DNS einträge für mailserver so richtig ? mails landen im Spam bei gmail

[Silas6473]

Hallo, ich habe einen mailserver aufgesetzt mit mailcow und wollte fragen ob diese DNS Einträge alle so richtig sind und ob noch was fehlt, gerade bei den SRV einträgen bin ich mir nicht sicher


eigentlich funktioniert soweit alles, bei gmx habe ich es getestet und gesendete mails landen im posteingang, doch bei gmail im spam ... aber wieso ?

hostname vom vServer ist mail.DOMAIN.de , rDNS beim server ebenfalls. verstehe nicht was falsch ist

 

[nexus]

Hallo, ich habe einen mailserver aufgesetzt mit mailcow

Dann wäre es ein Gebot der Höflichkeit, wenn du in deinem anderen Thread darauf hinweist, daß du es zum Laufen gebracht hast, bevor noch weitere Leute ihre Zeit verschwenden und dir dort helfen wollen.

doch bei gmail im spam ... aber wieso ?

Schau dir die Mailheader der betreffenden Mail an, da steht drin, warum sie als Spam getaggt wurde.

 

[Silas6473]

wie geht das ?

 

[nexus]

wie geht das ?

Einfach in dem anderen Thread posten, daß du deine mailcow-Instanz zum Laufen gebracht hast.

Wie man die Mailheader anschaut, kannst du ja nicht meinen. Denn das ist Basiswissen, daß jeder Admin, der einen eigenen Mailserver im Netz betreibt, einfach wissen muß.

 

[Silas6473]

kann da nichts erkennen :

Delivered-To: EMFPÄNGER@gmail.com
Received: by 10.200.37.154 with SMTP id e26csp1028322qte;
        Mon, 26 Jun 2017 06:13:43 -0700 (PDT)
X-Received: by 10.223.161.149 with SMTP id u21mr14521713wru.70.1498482823112;
        Mon, 26 Jun 2017 06:13:43 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1498482823; cv=none;
        d=google.com; s=arc-20160816;
        b=Yylk3JtaULCZZ884shkY4PdhX3LR7XRlN5qpyaUg13lMIZTBVrTesuV4ypHbJNI3XX
         kRD04fRvCAWcrAKiIp0qkSSzNXgdN67cQNI/GA/cv62swSnisv5uZ7e+WBVtIRdCPKXX
         sLTMzlpBGQWdcNMqcukIpeVda5J5HdT2+LqadLuaZYKVOMMEhXaleM2ha3hmWCprYgXX
         7mRiAmZzEvncDZFRs/JItBtdYb28zjwKxUpChYO+aZbM1DUyFqSf5izydeBCElYTdMXX
         kq3DE4UZCf2641T4aPXFADomOh/DvHEKUzL0Au1J6MkD9EdyTda+sz+Zly56VFsAx5XX
         hlaw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:content-transfer-encoding:mime-version:date
         :message-id:subject:from:to:arc-authentication-results;
        bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uXX=;
        b=I6KJbX6O2e58u8DerN+HvZL2OvgkLm+5kWpFBLmy/XM22GRY/nQ0b8XGwQTnJjjWXX
         RwNXMzt+DGY6hOhNdRzJtQuDZr+j8f5nQKQshkeYu00+i8Dje/oJBflf8LqwjsgRL5XX
         /dMIcl9leS9ug52izVt8+J3VXygLnCw8umPoYpGkiEgh6BG/alZFvxk+UnnaB4oBxTXX
         WKEzfeIcReEOmXPmvQRmEyAsS/VqbwPAWV4y4XcxVPaM7bIIDOtl4jKNhx0sMMXX+sI/
         ei1pQ2nY7QYF2Y4QLbpG+veLmB+omIIzP0ZnmSUtHl6xJDVvXq/gE5/csdWXPeypVMXX
         byGQ==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: best guess record for domain of mail@DOMAIN.de designates XXX.XX.X.180 as permitted sender) smtp.mailfrom=Mail@DOMAIN.de
Return-Path: <Mail@DOMAIN.de>
Received: from mail.DOMAIN.de (mail.DOMAIN.de. [XXX.XX.X.180])
        by mx.google.com with ESMTPS id w34si11726441wrc.389.2017.06.26.06.13.42
        for <EMFPÄNGER@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 26 Jun 2017 06:13:43 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of mail@DOMAIN.de designates XXX.XX.X.180 as permitted sender) client-ip=XXX.XX.X.180;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of mail@DOMAIN.de designates XXX.XX.X.180 as permitted sender) smtp.mailfrom=Mail@DOMAIN.de
Received: from [127.0.0.1] (localhost [127.0.0.1])
	by mail.DOMAIN.de (Postfix) with ESMTP id 75E1A61029
	for <EMFPÄNGER@gmail.com>; Mon, 26 Jun 2017 15:13:40 +0200 (CEST)
X-Fuglu-Suspect: 83acc7dd2821431f80c1537e1036333b
X-Fuglu-Spamstatus: NO
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on mail.DOMAIN.de
X-Spam-Status: No, score=-1.0 required=5.0 tests=ALL_TRUSTED autolearn=ham
	autolearn_force=no
Received: from [127.0.0.1] (localhost [127.0.0.1])
	(Authenticated sender: mail@DOMAIN.de)
	by mail.DOMAIN.de (Postfix) with ESMTPSA
	for <EMFPÄNGER@gmail.com>; Mon, 26 Jun 2017 15:13:40 +0200 (CEST)
To: EMFPÄNGER@gmail.com
From: <Mail@DOMAIN.de>
Subject: test
Message-ID: <1102a41b-e57c-6ccb-4c04-9f6d03e6f01f@DOMAIN.de>
Date: Mon, 26 Jun 2017 15:13:39 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: de-DE

testnachricht

 

[Silas6473]

was ist denn der grund ?

 

[nexus]

Die Mailheader sehen erstmal ganz okay aus.
Ob deine DNS-Einstellungen wirklich hinhauen, läßt sich aufgrund der vielen Ausblendungen in deinem Screenshot nur mutmaßen. Wenn du wenigstens die IP des Mailservers nicht wegzensieren würdest, könnte man mal einige Sachen überprüfen.
Bleibt also nur das Nachfragen:
- kein generischer Hostname in der Konfiguration verwendet?
- PTR/rDNS korrekt gesetzt?
- SPF korrekt gesetzt?
- DKIM/DMARC korrekt konfiguriert?
- Records für IPv4 und IPv6 angelegt?

Je mehr Infos, desto bessere Eingrenzung des Problems...

 

[marce]

evtl. auch mal mit der MX-Toolbox prüfen.

 

[Silas6473]

mx-record ist korrekt


- welche konfiguration?
- rDNS ist korrekt
- ist der SPV record falsch oder wie ?
- bei dkimvalidator.com kam als ergebnis "This message does not contain a DKIM Signature", also wohl nicht konfiguriert oder ?
- die ipv6 ist bei meinem server dynamisch, wie geht das dann ?

ich habe noch nicht allzuviel erfahrungen mit sowas,also erwartet nicht zu viel ...

 

[nexus]

- welche konfiguration?

Deine Serverkonfiguration im Allgemeinen und deine Mailserverkonfiguration im Speziellen (Stichworte: hostname, mailname)

- ist der SPV record falsch oder wie ?

Falls du den SPF-Record meinst...
Wenn der MX-Record korrekt gesetzt ist, sind die SPF-Direktiven a, aaaa und ptr im Normalfall (es gibt natürlich Ausnahmen) überflüssig und können in speziellen Konstellationen sogar die Sicherheit schwächen.

- bei dkimvalidator.com kam als ergebnis "This message does not contain a DKIM Signature", also wohl nicht konfiguriert oder ?

Nein.

- die ipv6 ist bei meinem server dynamisch, wie geht das dann ?

Dynamische IPv6? Ist mir bei meinen Servern bisher nicht untergekommen.

ich habe noch nicht allzuviel erfahrungen mit sowas,also erwartet nicht zu viel ...

Denkbar schlechte Voraussetzungen für den vernünftigen und sicheren Betrieb eines Mailservers im Netz.
Ein Mailserver-Setup ist eben nicht mal mit ein paar Klicks im Adminpanel bewerkstelligt. Ein Mailserver ist eine ziemlich komplexe Angelegenheit und verlangt einfach das nötige Basiswissen um die ganzen internen Zusammenhänge und Abläufe.

P.S.:
Achte doch bitte bei zukünftigen Posts auf eine vernünftige Groß-/Kleinschreibung. Das macht deine Posts wesentlich lesbarer...

 

[Silas6473]

Dynamische IPv6? Ist mir bei meinen Servern bisher nicht untergekommen.

scheinbar bei arubacloud schon.

 

[nexus]

scheinbar bei arubacloud schon.

Ich kenne zwar deinen Anbieter nicht, aber wenn ich den Screenshot richtig interpretiere, hat das nix mit dynamischer Adreßvergabe zu tun sondern deinem Server wurde ein IPv6-Subnetz zugeteilt.
Um deinen Server per IPv6 erreichbar zu machen, mußt du diesem natürlich auch eine Adresse aus diesem Subnetz in deiner Netzwerkkonfiguration zuweisen.

 

[Silas6473]

okay schaue gleich mal.

wegen der Konfiguration: hostname sowie mailname sind mail.DOMAIN.de - richtig oder ? (bzw. in der hostname-datei steht nur "mail", aber das stimmt trotzdem so oder? gebe ich in die Konsole hostname ein erhalte ich ja den richtigen.)

Nein.

dein nein auf die Frage "also wohl nicht konfiguriert oder ?" würde heißen ist richtig konfiguriert, ist es das also wirklich ?

 

[nexus]

dein nein auf die Frage "also wohl nicht konfiguriert oder ?" würde heißen ist richtig konfiguriert, ist es das also wirklich ?

Stimmt, da bin ich in das Fettnäpfchen mit der doppeltenen Verneinung reingetappt.
DKIM ist offensichtlich noch nicht konfiguriert, müßte also noch gemacht werden.

Nachtrag:
Upps, da hab ich doch glatt den ersten Teil deines letzten Posts überlesen...

wegen der Konfiguration: hostname sowie mailname sind mail.DOMAIN.de - richtig oder ? (bzw. in der hostname-datei steht nur "mail", aber das stimmt trotzdem so oder? gebe ich in die Konsole hostname ein erhalte ich ja den richtigen.)

Das klingt schon mal ganz gut.
Bitte auch nochmal in der Mailserverkonfiguration schauen, ob da auch die entsprechenden Einträge korrekt gesetzt sind.

 

[Silas6473]

wollte das gerade wie hier erklärt machen : https://www.digitalocean.com/commun...-configure-dkim-with-postfix-on-debian-wheezy

doch das ist bei mir schon alles eingetragen, wohl durch mailcow... wie kann ich denn überprüfen ob DKIM nicht doch schon eingerichtet ist ?

ich habe mal eine Testmail an check-auth@verifier.port25.com geschickt , als Ergebnis kam "neutral" zurück :

The message was signed but the signature or signatures
      contained syntax errors or were not otherwise able to be
      processed.  This result SHOULD also be used for other
      failures not covered elsewhere in this list.

hier mal die ganze mail :

Thank you for using the verifier,
 
The Port25 Solutions, Inc. team
 
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         neutral
SpamAssassin check: ham
 
==========================================================
Details:
==========================================================
 
HELO hostname:  mail.DOMAIN.de
Source IP:      XXX.XXX.XX.XX
mail-from:      Mail@DOMAIN.de
 
----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=Mail@DOMAIN.de
DNS record(s):
    DOMAIN.de. 300 IN SPF "v=spf1 a mx ~all"
    DOMAIN.de. 300 IN A 89.XX.XX.XXX
    DOMAIN.de. 96 IN MX 25 mail.DOMAIN.de.
    mail.DOMAIN.de. 96 IN A XXX.XXX.XX.XX
 
----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified: header.From=Mail@DOMAIN.de
DNS record(s):
 
----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified:
 
NOTE: DKIM checking has been performed based on the latest DKIM specs
(RFC 4871 or draft-ietf-dkim-base-10) and verification may fail for
older versions.  If you are using Port25's PowerMTA, you need to use
version 3.2r11 or later to get a compatible version of DKIM.
 
----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.4.1 (2015-04-28)
 
Result:         ham  (4.1 points, 5.0 required)
 
 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.0 NO_DNS_FOR_FROM        DNS: Envelope sender has no MX or A DNS records
-0.0 T_RP_MATCHES_RCVD      Envelope sender domain matches handover relay
                            domain
 0.0 T_SPF_TEMPERROR        SPF: test of record failed (temperror)
 0.0 T_SPF_HELO_TEMPERROR   SPF: test of HELO record failed (temperror)
-0.0 BAYES_40               BODY: Bayes spam probability is 20 to 40%
                            [score: 0.2718]
 1.8 MISSING_SUBJECT        Missing Subject: header
 2.3 EMPTY_MESSAGE          Message appears to have no textual parts and no
                            Subject: text
 
==========================================================
Explanation of the possible results (from RFC 5451)
==========================================================
 
SPF and Sender-ID Results
=========================
 
"none"
      No policy records were published at the sender's DNS domain.
 
"neutral"
      The sender's ADMD has asserted that it cannot or does not
      want to assert whether or not the sending IP address is authorized
      to send mail using the sender's DNS domain.
 
"pass"
      The client is authorized by the sender's ADMD to inject or
      relay mail on behalf of the sender's DNS domain.
 
"policy"
     The client is authorized to inject or relay mail on behalf
      of the sender's DNS domain according to the authentication
      method's algorithm, but local policy dictates that the result is
      unacceptable.
 
"fail"
      This client is explicitly not authorized to inject or
      relay mail using the sender's DNS domain.
 
"softfail"
      The sender's ADMD believes the client was not authorized
      to inject or relay mail using the sender's DNS domain, but is
      unwilling to make a strong assertion to that effect.
 
"temperror"
      The message could not be verified due to some error that
      is likely transient in nature, such as a temporary inability to
      retrieve a policy record from DNS.  A later attempt may produce a
      final result.
 
"permerror"
      The message could not be verified due to some error that
      is unrecoverable, such as a required header field being absent or
      a syntax error in a retrieved DNS TXT record.  A later attempt is
      unlikely to produce a final result.
 
 
DKIM and DomainKeys Results
===========================
 
"none"
      The message was not signed.
 
"pass"
      The message was signed, the signature or signatures were
      acceptable to the verifier, and the signature(s) passed
      verification tests.
 
"fail"
      The message was signed and the signature or signatures were
      acceptable to the verifier, but they failed the verification
      test(s).
 
"policy"
      The message was signed but the signature or signatures were
      not acceptable to the verifier.
 
"neutral"
      The message was signed but the signature or signatures
      contained syntax errors or were not otherwise able to be
      processed.  This result SHOULD also be used for other
      failures not covered elsewhere in this list.
 
"temperror"
      The message could not be verified due to some error that
      is likely transient in nature, such as a temporary inability
      to retrieve a public key.  A later attempt may produce a
      final result.
 
"permerror"
      The message could not be verified due to some error that
      is unrecoverable, such as a required header field being
      absent. A later attempt is unlikely to produce a final result.

 

[nexus]

Ich kenne den von dir verwendeten Webtest zwar nicht, aber nach dem Text in der Mail:

DKIM check details:
----------------------------------------------------------
Result: neutral (message not signed)

scheint die Mail nicht signiert worden zu sein.
Wie das nun genau durch mailcow umgesetzt wird, kann ich dir nicht sagen, da ich mailcow nicht einsetze. Aber eine kurze Suche bei Tante G brachte die Aussage, daß DKIM über das Webpanel von mailcow konfigurierbar sein sollte.
Wenn die mailcow-Doku dazu nix hergeben sollte, könntest du ja auch mal bei den mailcow-Entwicklern nachfragen, eventuell haben die ja auch ein Supportforum.
Oder halt etwas Geduld haben, bis sich hier jemand deines Problems annimmt, der selber mailcow einsetzt.

Weitere mögliche Alternativen:
- Smarthost einsetzen, dann brauchst du dich garnicht mehr um einen Mailserver kümmern.
- Intensiv mit der Thematik Mailserver beschäftigen und bei Vorhandensein des nötigen Grundwissens selber einen Mailserver aufsetzen. Vorteil hier: Du weißt dann genau, welche Software eingesetzt wird und was dein Mailserver tut, da du ihn komplett selber konfiguriert hast.
- Mailverwaltung durch einen externen Dienstleister abwickeln lassen, das bekommst du allerdings nicht für lau (ist aber auch nicht so wahnsinnig teuer).

 

[Silas6473]

übers Interface habe ich bereits einen key erstellt, siehe Bilder. und der DNS record ist ja wohl richtig, oder ?

bei der mailcow-doku steht das hier kurz, so wie es aber auch gemacht habe : https://github.com/mailcow/mailcow/wiki/DKIM-keys

über diesen test erhalte ich jedoch den public-key, das heißt doch dass es eigentlich richtig eingerichtet ist oder nicht ? https://www.mail-tester.com/spf-dkim-check


nachtrag: was mir grad aufgefallen ist: ich erhalte beim aufrufen meiner Domain jetzt ein Zert. fehler, es liegt an diesem DNS record :

AAAA | DOMAIN.de | IPV6-ADRESSE

aber ich benötige doch diesen record? Problem ist halt , dass der mailserver wo anders liegt als der webserver. oder muss der record einfach nur so aussehen?

AAAA | mail.DOMAIN.de | IPV6-ADRESSE

 

[Silas6473]

ich habe das mit dem DKIM jetzt eigentlich eingerichtet aber ich sehe davon immer noch nichts im mailheader... und :

habe gerade mal eine testmail von einem webspace eines Hosters gesendet, da ist z.b. SPF nur neutral (bei mir pass) und hat auch kein DKIM im Mailheader - und diese landet nicht im spam... warum landen aber meine dort?? kann ich das nicht irgendwie herausfinden ?

 

[nexus]

warum landen aber meine dort??

Es gibt viele Gründe für Spam-Tagging und gerade die großen Mailanbieter lassen sich da nicht wirklich in die Karten schauen, welche Abläufe intern zur Spam-Abwehr etabliert wurden.
Es kann z.B. auch sein, daß du bzw. dein Mailserver (oder genauer gesagt dessen IP-Adresse) auf einer internen BL bei Gmail gelistet ist. Da hilft dann nur, den Mailanbieter anzuschreiben und um ein Delisting zu bitten.
Hab den Link zu dem entsprechenden Formular grad nicht zur Hand, weil ich noch unterwegs bin, sollte aber nicht schwer zu googeln sein.

 

[Silas6473]

im 1. thread schrieb ich doch dass die IP auf keiner blacklist ist ... Ist es denn überhaupt oft ein grund dass sie als Spam gelistet wird, wenn kein DKIM eingerichtet ist ?