Gmail lehnt Mails mit Links im Content ab

W

wakko

Member
[Gelöst] Gmail lehnt Mails von IPv6 ab

Hallo,
ich habe immer mal wieder Probleme von meinem Server (Debian 9, Postfix) Mails an Gmail zu schicken. Die werden häufig mit dem berüchtigten Fehler 550-5.7.1 abgelehnt.
https://support.google.com/mail/answer/188131
Inzwischen passiert das nur noch wenn die Mail im Content Links enthält. Denn zum Testen habe ich mal an meine eigene Gmail-Adresse eine Testmail geschickt (ohne Links), die ohne Probleme durchkam. Der Header bestätigt mir, dass auch mein SPF Eintrag korrekt auflöst und akzeptiert wird. Aber sobald in der Mail ein Link ist wird sie abgelehnt.
Was kann ich noch tun?
Muss ich wirklich DKIM in den Postfix einbauen? Das sieht nach garnicht mal so wenig Arbeit aus und ich bin mir nicht sicher, ob das wirklich hilft...

Update: Nach etwas mehr Recherche sieht es so aus, als würde das gehäuft mit Mailservern passieren, die IPv6 nutzen (so wie meiner). Kann ich irgendwie das Senden an Gmail über IPv4 forcieren?

Update 2: Mit Hilfe von hier habe ich postfix überredet mit gmail.com/googlemail.com nur noch per IPv4 zu sprechen. Seit dem kommen auch Mails mit Links durch....
Ziemlich undurchsichtige Antispam-Policy, die Google da fährt...
Aber vielleicht hilft das hier ja noch jemand anderem.

Noch mehr Infomationen: (ist von 2013, aber bei mir läuft IPv6 erst seit einem halben Jahr...)
https://blog.hqcodeshop.fi/archives/120-Thanks-Google-for-your-new-IPv6-mail-policy.html
 
Last edited by a moderator:
Ja. Sowohl der PTR als auch der SPF Record sind auch für IPv6 gesetzt. Das bestätigt mir sogar der Header meiner einen Testmail an meine eigene googlemail Adresse. Eine von denen ist ja (warum auch immer) durchgekommen. Und das war bevor ich Postfix beigebracht habe, nur per IPv4 mit gmail zu sprechen.
Das scheint bei Google nicht so ganz deterministisch zu sein. Und anscheinend bin ich nicht der einzige mit dem Problem. Umso sinnfreier, dass Google dann auf die Bulk-Sender-policy hinweist, die für mich vollkommen irrelevant ist, da von meinem Sur sehr selten mal einzelne Mails an die G-Dienste gehen.
 
"Bulkmail" bedeutet in dem Zusammenhang bei nahezu allen Mailprovidern nicht nur, dass der Sender mit übermässig vielen Einlieferungsversuchen aufgefallen ist, sondern auch, dass der Sender zum Versenden bekannte Bulkmail-Software beziehungsweise beliebte Bulkmail-Bibliotheken verwendet.

PHP-Mailer, Swiftmailer, SJM, etc pp sind solche Kandidaten, welche in bestimmten Konstellationen diverse Anti-Spam-Systeme triggern.
Dass dies in Verbindung mit IPv6 häufiger der Fall ist, liegt technisch begründet in der Funktionsweise von IPv6 (für nähere Infos bitte den Netzwerkadmin Deines geringsten Misstrauens befragen, für diesen Thread sind diese Details zu umfangreich und unwichtig).


Hint: IPv6 abzuschalten/zu unterdrücken ist definitiv keine Lösung.
Hint: Seriöse anerkannte Whitelists sind durchaus hilfreich...
Hint: Links in Mails sind Pfui und in wann immer möglich (was zu 99% der Fall ist) zu vermeiden.
Hint: HTML-Mails sind grundsätzlich zu 100% zu vermeiden und somit mehr als nur Pfui!
 
Abgesehen davon, dass IPv6 für bestimmte Empfängerdomains zu unterdrücken nicht die letzte Lösung ist trifft nichts von dem was Du da unterstellst zu.
Naja... und ich werde weiter Links (als plaintext) in meinen Mails verschicken anstatt die am Telefon zu diktieren.
 
Irgendetwas läuft bei Dir falsch, denn GMail akzeptiert per IPv6 transportierte Mails mit Links im Body problemlos:

Code: 
Delivered-To: rootservice@gmail.com
Received: by 2002:a2e:1a6:0:0:0:0:0 with SMTP id f38-v6csp5663332lji;
        Wed, 30 May 2018 15:42:01 -0700 (PDT)
X-Google-Smtp-Source: ADUXVKIIrCnQtfRTYfQ70Mu6r9sCfscfYa2kX2YgAvhQKn1ciF4alulba113REQnwUup95VsICWk
X-Received: by 2002:ab0:59ce:: with SMTP id k14-v6mr3044092uad.88.1527720121595;
        Wed, 30 May 2018 15:42:01 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1527720121; cv=none;
        d=google.com; s=arc-20160816;
        b=p9oWWxbdsFqPF94nXfzWFhYKHFggIVEx+WnmbSYl4Sa8sCdbu81zwe3UfP5Mmath9o
         YSxseffnYeenHatJU3BFizgZ8h/Er+ceKqS6MwPM6PnQxNoOwsrtuFKsvFJBhEoA2kOA
         rx70X49LXGUG/Tq6dmnBqE40f6RAGBpgBQJtQLe9JOcClfgnfz0y29rYWfRNeCHSjc1l
         9rWOZqfUm7wwaEwS40Rb5MDPd1SraYxDSLn2tEeta1tgL2aqJgPTDKY8mRoqdJdVoar7
         uqHEcG8HQcyBKXy4MOOKTD/Myrn0qOR4NJ2Pw/r6Vi39LeHFJjkldsOO6EjS7LvL/6Bw
         qT9w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:mime-version:user-agent:date:message-id
         :organization:autocrypt:openpgp:to:reply-to:subject:from
         :dkim-signature:arc-authentication-results;
        bh=Xig2KChwJL4uUzKI9RD1TsMADEc19ooRsOudhvYVz4Q=;
        b=0QKUter3twmxqMx8ncR+9D/LC42QvuVzGTc29PlQCI4QBHNBeRNlfBUPZ6WxfPplCO
         d+kE1ZpaRqV4E6lEk2rHo7CwWSepe2SsQrMHVbDTHjW/sKFO3HuPBwXfyDLt0B196/a8
         y7GL50WwhYYxZ3TN2AgCV+XcGPN6/axYaWCiho943ajXo5bA2DqxLgvyWJyJnELHOwZI
         E8U6WyQF3pnBMUwyyFonvj1vy/y5C+hA9qqot4nUmljsvHzrlNifce9F8JrEk4W2z2Ph
         A1FcovqjSI6U1RXJ1CFH+XWWfvI2D533QYon4VPE3n0pglU+vKAzC1SYE1VTTqxN5/Tv
         z+Pg==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@rootservice.org header.s=20180110 header.b=Y+iAVmEb;
       spf=pass (google.com: domain of joeuser@rootservice.org designates 2a01:4f8:200:1468::2 as permitted sender) smtp.mailfrom=joeuser@rootservice.org;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=rootservice.org
Return-Path: <joeuser@rootservice.org>
Received: from mail.rootservice.org (devgate.rootservice.org. [2a01:4f8:200:1468::2])
        by mx.google.com with ESMTPS id q7-v6si980418ual.12.2018.05.30.15.42.00
        for <rootservice@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
        Wed, 30 May 2018 15:42:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of joeuser@rootservice.org designates 2a01:4f8:200:1468::2 as permitted sender) client-ip=2a01:4f8:200:1468::2;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@rootservice.org header.s=20180110 header.b=Y+iAVmEb;
       spf=pass (google.com: domain of joeuser@rootservice.org designates 2a01:4f8:200:1468::2 as permitted sender) smtp.mailfrom=joeuser@rootservice.org;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=rootservice.org
Received: from devnoip.rootservice.org (devnoip.rootservice.org [84.46.4.251])
	(using TLSv1.2 with cipher ECDHE-ECDSA-CHACHA20-POLY1305 (256/256 bits))
	(No client certificate requested)
	(Authenticated sender: joeuser@rootservice.org)
	by mail.rootservice.org (Postfix) with ESMTPSA id 40x5F341v8zKWp5
	for <rootservice@gmail.com>; Thu, 31 May 2018 00:41:58 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=rootservice.org;
	s=20180110; t=1527720119;
	bh=Xig2KChwJL4uUzKI9RD1TsMADEc19ooRsOudhvYVz4Q=;
	h=From:Subject:Reply-To:To:Date:MIME-Version:Content-Type;
	b=Y+iAVmEb4entWTwAM4XcEu43NduJpXJcvxi1ja/L5Szc4mAbLQMTzr3s0grEEYQYM
	 yLXdFf+CrNUiYAbO0ATdtKGCfQ7fhJiQ5ZtRrefSbfW6VDs28EJkREL99WeeC3DCAZ
	 skTQ81vQh6HHnLDqAaBkkFDe6FzFLTthLd2FwIUamB/YL7ruMEpvICKTXMxEVP0NQa
	 fqF16kQ5p4Gaw3Olitni/d3pqXqaEUVX3ojbDLn2r1pM1xIR6E5kmE7yzKYyuH5t4a
	 WE0rEJccZUS5Qju99I8olcRFPwdSh7kAtr4ANMxJ74W8M3TWp3oI5QWPgvK/vM+vpr
	 zuSz386iihlog==
From: Joe User <joeuser@rootservice.org>
Subject: test
Reply-To: joeuser@rootservice.org
To: Joe User <rootservice@gmail.com>
Openpgp: id=A66076B31EFC966ED34231F54F54EB710CC793D5;
 url=hkp://pool.sks-keyservers.net
Autocrypt: addr=joeuser@rootservice.org; prefer-encrypt=mutual; keydata=
Organization: RootService
Message-ID: <c8effb41-ce01-7873-25f5-22fcb384e70d@rootservice.org>
Date: Thu, 31 May 2018 00:41:56 +0200
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101
 Thunderbird/52.8.0
MIME-Version: 1.0
Content-Type: multipart/mixed;
 boundary="------------B1C9152605A1B356F274FC4F"
Content-Language: en-US

This is a multi-part message in MIME format.
--------------B1C9152605A1B356F274FC4F
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit

Moin,

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Integer vel
mauris enim, vitae euismod eros. Sed ac libero et lacus porttitor congue
et vel mi. Etiam at eros ante, sit amet porttitor tellus. Ut nec nunc
sit amet dui iaculis porta in vitae lectus. Morbi quis elit eget ante
pulvinar placerat ut sed urna. Sed convallis tellus vitae lacus rhoncus
placerat. Sed vestibulum placerat porta. Nunc ligula massa, consequat
sed consequat lacinia, pellentesque at odio. Proin imperdiet varius
sodales. Fusce mollis, est eget ullamcorper varius, orci nisl imperdiet
massa, non vehicula elit odio sed dui. Fusce placerat diam quis neque
ornare ullamcorper. Aliquam erat volutpat.

https://www.rootservice.org/de/howtos/freebsd/remote_install

Nunc non enim non dui cursus sollicitudin eu vitae tortor. Donec lacus
enim, luctus a vehicula eu, elementum eget risus. Mauris non enim nec
felis adipiscing viverra quis nec sem. Proin quis nibh eget ipsum
dignissim viverra eu in risus. Aenean interdum leo non dolor malesuada
et condimentum erat molestie. Curabitur commodo consectetur metus. Proin
id lorem semper leo elementum convallis accumsan vitae orci. Nunc sed
quam id tellus pretium vulputate sit amet eget ante. Phasellus vehicula
mi nec neque aliquet lobortis. Sed hendrerit ipsum placerat quam
ultrices venenatis porta lacus pharetra. Fusce scelerisque est eget diam
semper a viverra nisl luctus. Etiam sagittis, purus eget auctor rutrum,
elit tortor adipiscing lectus, et convallis sapien sem et purus.
Pellentesque habitant morbi tristique senectus et netus et malesuada
fames ac turpis egestas. Quisque convallis est at risus hendrerit mattis.

https://www.rootservice.org/de/howtos/freebsd/hosting_system

MfG,
Joe User


--------------B1C9152605A1B356F274FC4F
Content-Type: application/pgp-keys;
 name="0x4F54EB710CC793D5.asc"
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
 filename="0x4F54EB710CC793D5.asc"

-----BEGIN PGP PUBLIC KEY BLOCK-----
-----END PGP PUBLIC KEY BLOCK-----

--------------B1C9152605A1B356F274FC4F--
(PGP-Keys zur Platzersparnis entfernt)


Wie Du siehst ist das so gar eine Mail, welche sehr verdächtig nach Spam aussieht und sie kommt trotzdem problemlos durch, trotz Links und IPv6...


Postfix 3.3.1 (SMTP-AUTH, TLSv1.2), DNS (SPF, DKIM, PTR) und Mailclient sauber konfiguriert, dann läufts auch.



Es liegt also nicht an GMail, sondern an Deinem System/Setup.

Logs? Configs?
 
Schön, dass Du versuchst mir weiter zu helfen. Der Verdacht, dass meine Mails wegen (harmloser) Links abgelehnt wurden ergab sich aus diesem Test:
1. Testmail an meine eigene Gmail Adresse onhne Link von IPv6: Kommt an.
2. Testmail mit Link: Reject 550-5.7.1
3. Testmail wieder ohne Link (auch IPv6): Kommt an.
Da liegt der Verdacht nahe, dass es an dem Link liegt.
Die Idee, dass das evtl. von IPv6 verursacht sein könnte kam mir erst später bei weiterer Recherche. Aber interessant, dass Du da weiter drauf rumreitest...

Dank Deinem Header sehe ich (abgesehen von bisher fehlenden DKIM, das noch bis zum Wochenende warten muss) nur einen Unterschied:
In den SPF-Zeilen steht bei Dir die IPv6 Adresse, bei mir nur die für IPv4.
Was fehlt da in meinem SPF-Record?
Zur Zeit sieht der so aus:
v=spf1 a mx ~all
Das wäre die einzige Fehlerursache, die mir noch einfällt.
Ich hab leider erst heute Abend Zeit, den Workaround wieder rückgängig zu machen und mit der ursprünglichen Config zu testen.

Ansonsten ist mein Postfix wie Deiner konfiguriert. Senden nur über smtp-auth, PTR passt (auch für IPv6), TLSv1.2, saubere Zertifikate von lets-encrypt. Nur wie oben erwähnt noch kein DKIM.
 
Besteht für deine Domain (ohne Subdomain) ein AAAA-Record, der zur richtigen IPv6 auflöst? Oder zeigt der MX auch auf einen AAAA-Record, der zu der IPv6 auflöst? Falls beides nicht zutrifft, greifen weder das a noch das mx im SPF-Record.
Ich persönlich verwende in meinem SPF-Header direkt die IP-Adresses und nicht die Einträge a und mx (bedeutet einen bzw. zwei zusätzliche DNS-Abfragen):
Code: 
v=spf1 ip4:10.11.12.13 ip6:2001:0db8:dead:beef::2 ~all
Die ip4 und ip6 Einträge lassen sich bei Bedarf auch mehrfach verwenden. Damit sind die IPs klar benannt und der Rest sollte mit Misstrauen bedacht werden.
Hilfreich wäre ja deine Domain, dann könnte man selber mal die DNS-Records abfragen...:rolleyes:
 
Die relevanten DNS Records sehen so aus:
Code: 
rootservice.org.	600	IN	A	144.76.140.105
rootservice.org.	600	IN	MX	10 mail.rootservice.org.
rootservice.org.	600	IN	TXT	"v=spf1 a mx -all"
rootservice.org.	600	IN	AAAA	2a01:4f8:200:1468:0:0:0:2
_dmarc.rootservice.org.	600	IN	TXT	"v=DMARC1; p=none; sp=none; adkim=r; aspf=r; fo=1; ruf=postmaster_rootservice_org"
20180110._domainkey.rootservice.org.	600	IN	TXT	"v=DKIM1; h=sha256; k=rsa; s=email; p=" "..."
devgate.rootservice.org.	600	IN	A	144.76.140.105
devgate.rootservice.org.	600	IN	AAAA	2a01:4f8:200:1468:0:0:0:2
mail.rootservice.org.	600	IN	A	144.76.140.105
mail.rootservice.org.	600	IN	AAAA	2a01:4f8:200:1468:0:0:0:2
Zuzüglich je einen eigenen PTR für jede einzelne IPv4/IPv6 Adresse.


Ich "reite darauf rum", weil es schlicht falsch ist, GMail irgendetwas vorwerfen zu wollen, ohne die Vorwürfe vorher verifiziert und seine eigenen Fehler korrigiert zu haben.
Und wie wir sehen, habe ich mit meinem "Rumreiten" mal wieder recht.


BTW: Killerbees erster Post in diesem Thread und Deine Antwort daruf; fällt Dir etwas auf?
Es zeigt sich mal wieder, dass ohne unverfälschte Fehlermeldungen, Logzeilen und Configs seitens der Hilfesuchenden, für die Hilfegebenden ein schneller präziser Lösungsansatz kaum zu erarbeiten ist.
 
So. Ich bin alt genug um Fehler zuzugeben und hier lag ich falsch.
Diese eine von 5 zum Mails versenden aktivierte Domain hatte keinen AAAA Record. Bei den anderen hat es schon vorher gepasst. Flüchtigkeitsfehler beim migrieren der Domains... An den hatte ich nach killerbees19's Antwort nicht gedacht. PTR und SPF waren eh schon OK.
Danke, dass ihr mich motiviert habt, da nochmal nachzuschauen, auch wenn ich da nur reingeschaut habe um sicherzugehen, dass ich nix falsch gemacht habe... :rolleyes:
Auch nach dem Rückgängigmachen des Workarounds empfängt gmail wieder Mails von mir und zeigt wie im Header von Joe User jetzt die IPv6 Adresse als "permitted sender" an.

Nichtsdestotrotz hat gmail da mit seiner Accept/Reject Policy ein seltsames Verhalten an den Tag gelegt, also dass 2 Mails ohne Link im Text angenommen werden, und die eine mit Link abgelehnt wir
d. Da ist mein erster Verdacht nicht ein evtl. fehlender AAAA Record...

Am Wochenende ist DKIM und DMARC dran.
 
wakko said:
So. Ich bin alt genug um Fehler zuzugeben und hier lag ich falsch.
Click to expand...
OK, kein Problem, beim nächsten Mal kontrollierst Du bitte zunächst Logs und Configs, damit kannst Du Dir und uns viel unnötige Arbeit und Ärger ersparen.

Ich entschuldige mich für meinen leicht harschen Ton.
 
You must log in or register to reply here.
Back
Top