SPF: Verbesserung der Spamfilterraten

Ich meine es wird immer markiert, egal wie die Mails hineinkommen. Es sollte bei deaktivierten Filtern aber nichts weiter geschehen. Sollte, da bei meinem letzten Test mit internen Weiterleitungen zu [...] Ich meine es wird immer markiert, egal wie die Mails hineinkommen. Es sollte bei deaktivierten Filtern aber nichts weiter geschehen. Sollte, da bei meinem letzten Test mit internen Weiterleitungen zu DF-Exchange immer noch abgewiesen wurde, obwohl behauptet wurde, dass das Problem gelöst sei. Ich bin immer noch nicht zum "Wieder-Mal-Testen" gekommen.
Die SPF filter würde ich einfach von GMX aus testen, da GMX ein SPF-Hardfail definiert hat. Wenn die GMX-Mails bis ins letzte DF-Postfach durchkommen, sollte es eigentlich funktionieren.

Ich habe heute auch einen Arbeitstag damit verbracht, mich mit SPF beschäftigen zu müssen. Bin leider zu keiner anderen zuverlässigen Lösung gekommen, außer zukünftig mehrere Postfächer abfragen zu [...] Ich habe heute auch einen Arbeitstag damit verbracht, mich mit SPF beschäftigen zu müssen. Bin leider zu keiner anderen zuverlässigen Lösung gekommen, außer zukünftig mehrere Postfächer abfragen zu müssen :-/

Genau das Problem habe ich auch - dass Problem ist, das GMX in ihrem SPF Eintrag natürlich nicht die DF-Server aufgenommen hat - wozu auch...das Problem ist ja, dass Du als Empfänger in diesem Fall [...] Genau das Problem habe ich auch - dass Problem ist, das GMX in ihrem SPF Eintrag natürlich nicht die DF-Server aufgenommen hat - wozu auch...das Problem ist ja, dass Du als Empfänger in diesem Fall auch völlig machtlos bist - ich bekomme seit heute auch keine Emails mehr von meiner Bank und von meinem Autohaus, da die wohl zwar SPF Einträge haben aber Mails von nicht gelsiteten Server übertragen - das ist zwar unschön und auch falsch aber ich kann die Sparkasse jetzt nicht dazu zwingen das zu ändern - ich selbst als Empfänger bei DF kann jetzt nicht nur die Reverse DNS Prüfung abschalten, ich muss dafür den kompletten SPAM Schutz abschalten...da bleibt nur eins...hab grad geschaut 1&1 IONOS und auch Strato haben preislich gleiche Pakete...sollte das also nicht umgehend wieder zurück gestellt werden zumindest solange bis der Kunde die Möglichkeit hat das selbst ein uns aus zu schalten...bin ich leider auch weg....

Ich habe alle Spam-Filter und Prüfungen abgeschaltet, leite aber von einem normalen DF zu einem DF-Exchange-Postfach weiter und da liegt das Problem. Die erkennen nicht mal die DF-eigenen Server:
 [...] Ich habe alle Spam-Filter und Prüfungen abgeschaltet, leite aber von einem normalen DF zu einem DF-Exchange-Postfach weiter und da liegt das Problem. Die erkennen nicht mal die DF-eigenen Server:
"mailcluster2-8.ispgateway.de"
als Absender an!!!

Ich konnte das Problem eingrenzen:
E-Mails werden dann abgewiesen, wenn sie von einem Server verschickt werden, dessen SPF-Records ein SPF-Hardfail definieren (-all), z.B. GMX.
Das Problem tritt [...] Ich konnte das Problem eingrenzen:
E-Mails werden dann abgewiesen, wenn sie von einem Server verschickt werden, dessen SPF-Records ein SPF-Hardfail definieren (-all), z.B. GMX.
Das Problem tritt dann auf, wenn eine Weiterleitung von einem vorgeschalteten DF-Nicht-Exchange-Postfach zu einem DF-EXCHANGE-POSTFACH über die individuellen DF-Mailfilter eingerichtet wird.
Wir verwenden wie auch andere Kunden die damals von Herrn Dornblut im Forum beschriebene Filterung mit vorgeschaltetem Postfach, um eine Filterung von E-Mails zu konfigurieren, die mit Exchange allein nicht möglich ist.

Meiner Meinung nach ist das Problem, dass bei einer Weiterleitung an ein Exchange-Postfach trotz abgeschalteter SPF-Prüfung trotzdem eine solche SPF-Prüfung bei Übergabe an den Exchange-Server stattfindet und zudem der weiterleitende DF-Server nicht auf einer Whitelist steht. So wird dieser auch als ungültiger Weiterleitungsserver interpretiert und die Mail wird wegen SPF abgewiesen. Ich vermute, dass durch diese Konfiguration auch bei anderen Kunden momentan unwissentlich Mails verloren gehen!

Update: DF Support hat das Problem bestätigt, Admins sind dabei, die SPF-Konfiguration abzuändern. Update: DF Support hat das Problem bestätigt, Admins sind dabei, die SPF-Konfiguration abzuändern.

@Patrick
Bei mir ist es ähnlich: Kein Empfang von GMX, keiner der Bank, auch Wirtschaftskammer nicht usw.
Seit Dienstag.

Jeglicher Spamschutz ist abgeschaltet, genau nach Anleitung vom [...] @Patrick
Bei mir ist es ähnlich: Kein Empfang von GMX, keiner der Bank, auch Wirtschaftskammer nicht usw.
Seit Dienstag.

Jeglicher Spamschutz ist abgeschaltet, genau nach Anleitung vom Support-Blog (Reverse-DNS-Prüfung deaktiviert).

Hat sich etwas geändert? Nein!

Heute meinte DF, dass die die Weiterleitung zu Exchange vom SPF ausgenommen hätten. Ich sollte bitte wieder mal testen. Nix da! Alles beim alten, ich soll denen wieder eine Anleitung geben - wie oft [...] Heute meinte DF, dass die die Weiterleitung zu Exchange vom SPF ausgenommen hätten. Ich sollte bitte wieder mal testen. Nix da! Alles beim alten, ich soll denen wieder eine Anleitung geben - wie oft denn noch? Ich habe denen 10 mal gesagt wo das Problem ist, aber anscheinend ist niemand in der Lage was zu ändern. Traurig! Ich werde jetzt wohl die Exchange-Postfächer bald kündigen weil die eh nur Probleme machen und hoffentlich bin ich bald ganz weg.

Meine letzte Antwort an den DF-Support:
----
So langsam reicht es mir wirklich. Ich habe Ihnen die Probleme bereits mehrmals bis ins letzte Detail geschildert, E-Mails weitergeleitet, etc. Ich [...] Meine letzte Antwort an den DF-Support:
----
So langsam reicht es mir wirklich. Ich habe Ihnen die Probleme bereits mehrmals bis ins letzte Detail geschildert, E-Mails weitergeleitet, etc. Ich arbeite nicht für DF und werde nicht dafür bezahlt! Im Gegenteil - ich zahle seit längerer Zeit für nicht-funktionierende Sachen. Wissen Sie wieviel Zeit und Geld ich und meine Kollegen verloren haben, um die von DF durch die (auch noch unangekündigte) SPF-Umstellung verursachten Probleme abgewiesener Mails zu beheben?
DF sollte in der Lage sein sich einen kostenlosen GMX-Account zu erstellen und sich ein normales Postfach und ein Exchange-Postfach bei DF anzulegen, um dann mal zu testen, warum alle so weitergeleiteten Mails abgewiesen werden.
Das Problem hat wie gesagt nichts mit dem vorgeschalteten Anti-Spam-Gateway zu tun. Ich habe das auch über andere meiner Domains getestet.
Wenn das Problem bleibt, werden wir uns nach anderen Mail-Providern umschauen. Wenn DF meint, auf SPF filtern zu müssen, dann sollen sie das bitte auch im Griff haben.

Selbiges Problem hier und keine Lösung in Sicht! Selbiges Problem hier und keine Lösung in Sicht!

Das wäre zu kundenfreundlich und man bräuchte wohl jemanden, der das Frontend etwas abändert. Das wäre zu viel des Guten...
Die gewählte Vorgehensweise passt dagegen perfekt zum neuen [...] Das wäre zu kundenfreundlich und man bräuchte wohl jemanden, der das Frontend etwas abändert. Das wäre zu viel des Guten...
Die gewählte Vorgehensweise passt dagegen perfekt zum neuen Domainfactory-Image.

Nein, ich habe garantiert keine Benachrichtigungs-E-Mail erhalten, sie ist auch nicht im Spam, auch weil ich den DF-Spamfilter gar nicht nutze und es ist wohl auch bei vielen andren Kunden so gewesen. Dass ich einen richtig guten Spam- und Malware-Schutz-Provider vor Domainfactory geschaltet hatte wurde nun durch massenweise abgeweisene Kunden-E-Mails bestraft.

Da scheint mit dem Virenfilter auch etwas nicht mehr zu stimmen. Da scheint mit dem Virenfilter auch etwas nicht mehr zu stimmen.

Nein, ist so nicht möglich. Da müsstest du die Prüfung tatsächlich komplett abschalten. Sinnvoller ist aber, das Kontaktformular vernünftig zu Programmieren. Sorgt einfach dafür dass es als Sender die [...] Nein, ist so nicht möglich. Da müsstest du die Prüfung tatsächlich komplett abschalten. Sinnvoller ist aber, das Kontaktformular vernünftig zu Programmieren. Sorgt einfach dafür dass es als Sender die Bounce-Adresse eures Servers nutzt und tragt die vom Kunden mitgeteilte E-Mail-Adresse nur im From-Header ein. Damit habt ihr das Problem korrekt gelöst. Bei `sendmail` wird dazu der -f Parameter genutzt.

Danke für die Rückmeldung.
Ich dachte das "from" sei gerade das Problem und man solle da keine serverfremde Adresse benutzen!? Das wäre ja aber hier der Fall. Oder gilt das nur für SMTP und nicht für [...] Danke für die Rückmeldung.
Ich dachte das "from" sei gerade das Problem und man solle da keine serverfremde Adresse benutzen!? Das wäre ja aber hier der Fall. Oder gilt das nur für SMTP und nicht für Sendmail?

Nichtsdestotrotz - Könntest du mir Infos zu diesem -f Parameter geben? Konnte dazu nichts brauchbares finden.

Vielen Dank!

E-Mails besitzen zwei Arten von Absendern, den der quasi auf dem Umschlag steht (Sender) und der, der im Briefkopf steht (From). From wird in Mailprogrammen angezeigt, SPF prüft aber nur den Sender, [...] E-Mails besitzen zwei Arten von Absendern, den der quasi auf dem Umschlag steht (Sender) und der, der im Briefkopf steht (From). From wird in Mailprogrammen angezeigt, SPF prüft aber nur den Sender, an den auch Fehlermeldungen zurück geschickt werden. Wenn du dir auf php.net einmal die Dokumentation das Mail-Befehls anschaust, sieht du, dass er als 4. Parameter die angabe zusätzlicher Header ermöglicht, unter anderem den "From"-Header. Parameter 5 ermöglicht dagegen die Angabe zusätzlicher Parameter für sendmail, wie z.B. "-f deine@erlaubte.adresse". Wenn diese Adresse eine ist, die dir gehört und laut deinem SPF von deinem Server genutzt werden darf, ist es egal was im "From"-Headers steht.

... apropos: wie geht es eigentlich dem Forum? Das wäre doch jetzt praktisch, um strukturierter sich dazu austauschen zu können...
Support-Anfrage gestellt; ich hoffe, ich bekomme schnell eine [...] ... apropos: wie geht es eigentlich dem Forum? Das wäre doch jetzt praktisch, um strukturierter sich dazu austauschen zu können...
Support-Anfrage gestellt; ich hoffe, ich bekomme schnell eine Antwort.

Mir wurde geantwortet, ich soll den inhaltsbasierten Spam-Filter "MailfilterEASY" anders konfigurieren und ggf. trainieren. (*kopfschüttel*) - Ob der Support diesen Blog-Post überhaupt gelesen hat und [...] Mir wurde geantwortet, ich soll den inhaltsbasierten Spam-Filter "MailfilterEASY" anders konfigurieren und ggf. trainieren. (*kopfschüttel*) - Ob der Support diesen Blog-Post überhaupt gelesen hat und den Mechanismus von SPF kennen???

Welche Fehlermeldung bekommen die Kunden denn? Die Umstellung ist noch gar nicht erfolgt, wir führen das erst wie in der E-Mail angekündigt zum 20.5.2019 durch. Welche Fehlermeldung bekommen die Kunden denn? Die Umstellung ist noch gar nicht erfolgt, wir führen das erst wie in der E-Mail angekündigt zum 20.5.2019 durch.

Blinder Aktionismus ohne Kenntnis der Ursache ist selten eine gute Idee. Reverse-DNS und Dial-in-IP sollte immer eingeschaltet sein, ebenso wie der Virenschutz. Spamhaus ist umstritten, da sie ihre [...] Blinder Aktionismus ohne Kenntnis der Ursache ist selten eine gute Idee. Reverse-DNS und Dial-in-IP sollte immer eingeschaltet sein, ebenso wie der Virenschutz. Spamhaus ist umstritten, da sie ihre Listen gerne missbrauchen, um unliebsame Anbieter zu erpressen. Die korrekte Einstellung für den Spamfileter EASY ist aber "Normal zustellen", wenn man Filterregeln darauf anwenden will, oder "Im Betreff markieren", wenn man darauf keinen Bock hat. Mit diesen Einstellungen kommt garantiert alles an, war ein echter Kunder dir schicken könnte.

Sie brauchen dafür gar nichts zu machen, die Umstellung erfolgt automatisch. Sie brauchen dafür gar nichts zu machen, die Umstellung erfolgt automatisch.

Danke Anna, das ist für einen nur Nutzer die beste Nachricht, Ludwig Danke Anna, das ist für einen nur Nutzer die beste Nachricht, Ludwig

Wenn jemand von irgendwo mit dem Tablet oder Laptop in irgendeinem WLAN eine Mail verschickt, hat das überhaupt nichts damit zu tun, denn er versendet sie ja nicht wirklich von da. Er reicht die Mail [...] Wenn jemand von irgendwo mit dem Tablet oder Laptop in irgendeinem WLAN eine Mail verschickt, hat das überhaupt nichts damit zu tun, denn er versendet sie ja nicht wirklich von da. Er reicht die Mail ja stattdessen, nach anmeldung mit Benutzername und Passwort, erstmal bei Mailserver seines Unternehmens ein, und erst von da werden sie dann verschickt. Es zählt also die IP-Adresse des versendenden Servers, nicht die von irgendeinem Endgerät. GMX und Web.de schützen ihre Server schon lange mit SPF. Das würde ja kaum funktionieren, wenn es davon abhinge, wo sie deren Nutzer gerade aufhält.

Der Absender hat dank SPF das Recht zu entscheiden, wer unser seiner Domain E-Mails versenden darf. Mitarbeiter eines Unternehmens senden Mails auch von außerhalb über das Zentrale Mailsystem dieses [...] Der Absender hat dank SPF das Recht zu entscheiden, wer unser seiner Domain E-Mails versenden darf. Mitarbeiter eines Unternehmens senden Mails auch von außerhalb über das Zentrale Mailsystem dieses Unternehmens, sodass es überhaupt keine Rolle spielt, wo der einzelne Mitarbeiter gerade ist. Dennoch wird niemand gezwungen SPF zu nutzen. Wenn besagtes Unternehmen diese Form der Sicherheit nicht wünscht, hinterlegt es keinen SPF-Eintrag und dann werden seine Mails auch nicht blockiert.

Sie brauchen dafür nichts zu ändern, die Umstellung erfolgt automatisch! Sie brauchen dafür nichts zu ändern, die Umstellung erfolgt automatisch!

Alle deine Fragen (sofern halbwegs verständlich) haben nichts mit dem Thema zu tun und werden von der Änderung auch nicht beeinflusst. Alle deine Fragen (sofern halbwegs verständlich) haben nichts mit dem Thema zu tun und werden von der Änderung auch nicht beeinflusst.

Nein. Hier stehst du auf der "anderen Seite", das heißt deine Mailadresse wird als Absender missbraucht. Um dich davor zu schützen, musst du selbst in deiner Domain einen SPF-Eintrag anlegen. Wenn du [...] Nein. Hier stehst du auf der "anderen Seite", das heißt deine Mailadresse wird als Absender missbraucht. Um dich davor zu schützen, musst du selbst in deiner Domain einen SPF-Eintrag anlegen. Wenn du es tust, musst du aber sicher stellen, dass der Eintrag korrekt und immer up-to-date ist, damit deine eigenen Mails nicht auch als gefälscht durchgehen. Der Generator im Kundenzentrum hilft dir.

So gut wie alles, was da passiert, ist öffentlich dokumentiert. Die meisten Provider setzen Standardsoftware ein. Bei DF ist es Exim (mit diversen Plugins) und Dovecot. Die Protokolle sind sowieso [...] So gut wie alles, was da passiert, ist öffentlich dokumentiert. Die meisten Provider setzen Standardsoftware ein. Bei DF ist es Exim (mit diversen Plugins) und Dovecot. Die Protokolle sind sowieso standardisiert.

Alle diese Dinge sind mir ein Buch mit sieben Siegeln. Ich bin nun mal kein Web-Admin, auch wenn ich eine Webseite betreibe. Dennoch auch Ihnen herzlichen Dank für Ihre engagierte Arbeit im Blog. Alle diese Dinge sind mir ein Buch mit sieben Siegeln. Ich bin nun mal kein Web-Admin, auch wenn ich eine Webseite betreibe. Dennoch auch Ihnen herzlichen Dank für Ihre engagierte Arbeit im Blog.

Nein. Hat damit überhaupt nichts zu tun. Nein. Hat damit überhaupt nichts zu tun.

Naja, den Verlust an gefälschten Mails nimmt man doch gerne hin. Ich setze es seit Jahren ein und hatte noch keine Probleme. Ich bin als Versender natürlich selbst verantwortlich, dass meine SPF [...] Naja, den Verlust an gefälschten Mails nimmt man doch gerne hin. Ich setze es seit Jahren ein und hatte noch keine Probleme. Ich bin als Versender natürlich selbst verantwortlich, dass meine SPF up-to-date sind, wenn ich sie einsetze. Wenn erstmal alle konsequent prüfen, merken Versender es sofort, wenn sie Mist gebaut haben.

Es gibt vieles, das unbedarfte Endkunden nicht verstehen, und deshalb irgendeinen Kundendienst nerven. Eine Technik abzulehnen, weil es irgendwo ein unvermeidliches Layer 8 Problem gibt, ist ein [...] Es gibt vieles, das unbedarfte Endkunden nicht verstehen, und deshalb irgendeinen Kundendienst nerven. Eine Technik abzulehnen, weil es irgendwo ein unvermeidliches Layer 8 Problem gibt, ist ein ziemlich armseliges Argument. Aber heutzutage muss ja auch Hinz und Kunz Domains und Server haben, auch wenn er von Tuten und Blasen keine Ahnung hat. Da hilft dann wirklich nur die Holzhammer-Methode: Marktmacht, "-all" und drauf. Danke GMX & Web.de! ;)

Das gilt nur für eingehende Mails, deren Domains explizit einen SPF-Eintrag gesetzt haben. Sie brauchen wegen der Umstellung nun also keine SPF-Einträge setzten. Das gilt nur für eingehende Mails, deren Domains explizit einen SPF-Eintrag gesetzt haben. Sie brauchen wegen der Umstellung nun also keine SPF-Einträge setzten.

Du stehst gewaltig auf dem Schlauch, denn abgesehen davon, dass, wie auch @Anna schon geschrieben hat, der SPF beim Empfänger geprüft wird und das auch nur passiert, wenn der Absender einen [...] Du stehst gewaltig auf dem Schlauch, denn abgesehen davon, dass, wie auch @Anna schon geschrieben hat, der SPF beim Empfänger geprüft wird und das auch nur passiert, wenn der Absender einen SPF-Eintrag zur Verfügung gestellt hat, sendest du E-Mails in der Regel auch nicht direkt von Heimcomputer an den Empfänger, sondern lieferst sie bei deinem Anbieter ein, von wo aus sie dann weitergeleitet werden. Das verwendete Protokoll ist das selbe (SMTP), aber um Mails nach draußen zu schicken legitimierst du dich dabei nicht über deine IP, sondern über Benutzername und Passwort.

Theoretisch könnte man natürlich Mails von Zuhause aus direkt beim Emfänger einliefern, aber damit kommst du von vornherein durch fast keinen Spamfilter, denn sonst würden die Postfächer von Mails überschwemmt, die von irgendwelchen infizierten Privat-PCs kommen. Bevor du da Probleme mit dem SPF bekommst, wird die Mail schon vom Dialin-IP-Filter rausgefischt. Da stehen alle Adressebereiche drauf, die von den großen Providern dynamisch an Endkunden vergeben werden, und wenn du mit so einer IP irgendwo antanzt um Mails einzuliefern, kann es sein, dass der Mailserver nichtmal antwortet, weil du hochkant gegen die Firewall fliegst.

Hallo Bachsau,
da lässt der Profilname bereits ein klares Wort erwarten. Danke für die ausführliche Erläuterung. Verstanden und damit jetzt auch vom Schlauch. Hallo Bachsau,
da lässt der Profilname bereits ein klares Wort erwarten. Danke für die ausführliche Erläuterung. Verstanden und damit jetzt auch vom Schlauch.

@Helmut Ich habe keine Ahnung was du mir mit der Anspielung auf meinen Namen sagen willst, aber ich glaube, ich war dir gegenüber weder beleidigend noch unfreundlich, und habe dir einen ausführlichen [...] @Helmut Ich habe keine Ahnung was du mir mit der Anspielung auf meinen Namen sagen willst, aber ich glaube, ich war dir gegenüber weder beleidigend noch unfreundlich, und habe dir einen ausführlichen Überblick über den Sachverhalt geliefert.

Das gilt nur, wenn Sie unsere MXe verwenden. Das gilt nur, wenn Sie unsere MXe verwenden.

Wenn DF seine Header nicht im Griff hat, ist das kein Problem von SPF, sondern DF hat Mist gebaut und muss dringend nachbessern. SRS sollte standard sein: Ein Server muss die Verantwortung für das [...] Wenn DF seine Header nicht im Griff hat, ist das kein Problem von SPF, sondern DF hat Mist gebaut und muss dringend nachbessern. SRS sollte standard sein: Ein Server muss die Verantwortung für das übernehmen, was er tut. Ich hoffe dass sich dieses Problem immer weiter verschärft und mail mit unpassendem SPF bald überall kategorisch abgelehnt werden. Vielleicht wird der Druck dann endlich groß genug, damit Betreiber von Weiterleitungsdiensten und Mailinglisten lernen, ihre Systeme vernünftig zu konfigurieren.

@N. Außerhalb deiner Einflußsphäre liegt nur, was nicht dir gehört, und so soll es auch sein. SRS hätte von Anfang an Standard sien sollen und ist die einzige Art, es richtig zu machen. Aber wir [...] @N. Außerhalb deiner Einflußsphäre liegt nur, was nicht dir gehört, und so soll es auch sein. SRS hätte von Anfang an Standard sien sollen und ist die einzige Art, es richtig zu machen. Aber wir werden da wohl nicht auf einen Nenner kommen, weshalb ich auf weitere Beiträge von dir auch nicht antworten werde. Ich bin ein großer Verfechter des SPF-Systems, wie auch anderer zukunftsweisender Technologien (IPv6, DNSSEC, DANE, DKIM, systemd), und ich bin froh, dass die Mehrheit das genau so sieht.

Das wird natürlich noch angepasst ;) Das wird natürlich noch angepasst ;)

Es ist aber nicht so, dass diese Mails einfach verschwinden, sondern der Absender bekommt das ja mitgeteilt. Daher würde das Team vom DF-Newsletter auch sofort merken, dass ihre Mails nicht zugestellt [...] Es ist aber nicht so, dass diese Mails einfach verschwinden, sondern der Absender bekommt das ja mitgeteilt. Daher würde das Team vom DF-Newsletter auch sofort merken, dass ihre Mails nicht zugestellt werden können, und hätte es spätestens dann korrigieren können. Ein legitimer Absender hat mit SPF eigentlich nie ein Problem, denn er kann die Regeln jederzeit anpassen.

Deine erste Mail würde durchgehen. Die oberen Header stammen von einem vorherigen Schritt der Zustellungskette und sind nur eine Dokumentation des Geschehenen. Von oben nach unten gelesen: Die E-Mail [...] Deine erste Mail würde durchgehen. Die oberen Header stammen von einem vorherigen Schritt der Zustellungskette und sind nur eine Dokumentation des Geschehenen. Von oben nach unten gelesen: Die E-Mail wurde von einem Rechner im Netzwerk der ETH Zurüch ( alumni.ethz.ch) bei Yahoo eingereicht. Leut dem SPF-Eintrag von alumni.ethz.ch hätte diese E-Mail von diesem Rechner nicht bei Yahoo eingereicht werden dürfen. Das hat aber alles noch nichts mit DF zu tun und offensichtlich hat sich der Server von Yahoo entschieden, die Mail dennoch weiterzuleiten und diesen Fehler nur in einem Header-Feld zu vermerken. Anschließend hat sich also der Server von Yahoo mit dem von DF in Verbindung gesetzt um diese Mail dort abzuladen. Er hat dort als Absender seine eigene Adresse angegeben. DF hat den SPF-Eintrag von returns.groups.yahoo.com geprüft und festgestellt, dass dieser Server berechtigt ist, E-Mails im Namen von Yahoo zu versenden. DF hätte die Mail also angenommen. Solcher Header-Blöcke können sehr lang werden, wenn eine Mail durch viele Server läuft und jeder seine Hinweise und Filter-Daten hinzufügt.

Deine anderen Beispiele sind alle jeweils standardisierte Ergebnis-Codes einer SPF-Prüfung. Was sie genau bedeuten, kannst du leicht googlen. Du kannst aber davon ausgehen, dass alles ankommt, was nicht in einem "fail" resultiert, und das wie oben beschrieben auch nur, wenn der betreffende Header von DF erzeugt wurde. Alles was davor war ist eine nette Information, aber nichts was du beeinflussen kannst. Jede Zeile die etwas wie "... Received: from (HELO..." oder "... Received: from (EHLO..." enthält kannst du als Trennlinie sehen, an welcher die E-Mail auf dem Weg zu dir eine Server-Grenze überschritten hat. Ich weiß, SMTP ist kompliziert... ;)

Vielen Dank für die Erläuterung, das deckt sich mit meinem rudimentären Verständnis von SMTP/SPF. Wichtig war mir im Wesentlichen, eine Bestätigung zu bekommen, dass wirklich nur DF-seitiges 'fail' [...] Vielen Dank für die Erläuterung, das deckt sich mit meinem rudimentären Verständnis von SMTP/SPF. Wichtig war mir im Wesentlichen, eine Bestätigung zu bekommen, dass wirklich nur DF-seitiges 'fail' abgewiesen wird und alles andere weiterhin zugestellt wird.

Können Sie einen Screenshot Ihrer Einstellungen an unseren Kundenservice schicken oder kurz anrufen? Dann können wir die Einstellungen gerne gemeinsam durchgehen. Können Sie einen Screenshot Ihrer Einstellungen an unseren Kundenservice schicken oder kurz anrufen? Dann können wir die Einstellungen gerne gemeinsam durchgehen.

Es geht hier um *eingehende* E-Mails. Also um E-Mails, die Sie empfangen, für die der *Absender* einen SPF-Eintrag gesetzt hat. Stimmt dieser nicht überein, würden die Mails abgelehnt werden. Es geht hier um *eingehende* E-Mails. Also um E-Mails, die Sie empfangen, für die der *Absender* einen SPF-Eintrag gesetzt hat. Stimmt dieser nicht überein, würden die Mails abgelehnt werden.

Sagt mal Leute... ist heutzutage eigentlich niemand mehr fähig, sich aus öffentlich zugänglichen Quellen umfassend und selbstständig zu informieren? Gerade im Business-Bereich sollte man als [...] Sagt mal Leute... ist heutzutage eigentlich niemand mehr fähig, sich aus öffentlich zugänglichen Quellen umfassend und selbstständig zu informieren? Gerade im Business-Bereich sollte man als Verantwortlicher die Technik verstehen, mit der man arbeitet und sich nicht auf kurze Rückfragen verlassen, und darauf, dass es schon irgendwie passt, solange es funktioniert. Die Abmahn-Anwälte freu'n sich, wenn Leute ihrer Sorgfaltspflicht nicht nachkommen.

https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
https://tools.ietf.org/html/rfc5321
https://de.wikipedia.org/wiki/Sender_Policy_Framework
https://tools.ietf.org/html/rfc7208

Leider stellt SPF gar nichts sicher...

Ob es sich um einen legitimen Versand einer E-Mail handelt, kann SPF nicht sicherstellen.

Wie jede Anti-Spam-Maßnahme ist SPF auch eine Anti-Mail-Maßnahme. [...] Leider stellt SPF gar nichts sicher...

Ob es sich um einen legitimen Versand einer E-Mail handelt, kann SPF nicht sicherstellen.

Wie jede Anti-Spam-Maßnahme ist SPF auch eine Anti-Mail-Maßnahme. In diesem Fall schießt SPF allerdings über das Ziel weit hinaus und verhindert legitime E-Mail-Anwendungen. Daher gilt SPF bei Kritikern eben als "broken by design".

Der Ansatz, den SPF verfolgt, kann gar nicht funktionieren...

Na das musst du uns jetztt aber auch erklären! Was ist denn genau daran "broken by design"? Ich kann abseits von abstrusen Weiterleitungsproblemen veralteter E-Mail-Clients keine Fehler erkennen. Na das musst du uns jetztt aber auch erklären! Was ist denn genau daran "broken by design"? Ich kann abseits von abstrusen Weiterleitungsproblemen veralteter E-Mail-Clients keine Fehler erkennen.

Wenn ein Absender einen SPF-Eintrag für seine Domain festlegt, dann sagt er damit explizit, dass er das, was du als "legitime Anwendung" bezeichnest, nicht haben will. Es ist seine Domain, und er [...] Wenn ein Absender einen SPF-Eintrag für seine Domain festlegt, dann sagt er damit explizit, dass er das, was du als "legitime Anwendung" bezeichnest, nicht haben will. Es ist seine Domain, und er allein hat das Recht, das zu entscheiden. Lies dir meinen Beitrag weiter oben dazu durch und quatsch nicht nach, was irgendein auf den Kopf gefallener Kritiker von sich gibt. Du hast Unrecht und SPF funktioniert bereits sehr gut.

Sie meinen für Ihre Domains bei uns? Sie müssten dafür explizit einen SPF-Eintrag setzen, wenn Sie das möchten: https://www.df.eu/de/support/df-faq/e-mail/spf-sender-policy-framework/spf-eintraege/ Sie meinen für Ihre Domains bei uns? Sie müssten dafür explizit einen SPF-Eintrag setzen, wenn Sie das möchten: https://www.df.eu/de/support/df-faq/e-mail/spf-sender-policy-framework/spf-eintraege/

Genau. Wenn man Zeug bei euch hosted, was Mails sendet, die letztlich in nem DF-Mailaccount landen.

Danke für den Link, dann schaue ich da mal drüber. Genau. Wenn man Zeug bei euch hosted, was Mails sendet, die letztlich in nem DF-Mailaccount landen.

Danke für den Link, dann schaue ich da mal drüber.

Wenn Sie keine SPF-Einträge gesetzt haben, betrifft das auch nicht die Mails, die Sie versenden. Es geht hier nur um das empfangen von E-Mails. Wenn Sie keine SPF-Einträge gesetzt haben, betrifft das auch nicht die Mails, die Sie versenden. Es geht hier nur um das empfangen von E-Mails.

Als Versender betrifft dich diese Änderung nicht. Doch derade als Shop-Betreiber solltest du dich einmal mit SPF auseinader setzen. Der Wikipedia-Artikel ist ein guter Einstieg. Durch einen korrekten [...] Als Versender betrifft dich diese Änderung nicht. Doch derade als Shop-Betreiber solltest du dich einmal mit SPF auseinader setzen. Der Wikipedia-Artikel ist ein guter Einstieg. Durch einen korrekten SPF-Eintrag kannst du deine Kunden (natürlich nur bedingt) davor schützen, dass Cracker deine Mails fälschen um z.B. einen Phishing-Angriff durchzuführen.

Vielen Dank für Ihr Feedback, es freut uns, dass Ihnen die Umstellung entgegenkommt! Vielen Dank für Ihr Feedback, es freut uns, dass Ihnen die Umstellung entgegenkommt!

Um das von Arne angesprochene Problem zu lösen, könnte Domainfactory für die Kunden, die einen solchen Weiterleitungsdienst anstelle der Domainfactory-Server nutzen, eine Kundenmenü-Option anbieten. [...] Um das von Arne angesprochene Problem zu lösen, könnte Domainfactory für die Kunden, die einen solchen Weiterleitungsdienst anstelle der Domainfactory-Server nutzen, eine Kundenmenü-Option anbieten. So könnte man zum Beispiel die Mailserver einer beliebigen Domain als bekannte Weiterleitungsserver definieren. Der Kunde tippt einen Domainnamen ein, und der SMTP-Server nutzt diesen, als befände er sich als "mx"-Eintrag im SPF-Record des Absenders.

Genau, es wird nur Hardfail abgelehnt.

Das mit den weitergeleiteten Mails ist richtig. Wenn Sie das so nicht möchten, müssten Sie der Anleitung unter dem Punkt "Kann ich diese E-Mails trotzdem [...] Genau, es wird nur Hardfail abgelehnt.

Das mit den weitergeleiteten Mails ist richtig. Wenn Sie das so nicht möchten, müssten Sie der Anleitung unter dem Punkt "Kann ich diese E-Mails trotzdem empfangen?" folgen und die Prüfungen deaktivieren.

Wenn ein weiterleitender Server diesen Header nicht anpasst, ist er schlichtweg falsch konfiguriert, und sein Administrator sollte sich darum kümmern. Der weiterleitende Server ist in diesem Fall [...] Wenn ein weiterleitender Server diesen Header nicht anpasst, ist er schlichtweg falsch konfiguriert, und sein Administrator sollte sich darum kümmern. Der weiterleitende Server ist in diesem Fall derjenige, der die E-Mail technisch raus schickt, also sollte er sich auch als solcher zu erkennen geben. Tut er das nicht, geht also quasi mit Falschangaben hausieren, dann werden seine Mails zu Recht abgelehnt. Der ursprüngliche Absender bleibt durch den "From"-Header trotzdem erkennbar, wird als solcher auch im Mailprogramm angezeigt und er erhält auch die Antworten. Nur eben nicht die Fehlermeldungen, welche bei korrekter Angabe des Versenders an den weiterleitenden Server zugestellt werden.

Softfails will man doch eigentlich heute gar nicht mehr haben. Die sind nur etwas für den Testbetrieb des SPF gewesen. Im produktiven Betrieb sollte man immer mit Hardfails und einem "-all" am Ende [...] Softfails will man doch eigentlich heute gar nicht mehr haben. Die sind nur etwas für den Testbetrieb des SPF gewesen. Im produktiven Betrieb sollte man immer mit Hardfails und einem "-all" am Ende der SPF-Definition arbeiten. Schon allein die Definition eines Softfails klingt doch komisch "jemand, der nicht die Erlaubnis hat, unter meinem Namen zu senden aber bitte trotzdem großzügig behandelt werden soll"...

Grüße,
Florian

Das funktioniert trotzdem nicht mit Weiterleitungen zu euren eigenen Exchange-Servern. So gingen uns viele Mails verloren! Siehe unten in den Kommentaren. Das funktioniert trotzdem nicht mit Weiterleitungen zu euren eigenen Exchange-Servern. So gingen uns viele Mails verloren! Siehe unten in den Kommentaren.

Ersteinmal muss ich leider sagen, dass die Informationen, die DF hier zum Zustellungsweg der Fehlermeldungen gibt, falsch sind. Mit dem neuen Verfahren wird eine Annahme der betroffenen Mails direkt [...] Ersteinmal muss ich leider sagen, dass die Informationen, die DF hier zum Zustellungsweg der Fehlermeldungen gibt, falsch sind. Mit dem neuen Verfahren wird eine Annahme der betroffenen Mails direkt bei der Einlieferung verweigert. Das bedeutet, dass der absendende Server die Fehlermeldung bereits während des Zustellversuchs erhält, vergleichbar mit einem zugenagelten Briefschlitz. Daher braucht es keine E-Mail mit einer Fehlermeldung die irgendwohin zurück geschickt wird, und der Absender bekommt die Meldung von seinem eigenen Anbieter in sein Postfach gelegt.

Was den Missbrauch deiner eigenen Adresse als Absender betrifft, ist es wichtig zu wissen, dass SPF nur den "Sender" schützt. Das ist die Adresse, an die auch üblicherweise Zustellungsfehler zurück gemeldet werden, und sie taucht nur in den Headern einer Mail auf. Diese darf nicht mit dem Briefkopf-Absender "From" verwechselt werden, der üblicherweise von Mailprogrammen als Absender angezeigt und auch als Antwort-Adresse verwendet wird. Diese lässt sich auch mit SPF beliebig fälschen. Fehlermeldungen solltest du dagegen mit SPF nur noch für die Mails erhalten, die du auch wirklich selbst gesendet hast.

Sie können auch für Ihre eigenen Domains SPF-Einträge setzen. Wir haben hier eine Anleitung dazu: https://www.df.eu/de/support/df-faq/e-mail/spf-sender-policy-framework/spf-eintraege/ Sie können auch für Ihre eigenen Domains SPF-Einträge setzen. Wir haben hier eine Anleitung dazu: https://www.df.eu/de/support/df-faq/e-mail/spf-sender-policy-framework/spf-eintraege/

Standardmäßig setzt DF keine SPF-Einträge, da sie nicht wissen können, wie ein Kunde seine Domain verwendet und er dann möglicherweise Probleme bekäme, deren Ursache im nicht klar ist. Du kannst so [...] Standardmäßig setzt DF keine SPF-Einträge, da sie nicht wissen können, wie ein Kunde seine Domain verwendet und er dann möglicherweise Probleme bekäme, deren Ursache im nicht klar ist. Du kannst so einen Eintrag aber jederzeit selbst im DNS setzen. Meiner sieht z.B. so aus:

"v=spf1 a:tatooine.bachsau.net include:ispgateway.de -all"

Das heißt, dass Mails, bei denen meine Domain hinter dem "@" steht, entweder von meinem Server oder einem Mailserver der DF beim Empfänger eingliefert werden dürfen. Alle anderen Server sind nicht berechtigt, mails unter meiner Adresse zu versenden und werden deshalb hoffentlich vom Empfänger blockiert.

Wenn der Shopbetreiber alles richtig konfiguriert hat, kommt die Mail auch an. Sie würde nur dann abgeleht werden, wenn ein SPF gesetzt und nicht mit dem Absender übereinstimmen würde. Wenn der Shopbetreiber alles richtig konfiguriert hat, kommt die Mail auch an. Sie würde nur dann abgeleht werden, wenn ein SPF gesetzt und nicht mit dem Absender übereinstimmen würde.

Durch einen SPF-Eintrag bestimmt der Absender selbst, welche Server berechtigt sind, eine Mail unter seiner Absender-Adresse einzureichen. Diesen Eintrag muss der Shop-Betreiber für seine Domain [...] Durch einen SPF-Eintrag bestimmt der Absender selbst, welche Server berechtigt sind, eine Mail unter seiner Absender-Adresse einzureichen. Diesen Eintrag muss der Shop-Betreiber für seine Domain selbst hinterlegen, wenn er das System SPF nutzen möchten. Sollten deshalb legitime Mails abgelehnt werden, hat der Shop das also selbst zu verantworten, und dann wird er nicht nur bei DF Probleme haben, seine Mails loszuwerden. Der Spam-Ordner dient ja dazu, Mails überprüfen zu können, die durch eine heuristische Analyse, man könnte auch sagen von einer KI, mit einer gewissen Wahrscheinlichkeit als Spam eingestuft werden, wobei es zu Falschentscheidungen kommen kann. SPF ist dagegen eine klare Regel, die vom rechtmäßigen Besitzer einer Domain definiert wird. Entweder entspricht die Mail dieser Regel, oder es ist was faul. Daher ist der Spam-Ordner hier überflüssig.

Das Anti-Spam-System von DF wirklich top ist. Zuerst kommt die Prüfung auf "harte" Kriterien über drei verschiedene Eingangs-Server, zu der in Zukunft auch SPF gehört, und bei der E-Mails garnicht erst angenommen werden, wenn sie nicht den Vorgaben entsprechen. Im Anschluss folgt dann die "weiche" Prüfung, bei der ein Score festgelegt wird und dessen Behandlung über Filterregeln völlig frei bestimmt werden kann.

Wenn ich das richtig verstehe, habe sie doch damit alle Problem dieser Kacker-Welt gelöst, oder? Keiner kann dann mehr auf meinen Rechner, es sei denn, ich habe es ihm erlaubt und landet erlandet [...] Wenn ich das richtig verstehe, habe sie doch damit alle Problem dieser Kacker-Welt gelöst, oder? Keiner kann dann mehr auf meinen Rechner, es sei denn, ich habe es ihm erlaubt und landet erlandet somit im Spam-Ordner und da ist Ende?

@Charlie Hä? Wie kommst du denn darauf? Der Durchschnitts-Spammer schickt dir seine Mails normalerweise mit Absendern von Domains, die SPF noch nicht verwenden oder über gekaperte Server, wo es keine [...] @Charlie Hä? Wie kommst du denn darauf? Der Durchschnitts-Spammer schickt dir seine Mails normalerweise mit Absendern von Domains, die SPF noch nicht verwenden oder über gekaperte Server, wo es keine Rolle spielt, weil der Absender ja korrekt ist. Eine Whitelist, wo alles aussortiert wird, was du nicht explizit erlaubt hast, kannt du dir auch ohne SPF basteln. Macht nur irgendwie keinen Sinn, weil dann außer den Mails von Mama und Papa fast garnichts mehr ankommt, oder?