web.de gmx.de scheitern am SPF -> Quarantäne

[AliceSalomon]

Hallo zusammen,

wir haben PMG neu aufgesetzt. Leider scheitern web.de und gmx.net am SPF-Filter. Ich möchte die Domänen aber ungerne einfach so in die Whitelist schreiben. Hat jemand einen guten Tipp für mich? Besten Dank!

 

[Stoiko Ivanov]

T_SPF_TEMPERROR kann auf eine Problem bei der Konfiguration der DNS-Server hindeuten - also das mal überprüfen...
ansonsten - bitte die logs zu den mails teilen - vl. zeigen die wo das Problem ist.

 

[AliceSalomon]

Hi,

vielen Dank für die Hilfe!
Die DNS Einstellungen sind: - die sollten doch so passen.

Welches Logfile wäre denn richtig?

Hier ein Beispiel:
2025-06-11T18:00:26.226390+02:00 pmg postfix/smtpd[128756]: connect from mout.web.de[212.227.15.4]
2025-06-11T18:00:26.314458+02:00 pmg postfix/smtpd[128756]: Anonymous TLS connection established from mout.web.de[212.227.15.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature RSA-PSS (4096 bits) server-digest SHA256
2025-06-11T18:00:32.743485+02:00 pmg postfix/smtpd[128756]: B567681CFF: client=mout.web.de[212.227.15.4]
2025-06-11T18:00:32.801446+02:00 pmg postfix/cleanup[128757]: B567681CFF: message-id=<trinity-0f957e40-e5dd-4ea0-a1d9-7c267cc788f1-1749657621540@trinity-msg-rest-webde-webde-live-6b9699d497-w6rrt>
2025-06-11T18:00:32.869540+02:00 pmg postfix/qmgr[751]: B567681CFF: from=<EMAILADRESSE_ENTFERNT@web.de>, size=561239, nrcpt=1 (queue active)
2025-06-11T18:00:32.885639+02:00 pmg postfix/smtpd[128756]: disconnect from mout.web.de[212.227.15.4] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2025-06-11T18:00:32.927485+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: new mail message-id=<trinity-0f957e40-e5dd-4ea0-a1d9-7c267cc788f1-1749657621540@trinity-msg-rest-webde-webde-live-6b9699d497-w6rrt>#012
2025-06-11T18:00:43.757491+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: SA score=4/5 time=10.271 bayes=undefined autolearn=no autolearn_force=no hits=DKIM_INVALID(0.1),DKIM_SIGNED(0.1),DMARC_QUAR(0.1),FREEMAIL_FROM(0.001),HTML_MESSAGE(0.001),KAM_DMARC_QUARANTINE(4),KAM_DMARC_STATUS(0.01),MIME_HTML_ONLY(0.1),RCVD_IN_MSPIKE_H3(0.001),RCVD_IN_MSPIKE_WL(0.001),SPF_HELO_NONE(0.001),SPOOFED_FREEMAIL(0.001),T_FREEMAIL_DOC_PDF(0.01),T_SPF_TEMPERROR(0.01)
2025-06-11T18:00:43.766109+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: moved mail for <EMAILADRESSE_ENTFERNT@alice-salomon-bk.de> to spam quarantine - 81D436849A82BB9666 (rule: Quarantine/Mark Spam (Level 3))
2025-06-11T18:00:43.768230+02:00 pmg pmg-smtp-filter[128328]: 81D416849A820DE8C6: processing time: 10.85 seconds (10.271, 0.551, 0)
2025-06-11T18:00:43.768592+02:00 pmg postfix/lmtp[128758]: B567681CFF: to=<EMAILADRESSE_ENTFERNT@alice-salomon-bk.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=17, delays=6.5/0/0.04/11, dsn=2.5.0, status=sent (250 2.5.0 OK (81D416849A820DE8C6))
2025-06-11T18:00:43.769031+02:00 pmg postfix/qmgr[751]: B567681CFF: removed

 

[Stoiko Ivanov]

ist auf 127.0.0.1 (sprich auf dem PMG selbst) auch wirklich ein DNS-Server konfiguriert ?
funktioniert dns-aufloesung (auf der commandline vom pmg einfach mal `ping -c 4 google.com` versuchen und schauen ob es innerhalb von 1 Sekunde antworten gibt)?...

 

[AliceSalomon]

Hi, ich habe den 127.0.0.1 mal entfernt - es ändert aber nichts am Ping: Der Name wird aufgelöst, zurück kommt dann aber nichts


PS: Gerade bemerkt: icloud.com ist teilweise auch betroffen.

 

[Stoiko Ivanov]

Hi, ich habe den 127.0.0.1 mal entfernt - es ändert aber nichts am Ping: Der Name wird aufgelöst, zurück kommt dann aber nichts

wenn die Auflösung prinzipiell funktioniert (wonach der screenshot aussieht) dann wird as mit dem timeout bei ping wahrscheinlich an einer firewall liegen, die das verbietet.

Hängt PMG direkt am Internet - oder gibt es noch anderes Equipment/Firewalls/Proxies davor - die vl. auch die mail verändern? (Ansonsten sollte DKIM ja korrekt sein und dadurch DMARC auch kein Problem machen)