.90.105.137
23.90.102.228
23.90.105.144
207.54.71.200

Ich hoffe ihr könnt mich "erhellen"

Danke!

 

[Hannes Laimer]

Hey,

bei SPF geht es um den SPF TXT record, für bdo.de sieht der so aus:

;; ANSWER SECTION:
bdo.de.            7120    IN    TXT    "v=spf1" " include:spfv4.sosafe.de include:spfv6.sosafe.de exists:%{i}.spf.hc697-83.eu.iphmx.com include:spf.protection.outlook.com include:_spf.jpberlin.de include:_spf.qp-mail.eu include:spf.mailjet.com" " ip4:209.61.151.0/24 ip4:166.78.68.0/22 ip4:198.61.254.0/23 ip4:192.237.158.0/23 ip4:23.253.182.0/23 ip4:104.130.96.0/28 ip4:146.20.113.0/24 ip4:146.20.191.0/24 ip4:159.135.224.0/20 ip4:69.72.32.0/20 ip4:104.130.122.0/23 ip4:146.20.112.0/26" " ip4:161.38.192.0/20 ip4:143.55.224.0/21 ip4:143.55.232.0/22 ip4:159.112.240.0/20 ip4:198.244.48.0/20 ip4:204.220.168.0/21 ip4:204.220.176.0/20 ip4:141.193.32.0/23 ip4:159.135.140.80/29 ip4:159.135.132.128/25 ip4:161.38.204.0/22 ip4:87.253.232.0/21" " ip4:185.189.236.0/22 ip4:185.211.120.0/22 ip4:185.250.236.0/22 ip4:143.55.236.0/22 ip4:198.244.60.0/22 ip4:204.220.160.0/21" " -all"
bdo.de.            7120    IN    TXT    "onetrust-domain-verification=8445207724cf426fb68a4fc7b904a699"

Das -all am Ende bedeutet, dass keiner außer die hier aufgeführten darf. ~all wäre z.B. es gibt eine Warnung bei nicht gelisteten. Es gibt noch andere Möglichkeiten, aber was ihr wollt ist 23.90.105.144 (bzw. das entsprechende Subnet) dem Record hinzuzufügen.

(Ich hoffe ich hab die IP, bzw. Subnet, nicht übersehen )

 

[q16marvin]

okay ganz deiner meiner, genau so versteh ich SPF halt auch... ip nicht im dns eintrag, damit sagt pmg nein du darfst nicht was ja richtig so ist. und nein die hast du nicht übersehen, die steht "wirklich" nicht drin. für mich nur nicht verständlich wie dann spf-record.de beim testen sagen kann "jo passt alles"...

 

[Hannes Laimer]

Ok,

exists:%{i}.spf.hc697-83.eu.iphmx.com

sollte zu

exists:23.90.105.144.spf.hc697-83.eu.iphmx.com

werden, und per [1] passt das solange es einen A record zu der Domain gibt, allerdings scheint es keinen zu geben. Hier wird nur %{i} [2] verwendet, ich nehme an das ist so gewollt. Warum spf-record.de allerdings sagt das passt, weiß ich nicht. Ich würde vorschlagen testweise die IP direkt im SPF record einzutragen, oder einen A record für 23.90.105.144.spf.hc697-83.eu.iphmx.com anzulegen.



[1] https://datatracker.ietf.org/doc/html/rfc7208#section-5.7
[2] https://datatracker.ietf.org/doc/html/rfc7208#section-7



edit:
jetzt gibt's einen A record zu 23.90.105.144.spf.hc697-83.eu.iphmx.com, war bei mir da was gecached, oder habt ihr in den letzten 10 Minuten da was eingetragen?

dig -t A 23.90.105.144.spf.hc697-83.eu.iphmx.com
...
;; QUESTION SECTION:
;23.90.105.144.spf.hc697-83.eu.iphmx.com. IN A

;; ANSWER SECTION:
23.90.105.144.spf.hc697-83.eu.iphmx.com. 3218 IN A 127.0.0.2
...

also sollte der PMG das eigentlich annehmen. Könnte es sein, dass da noch was im DNS cache liegt, und postfix deshalb den A record für 23.90.105.144.spf.hc697-83.eu.iphmx.com nicht sieht? Was sagt denn dig 23.90.105.144.spf.hc697-83.eu.iphmx.com auf dem PMG?